Cisco Secure ACS Solution Engine ユーザ ガイド Release 4.1
トラブルシューティング
トラブルシューティング
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

トラブルシューティング

役に立つ情報

オンライン ヘルプ

診断コマンドとツール

Reports and Activity

Radtest と Tactest

package.cab に診断情報を収集

Windows での package.cab の作成とテスト

Solution Engine での package.cab の作成

package.cab の内容

package.cab の内容の分析

ログ ファイル

ログ ファイル(ACS for Windows のサービス)

ログ ファイル(リモート エージェント)

ログを使用する場合の一般的な手順

管理レポート ログの例

管理診断ログの例

CSAuth ログ ファイルの例

EAP ロギング

データベース ファイル

CSUtil.exe を使用したトラブルシューティング(Windows のみ)

場所および構文

ACS 内部データベースのバックアップと復元

ダンプ テキスト ファイルの作成

ユーザ データベースのコンパクト化

ユーザおよびグループ情報のエクスポート

CLI を使用したトラブルシューティング(Solution Engine のみ)

CLI コマンド

Solution Engine での Web インターフェイスの使用

ACS をロギングおよび監視するサービス

コマンドラインからのサービスの実行

一般的な問題

管理

管理者のロックアウト

不正なユーザのログイン

Restart Services が機能しない

イベント通知電子メールを受信しない

リモート管理者がブラウザにアクセスできない

リモート管理者がログインできない

リモート管理者が Logon Failed... というメッセージを受け取るメッセージ

リモート管理者が ACS にアクセスできない

認証および認可

Windows 認証の問題

ダイヤルインをディセーブルにできない

設定が継承されない

リトライ間隔が短すぎる

AAA クライアントのタイムアウト

不明な NAS エラー

キーの不一致エラー

予期しない認可

RADIUS Extension DLL Rejected User エラー

要求が外部データベースに表示されない

TACACS+ 認証の失敗

ブラウザ

Web インターフェイスにアクセスできない

ページが正常に表示されない

ACS を開こうとするとブラウザがクラッシュする

セッション接続の切断

管理者データベースの破損(Netscape)

リモート管理者がブラウズできない

Cisco NAC(ネットワーク アドミッション コントロール)

ポスチャの問題

Cisco IOS コマンドが拒否されない

EAP 要求内の無効なシグニチャ

管理者がクライアントからロックアウトされる

イネーブル モードにすることができない

応答しないエンドポイントの制限値に到達した

NAC のポスチャ問題

認可ポリシー

データベース

RDBMS 同期化が正常に動作しない

データベース複製が正常に動作しない

外部ユーザ データベースを使用できない

認証されない未知ユーザ

ユーザの問題

RSA トークン サーバを実装できない

ACS が着信要求を認識しない

外部データベースが正常に動作しない(ACS Solution Engine)

グループ マッピング(ACS Solution Engine)

Active Directory の設定(ACS Solution Engine)

NTLMv2 が正常に動作しない

ダイヤルイン接続

AAA クライアントに接続できない(レポートなし)

AAA クライアントに接続できない(Windows 外部データベース)

AAA クライアントに接続できない(ACS 内部データベース)

AAA クライアントに接続できない(Telnet 接続認証済み)

AAA クライアントに接続できない(Telnet 接続未認証)

コールバックが動作しない

PAP の使用時に認証に失敗する

EAP プロトコル

GAME プロトコル

GAME 設定の問題

GAME トラブルシューティングのセットアップ

期待されるデバイスタイムが一致しない

監査サーバがデバイスタイプ アトリビュートを返さない

監査サーバが障害を返す

インストールおよびアップグレード

rad_mon.dll および tac_mon.dll が使用中である

アップグレード中に ACS フォルダがロックされる

アンインストール中に ACS フォルダがロックされる

再起動後に ACS でサービスを開始できない

アップグレードまたはアンインストールを完了できない

無効なファイルまたはデータ

アカウンティング ログの欠落

upgrade コマンドが機能しない(ACS Solution Engine)

Solaris で autorun.sh が実行されない(ACS Solution Engine)

相互運用性

ビルド間の相互運用

プロキシ要求の失敗

ロギング

過剰なログ ファイル

MAC Authentication Bypass の問題

LDAP に MAC アドレスが存在しているが、常にデフォルトのユーザ グループにマッピングされる

内部データベースに MAC が存在しているが、誤ったユーザ グループにマッピングされる

要求拒否

リモート エージェント(ACS Solution Engine)

RPC タイムアウト

レポート

ブランク レポート

未知ユーザ情報が欠落している

1 つのユーザ セッションで 2 つのエントリがログに記録される

古いフォーマットのままの日付

ロギングの停止

Logged in Users レポートが特定のデバイスでしか機能しない

ユーザ グループ管理

MaxSessions が VPDN 上で動作しない

不安定な MaxSessions

MaxSessions が反映されない

TACACS+ および RADIUS ATTRIBUTES の欠落

エラー コード

トラブルシューティング

この付録では、Cisco Secure Access Control Server Release 4.1(以降は ACS と表記)に関するトラブルシューティング情報を提供します。

この付録は、次の項で構成されています。

「役に立つ情報」

「一般的な問題」

「管理」

「認証および認可」

「ブラウザ」

「Cisco NAC(ネットワーク アドミッション コントロール)」

「データベース」

「ダイヤルイン接続」

「EAP プロトコル」

「GAME プロトコル」

「インストールおよびアップグレード」

「相互運用性」

「ロギング」

「MAC Authentication Bypass の問題」

「リモート エージェント(ACS Solution Engine)」

「レポート」

「ユーザ グループ管理」

「エラー コード」

役に立つ情報

この項では、次の情報について取り上げます。

「オンライン ヘルプ」

「診断コマンドとツール」

「package.cab に診断情報を収集」

「ログ ファイル」

「データベース ファイル」

「CSUtil.exe を使用したトラブルシューティング(Windows のみ)」

「CLI を使用したトラブルシューティング(Solution Engine のみ)」

「ACS をロギングおよび監視するサービス」

オンライン ヘルプ

ACS には、次のオンライン ヘルプが用意されています。

Web インターフェイスの右側にある Help ペイン。

オンライン ヘルプ インターフェイス。ナビゲーション バーの Online Documentation ボタンをクリックして、ACS Online Help ページを開きます。

PDF 版の Cisco Secure ACS Solution Engine ユーザ ガイド。ACS Online Help インターフェイスで View PDF ボタンをクリックして、ユーザ ガイドを開きます。

診断コマンドとツール

ACS にはさまざまなロギング機能が用意されており、これにより管理者は、ACS サーバ自体の問題(たとえば、複製)や AAA 要求の問題(たとえば、認証問題)に関係するトラブルシューティングを行うことができます。

Reports and Activity

Web インターフェイスの Reports and Activity の下にある Failed Attempts ログには、認証に失敗した理由が表示されます。ACS では、Failed Attempts ログがデフォルトでオンになっています。Failed Attempts ログは、Reports and Activity > Failed Attempts を選択して表示できます。

ログにフィールドを追加するには、次の手順を実行します。


ステップ 1 CSV Failed Attempts ログで、System Configuration > Logging > Configure を選択します。

ステップ 2 Configuration ページで、Attributes カラムから Logged Attributes カラムにアトリビュートを移動します。

ステップ 3 Submit をクリックします。


 

Passed Authentications ログは、認可または Network Access Restriction(NAR; ネットワーク アクセス制御)の問題のトラブルシューティングに使用できます。ACS では、Passed Authentication ログがデフォルトでイネーブルになっていません。

これらのログをイネーブルにするには、次の手順を実行します。


ステップ 1 CSV Passed Authentication ログで、System Configuration > Logging > Configure を選択します。

ステップ 2 Enable Logging ペインで、Log to CSV Passed Authentications report チェックボックスをオンにします。


 


) ACS の System Configuration ペインには、データベースの複製で使用する CSV ログ ファイルなどの追加レポート機能も用意されています。


Radtest と Tactest

Radtest ツールと Tactest ツールは、Network Access Server(NAS; ネットワーク アクセス サーバ)の潜在的な設定問題を無くすために、ACS サーバに送信される AAA 要求のシミュレーションを行います。これらのツールは、\<ACS_install_dir>\CiscoSecure ACS v4.1\bin にある ACS インストール ファイルの一部です。これらのツールの実行方法の詳細については、 http://www.cisco.com を参照してください。

package.cab に診断情報を収集

ACS サービスは、アクティビティについての情報をさまざまなロギング サブディレクトリに保存します。ACS State Collector ユーティリティは、トラブルシューティングに必要なログ ファイルを package.cab という 1 つのファイルに収集します。このユーティリティは、システム情報とユーザ データベース情報も収集します。


) State Collector ユーティリティが情報を収集する間、ACS サービスは停止します。


Windows での package.cab の作成とテスト

システム設定のログ レベルは、デフォルトで Low に設定されています。問題が発生した場合は、ログ レベルを Full に設定してすべてのメッセージをログに記録する必要があります。設定を Full にすると、ACS はすべてのデバッグ情報を収集します。

Full ロギングをイネーブルにするには、次の手順を実行します。


ステップ 1 System Configuration > Service Control を選択します。

ステップ 2 Service Log File Configuration ペインの Level of Detail で、Full を選択します。

ステップ 3 必ず失敗するテストを 2、3 回実行します。

ステップ 4 C:\Program Files\CiscoSecure ACS v4.1\bin\cssupport.exe から cssupport.exe を実行します。 package.cab ファイルのデフォルトの格納場所は、\<ACS_install_dir>\Utils\Support です。

通常の動作に戻る場合は、忘れずにログ レベルを Low に設定してください。


 

Solution Engine での package.cab の作成

次のオプションの 1 つを使用して、Solution Engine で package.cab ファイルを作成します。

Web インターフェイスで、System Configuration > Support > Run Support Now を選択します。

CLI から support コマンドを実行します。

Solution Engine が外部コンピュータをリモート エージェントとして使用している場合は、support ユーティリティを Solution Engine で実行すると、リモート エージェントがそのログ ファイルを 1 つのファイルに収集します。ファイル名は、<Pack_<computer name>_date_time>.cab(たとえば、Pack_ACS-SUS-A2_10-Sep-2006_15-50-48.cab)となります。サポート ファイルを取得するには、リモート エージェントを実行しているコンピュータのリモート エージェント インストール ディレクトリで CiscoSecure ACS Agent フォルダを開き、そのフォルダを管理者の PC にダウンロードします。

package.cab の内容

package.cab には、この項で説明するように大量の情報が保存されていますが、圧倒的な情報量に達する場合があります。この項のガイドラインに従い、 package.cab の内容を解釈してください。

package.cab には次のファイルが収集されています。

ログ ファイル:すべてのサービスには、それに対応するログ ファイルがあります。これらのファイルには、それぞれのサービスに関する広範な情報が記録されています。たとえば、 auth.log には、CSAuth サービスの現在のログ情報がすべて記録されています。ACS はログ ファイルを毎日作成します。アクティブなログ ファイルは、ファイル名に日付を含まないファイルです。詳細については、「ログ ファイル」を参照してください。

CSV ファイル:CSV ファイルには、監査ログ、アカウンティング ログ、および Failed and Passed Authentication ログについての情報が含まれています。ほとんどの CSV ファイルには、統計情報が記録されています。問題をトラブルシューティングするために、サービス ログ ファイルと一緒に、Failed and Passed Authentication の CSV ファイルが多く使用されます。ACS は CSV ファイルを毎日作成します。アクティブな CSV ファイルは、ファイル名に日付がふくまれていないファイルです。

ユーザ データベース ファイル:ACS データベースを構成するのは、user.dat、user.idx、および varsdb.mdb の 3 つのファイルです。シスコによる依頼がない限り、これらのファイルを取り込む必要はありません。これらのファイルは操作しないでください。詳細については、「ログ ファイル」を参照してください。

レジストリ ファイル:ACS.reg には、ACS サーバのレジストリ情報が記録されています。そのため、このファイルはトラブルシューティングで必要になります。このファイルは、別のサーバにインポートするのではなく、テキスト エディタで開いてください。

その他のファイル: package.cab には、次のファイルも組み込まれています。

MSInfo.txt には、サーバとオペレーティング システムの情報が記録されています。

resource.txt ファイルには、サーバでの ACS サービス リソースの使用状況に関する情報が記録されています。

SecEventDump.txt、AppEventDump.txt、および SysEventDump.txt には、サーバ自体に関する問題のトラブルシューティングで使用可能な、サーバの追加イベント ダンプ情報が記録されています。

package.cab の内容の分析

AAA 要求に失敗するたびに、まず Failed Attemps ログを表示し、 auth.log でユーザ名を検索します。さらに詳しい情報が必要な場合は、TCS.log または RDS.log を分析する必要があります。CSTacacs と CSRadius の両方は NAS と ACS の間の通信ブリッジを形成し、CSAuth は、CSTacacs、CSRadius、および Active Directory や NDS などの外部ユーザ データベースとの間の通信ブリッジとなります。

この項の例により、 package.cab の内容の分析方法を示します。この例では、ACS サーバによる通常のログイン認証に失敗しています。NAS デバッグには、失敗の理由が示唆されていません。ログイン ユーザにはユーザ名が与えられています。

package.cab の内容を分析するには、次の手順を実行します。


ステップ 1 Failed Attemps の active.csv ファイルを見て、ユーザが認証に失敗している理由を確認します。多くの場合、このファイルの情報によって失敗の理由が判明するため、さらに問題の分析を進める必要はありません。ただし、この例では、active.csv ファイルに理由を示す情報が記録されていません。

ステップ 2 auth.log ファイルでユーザ名を検索します。この場合は、ユーザ名で検索しても何も検出されません。したがって、CSTacacs サービスが認証要求を処理できず、CSAuth サービスに認証要求を転送できないことが問題の原因として考えられます。Failed Attempts ログには認証の失敗が記録されているため、認証要求が ACS に到達していることは確かです。また、NAS と ACS の間で設定されている通信プロトコルは Terminal Access Controller Access Control System(TACACS+; ターミナル アクセス コントローラ アクセス コントロール システム)なので、パケットを受信する最初のサービスは CSTacacs です。

ステップ 3 そのため、CSTacacs が実行するアクティビティをすべて記録している TCS.log ファイルを分析する必要があります。予想したとおり、ユーザ要求が NAS から送られているのが分かります。ただし、ユーザ要求は CSAuth サービスに転送されていません。簡単な調査を行うと、このユーザには NAR が設定されていて、そのために CSTacacs サービスがパケットを破棄していることが判明します。したがって、 auth.log でユーザを検出できないのは、パケットが CSAuth サービスに転送されてないという理由からであることがわかります。


 

ログ ファイル(ACS for Windows のサービス)


) Full デバッグ モードで実行している場合は、サービス ログ ファイルのサイズが非常に大きくなる可能性があります。


ACS for Windows のサービスは、次のログ ファイルを生成できます。

 

表A-1 ACS for Windows のログ ファイル

サービス
場所およびファイル

CSAdmin

<ACS_install_dir>\CSAmin\logs。最後のファイルは ADMN.log

CSRadius

<ACS_install_dir>\CSradius\logs。最後のファイルは RDS.log

CSTacacs

<ACS_install_dir>\CSTacacs\logs。最後のファイルは TCS.log

CSAuth

<ACS_install_dir>\CSAuth\logs。最後のファイルは Auth.log

CSMon

<ACS_install_dir>\CSMon\logs。最後のファイルは CSMon.log

CSDBSync

<ACS_install_dir>\CSDBSync\logs。最後のファイルは CSDBSync.log

CSLog

<ACS_install_dir>\CSLog\logs。最後のファイルは CSLog.log

CSUtil

<ACS_install_dir>\utils\logs。最後のファイルは CSUtil.log

ログ ファイル(リモート エージェント)

リモート エージェントは、次のサービス ログ ファイルを生成します。

CSAgent.log

CSWinAgent.log

CSLogAgent.log

これらのファイルは、アプライアンスの auth.log に記録されている対応するタイムスタンプと相関しています。

ログを使用する場合の一般的な手順

ログを使用する場合は、次の一般的な手順に従います。


ステップ 1 サービス ログ ファイルの詳細レベルが Full に設定されていることを確認します。

ステップ 2 プロトコル トラフィック(CSRadius/CSTacacs)をチェックします。

ステップ 3 auth.log にエラーまたはハングの記録がないかどうかをチェックします。

ステップ 4 2 つのタイムスタンプを相関させます。

ステップ 5 Failed Attempts ログとその他のログをチェックします。


 

管理レポート ログの例

Reports and Activity > Administration Audit を選択して、管理レポート ログを表示します。次の例に、標準的な管理レポート ログのエントリを示します。

セットアップ

09/01/2006,13:27:57,freezer,local_login,127.0.0.1,Administration session started
09/01/2006,13:28:33,freezer,local_login,127.0.0.1,"Administration Control" Added new administrator account (admin)
09/01/2006,13:29:46,freezer,local_login,127.0.0.1,"Administration Control" Added new administrator account (test)
09/01/2006,13:30:31,freezer,local_login,127.0.0.1,Updated "Administration Control - Password Policy."
09/03/2006,13:31:14,freezer,local_login,127.0.0.1,Administration session finished

2 日後のログイン

09/03/2006,13:31:44,freezer,-SECURITY-,127.0.0.1,Administrator 'test' password change forced.
09/03/2006,13:31:55,freezer,-SECURITY-,127.0.0.1,Administrator 'test' password changed.
09/03/2006,13:31:55,freezer,test,127.0.0.1,Administration session started
09/03/2006,13:32:16,freezer,test,127.0.0.1,Administration session finished

4 日後のログイン

09/07/2006,13:32:42,freezer,-SECURITY-,127.0.0.1,Administrator 'test' account locked out.
09/07/2006,13:32:56,freezer,admin,127.0.0.1,Administration session started

管理診断ログの例

<ACS_install_dir>/CSAdmin/Logs/ADMIN.log を選択して、管理診断ログを開きます。次の例に、標準的な管理診断ログのエントリを示します。

ログインに失敗

LOGIN PROCESS: Start: Admin 'test'. Details: Never Exp. Flag:0x0 Attempt Lock:0x0 Attempt Count:0x0
LOGIN PROCESS: Admin 'test' Invalid Credentials

ログインに失敗してロック

LOGIN PROCESS: Start: Admin 'test'. Details: Never Exp. Flag:0x0 Attempt Lock:0x0 Attempt Count:0x1
LOGIN PROCESS: Admin 'test' Invalid Credentials
LOGIN PROCESS: Administrator 'test' has been locked out.

ロック後のログイン

LOGIN PROCESS: Start: Admin 'test'. Details: Never Exp. Flag:0x0 Attempt Lock:0x1 Attempt Count:0x8
LOGIN PROCESS: Locked Administrator 'test' has attempted login.

パスワードの変更を強制

LOGIN PROCESS: Start: Admin 'test'. Details: Never Exp. Flag:0x0 Attempt Lock:0x0 Attempt Count:0x0
LOGIN PROCESS: Admin 'test' Password Policy Results in Password Change Required.

パスワードの経過日数または非アクティブ状態によるロック

LOGIN PROCESS: Start: Admin 'test'. Details: Never Exp. Flag:0x0 Attempt Lock:0x0 Attempt Count:0x0
LOGIN PROCESS: Admin 'test' Password Policy Results in Locked Account.

CSAuth ログ ファイルの例

CSAuth サービス ログには、さまざまなユーザ データベース モジュールからの出力が記録されています。ただし、すべての情報を取り込むには、ログ レベルを上げる必要があります。

CSAuth ログ ファイルの例を次に示します。

AUTH 08/05/2005 10:36:51 I 5081 3040 Start RQ1026, client 50 (127.0.0.1)
AUTH 08/05/2005 10:36:51 I 5081 3040 Done RQ1026, client 50, status -2046
AUTH 08/05/2005 10:36:52 I 5094 3040 Worker 2 processing message 299716.
AUTH 08/05/2005 10:36:52 I 5081 3040 Start RQ1027, client 50 (127.0.0.1)

次の情報を使用してログ ファイルのエントリを解釈します。

1 文字:I は情報を、E はエラーを意味します。

4 桁の数字(5081 など):ソースの行番号(不正確の可能性あり)。

4 桁の数字(3040 など):スレッド ID。この番号により、個々のワーカー スレッドの動作を識別できます。これらのログは、Excel でフィルタリングすると識別が容易になります。

ワーカー要求(RQ)番号:ワーカー スレッドが処理している特定の要求番号。カンバセーションは Start RQnnnn で始まり、同じスレッド ID の Done RQnnnn まで完了しません。同じ RQ 番号で複数のイベントが処理される場合もあります。

対応する Done なしの Start 要求(長時間経過後)は、ブロックを示します。

AllocateThread failed with -1 は、ワーカーをスケジューリングできないことを意味します。

EAP ロギング

ACS 4.1 では、EAP ロギングのメッセージが(ASCII 文字ではなく)16 進数で表示されます。外部のインタープリタを使用して EAP メッセージの詳しい情報を取得してください。

データベース ファイル

ACS 4.1 では、データベース システムとして Sybase を使用します。データベース ファイルを TAC に送信する必要がある場合は、次のデータベース ファイルを送信します。

<ACS_install_dir>\CSDB\ACS.db:データベース。

ACS.log:最終トランザクション(未コミット)。

場所および構文

CSUtil.exe ユーティリティの格納場所は、<ACS_install_directory>\bin\ です。

コマンド構文は次のようになります。

CSUtil.exe [-q] [-b <backup filename> ] [-c] [-e <number>] [-g] [-i <file>]
[-d [-p <secret key>] <database dump filename>] [-l <file> [-passwd <secret key>]] [-n]
[-r <all|users|config> <backup file> ] [-s] [-u] [-y] [-listUDV] [-addUDV <slot> <filename.ini>] [-delUDV <slot>] [-t] [-filepath <full filepath>] [-passwd <password>] [-machine] (-a | -g <group number> | -u <user name> | -f <user list filepath>)

オプションによっては、サービスを停止させる必要があります。サービスを停止させるには、net stop コマンドを使用します。次の例に、net stop コマンドの標準的な出力結果を示します。

C:\> net stop CSAuth
The CSAuth service is stopping.
The CSAuth service was stopped successfully.
C:\>

CSUtil.exe ユーティリティの詳細については、「CSUtil データベース ユーティリティ」を参照してください。

ACS 内部データベースのバックアップと復元

System Configuration を選択し、ACS Backup または ACS Restore をクリックして、ACS 内部データベースをバックアップまたは復元します。外部スクリプトをバックアップまたは復元する場合は、 CSUtil.exe を使用します。 CSUtil.exe を使用してデータベースをバックアップする場合のコマンド構文は次のとおりです。

C:\Program Files\CiscoSecure ACS v4.1\bin\CSUtil -b filename.
 

表A-2 に、バックアップと復元をサポートするコマンドを示します。

 

表A-2 バックアップと復元のオプション

コマンド
説明

-b

ファイルにシステムをバックアップします。

-d

ユーザとグループの情報をテキスト ファイル(デフォルト:dump.txt)にダンプします。

-e

エラー番号を ASCII メッセージにデコードします。

-g

グループ情報のみをテキスト ファイル(デフォルト: group.txt )にダンプします。

-i

ユーザまたは NAS の情報をインポートします(デフォルト:import.txt)。

-l

テキスト ファイル(-d によって作成)から内部データをロードします。

-n

ACS データベースを作成または初期化します。

-q

CSUtil.exe を Quiet モードで実行します。

-r

名前を指定したファイル(-b オプションを使用して作成)からシステムを復元します。

-u

グループごとにユーザをリストします(デフォルト:users.txt)。

次の例を参考にしてください。

C:\Program Files\CiscoSecure ACS v4.1\bin\CSUtil -b backup.dat
CSUtil v4.1, Copyright 1997-2006, Cisco Systems Inc
All running services will be stopped and re-started automatically.
Are you sure you want to proceed? (Y or N)(Y)
Done
C:\Program Files\CiscoSecure ACS v4.1\bin>

データベースを復元するには、次のように入力します。

C:\> CSUtil -r [users|config | all] filename

バックアップ プロセス

バックアップ時には次のプロセスが実行されます。

ACS がサービスを停止します。つまり、バックアップ中にはユーザ認証が行われません。

確認を求めるプロンプトが表示されます。この確認を省略するには、Quiet モードを使用します。

バックアップには次の情報が含まれています。

ユーザおよびグループの情報

システム設定

バックアップのコンポーネントが空の場合は、空のコンポーネントに対して Backup Failed メッセージが表示されます。アンインストールまたはアップグレードを行う場合は、バックアップ ファイルを安全な場所にコピーしてください。コピーしないと、ファイルが削除されます。

復元プロセス

復元処理中、ACS はサービスを停止します。復元できるのは、ユーザとグループの情報またはシステム設定、あるいはその両方です。

ダンプ テキスト ファイルの作成

ダンプ テキスト ファイルには、ユーザとグループの情報のみが保存されます。このファイルは、ユーザ プロファイルに関する問題のトラブルシューティングに役立ちます。シスコ サポートは、ユーザ設定問題のトラブルシューティングで使用するダンプ ファイルをロードできる場合があります。

ダンプ ファイルを作成する前に、次のように入力して CSAuth サービスを手動で停止する必要があります。

C:\> net stop CSAuth

CSAuth サービスが停止している間は、ユーザ認証が停止します。ダンプ ファイルの作成が終了したら、次のように入力してサービスを手動で開始する必要があります。

C:\> net start CSAuth

ダンプ ファイルを作成するには、次のように入力します。

CSUtil -d filename

ダンプ ファイルをロードする場合は -l オプションを、パスワード エージング カウンタをリセットする場合は -p オプションを使用します。次の例を参考にしてください。

CSUtil -p -l filename
C:\Program Files\CiscoSecure ACS v4.1\bin\CSUtil -r all backup.dat
CSUtil v4.1, Copyright 1997-2006, Cisco Systems Inc.
Reloading a system backup will overwrite ALL current configuration information All Running services will be stopped and re-started automatically.
Are you sure you want to proceed? (Y or N)(Y)
CSBackupRestore(IN) file C:\Program Files\CiscoSecure ACS v4.1\bin\System Back
up\CRL Reg.RDF not received, skipping..
Done
 

ダンプ ファイルをロードすると、既存データが置き換えられます。

ユーザ データベースのコンパクト化

ACS データベースからのユーザ レコードの削除操作を行うと、ACS が削除済みのマークをレコードに付けますが、実際のレコードは削除されません。削除済みのレコードをデータベースから実際に削除するには、データベースをコンパクト化します。

データベースをコンパクト化するには、次の手順を実行します。


ステップ 1 データをダンプします。

ステップ 2 新しいデータベースを作成します。

ステップ 3 先にダンプされたすべてのデータをインポートします。


 

データベースをコンパクト化するには、次のように入力します。

CSUtil.exe -q -d -n -l

ユーザおよびグループ情報のエクスポート

ユーザまたはグループの情報をテキスト ファイルにエクスポートし、設定問題のトラブルシューティングで使用できます。

エクスポートする前に、次のように入力して CSAuth サービスを手動で停止する必要があります。

C:\> net stop CSAuth

CSAuth サービスが停止している間は、ユーザ認証が停止します。エクスポートが終了したら、次のように入力してサービスを手動で開始する必要があります。

C:\> net start CSAuth

ユーザ情報を users.txt にエクスポートするには、次のように入力します。

CSUtil.exe -u
 

グループ情報を groups.txt にエクスポートするには、次のように入力します。

CSUtil.exe -g
 

CLI を使用したトラブルシューティング(Solution Engine のみ)

この項では、次の情報について取り上げます。

「CLI コマンド」

「Solution Engine での Web インターフェイスの使用」

CLI コマンド

ACS Solution Engine 4.1 の CLI コマンドは、トラブルシューティングを行う場合に役立ちます。オペレーティング システムへの直接アクセスがブロックされている場合、CLI には 表A-3 に示す追加コマンドが含まれています。

.

表A-3 CLI コマンド

CLI コマンド
説明

help

コマンドの一覧を表示します。

show

アプライアンスのステータスを表示します。

support

ログ、レジストリ、その他の役立つ情報を収集します。 package.cab を FTP サーバに送信します。

backup

アプライアンスのデータベースを FTP サーバにバックアップします。

restore

FTP サーバからアプライアンスを復元します。

download

配布サーバから ACS インストール パッケージをダウンロードします。

upgrade

アプライアンスをアップグレードします(ステージ II)。

rollback

パッチを適用したパッケージをロール バックします。

exportgroups

グループ情報を FTP サーバにエクスポートします。

exportusers

ユーザ情報を FTP サーバにエクスポートします。

exportlogs

アプライアンスの診断ログを FTP サーバにエクスポートします。

ping

リモート コンピュータへの接続を検証します。

tracert

宛先までの経路を決定します。

set admin

管理者名を設定します。

set domain

DNS ドメインを設定します。

set hostname

アプライアンスのホスト名を設定します。

set ip

IP の設定を行います。

set password

管理者のパスワードを設定します。

set dbpassword

データベースの暗号化パスワードを設定します。

set time

時間帯の設定、NTP 同期化のイネーブル化、または日時の設定を行います。

set timeout

アクティビティがないシリアル コンソールのタイムアウトを設定します。

start <service>

ACS サービスを開始します。

stop <service>

ACS サービスを停止します。

reboot

アプライアンスをソフト リブートします。

restart

ACS サービスを再起動してください。

shutdown

アプライアンスをシャットダウンします。

Solution Engine での Web インターフェイスの使用

Solution Engine で Web インターフェイスを使用し、次の操作を行うことができます。

システム情報の設定および表示:System Configuration > Appliance Configuration を選択して、次の操作を行います。

ホスト名とドメイン名を編集する。

タイマーをリセットするか、または NTP サーバと同期させる。

CSAgent サービスを開始または停止する。

SNMP を設定する。

アプライアンスをリブートまたはシャットダウンする。

アプライアンスのソフトウェア バージョンの表示:System Configuration > Appliance Upgrade Status を選択して、次の情報を表示します。

アプライアンス ベース イメージ(OS + MS ホットフィックス)。

アプライアンス管理ソフトウェア(CLI)。

ACS ソフトウェアのバージョン。

アプライアンスにインストールされているパッチのリスト。

パッチをダウンロードしたり、アップグレードしたりすることもできます。

アプライアンス診断ログの表示:System Configuration > View Diagnostic Logs を選択して、次の診断ログを表示します。

AcsInstallLog

AcsApplianceInstallLog

ApplianceLog

CSAlog

CSSecurityLog

サービス使用状況の表示:System Configuration > Support 画面を選択して、次の操作を行います。

実行中のすべての ACS サービスとリソースの使用状況を表示する(CPU/仮想メモリ/ハンドル回数/スレッド数)。

package.cab コレクタを設定する。Run Support Now を選択してコレクタをすぐに実行します。

ACS をロギングおよび監視するサービス

次のサービスは、ACS のロギングと監視を実行します。

CSLog:監査証跡、認証のアカウンティング、および認可パケットのロギング サービスです。CSLog は、CSTacacs または CSRadius パケットと CSAuth からデータを収集し、データをカンマ区切り形式(CSV)ファイルに保存したり、Open DataBase Connectivity(ODBC; 開放型データベース接続)準拠データベースに転送したりできるように、それらのデータを洗浄します。

CSMon:いくつかのシナリオに対する自動応答を含め、ACS のパフォーマンスの監視、記録、および通知を行います。たとえば、TACACS+ または Remote Authentication Dial-In User Service(RADIUS)サービスが機能を停止すると、他に設定されていなければ、ACS はすべてのサービスをデフォルトで再起動します。

監視については、ACS およびそれを実行しているシステムの全体的なステータスの監視も含まれます。CSMon は、次に示す 3 つの基本的なシステム パラメータをアクティブに監視します。

汎用ホスト システムのステート:ディスクの空き容量、プロセッサの利用率、およびメモリの利用率を監視します。

アプリケーション固有のパフォーマンス:デフォルトで特別な組み込みテスト アカウントを使用し、毎分定期的にテスト ログインを実行します。

ACS によるシステム リソースの消費量:CSMon は、ACS が使用している一部の主要システム リソースの使用状況を定期的に監視して記録します。カウント、メモリの利用率、プロセッサの利用率、使用スレッド、および失敗したログイン試行を処理し、それらの結果を事前に設定されているしきい値と比較して、不規則な動作を示していないかどうかを調べます。

CSMon は、CSAuth と連携動作して、失敗試行回数が最大値を超えたためにディセーブルにされているユーザ アカウント数を追跡します。この機能が設定されている場合、CSMon は、大量のアカウントが無効になっていることを管理者に通知して、ブルート フォース攻撃に関する迅速な警告を行います。

デフォルトでは、CSMon は、例外イベントを CSV ファイルのログと Windows イベント ログに記録します。電子メールによるイベント通知機能を設定して、例外イベントと結果の通知にメッセージ送信時での ACS の現在のステートを含めるようにすることもできます。デフォルトの通知方式は Simple Mail Transfer Protocol(SMTP; シンプル メール転送プロトコル)による電子メールですが、スクリプトを作成して他の方式を使用することもできます。

ただし、失敗イベントの場合、CSMon は、ACS がトリガー イベントを検出するときにハードコード化されるアクションを行います。そのような例には、CSUtil.exe ユーティリティの実行があります。このユーティリティは、イベント発生時のシステムステートを処理するほとんどのパラメータを取り込みます。そのイベントが警告イベントの場合は、ログに記録され、設定されている場合には管理者に通知され、それ以上のアクションは行われません。一連の再試行後、CSMon によって障害の発生原因の修正も試みられ、個々のサービスが再起動されます。特定のイベントに基づいてユーザ定義アクションが発生するように、カスタム定義アクションと CSMon サービスを統合できます。

コマンドラインからのサービスの実行

主要なサービスは、-z オプションを指定することによってコマンドラインから実行できます。たとえば、
csauth -z のように指定します。Return キーを押すとサービスがシャットダウンします。


) 一部のサービスは、最後に行われるシャットダウンの最終段階でハングする場合があります。この場合は、プロセスが DLL アンロード(ccmp.dll)にスタックしているので、Control+C キーを使用して終了する必要があります。


一部のサービスでは、-z 以外のオプションを使用することもできます。そのサービスで使用可能なオプションについてヘルプを表示するには、たとえば csauth -h のように指定して、-h フラグを使用します。

-h オプションからの出力には、次のような例があります。

Csradius -d -p -z
Cstacacs -e -z
 

サービスには、メモリがマッピングされたファイルがいくつかあり、一般には、プロセス デフォルトを意味する NULL セキュリティ アトリビュートを使用します。サービスのデフォルト設定はログイン ユーザとは異なっているため、csauth -z を実行すると、通常は csadmin が失敗し、IP プールの初期化についてのメッセージが表示されます。この場合は、両方のプロセッサが共有メモリへのアクセスを試みていますが、それぞれ別々の有効なユーザとして実行されています。最も単純な解決策は、csauth -z を実行するときには必ず csadmin -z を実行するか、必要がなければ csadmin を一切実行しないようにすることです。

また、CSAuth と CSAdmin は、外部データベースの DLL(たとえば、NTAuthenDLL)をロードします。これらの DLL を使用して作業する場合は、プログラム ファイルのフォルダに新しいバイナリを作成するときに、CSAuth と CSAdmin の両方のサービスを毎回停止する必要があります。

Windows 認証を実行する場合は、たとえば ACS サービスに設定された同じアカウントのように、十分な権限が与えられているアカウントから実行することが重要です。メンバー サーバのローカル管理者では認証されない可能性があります。

一般的な問題

次の項では、一般的な問題とその解決策について説明します。

「管理」

「認証および認可」

「ブラウザ」

「Cisco NAC(ネットワーク アドミッション コントロール)」

「データベース」

「ダイヤルイン接続」

「EAP プロトコル」

「GAME プロトコル」

「インストールおよびアップグレード」

「相互運用性」

「ロギング」

「MAC Authentication Bypass の問題」

「リモート エージェント(ACS Solution Engine)」

「レポート」

「ユーザ グループ管理」

管理

この項では、次のトラブルシューティング情報を取り上げます。

「不正なユーザのログイン」

「Restart Services が機能しない」

「イベント通知電子メールを受信しない」

「リモート管理者がブラウザにアクセスできない」

「リモート管理者がログインできない」

「リモート管理者が Logon Failed... というメッセージを受け取るメッセージ」

「リモート管理者が ACS にアクセスできない」


) コマンドライン インターフェイス(CLI)を使用して管理コマンドを実行する方法については、
Installation Guide for Cisco Secure ACS Solution Engine Release 4.1』の「Administering Cisco Secure ACS Solution Engine」の章を参照してください。


管理者のロックアウト

状態

ACS により管理者がロックアウトされた。

回復処置

ACS for Windows の場合:

オプション 1:ローカル ログインを再度イネーブルにし、GUI からアカウントをリセットします。

オプション 2:次のコマンドを使用します。

CSUtil -s a unlock <Admin> <Password>

ACS Solution Engine の場合は、CLI の次の unlock コマンドを使用します。

unlock-guiadmin <Admin> <Password>


ヒント 準拠性に問題がなければ、ロックアウトを防止するために 1 つのアカウントの Account Never Expires オプションをイネーブルにします。


不正なユーザのログイン

状態

不正なユーザがログインできる。

回復処置

Reject listed IP addresses オプションの開始 IP アドレスと終了 IP アドレスをリストします。 Administrator Control > Access Policy を選択し、 Start IP Address End IP Address を指定してください。

Restart Services が機能しない

状態

Web インターフェイスの Restart Services オプションを使用してもサービスを再起動できない。

回復処置(ACS for Windows)

システムが応答していません。手動でサービスを再起動するには、次の手順を実行します。

1. Windows の Start メニューの Settings > Control Panel > Administrative Tools > Services を選択します。

2. CSAdmin > Stop > Start を選択します。

手動で再起動してもサービスが応答しない場合は、サーバをリブートします。

回復処置(ACS Solution Engine)

システムは、 System Configuration > Service Control ページ上の Restart コマンドには応答しません。Windows の ping コマンドを使用して、ACS 接続を確認します。

サービスを手動で再起動するには、ACS コンソールにログインして、restart コマンドに続けてスペースを 1 つ入力し、その次に再起動する ACS サービスの名前を入力します。

イベント通知電子メールを受信しない

状態

イベント通知の対象に設定されているが、管理者がイベント通知電子メールを受信しない。

回復処置

SMTP サーバ名が正しいかどうか確認してください。サーバ名が正しいときは、ACS を実行しているコンピュータで、SMTP サーバに対して PING を実行できるか、サード パーティ製の電子メール ソフトウェア パッケージを使って電子メールを送信できるかどうかを確認してください。

電子メールのアドレスにアンダースコア(_)が含まれていないことを確認します。

リモート管理者がブラウザにアクセスできない

状態

リモート管理者が、ブラウザで ACS の Web インターフェイスを表示できないか、またはアクセスが許可されないという警告が表示される。

回復処置

この問題を解決するには、次の手順を実行します。

1. サポートされているブラウザを使用していることを確認します。サポートされているブラウザのリストについては、『 Release Notes for Cisco Secure ACS Release 4.1 』を参照してください。

2. ACS に対して PING を実行して接続を確認します(ACS for Windows のみ)。

3. リモート管理者が Administration Control に登録済みの有効な管理者名およびパスワードを使用しているかどうかを確認してください。

4. Java 機能がブラウザで有効になっているかどうかを確認してください。

5. リモート管理者が ACS を管理するときに、ファイアウォール経由、ネットワーク アドレス変換を行うデバイス経由、または HTTP プロキシ サーバを使用するように設定されたブラウザ経由のいずれを使用するかを決めてください。

リモート管理者がログインできない

状態

リモート管理者がログインできない。

回復処置

Allow only listed IP addresses to connect オプションの開始 IP アドレスまたは終了 IP アドレスをリストします。 Administrator Control > Access Policy を選択し、 Start IP Address End IP Address を指定してください。

リモート管理者が Logon Failed... というメッセージを受け取るメッセージ

状態

リモート管理者が、ブラウズ中に Logon failed . . . protocol error というメッセージを受け取る。

回復処置(ACS for Windows)

CSAdmin サービスを再起動します。 CSAdmin サービスを再起動するには、次の手順を実行します。

1. Windows の Start メニューの Control Panel > Services を選択します。

2. CSAdmin > Stop > Start を選択します。

必要に応じてサーバを再起動します。

回復処置(ACS Solution Engine)

CSAdmin サービスを再起動します。 CSAdmin サービスを再起動するには、引数として CSAdmin を指定して、CLI から restart コマンドを入力します。必要に応じて、アプライアンスをリブートします。

リモート管理者が ACS にアクセスできない

状態

リモート管理者がブラウザから ACS にアクセスできないか、またはアクセスが許可されないという警告を受け取る。

回復処置

PIX Firewall 上で Network Address Translation(NAT; ネットワーク アドレス変換)が有効な場合、ファイアウォール経由の管理は動作しません。ACS をファイアウォール経由で管理するには、HTTP ポート範囲を設定する必要があります。 Administrator Control > Access Policy を選択します。ACS で指定された範囲にあるすべてのポートで、PIX Firewall が HTTP トラフィックを許可するように設定する必要があります。

Windows 認証の問題

状態

Windows 認証の診断で問題が発生する。

回復処置

ACS で検証するのと同じユーザ クレデンシャルにより、(通常の対話形式の Login フィールドを使用して)ACS サーバにログインします。ログイン処理が正常に機能しない場合、ACS は認証を行うことができません。この状態は、Active Directory(AD)の設定に問題があることを示します。

ログインすることができても ACS が認証しない場合は、権限に問題があることを示します。Auth.log でユーザ名をチェックし、エラーがないかどうか調べます。権限要件を見直し、ACS が適正な特権で実行されていることを確認します。

ダイヤルインをディセーブルにできない

状態

管理者が Dialin Permission 設定を無効にしても、Windows データベース ユーザはダイヤルインが可能で、Windows ユーザ データベースで設定されたコールバック文字列を使用できる(Dialin Permission チェックボックスを表示するには、 External User Databases > Database Configuration > Windows Database > Configure を選択します)。

回復処置

ACS サービスを再起動します。

設定が継承されない

状態

ユーザが新しいグループから設定を継承しない。

回復処置

新しいグループに移動したユーザは新しいグループの設定を継承しますが、既存のユーザ設定も保持しています。手動で User Setup セクションの設定を変更してください。

リトライ間隔が短すぎる

状態

リトライ間隔が短すぎるため、認証に失敗する。

回復処置

Failed Attempts レポートを調べます。

リトライ間隔が短すぎる可能性があります(デフォルトは 5 秒です)。AAA クライアントのリトライ間隔(tacacs-server timeout 20)を 20 以上に増やしてください。

AAA クライアントのタイムアウト

状態

Windows ユーザ データベースに対する認証中に AAA クライアントがタイムアウトする。

回復処置

次の Cisco IOS コマンドを入力して、TACACS+ または RADIUS タイムアウト間隔を、デフォルトの 5 から 20 に増やします。
tacacs-server timeout 20
radius-server timeout 20

不明な NAS エラー

状態

認証に失敗し、Unknown NAS というエラーが Failed Attempts ログに記録される。

回復処置

NAS が認識されていることを確認するには、次の手順を実行します。


ステップ 1 Network Configuration セクションの下で、AAA クライアントが設定されていることを確認します。

ステップ 2 AAA クライアントで RADIUS/TACACS source-interface コマンドを設定してある場合は、指定されたインターフェイスの IP アドレスを使用して ACS 上のクライアントが設定されていること。


 

キーの不一致エラー

状態

認証に失敗し、key mismatch というエラーが Failed Attempts ログに記録される。

回復処置

キーが一致することを確認するには、次の手順を実行します。


ステップ 1 TACACS+ キーまたは RADIUS キーが、AAA クライアントおよび ACS で同一であることを確認します(大文字と小文字は区別されます)。

ステップ 2 両方のキーが同一であることを確認するため、キーを再入力してください。


 

予期しない認可

状態

ユーザを認証することができるが、認可が予期したものと一致しない。

回復処置

ベンダーが違えば、使用する AV ペアも異なります。あるベンダー プロトコルで使用されている AV ペアが、別のベンダー プロトコルでは無視されることがあります。ユーザの設定に、正しいベンダー プロトコル、たとえば、RADIUS(Cisco IOS/PIX)が反映されているかどうかを確認してください。

RADIUS Extension DLL Rejected User エラー

状態

LEAP 認証に失敗する。Radius extension DLL rejected user というエラーが Failed Attempts ログに記録される。

回復処置

設定された認証タイプを検証するには、次の手順を実行します。


ステップ 1 Access Point で正しい認証タイプが設定されていることを確認します。少なくとも Network-EAP チェックボックスがオンになっているかどうかを確認してください。

ステップ 2 認証に外部ユーザ データベースを使用している場合は、そのデータベースを ACS がサポートしていることを確認します。


 

要求が外部データベースに表示されない

状態

認証要求が外部データベースに表示されない。

回復処置

認証要求が転送されることを検証するには、次の手順を実行します。


ステップ 1 ロギングを Full に設定します。 System Configuration > Service Control を選択し、ロギングを設定します。

ステップ 2 auth.log を調べて、認証要求がサード パーティ製サーバに転送されていることを確認します。認証要求が転送されていない場合は、外部データベースの設定と未知ユーザ ポリシーの設定が正しいことを確認します。


 

TACACS+ 認証の失敗

状態

TACACS+ 認証に失敗する。

回復処置

Failed Attempts ログを調べます。ユーザ名の代わりに異常な文字列が存在する場合は、TACACS+ クライアント NAS で設定エラーがないかどうか確認し、デバイスの設定を修正します。

Web インターフェイスにアクセスできない

状態

ブラウザで、ACS の Web インターフェイスを表示できない。

回復処置

表示を修正するには、次の手順を実行します。


ステップ 1 Internet Explorer または Netscape Navigator を開きます。 Help > About を選択し、ブラウザのバージョンを確認します。サポートされるブラウザのリストについては『 Installation Guide for Cisco Secure ACS for Windows Release 4.1 』および『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.1 』を、特定バージョンのブラウザに関する既知の問題については『 Release Notes for Cisco Secure ACS Release 4.1 』を参照してください。

ステップ 2 CSAdmin サービスが実行されていることを確認します。


 

ページが正常に表示されない

状態

ページの一部が正常に表示されない、ページの一部が表示されない、またはページが破損している。

回復処置

次の手順を実行します。


ステップ 1 クライアント マシンに JRE がインストールされていることを確認します。

ステップ 2 ブラウザの詳細オプションで、アプレットに正しい JRE が使用されていることを確認します。インストール ガイドで Web クライアント要件を確認します。


 

ACS を開こうとするとブラウザがクラッシュする

状態

ACS を開こうとすると、ブラウザがクラッシュする。

回復処置

JRE 1.5.0_00 を使用している場合は、Java Web サイトで現行バージョンの JRE にアップグレードします。

セッション接続の切断

状態

1. ブラウザに、セッション接続が切断されたことを示す Java メッセージが表示される。

2. ブラウザを使用できない。

回復処置

リモート管理者の Session idle timeout の値を調べてください。Administration Control Session Policy Setup を選択し、必要に応じてタイムアウト値を大きくします。

管理者データベースの破損(Netscape)

状態

Netscape の使用時に、管理者データベースが破損していると考えられる。

回復処置

リモート Netscape クライアントがパスワードをキャッシングしています。間違ったパスワードを入力した場合も、そのパスワードがキャッシュされます。正しいパスワードで再認証を試みても、Netscape は不正なパスワードを送信します。キャッシュを消去してから再認証を行うか、いったんブラウザを閉じてから新しいセッションを開始してください。

リモート管理者がブラウズできない

状態

リモート管理者が ACS の Web インターフェイスでブラウズできない。

回復処置

クライアントのブラウザにプロキシ サーバの設定がないことを確認します。ACS は、リモート管理セッションで使用する HTTP プロキシをサポートしていません。プロキシ サーバの設定をディセーブルにします。

ポスチャの問題

状態

show eou all または show eou ip address の結果に、実際のポスチャ確認の結果と一致しないポスチャが表示される、またはポスチャの代わりに「-------」が表示される。

回復処置

「-------」が表示される場合、AAA クライアントは、Cisco IOS/PIX RADIUS cisco-av-pair Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)内の posture-token アトリビュート値(AV)を受信していません。表示されるポスチャが実際のポスチャ確認の結果に対応していない場合、AAA クライアントは posture-token AV ペアの間違った値を受信しています。

Network Admission Control(NAC; ネットワーク アドミッション コントロール)データベースのグループ マッピングをチェックし、正しいユーザ グループが各 System Posture Token(SPT; システム ポスチャ トークン)に関連付けられていることを確認します。NAC 用に設定されたユーザ グループで、Cisco IOS/PIX cisco-av-pair VSA が正しく設定されていることを確認します。たとえば、Healthy SPT を受信する NAC クライアントを認可するように設定されたグループで、[009\001] cisco-av-pair チェックボックスがオンになっていること、および [009\001] cisco-av-pair テキスト ボックスに次の文字列が表示されることを確認します。

posture-token=Healthy

注意 posture-token AV ペアは、ポスチャ確認によって戻される SPT について ACS が AAA クライアントに通知する唯一の方法です。posture-token AV ペアの設定は手動で行うため、posture-token の設定に誤りがあると、誤った SPT が AAA クライアントに送信され、AV ペアの名前に入力ミスがあると、AAA クライアントが SPT をまったく受信できなくなることがあります。

) AV ペアの名前は、大文字小文字が区別されます。


Cisco IOS/PIX cisco-av-pair VSA の詳細については、「cisco-av-pair RADIUS アトリビュートについて」を参照してください。

Cisco IOS コマンドが拒否されない

状態

EXEC コマンドの実行中、ACS がチェックのときに Cisco IOS コマンドを拒否しない。

回復処置

AAA クライアントでの Cisco IOS の設定を確認してください。次の Cisco IOS コマンドが存在しない場合は、AAA クライアントの設定に入力します。

aaa authorization command <0-15> default group TACACS+

テキスト ボックスの引数の正しい構文は、 permit argument または deny argument です。

EAP 要求内の無効なシグニチャ

状態

ACS が、誤った共有秘密情報を持つ EAP 対応デバイスからトラフィックを受信し、エラーをログに記録する。

回復処置

次の状態が存在するかどうかを確認します。

無効な署名が使用されている。

RADIUS パケットが転送中に破損した。

ACS が攻撃を受けている。

EAP 対応デバイスを確認して、必要に応じて変更します。

管理者がクライアントからロックアウトされる

状態

AAA クライアントの設定が誤っているため、管理者が AAA クライアントからロックアウトされている。

回復処置

次の手順を実行します。


ステップ 1 AAA クライアントでフォールバック メソッドを設定している場合は、AAA サーバへの接続を無効にし、ローカルまたはラインのユーザ名とパスワードを使用してログインします。

ステップ 2 AAA クライアントへの直接接続をコンソール ポートで試みてください。

ステップ 3 直接接続できない場合は、AAA クライアントのマニュアルを調べるか、Cisco.com の Password Recovery Procedures ページにアクセスして、特定の AAA クライアントに関する情報を探してください。


 

イネーブル モードにすることができない

状態

aaa authentication enable default tacacs+ の実行後にイネーブル モードに入ることができない。システムが、Error in authentication on the router というエラー メッセージを返す。

回復処置

Failed Attempts ログを調べます。ログに CS password invalid と記されている場合は、ユーザがイネーブル パスワードを設定していない可能性があります。ユーザ設定オプションに Advanced TACACS+ Settings セクションが表示されない場合は、 Interface Configuration > Advanced Configuration Options > Advanced TACACS+ Features を選択し、オプションを選択して TACACS+ 設定をユーザ設定に表示させます。次に、 Max privilege for any AAA Client (通常は 15)を選択し、ユーザの TACACS+ イネーブル パスワードを入力します。

応答しないエンドポイントの制限値に到達した

状態

システムが、NAC Nonresponsive Endpoint(NRE; 応答しないエンドポイント)ゲスト アクセス制限の 100 エンドポイントに到達した。

回復処置

EAPoUDP 状態テーブルには、RADIUS 要求を削減することで、ACS サーバでの DoS 攻撃(サービス拒絶攻撃)を防ぐ機能があります。

システムが NAD あたりの不正な応答のないエンドポイントの最大値 100 に達すると、次のメッセージがルータ コンソールに表示されます。

*Jan 19 09:51:04.855: %AP-4-POSTURE_EXCEED_MAX_INIT: Exceeded maximum limit (100)

ルータは、NAC の RADIUS 要求の処理を停止します。このメカニズムでは、Cisco Trust Agent(CTA)の有無に関係なく、正規のユーザはデフォルトのネットワーク アクセスが可能です。デフォルト アクセスとは、ルータ インターフェイスの Access Control List(ACL; アクセス コントロール リスト)で許可されるアクセスすべてを指します。

このメッセージは、100 以上の EAPoUDP セッションが INIT 状態の場合に表示されます。通常、ACS から RADIUS Accept-Accept を受信すると、セッションはこの状態から移行します。ただし、次のいずれかの状態の間は、EAPoUDP セッションはこの状態に留まります。

NAD に 100 を超える不正なエンドポイントが存在する。

ルータが ACS から Access-Reject を受信する。

ルータが ACS から応答を受信できない。

この動作に基づいて、次のオプションがあります。

ACS を NAC 用に正しく設定することで、予期しない Access-Reject を最小限にする。

NAC をパッシブ(モニタだけのモード)に展開する場合は、ACS で Network Access Restriction(NAR; ネットワーク アクセス制限)付きの MAC アドレスまたは IP アドレス ワイルドカードを使用することにより、すべての NRE を受け入れるように ACS を設定する。

CTA 対応エンドポイントにアクセスできなくなるため、単一の NAC 対応ルータの背後に 100 を超える不正なエンドポイントを持つことのないようにする。

デフォルトの保持期間に低い値を設定する。

NAC のポスチャ問題

ACS Release 4.1 では、SPT を Group Mapping for NAC Databases で設定しません。このトークンは、ポスチャ結果により cisco-av-pair で自動的に送信されます。

認可ポリシー

認可ポリシーを設定し、ユーザ グループまたはポスチャ トークンで any を選択しても、意図しているのは none です。グループの場合、any はポスチャのみ(認証なし)のケースを指します。ポスチャ トークンの場合、any は認証のみ(ポスチャなし)のケースを指します。

RDBMS 同期化が正常に動作しない

状態

RDBMS 同期化が正常に動作しない。

回復処置

正しいサーバが Partners リストに表示されることを確認します。

データベース複製が正常に動作しない

状態

データベース複製が正常に動作しない。

回復処置

サーバが Send または Receive に正しく設定されていることを確認します。

送信側のサーバで、Replication リストの中に受信サーバがあるかどうか確認してください。

受信側のサーバで、送信サーバが Accept Replication from リストで選択されているかどうかを確認してください。また、送信側のサーバが複製パートナー リストの中にないことを確認してください。

送信側の ACS の複製スケジュールと、受信側の ACS の複製スケジュールに矛盾がないことを確認します。

受信側のサーバにデュアル ネットワーク カードが使用されている場合、送信側のサーバで、Network Configuration セクションの AAA Servers テーブルに AAA サーバを追加します。AAA サーバは受信サーバの IP アドレスごとに追加します。送信側のサーバにデュアル ネットワーク カードが使用されている場合、受信側のサーバで、ネットワーク設定の AAA Servers テーブルに AAA サーバを追加します。AAA サーバは送信サーバの IP アドレスごとに追加します。

外部ユーザ データベースを使用できない

状態

外部ユーザ データベースが Group Mapping セクションで使用できない。

回復処置

External User Databases セクションで外部データベースが設定されていないか、ユーザ名やパスワードが正しく入力されていません。該当する外部データベースをクリックします。ユーザ名とパスワードが正しく入力されていることを確認します。

認証されない未知ユーザ

状態

未知ユーザが認証されない。

回復処置


) ACS の未知ユーザ機能を使用している場合、外部データベースは Password Authentication Protocol(PAP; パスワード認証プロトコル)でしか認証できません。


未知ユーザを認証するには、次の手順を実行します。


ステップ 1 External User Databases > Unknown User Policy を選択します。

ステップ 2 Check the following external user databases オプションを選択します。

ステップ 3 External Databases リストから、未知ユーザの認証時に照合するデータベースを選択します。

ステップ 4 --> (右矢印ボタン)をクリックして、そのデータベースを Selected Databases リストに追加します。

ステップ 5 Up または Down をクリックし、選択したデータベースを認証階層の必要な位置に移動します。


 

ユーザの問題

状態

複数のグループに同じユーザが表示されるか、または ACS 内部データベースに複製ユーザが存在する。データベースからユーザを削除することができない。

回復処置

コマンドラインから次のコマンドを入力して、データベースをクリーンアップします。

CSUtil -q -d -n -l dump.txt

このコマンドにより、データベースのアンロードとリロードが行われ、カウンタがクリアされます。


ヒント ACS をデフォルトの場所にインストールすると、CSUtil.exe は次のディレクトリに格納されます。
C:\Program Files\CiscoSecure ACS vX.X\bin


CSUtil.exe コマンドの使用方法の詳細については、 付録 D「CSUtil データベース ユーティリティ」 を参照してください。

RSA トークン サーバを実装できない

状態

RSA トークンサーバを正常に実装できない。

回復処置

この問題を解決するには、次の手順を実行します。


ステップ 1 ACS を実行しているコンピュータにログインします(ログイン アカウントに管理特権が付与されていることを確認します)。

ステップ 2 RSA クライアント ソフトウェアが、ACS と同じコンピュータにインストールされていることを確認します。

ステップ 3 セットアップの手順に従って操作します。インストールが終了しても再起動しないでください。

ステップ 4 RSA ACE サーバの /data ディレクトリから sdconf.rec という名前のファイルを取得します。

ステップ 5 sdconf.rec を %SystemRoot%\system32 ディレクトリに置きます。

ステップ 6 ACE サーバを実行しているマシンで、ホスト名による PING を実行できることを確認します(lmhosts ファイルにマシンを追加する必要がある場合もあります)。

ステップ 7 ACS の External User Database > Database Configuration で、RSA のサポートがイネーブルになっていることを確認します。

ステップ 8 Windows のコントロール パネルから、ACE Client アプリケーションに対してテスト認証を実行します。

ステップ 9 ACS から、トークン サーバをインストールします。


 

ACS が着信要求を認識しない

状態

RSA agent 認証は機能しているが、ACE SDI サーバで ACS からの着信要求を認識できない。

回復処置(ACS for Windows、ACS Solution Engine)

ダイヤルアップ ユーザの場合は、MS-CHAP や CHAP ではなく PAP を使用していることを確認してください。RSA SDI は CHAP をサポートしておらず、ACS は、RSA サーバに要求を送信せずに外部データベースの障害としてエラーをログに記録します。

外部データベースが正常に動作しない(ACS Solution Engine)

状態

外部データベースが正常に動作しない。

回復処置

ACS ドメインと他のドメインとの間に、双方向の信頼性(ダイヤルイン チェック用)が確立されていることを確認します。CSAuth.log に、[External DB] で始まるデバッグ メッセージがないかどうかを確認します。

グループ マッピング(ACS Solution Engine)


) Local System アカウントを使用して ACS サービスの設定の必要なサーバがあります。また、ドメイン アカウントの設定の必要なサーバもあります(たとえば、AD ドメインで ACS というアカウントを作成し、適切な特権を割り当てます)。極端な場合には、このアカウントを Domain Administrators のメンバーにすることも必要になります。


状態

グループ マッピングの設定時に、ポップアップ ウィンドウに次のメッセージが表示される。

Failed to enumerate Windows groups.If you are using AD consult the installation guide for information

回復処置

この問題は、次の場合に発生する可能性があります。

ACS サービスが NetGroupEnum 関数を実行する特権を持っていない。詳細については、Microsoft.com の MSDN サイトを参照してください。

NetBIOS over TCP がイネーブルになっている。

DNS が正常に動作していない。DOS プロンプトから ipconfig /flushdns を使用し、次いで ipconfig /registerdns を使用することにより、再登録を試してみることができます。再登録できない場合、詳細については、Microsoft.com を参照してください。

RPC が正常に動作していない(たとえば、Blaster のアップデート後)。Microsoft.com に移動し、次の MS ホット フィックスを探してください。

kb822831

kb823980

kb824105

kb824146

ドメイン コントローラが同期されていない。同期するには、DOS プロンプトから net time /Domain: <DomainName> コマンドを実行します。

異なるドメイン コントローラで異なる SP が実行されている。

NetLogon サービスが、ドメイン コントローラすべてにおいて開始および実行されていない。

パケット フィルタがインストールされていることを確認する。

DNS プロパティで、Allow Dynamic Updates に対して yes を選択する。

Active Directory の設定(ACS Solution Engine)


) Local System アカウントを使用して ACS サービスの設定の必要なサーバがあります。また、ドメイン アカウントの設定の必要なサーバもあります(たとえば、AD ドメインで ACS というアカウントを作成し、適切な特権を割り当てます)。極端な場合には、このアカウントを Domain Administrators のメンバーにすることも必要になります。


状態

ACS で Active Directory を設定する必要がある。

回復処置

ACS サーバにサービスを提供しているドメイン コントローラで、次の手順を実行します。


ステップ 1 ユーザを作成して強力なパスワードを指定します。

ステップ 2 ユーザを Domain Admins グループのメンバーにします。

ステップ 3 ユーザを Administrators グループのメンバーにします。

ステップ 4 ACS を実行している Windows 2000 サーバで、次の手順を実行します。

a. 新しいユーザをローカル グループに追加します。

b. Windows のコントロール パネルで Administrative Tools を選択します。

c. Computer Management > Local Users and Groups > Groups を選択します。

d. Administrators グループをダブルクリックして、Add をクリックします。

e. Look in ボックスからドメインを選択します。

f. 前に作成したユーザをダブルクリックして追加し、OK をクリックします。

ステップ 5 ACS サーバで、新規ユーザに特別な権利を与えます。

a. コントロール パネルで Administrative Tools を選択します。

b. Local Security Policy > Local Policies を選択します。

c. User Rights Assignment を開きます。

d. Act as part of the operating system をダブルクリックし、Add をクリックします。

e. Look in ボックスからドメインを選択します。

f. 前に作成したユーザをダブルクリックして追加し、OK をクリックします。

g. Log on as a service をダブルクリックし、Add をクリックします。

h. Look in ボックスからドメインを選択します。

i. 前に作成したユーザをダブルクリックして追加し、OK をクリックします。

ステップ 6 作成されたユーザとして実行されるように、ACS サービスを設定します。

a. コントロール パネルで Open Administrative Tools を選択します。

b. Services を選択します。

c. CSAdmin エントリをダブルクリックします。

d. Log On タブをクリックし、次に This Account をクリックして Browse ボタンをクリックします。

e. ドメインを選択し、前に作成したユーザをダブルクリックします。OK をクリックします。

ステップ 7 残りの CS サービスについても同じ手順を繰り返して実行します。

ステップ 8 Windows がセキュリティ ポリシーの変更点を適用するまで待つか、またはサーバをリブートします。サーバをリブートする場合は、以降の手順をスキップしてください。

ステップ 9 CSAdmin サービスを停止してから開始します。

ステップ 10 ACS Web インターフェイスを開きます。

ステップ 11 System Config > Service Control> Restart を選択します。

ステップ 12 Act as part of the operating system および Log on as a service の権利の設定を上書きするように Domain Security Policy が設定されている場合は、前にリストしたユーザの権利をポリシーで変更する必要もあります。


 

NTLMv2 が正常に動作しない

状態

NTLMv2 が正常に動作しない。

回復処置

適切なバージョン(または、特定のサービス パック)の Windows がインストールされており、また、NTLMv2 を要求するようにドメイン コントローラ レジストリが設定されている必要があります。

AAA クライアントに接続できない(レポートなし)

状態

ダイヤルイン ユーザが AAA クライアントに接続できない。

TACACS+ または RADIUS Accounting レポートに試行の記録がありません。ナビゲーション バーから Reports and Activity を選択し、次に TACACS+ Accounting RADIUS Accounting 、または Failed Attempts を選択して、レコードを調べます。

回復処置

ACS レポートまたは AAA クライアント Debug の出力を調べて、問題がシステム エラーにあるか、またはユーザ エラーにあるかを特定します。次の事項を確認してください。

ACS をインストールする前に、ダイヤルイン ユーザが接続を確立し、コンピュータに対して PING を実行できること。ダイヤルイン ユーザがこれらを実行できなかった場合、問題は ACS ではなく、AAA クライアントまたはモデムの設定にあります。

ACS を実行しているコンピュータと AAA クライアントの LAN 接続が物理的に接続されていること。

ACS 設定の AAA クライアントの IP アドレスが正しいこと。

AAA クライアント設定の ACS の IP アドレスが正しいこと。

AAA クライアントおよび ACS の TACACS+ キーまたは RADIUS キーが同一であること(大文字と小文字は区別されます)。

Windows ユーザ データベースを使用する場合は、 ppp authentication pap コマンドが各インターフェイスに対して入力されていること。

ACS 内部データベースを使用する場合は、 ppp authentication chap pap コマンドが各インターフェイスに対して入力されていること。

AAA コマンドおよび TACACS+、または RADIUS のコマンドが、AAA クライアントに正しく設定されていること。必要なコマンドは、次のディレクトリに存在します。

Program Files\CiscoSecure ACS vx.x\TacConfig.txt
Program Files\CiscoSecure ACS vx.x\RadConfig.txt

ACS を実行しているコンピュータで、ACS のサービス(CSAdmin、CSAuth、CSDBSync、CSLog、CSRadius、CSTacacs)が実行されていること。

AAA クライアントに接続できない(Windows 外部データベース)

状態

ダイヤルイン ユーザが AAA クライアントに接続できない。Windows ユーザ データベースは認証で使用するように設定されている。

失敗した試行のレコードが、Reports and Activity セクションの Failed Attempts レポートに表示される。

回復処置

ACS 内部データベースでローカル ユーザを作成し、認証が成功するかどうかをテストします。成功した場合、問題は、Windows または ACS の認証に対してユーザ情報が正しく設定されていないことにあります。

Windows User Manager または Active Directory Users and Computers から、次の項目を確認します。

Windows User Manager または Active Directory Users and Computers で、ユーザ名とパスワードが設定されていること。

ワークステーションを介した認証で、ユーザがドメインにログインできること。

User Properties ウィンドウで User Must Change Password at Login が有効になっていること。

User Properties ウィンドウで Account Disabled がオフになっていること。

ACS が認証に Grant dial-in permission to user オプションを使用している場合、ダイヤルイン ウィンドウの User Properties ウィンドウでこのオプションが有効になっていること。

ACS から、次の項目を確認します。

ユーザ名がすでに ACS に入力されている場合は、ユーザの User Setup ページにある Password Authentication リストで Windows ユーザ データベース設定が選択されていること。

ユーザ名がすでに ACS に入力されている場合、そのユーザが割り当てられた ACS のグループで正しい認可(IP/PPP、IPX/PPP、Exec/Telnet など)が有効になっていること。変更を加える場合は、 Submit + Restart をクリックします。

Windows ユーザ データベース内のユーザ期限満了情報による認証の失敗が起きていないこと。トラブルシューティングのため、Windows ユーザ データベースのユーザについてパスワードの有効期限を無効にします。

さらに、次の手順を実行します。

External User Databases > Database Configuration をクリックし、次に List All Databases Configured をクリックして、Windows のデータベース設定が一覧表示されることを確認します。

External User Databases > Unknown User Policy をクリックし、Fail the attempt オプションが選択されていないことを確認します。また、Selected Databases リストに必要なデータベースが反映されていることを確認します。

ユーザが属している Windows グループに No Access が適用されていないか確認します。

AAA クライアントに接続できない(ACS 内部データベース)

状態

ダイヤルイン ユーザが AAA クライアントに接続できず、ACS 内部データベースが認証で使用されている。

失敗した試行のレコードが Failed Attempts レポートに表示される(Reports and Activity を選択して、 Failed Attempts をクリック)。

回復処置

ACS 内から、次の項目を確認します。

ユーザ名が ACS に入力されていること。

Password Authentication リストで ACS 内部データベースが選択され、ユーザの User Setup にパスワードが入力されていること。

ユーザを割り当てた ACS のグループで正しい認可(IP/PPP、IPX/PPP、Exec/Telnet など)が有効になっていること。変更を加えた場合は、 Submit + Restart をクリックします。

期限満了情報によって認証に失敗していないこと。トラブルシューティングのために、オプションを Expiration: Never に変更します。

AAA クライアントに接続できない(Telnet 接続認証済み)

状態

ダイヤルイン ユーザが AAA クライアントに接続できない。ただし、Telnet 接続は LAN 全体にわたって認証される。

回復処置

問題は、次の 3 つの分野のいずれかに分類できます。

回線またはモデムの設定に問題がある。モデムのマニュアルを参照して、モデムが正しく設定されているかどうかを確認してください。

ユーザが、正しい認可権限のあるグループに割り当てられていない。認可権限は Group Setup または User Setup で修正できます。ユーザ設定を行うと、グループ設定が無効になります。

ACS、TACACS+、または RADIUS の設定が AAA クライアントで正しく行われていない。

さらに、LAN に接続されているワークステーションからアクセス サーバへの Telnet を試行することによって、ACS の接続を検証できます。Telnet が正常に認証された場合は、ACS が AAA クライアントで正しく動作していることが確認されます。

AAA クライアントに接続できない(Telnet 接続未認証)

状態

ダイヤルイン ユーザが AAA クライアントに接続できない。Telnet 接続も LAN 全体にわたって認証されない。

回復処置

ACS レポートを表示することで、ACS が要求を受信しているかどうかを調べます。レポートに表示されない項目と、使用されているデータベースに基づいて、次の点を調べます。

回線またはモデムの設定に問題があります。モデムのマニュアルを参照して、モデムが正しく設定されているかどうかを確認してください。

Windows ユーザ データベース、または ACS 内部データベースにユーザが存在せず、パスワードが正しくない可能性があります。認証パラメータは、User Setup で修正できます。

ACS、TACACS+、または RADIUS の設定が AAA クライアントで正しく行われていません。

コールバックが動作しない

状態

コールバックが動作しない。

回復処置

ローカルの認証を使用しているときに、AAA クライアント上でコールバックが動作することを確認します。その後で、AAA 認証を追加します。

PAP の使用時に認証に失敗する

状態

PAP の使用時、ユーザ認証が失敗する。

回復処置

送信 PAP がイネーブルになっていません。Failed Attempts レポートに送信 PAP を使用していると示された場合は、Interface Configuration セクションに移動し、 Per-User Advanced TACACS+ Features チェックボックスをオンにします。次に、User Setup ページにある Advanced TACACS+ Settings テーブルの TACACS+ Outbound Password セクションを選択し、ボックスにパスワードを入力して確認します。

EAP プロトコル

状態

EAP プロトコルに問題がある。

回復処置

一般的なトラブルシューティング方法は、すべての EAP 方式で同じです。


ステップ 1 ACS の AUTH.log を調べます。

ステップ 2 NAD で DEBUG ロギングをイネーブルにし、出力を調べます。

ステップ 3 スニファを使用してプロトコル ワイヤ トレースを取得します。

ステップ 4 クライアントが提供しているトレース情報があれば、それを調べます。

ステップ 5 ネットワーク全体の設定を検証します。

ステップ 6 クレデンシャル(証明書)が有効であり、インストールされていることを確認します。


 

GAME 設定の問題

状態

GAME 設定が正しくない。

回復処置

次のチェックリストを使用して、設定をチェックします。

Network Access Profiles > Protocols を選択し、Allow Agentless Request Processing チェックボックスがオンになっていることを確認します。

Network Access Profiles > Posture Validation > Select Audit を選択し、適切なデバイスタイプ規則をセットアップする監査サーバのチェックボックスをオンにしたことを確認します。

Posture Validation > External Posture Validation Audit Setup を選択し、次の点を確認します。

監査サーバが正しい URL で設定されている。

グループとホストが Which Groups and Hosts are Audited で設定されている。

Game グループ フィードバックが設定され、Request Device Type from Audit Server チェックボックスがオンになっている。デバイスタイプ アトリビュートを ACS ディクショナリに追加する必要があります。このアトリビュートが ACS ディクショナリにない場合は、Request Device Type from Audit Server チェックボックスがオフになっています。

GAME トラブルシューティングのセットアップ

状態

GAME 機能のトラブルシューティングを行う必要がある。

回復処置

次のポリシーとグループを割り当てます。

監査するホストが設定されているか、または Audit All Hosts が選択されていることを確認します。

Audit All Groups を選択します。

次の一意のグループを設定します。

Assign this Group if Audit Server Do not Return a Device Type のグループを設定します。

Match-all 規則を設定し、監査サーバによって返されたすべてのデバイスタイプ文字列のグループを割り当てます。

Network Access Profiles > Authentication を選択し、If Agentless Request was not Assigned のグループを設定します。

次のロギングを設定します。

Passed および Failed Attempts

Audit Device-Type(ログに記録するカラムとして)

期待されるデバイスタイムが一致しない

状態

ACS でデバイスタイプを一致させることができない。

回復処置

次の設定項目を確認します。

GAME トラブルシューティングのセットアップが行われている。「GAME トラブルシューティングのセットアップ」 を参照してください。

監査後、Match -all に設定されたグループが割り当てられている。

Audit Device-Type カラムにデバイスタイプが表示されている。

ACS で確認されたデバイスタイプが Pass Authen ログに報告されている。

ACS によって確認されたデバイスタイプが、CSAuth ログおよび CSAuth: DZAuth -p -z -v のデバッグ モードからの出力でも報告されます。

[PDE]: PdeAttributeSet::addAttribute: Unix:Audit:Device-Type=IP Phone
[PDE]: AuditAction::Received device-type=IP Phone
[PDE]: PdeAttributeSet::addAttribute: PDE-Audit-Req-Device-Type-34=TRUE

監査サーバがデバイスタイプ アトリビュートを返さない

状態

監査サーバがデバイスタイプ アトリビュートを返さない。

Auth.log に、監査サーバがデバイスタイプを返さないことが示されます。

[PDE]: PdeAttributeSet::addAttribute: PDE-Audit-Req-Device-Type-34=TRUE
[PDE]: Device type requested but Audit Server did not return device type
[PDE]: AuditAction::Invoking GAMEGroupMappingPolicy

回復処置

次の設定項目とロギングを検証します。

GAME トラブルシューティングのセットアップが行われている。「GAME トラブルシューティングのセットアップ」 を参照してください。

Pass Authen レポートの Audit Device-Type カラムが ...(空欄)になっている。

監査後、Assign this Group if AuditServer Do not Return a Device で設定されたグループが割り当てられている。

不明なデバイスのデバイスタイプがないかどうかチェックする。

監査サーバが障害を返す

状態

監査サーバが障害を返す。

AUTH.log に、監査サーバがゼロ長のデバイスタイプまたは GAME 応答の解析エラーを返したことが示されます。

[PDE]: PdeAttributeSet::addAttribute:Unix:Audit:Device-Type=
[PDE]: Audit Server return zero length device type ...
[PDE]: PolicyMgr::Process: last action result=-2147 Audit policy failed (-2147), attempting fail open
[PDE]: Error parsing GAME response: Could not find element AttributeValue under element saml:Attribute
[PDE]: PolicyMgr::Process: last action result=-2165 Audit policy failed (-2165), attempting fail open

回復処置

次の設定項目を確認します。

GAME トラブルシューティングのセットアップ。「GAME トラブルシューティングのセットアップ」 を参照してください。

Pass Authen レポートの Audit Device-Type カラムが ...(空欄)になっている。

監査後、「If agentless request was not assigned a user-group」で設定されたグループが割り当てられている。

監査サーバにアクセスでき、稼働している(つまり、ポスチャ監査が同じサーバで機能している)。

rad_mon.dll および tac_mon.dll が使用中である

状態

rad_mon.dll および tac_mon.dll ファイルが、アンインストールして clean.exe を実行した後も使用中の状態のまま残る。使用中になっているため、新たに ACS をインストールできない。

回復処置

使用中状態をクリアするためにコンピュータを再起動するか、AgentSrv.exe などの .dll ファイルを使用しているサービスを停止します。サードパーティ製のツールを使用して、.dll を使用しているプロセスを検出することもできます。

アップグレード中に ACS フォルダがロックされる

状態

ACS のアップグレード時に、setup.exe がハングし、The CiscoSecure ACS folder appears to be locked by another application... . Please close any applications that are using any files or directories and re-run Uninstall というエラー メッセージが表示される。

回復処置

余分なログ ファイルを削除します。ACS は、\CiscoSecure ACS v.4.1\Logs にログ ファイルを保存します。ログ ファイルのフォルダ サイズが大きくなり過ぎてアップグレードできない場合は、まず最後の 3 つのログ ファイルだけを残してすべてのログ ファイルをフォルダから削除する必要があります。ACS が起動したら、System Configuration > Service Control を選択します。Services Log File Configuration で、Manage Directory をオンにし、Keep only the last <n> files を選択します。<n> を 3 に設定します。

PNLogAgent が実行されている場合は、このサービスを停止して、フォルダのロックをすべて解除します。

アンインストール中に ACS フォルダがロックされる

状態

アンインストールするときに ACS フォルダがロックされる。

回復処置

次の状態になっているかどうかを確認します。

中止した復元処理からの CSUtil.exe プロセスが依然として作成済みの状態にあり、開始済みの状態になっていない。解決策:再起動します。

Notepad などの別のアプリケーションのファイルが開かれている。解決策:アプリケーションを閉じます。

エクスプローラで、ACS インストールのサブフォルダが開かれている。解決策:エクスプローラを閉じます。

再起動後に ACS でサービスを開始できない

状態

Windows 2003 SP1 で Windows Firewall / Internet Connection Sharing(ICS)サービスが開始されていると、ACS が次のサービスを開始できない。

CSAuth

CSRadius

CSTacacs

CSAdmin

回復処置

サービスを手動で開始するか、ICS サービスをディセーブルにします。

ICS サービスをディセーブルにするには、次の手順を実行します。


ステップ 1 Windows Firewall / Internet Connection Sharing(ICS)サービスの場所を特定します。

ステップ 2 そのサービスを右クリックし、Properties を選択します。

ステップ 3 Startup Type を Disabled に変更します。


 

アップグレードまたはアンインストールを完了できない

状態

アップグレードまたはアンインストールを完了できない。

回復処置

次のファイルやプログラムを閉じます。


ステップ 1 すべての ACS ファイル。

ステップ 2 たとえば auth.log などのすべてのログ ファイル。

ステップ 3 すべてのプログラム。

ステップ 4 Radtest などのプログラム。また、実行中のすべてのバイナリを閉じます。

ステップ 5 Performance Monitor のような MMC ツール。


 

無効なファイルまたはデータ

状態

ACS をアップグレードまたはアンインストールしようとすると、The following file is invalid or the data is corrupted "DelsL1.isu" というエラー メッセージが表示される。

回復処置

Windows のレジストリから、レジストリ キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CiscoSecure を削除します。

アカウンティング ログの欠落

状態

以前のアカウンティング ログがすべて欠落している。

回復処置

これらのファイルは、別のディレクトリに移動しなければ、ACS ソフトウェアを再インストールまたはアップグレード時に削除されます。

upgrade コマンドが機能しない(ACS Solution Engine)

状態

シリアル コンソールで upgrade コマンドを実行しても効果がない。

回復処置

まず、アプライアンスのアップグレードを入手する必要があります。System Configuration > Appliance Upgrade を選択します。

Solaris で autorun.sh が実行されない(ACS Solution Engine)

状態

Solaris 分散サーバを使用してアップグレードを実行している間、 autorun.sh を実行できない。

回復処置

コマンド chmod +x autorun.sh を使用して、 autorun.sh の実行権限を許可してください。

相互運用性

この項では、次のトラブルシューティング情報を取り上げます。

「ビルド間の相互運用」

「プロキシ要求の失敗」

ビルド間の相互運用

状態

ACS のビルドが異なると相互動作しない。

回復処置

ビルド間の相互運用はサポートされていません。ビルドを一致させる必要があります。

プロキシ要求の失敗

状態

別のサーバへのプロキシ要求が失敗する。

回復処置

次の条件が満たされていることを確認します。

リモート サーバの方向が Incoming and Outgoing または Incoming に設定され、認証転送サーバの方向が Incoming and Outgoing または Outgoing に設定されていること。

共有秘密鍵が、片方あるいは両方の ACS の共有秘密鍵と一致していること。

文字列とデリミタが、Proxy Distribution テーブルで設定されているストリップ情報と一致し、その位置が正しく Prefix または Suffix に設定されていること。

上記の条件が満たされている場合は、サーバがダウンしているか、フォールバック サーバが設定されていない可能性があります。ナビゲーション バーから Network Configuration を選択し、フォールバック サーバを設定します。フォールバック サーバが使用されるのは、次の場合だけです。

リモート ACS がダウンしている。

1 つ以上のサービス(CSTacacs、CSRadius、または CSAuth)がダウンしている。

秘密鍵が間違って設定されている。

Inbound または Outbound メッセージ通信が間違って設定されている。

ロギング

この項では、ログ ファイルのトラブルシューティング手順について説明します。

過剰なログ ファイル

状態

ACS のアップグレード時に、setup.exe がハングし、The CiscoSecure ACS folder appears to be locked by another application...Please close any applications that are using any files or directories and re-run Uninstall というエラー メッセージが表示される。

回復処置

アプリケーションを閉じてアンインストールを再実行しても問題が解決されない場合は、ログ ファイルの数が多すぎるためにフォルダがロックされている可能性があります。

余分なログ ファイルを削除します。ACS は、\CiscoSecure ACS v.4.1\Logs にログ ファイルを保存します。ログ ファイルのフォルダ サイズが大きくなり過ぎてアップグレードできない場合は、まず、少数のログ ファイル(たとえば 3 つ)だけを残してすべてのログ ファイルをフォルダから削除する必要があります。ACS が起動したら、System Configuration > Service Control を選択します。Services Log File Configuration で、Manage Directory をオンにし、Keep only the last <n> files を選択します。<n> を小さな数(たとえば 3)に設定します。

LDAP に MAC アドレスが存在しているが、常にデフォルトのユーザ グループにマッピングされる

状態

LDAP に MAC が存在しているが、常にデフォルトのユーザグループにマッピングされる。

回復処置

LDAP の設定を確認します。

LDAP グループ マッピングの設定を確認します。

LDAP サーバに保存されている MAC アドレス形式が、サポートされるいずれかの形式になっていることを検証します。

LDAP サーバに接続可能なことを確認します。

内部データベースに MAC が存在しているが、誤ったユーザ グループにマッピングされる

状態

内部データベースに MAC が存在しているが、誤ったユーザグループにマッピングされる。

回復処置

MAC アドレスまたはアドレスのプレフィックスが前のマッピングに存在しないことを確認します。

要求拒否

状態

要求が拒否される。

回復処置

Protocols ページのエージェントレス要求処理がイネーブルになっていることを確認します。

MAC アドレスによるユーザとグループのマッピングがディセーブルになっていないことを確認します。

NAP 認可規則を確認します。

リモート エージェント(ACS Solution Engine)

次の項では、リモート エージェントのトラブルシューティングについて説明します。

RPC タイムアウト

アプライアンスは、リモート エージェントに要求を送信すると、応答があるまで 60 秒間待ちます。

ブランク レポート

状態

レポートがブランクである。

回復処置

System Configuration > Logging > Log Target < reportname> の下で、Log to < reportname> Report を選択していることを確認します。さらに、Network Configuration < servername > Access Server Type を ACS for Windows NT に設定する必要があります。

状態

logname active.csv レポートがブランクである。

回復処置

プロトコルの設定が、最近変更されました。

プロトコルの設定を変更すると、既存の logname active.csv レポート ファイルは logname yyyy-mm-dd.csv にリネームされ、ブランクの新規 logname active.csv レポートが生成されます。

未知ユーザ情報が欠落している

状態

未知ユーザ情報がレポートに含まれない。

回復処置

未知ユーザ データベースが変更されています。アカウンティング レポートには、今までどおり未知のユーザ情報が含まれています。

1 つのユーザ セッションで 2 つのエントリがログに記録される

状態

エントリ が、1 ユーザ セッションに対して 2 つ記録される。

回復処置

リモート ロギング機能の設定で、アカウンティング パケットの送信先が、Proxy Distribution Table の Send Accounting Information フィールドと同じ場所に設定されていないことを確認します。

古いフォーマットのままの日付

状態

日付フォーマットを変更しても、Logged-In User リストと CSAdmin ログの日付が変更前のフォーマットで表示される。

回復処置

変更を確認するには、CSAdmin サービスを再起動して、再びログインします。

ロギングの停止

状態

ログ機能が使用できない(その場合の認証機能への影響)。

回復処置

ローカル ロギングまたはリモート ロギングの通常動作が停止すると、すべてのワーカー スレッドがロギングの割り当てでビジーになるため、認証機能がすぐに停止します。ロギング機能が修正されると、認証が復元します。したがって、ロギング サービス ログのトラブルシューティングが必要です。

Logged in Users レポートが特定のデバイスでしか機能しない

状態

一部のデバイスで Logged in Users レポートが機能しない。

回復処置

Logged in Users レポートを機能させるには、次のパケットが含まれている必要があります(これは、このレポートだけでなく、セッションを持つほとんどの機能に当てはまります)。

認証要求パケット

nas-ip-address

nas-port

アカウンティング開始パケット

nas-ip-address

nas-port

session-id

framed-ip-address

アカウンティング停止パケット

nas-ip-address

nas-port

session-id

framed-ip-address

また、接続が短く、開始パケットと停止パケットの間にほとんど時間がない場合(たとえば、PIX Firewall を介した HTTP など)、Logged in Users レポートは失敗する可能性があります。

ユーザ グループ管理

この項では、次のトラブルシューティング情報を取り上げます。

「MaxSessions が VPDN 上で動作しない」

「不安定な MaxSessions」

「MaxSessions が反映されない」

「TACACS+ および RADIUS ATTRIBUTES の欠落」

MaxSessions が VPDN 上で動作しない

状態

MaxSessions over VPDN が動作しない。

回復処置

MaxSessions over VPDN は使用できません。

不安定な MaxSessions

状態

User MaxSessions が不安定、または信頼できない。

回復処置

ACS と AAA クライアントとの接続が不安定なためにサービスが再起動されている可能性があります。 Single Connect TACACS+ AAA Client チェックボックスをオフにします。

MaxSessions が反映されない

状態

User MaxSessions が反映されない。

回復処置

AAA クライアントでアカウンティングを設定してあることと、アカウンティングの開始レコードと停止レコードを受信していることを確認してください。

TACACS+ および RADIUS ATTRIBUTES の欠落

状態

TACACS+ および RADIUS のアトリビュートが Group Setup ページに表示されない。

回復処置

Netowork Configuration で、少なくとも 1 つの RADIUS クライアントまたは TACACS+ AAA クライアントを設定してあることを確認しますInterface Configuration で適切なアトリビュートをイネーブルにしたことを確認します。


) 一部のアトリビュートは、ユーザによる設定はできませんが、ACS によって各値が設定されます。


エラー コード

表A-4 に、ACS エラー コードをアルファベット順に示します。

 

表A-4 ACS 4.1 のエラー コード

A valid EAP-FAST master key does not exist; make sure EAP-FAST replication is operational

Access denied because no profile matched

Access denied to Voice-over-IP group

Access denied: fast-reconnect was successful, but user was not found in cache

Access rejected due to authorization policy in the network access profiles

ACS account disabled

ACS ARAP password invalid

ACS CHAP password invalid

ACS login time restriction

ACS MSCHAP password is invalid

ACS password invalid

ACS UNIX password invalid

ACS User Account Expired

ACS User exceeded max sessions

ACS user unknown

ACS user's password has expired

Audit Server returned an error

Authentication protocol is not allowed for this network access profile

Authentication session invalidated

Authentication type not supported by External DB

Badly formed Downloadable ACL request from device

Cached token rejected/expired

Certificate name or binary comparison failed

CLI user unknown

Could not access password aging state in ACS internal DB

Could not check password aging state in ACS internal DB

Could not communicate with external policy server - authentication failure

Could not communicate with external policy server - wrong HCAP version

Could not communicate with the Audit Server

Could not connect to external policy server - timeout error

Could not open a connection to external policy server

Could not open a connection to external policy server - Could not validate server certificate

DB object lock not granted

EAP type not configured

EAP-FAST anonymous in-band provisioning is disabled

EAP-FAST authenticated in-band provisioning is not disabled

EAP-FAST user ID does not match to initiators ID presented inside the PAC

EAP-FAST user was provisioned with a new PAC

EAP-FAST users PAC is invalid

EAP-TLS or PEAP authentication failed during SSL handshake

Enabling Tacacs+ is not allowed for this Access Server

Error assigning RADIUS Authorization Components to a user

Error communicating with the audit server, or invalid response was returned

Error parsing Audit Server Response

External DB account disabled

External DB account expired

External DB account locked out

External DB account restriction

External DB ARAP password is invalid

External DB CHAP password is invalid

External DB did not return MPPE key material

External DB EAP authentication failed

External DB is not configured

External DB is not configured

External DB is not configured for this network access profile

External DB is not operational

External DB MSCHAP password is invalid

External DB password expired

External DB password invalid

External DB reports about an error condition

External DB user invalid or bad password

External DB user unknown

External user not found

Failed to allocate IP address for a user

Internal error

Internal error assigning RADIUS Authorization Components attributes

Internal error during Downloadable ACL exchange

Internal error while assigning Downloadable ACL to a user

Invalid characters in username

Invalid MAC Address format=dword:00000066

Invalid message authenticator in EAP request

Invalid Protocol Data

Key Mismatch

MAC auth bypass is not allowed

MAC-Authentication-Bypass group is disabled

Machine authentication is not permitted

Missing message authenticator in EAP request

Number of audit round trips has exceeded limit

PEAP or EAP-FAST password change against Windows DB is disabled

Posture Validation failed because no profile matched

Posture Validation Failure (general)

Posture Validation Failure on External Policy

Posture Validation Failure on Internal Policy

Tacacs+ enable password invalid

Tacacs+ enable privilege too low

Token PIN changed

Unknown attributes were detected in the posture validation request

User requires a Tacacs+ Enable Password

User requires Tacacs+ outbound password

Users Access Filtered

Users of this group are disabled

Users Radius request rejected (by Radius extension DLL)

Users Usage Quota has been exhausted

Windows dialin permission required

Windows domain controller not found

Windows External DB user access was denied due to a Machine Access Restriction

Windows login server unavailable

Windows login time restriction

Windows login type not granted

Windows password change failed

Windows user must change password

Windows workstation not allowed