Cisco Secure ACS Appliance ユーザガイド 3.2
トラブルシューティング
トラブルシューティング
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

トラブルシューティング

管理上の問題

ブラウザの問題

Cisco IOS の問題

データベースの問題

ダイヤルイン接続の問題

デバッグの問題

プロキシの問題

インストールとアップグレードの問題

MaxSessions の問題

レポートの問題

サードパーティ製サーバの問題

PIX Firewall の問題

ユーザ認証の問題

TACACS+ および RADIUS アトリビュートの問題

トラブルシューティング

この付録では、基本的ないくつかの問題と、その解決方法について説明します。

左側の列で解決しようとしている状態を見つけ、それに対応した右側の列に示されている解決策を正しく実行してください。

この章では、次のトピックについて取り上げます。

「管理上の問題」

「ブラウザの問題」

「Cisco IOS の問題」

「データベースの問題」

「ダイヤルイン接続の問題」

「デバッグの問題」

「プロキシの問題」

「インストールとアップグレードの問題」

「MaxSessions の問題」

「レポートの問題」

「サードパーティ製サーバの問題」

「PIX Firewall の問題」

「ユーザ認証の問題」

「TACACS+ および RADIUS アトリビュートの問題」

管理上の問題


) コマンドライン インターフェイスを使用して管理コマンドを実行する方法については、『Installation and Setup Guide for Cisco Secure ACS Appliance』の「Administering the ACS Appliance」の章を参照してください。


 

状態
解決策

管理者が Cisco Secure ACS
HTML インターフェイスをブラウザで起動できないか、アクセスが許可されなかったという警告が表示される。

サポートされているブラウザを使用しているかどうかを確認します。サポートされているブラウザの一覧については、『 Release Notes for Cisco Secure Access Control Server Appliance Version 3.2 』を参照してください。

Cisco Secure ACS の電源が投入されていることを確認します。

Cisco Secure ACS に対して ping を実行し、接続を確認します。

管理者が、Administration Control で追加済みの有効な管理者名とパスワードを使用しているかどうかを確認します。

Java機能がブラウザで有効になっているかどうかを確認します。

管理者が Cisco Secure ACS の管理を、ファイアウォールを通して行おうとしているのか、NAT を実行するデバイスを通して行おうとしているのか、それとも HTTP プロキシ サーバを使用するように設定されたブラウザから行おうとしているのかを調べます。このようなネットワーキング形態で HTML インターフェイスにアクセスする方法の詳細については、「ネットワーク環境と管理セッション」を参照してください。

Cisco Secure ACS Appliance 管理者の認定証が失われた。

Installation and Setup Guide for Cisco Secure ACS Appliance 』の「Administering the ACS Appliance」の章に書かれている「Recovering from Loss of All Administrator Passwords」の手順に従います。

権限のないユーザがログインできる。

Reject listed IP addresses オプションが選択されましたが、開始と終了の IP アドレスが示されていません。 Administrator Control: Access Policy へ進み、 Start IP Address Stop IP Address を指定してください。

リモート管理者がブラウズ中に「Logon failed . . . protocol error」というメッセージを受け取った。

CSADMIN サービスを再起動します。CSADMIN サービスを再起動するには、CLI で CSAdmin を引数として restart コマンドを入力します。

必要であれば、アプライアンスをリブートします。

管理者が Cisco Secure ACS をブラウザに表示できないか、アクセスが許可されなかったという警告が表示される。

PIX Firewall 上で NAT が使用可能になっている場合、このファイアウォールを通した管理は機能しません。

ファイアウォールを通して Cisco Secure ACS を管理するには、 Administrator Control > Access Policy で HTTP ポート範囲を設定する必要があります。PIX Firewall は、Cisco Secure ACS で指定された範囲に含まれるすべてのポートで、HTTP トラフィックを許可するように設定されている必要があります。詳細については、「アクセス ポリシー」を参照してください。

Restart Services が機能しない。

システムが、 System Configuration > Service Control ページの Restart コマンドに応答していません。

Cisco Secure ACS に対して ping を実行し、接続を確認します。

手動でサービスを再起動するには、Cisco Secure ACS コンソールにログインし、 restart コマンドの後に、1 つのスペースと再起動する ACS サービスの名前を入力します。

どの管理者もログインできない。

Allow only listed IP addresses to connect オプションが選択されましたが、開始と終了の IP アドレスが示されていません。 Administrator Control: Access Policy へ進み、 Start IP Address Stop IP Address を指定してください。

イベント通知を受けるように設定された管理者に電子メールが届かない。

SMTP サーバ名が正しいかどうかを確認します。名前が正しい場合は、Cisco Secure ACS からその SMTP サーバに対して ping を実行できるかどうか、またはサードパーティ製の電子メール ソフトウェア パッケージを介して電子メールを送信できるかどうかを確認します。電子メール アドレスの中にアンダースコアを使用していないことを確認してください。

ブラウザの問題

 

状態
解決策

ブラウザに Cisco Secure ACS HTML インターフェイスを表示できない。

Internet Explorer または Netscape Navigator を開き、 Help > About の順に選択してブラウザのバージョンを調べます。Cisco Secure ACS でサポートされるブラウザの一覧について、「システムのインストール要件」を参照し、特定のブラウザで判明している問題についてリリース ノートを参照してください。

リモート管理セッションに影響を及ぼす各種のネットワーク シナリオについては、「ネットワーク環境と管理セッション」を参照してください。

ブラウザで、セッション接続が失われたという Java メッセージが表示される。

リモート管理者の Session idle timeout 値をチェックします。これは、 Administration Control セクションの Session Policy Setup ページにあります。必要に応じて、この値を大きくしてください。

管理者データベースが破損したように見える。

リモートの Netscape クライアントがパスワードをキャッシングしています。正しくないパスワードを指定した場合、それがキャッシュされます。正しいパスワードで再認証を試みても、誤ったパスワードが送信されます。再認証を試みる前にキャッシュをクリアするか、ブラウザをいったん閉じ、新しいセッションを開いてください。

リモート管理者が断続的に Cisco Secure ACS の HTML インターフェイスをブラウズできなくなる。

クライアント ブラウザでプロキシ サーバが設定されていないことを確認します。Cisco Secure ACS では、リモート管理セッションに HTTP プロキシを使用できません。プロキシ サーバの設定を使用不可にしてください。

Cisco IOS の問題

 

状態
解決策

EXEC コマンドでチェックしても Cisco IOS コマンドが拒否されない。

AAA クライアント側で Cisco IOS 設定を確認します。次の Cisco IOS コマンドがまだ存在しない場合は、これを AAA クライアント設定に追加してください。

aaa authorization command <0-15> default group TACACS+

テキスト ボックス内の引数の正しい構文は、 permit argument または deny argument です。

AAA クライアント内の設定のセットアップが正しくないために、管理者が AAA クライアントからロックアウトされている。

AAA クライアント上にフォールバック メソッドを設定してある場合は、AAA サーバへの接続を使用不可にし、ローカルまたは回線のユーザ名とパスワードを使用してログインします。

コンソール ポートで、AAA クライアントに直接、接続を試みてください。それが成功しない場合は、AAA クライアントのマニュアルを調べるか、Cisco.com の Password Recovery Procedures ページにアクセスし、使用している AAA クライアントに関する情報を探してください。

IETF RADIUS のアトリビュートが Cisco IOS 12.0.5.T でサポートされない。

シスコでは、RADIUS(IETF)のアトリビュートを Cisco IOS Release 11.1 に組み込みました。ただし、まだサポートされていないか、これ以降のバージョンの Cisco IOS ソフトウェアを必要とするアトリビュートが少数ながら存在します。詳細については、Cisco.com の RADIUS Attributes ページを参照してください。

aaa authentication enable default tacacs+ を実行した後、Enable Mode にできない。「Error in authentication on the router.」というエラー メッセージが表示される。

ACS で、失敗した操作のログをチェックします。ログに「CS password invalid」と書かれている場合は、そのユーザにイネーブル パスワードがセットアップされていない可能性があります。 Advanced TACACS+ Settings セクションで TACACS+ Enable Password を設定してください。

ユーザ セットアップ オプションの中に Advanced TACACS+ Settings セクションが表示されない場合は、 Interface Configuration > Advanced Configuration Options > Advanced TACACS+ Features の順に進み、そのオプションを選択して TACACS+ 設定をユーザ設定の中に表示します。その後、Max privilege for any AAA Client(通常は 15)を選択し、そのユーザを利用できるように TACACS+ Enable Password を入力します。

データベースの問題

 

状態
解決策

RDBMS 同期が正しく動作しない。

Partners リストに正しいサーバがあることを確認します。

データベース複製が正しく機能しない。

サーバを Send または Receive として正しく設定してあることを確認します。

送信側サーバ上で、受信側サーバが Replication リストに入っていることを確認します。

受信側サーバ上で、送信側サーバが Accept Replication from リストの中で選択されていることを確認します。

送信側 Cisco Secure ACS の複製スケジュールが受信側 Cisco Secure ACS の複製スケジュールと矛盾していないことを確認します。

受信側サーバに 2 つのネットワーク カードが存在する場合は、送信側サーバ上で、受信側サーバのすべての IP アドレスに対する Network Configuration の AAA Servers テーブルに AAA サーバを追加します。送信側サーバに 2 つのネットワーク カードが存在する場合は、受信側サーバ上で、受信側サーバのすべての IP アドレスに対する Network Configuration の AAA Servers テーブルに AAA サーバを追加します。

Group Mapping セクションで外部ユーザ データベースを使用できない。

その外部データベースが External User Databases 内で設定されていないか、ユーザ名とパスワードが正しく入力されませんでした。ユーザ名とパスワードが正しいかどうかを確認してください。該当する外部データベースをクリックし、設定します。

外部データベースが正しく機能しない。

Cisco Secure ACS ドメインと他のドメインの間に双方向の信頼(ダイヤルイン チェック用)が確立されていることを確認します。 csauth サービスのログ ファイルに [External DB] で始まるデバッグ メッセージが入っていないかどうかをチェックしてください。「イベント ロギングのセットアップ」を参照してください。

未知のユーザが認証されない。

External User Databases > Unknown User Policy の順に進みます。 Check the following external user databases オプションを選択してください。External Databases リストから、未知のユーザの認証の際に照合するデータベースを選択します。-->(右矢印ボタン)をクリックして、そのデータベースを Selected Databases リストに追加します。 Up または Down をクリックして、選択したデータベースを認証階層内の適切な位置へ移動します。

Cisco Secure ACS の Unknown User 機能を使用している場合、外部データベースによる認証ができるのは、PAP を使用したときだけです。

Novell NDS または汎用 LDAP の Group Mapping が正しく機能しない。

該当するデータベース用に Group Mapping を正しく設定してあるかどうかを確認します。

詳細については、「ユーザ グループのマッピングと仕様」を参照してください。

Novell NDS データベースを使用した認証ができない。

ツリー名、コンテキスト名、およびコンテナ名がすべて正しく指定されているかどうかを確認します。最初は、ユーザが存在するコンテナを 1 つだけ指定してください。その後、必要であればコンテナを追加できます。

成功した場合は、AAA クライアントをチェックして、シェル ユーザ(Telnet ユーザ)を認証できるかどうかを調べます。また、PPP の場合は、非同期インターフェイスで PAP 認証を設定してあるかどうかも確認してください。

同じユーザが複数のグループ内に存在するか、Cisco Secure ACS データベース内にユーザが重複して存在する。データベースからユーザを削除できない。

CLI で dbcompact コマンドを使用し、データベースを整理します。このコマンドについては、『 Installation and Setup Guide for Cisco Secure ACS Appliance 』を参照してください。

ダイヤルイン接続の問題

 

状態
解決策

ダイヤルイン ユーザが AAA クライアントに接続できない。

接続を試みた記録が TACACS+ と RADIUS のどちらの Accounting Report にもない(Reports & Activity セクションで TACACS+ Accounting RADIUS Accounting Failed Attempts のいずれかをクリック)。

Cisco Secure ACS のレポートまたは AAA クライアントのデバッグ出力を詳しく調べ、問題をシステム エラーかユーザ エラーに絞り込みます。次の点を確認してください。

AAA クライアントと Cisco Secure ACS の両方の LAN 接続が物理的に接続されていること。

AAA クライアントの IP アドレスが Cisco Secure ACS 上で正しく設定されていること。

Cisco Secure ACS の IP アドレスが AAA クライアント上で正しく設定されていること。

TACACS+ または RADIUS のキーが、AAA クライアントと Cisco Secure ACS の両方で同一なこと(大文字と小文字の区別も含む)。

それぞれのインターフェイスに対して、 ppp authentication pap コマンドが入力されていること(Windows ユーザ データベースが使用されている場合)。

それぞれのインターフェイスに対して、 ppp authentication chap pap コマンドが入力されていること(Cisco Secure ACS データベースが使用されている場合)。

AAA クライアント内で、AAA コマンドと TACACS+ または RADIUS コマンドが正しいこと。

Cisco Secure ACS の各サービス(CSAdmin、CSAuth、CSDBSync CSLog、CSRadius、CSTacacs)が動作していること。

ダイヤルイン ユーザが AAA クライアントに接続できない。

Windows のユーザ データベースが認証に使用されている。

接続失敗の記録が Failed Attempts Report(Reports & Activity セクションで Failed Attempts をクリック)にある。

ユーザ情報が Windows データベースまたは Cisco Secure ACS の中で認証用に正しく設定されていません。

Windows User Manager または Active Directory Users and Computers から次の点を確認してください。

ユーザ名とパスワードが Windows User Manager または Active Directory Users and Computers で設定済みであること。

User Properties ウィンドウで User Must Change Password at Login が使用可能になっていないこと。

User Properties ウィンドウで Account Disabled が選択されていないこと。

ダイヤルイン ウィンドウ用の User Properties で、Grant dial-in permission to user が使用不可になっていないこと(このオプションを Cisco Secure ACS で認証に使用していない場合)。

Cisco Secure ACS で、次の点を確認してください。

ユーザ名がすでに Cisco Secure ACS に入力されている場合は、そのユーザの User Setup にある Password Authentication リスト内で Windows のデータベース設定が選択されていること。

ユーザ名がすでに Cisco Secure ACS に入力されている場合は、そのユーザが割り当てられている Cisco Secure ACS グループで正しい許可(IP/PPP、IPX/PPP、Exec/Telnet など)が使用可能になっていること。変更が加えられている場合は、必ず Submit + Restart をクリックしてください。

Windows データベース内のユーザ期限満了情報が認証の失敗の原因ではないこと。トラブルシューティングのために、Windows データベース内でそのユーザのパスワード期限満了を使用不可にしてください。

External User Databases をクリックした後、 Database Configuration List all database configurations を順にクリックし、Windows Database 用のデータベース設定がリストに入っていることを確認します。

Unknown User Policy をチェックして、Fail the Attempt オプションが選択されていないことを確認します(Check the following external user databases オプションを選択しておく必要があります)。

Windows Database が、External User Databases セクションの Configure Unknown User Policy ページにある Selected Databases ボックスに表示されることを確認します。

そのユーザの所属する Windows Database グループが No Access on the Unknown User Group Mappings page へマッピングされていないことを確認します。

ダイヤルイン ユーザが AAA クライアントに接続できない。

CiscoSecure ユーザ データベースが認証に使用されている。

接続失敗の記録が Failed Attempts Report(Reports & Activity セクションで Failed Attempts をクリック)の中に表示される。

Cisco Secure ACS で、次の点を確認してください。

ユーザ名が Cisco Secure ACS に入力されていること。

CiscoSecure ユーザ データベースが Password Authentication リストから選択されており、そのユーザの User Setup にパスワードが入力されていること。

そのユーザの割り当て先である Cisco Secure ACS グループで正しい許可(IP/PPP、IPX/PPP、Exec/Telnet など)が使用可能になっていること。変更が加えられている場合は、必ず Submit + Restart をクリックしてください。

期限満了情報が認証の失敗の原因ではないこと。トラブルシューティングのために Expiration: Never を設定してください。

ダイヤルイン ユーザが AAA クライアントに接続できないが、LAN を通した Telnet 接続の認証は可能である。

この問題は、次の領域のいずれかに切り分けられます。

回線かモデムの設定の問題。モデムに付属するマニュアルを調べて、モデムが正しく設定されているかどうかを確認してください。

そのユーザが、正しい許可権限を持つグループへ割り当てられていない。許可権限は、Group Setup または User Setup で修正できます。ユーザ設定はグループ設定よりも優先されます。

AAA クライアントで Cisco Secure ACS の設定、または TACACS+ か RADIUS の設定が正しくない。

LAN に接続したワークステーションに対して CLI から ping を実行することにより、Cisco Secure ACS 接続を確認できます。ping が成功した場合は、Cisco Secure ACS のネットワーク接続が確立されています。

ダイヤルイン ユーザが AAA クライアントに接続できず、Telnet 接続が LAN を通して認証されない。

Cisco Secure ACS が要求を受信しているかどうかを調べます。これを行うには、Cisco Secure ACS のレポートを表示します。レポートの内容と使用されているデータベースを基礎に、次のいずれかに基づいて問題のトラブルシューティングを行ってください。

回線かモデムの設定の問題。モデムに付属するマニュアルを調べて、モデムが正しく設定されているかどうかを確認してください。

そのユーザが Windows ユーザ データベースまたは CiscoSecure ユーザ データベースの中に存在しないか、正しいパスワードを持っていない。認証パラメータは、User Setup で修正できます。

AAA クライアントで Cisco Secure ACS の設定、または TACACS+ か RADIUS の設定が正しくない。

コールバックが機能しない。

ローカル認証を使用したときに AAA クライアント上でコールバックが機能することを確認してください。その後、AAA 認証を追加します。

PAP を使用したときにユーザ認証が失敗する。

発信 PAP が使用可能になっていません。発信 PAP を使用していることが Failed Attempts レポートに示されている場合は、Interface Configuration セクションへ進み、 Per-User Advanced TACACS+ Features チェックボックスを選択します。その後、User Setup ページにある Advanced TACACS+ Settings テーブルの TACACS+ Outbound Password セクションへ進み、表示される各ボックス内のパスワードを確認してください。

デバッグの問題

 

状態
解決策

AAA クライアント上で debug aaa authentication を実行すると、Cisco Secure ACS から失敗のメッセージが戻される。

AAA クライアントまたは Cisco Secure ACS の設定に誤りがあると思われます。

Cisco Secure ACS で、次の点を確認してください。

Cisco Secure ACS が要求を受信していること。これを行うには、Cisco Secure ACS のレポートを表示します。レポートに表示される内容によって、Cisco Secure ACS の設定の誤りがわかる場合があります。

AAA クライアントで、次の点を確認してください。

それぞれのインターフェイスに対して、 ppp authentication pap コマンドが入力されていること(Windows ユーザ データベースとの照合による認証を使用する場合)。

それぞれのインターフェイスに対して、 ppp authentication chap pap コマンドが入力されていること(CiscoSecure ユーザ データベースとの照合による認証を使用する場合)。

AAA クライアント内で、AAA の設定と TACACS+ または RADIUS の設定が正しいこと。

AAA クライアント上で debug aaa authentication および debug aaa authorization を実行すると、Cisco Secure ACS から認証に対して PASS が戻されるが、許可に対しては FAIL が戻される。

この問題は、許可権限が正しく割り当てられていないために起こります。

Cisco Secure ACS の User Setup から、そのユーザが正しい許可権限を持つグループに割り当てられていることを確認してください。許可権限は、Group Setup または User Setup で修正できます。ユーザ設定はグループ設定よりも優先されます。

Group Setup セクションに TACACS+ または RADIUS の特定のアトリビュートが表示されない場合は、そのアトリビュートが Interface Configuration: TACACS+ (Cisco IOS) または RADIUS で使用可能になっていない可能性があります。

プロキシの問題

 

状態
解決策

プロキシに障害がある。

リモート サーバ上で方向が着信/発信または着信に設定されており、認証転送サーバ上で方向が着信/発信または発信に設定されていることを確認してください。

共有秘密(キー)が一方または両方の Cisco Secure ACS の共有秘密と一致していることを確認してください。

文字列と区切り文字が、Proxy Distribution Table で設定されたストリッピング情報と一致し、位置が Prefix または Suffix に正しく設定されていることを確認してください。

1 台以上のサーバがダウンしているか、フォールバック サーバが設定されていません。Network Configuration へ進み、フォールバック サーバを設定してください。フォールバック サーバが使用されるのは、次の場合だけです。

リモートの Cisco Secure ACS がダウンしている。

1 つまたは複数のサービス(CSTacacs、CSRadius、または CSAuth)がダウンしている。

秘密キーの設定に誤りがある。

着信/発信メッセージ処理の設定に誤りがある。

インストールとアップグレードの問題

 

状態
解決策

インストール時に問題が起こる。

Installation and Setup Guide for Cisco Secure ACS Appliance 』を参照してください。

シリアル コンソールからの upgrade コマンドが機能しない。

最初に、アプライアンスのアップグレード(System Configuration の Appliance Upgrade ページを利用できる場合は、ここから入手可能)を入手する必要があります。

MaxSessions の問題

 

状態
解決策

VPDN で MaxSessions が機能しない。

VPDN での MaxSessions の使用はサポートされていません。

User MaxSessions が不安定であるか信頼できない。

サービスが再起動されました。原因として Cisco Secure ACS と AAA クライアントの接続が不安定な可能性があります。 Single Connect TACACS+ AAA Client チェックボックスをクリックしてオフにしてください。

User MaxSessions を使用できない。

アカウンティングが AAA クライアント上に設定されており、アカウンティングの開始/停止レコードを受信していることを確認してください。

レポートの問題

 

状態
解決策

logname active.csv レポートがブランクである。

プロトコルの設定が最近変更されました。

プロトコルの設定が変更されたときは、必ず既存の logname active.csv レポート ファイルの名前が logname yyyy-mm-dd.csv に変更され、新しいブランクの logname active.csv レポートが生成されます。

レポートがブランクである。

System Configuration: Logging: Log Target: reportname で Log to reportname Report が選択されていることを確認してください。また、Network Configuration: servername : Access Server Type を Cisco Secure ACS for Windows NT に設定する必要もあります。

レポートに Unknown User 情報が入っていない。

Unknown User データベースが変更されました。その場合でも、アカウンティングのレポートには未知のユーザ情報が入っています。

1 回のユーザ セッションで 2 つのエントリがログに記録される。

リモート ロギング機能が、アカウンティング パケットを Proxy Distribution Table の Send Accounting Information フィールドと同じ場所へ送信するように設定されていないことを確認してください。

日付形式を変更した後、Logged-In User リストと CSAdmin ログに引き続き古い形式の日付が表示される。

変更後の形式で表示するには、csadmin サービスを再起動し、再びログインする必要があります。

デバイスによって、 Logged in Users レポートが機能する場合としない場合がある。

Logged in Users レポートが機能するためには(これはセッションに関連する他のほとんどの機能にも当てはまりますが)、パケットに少なくとも次のフィールドが含まれている必要があります。

認証要求パケットの場合

nas-ip-address

nas-port

アカウンティング開始パケットの場合

nas-ip-address

nas-port

session-id

framed-ip-address

アカウンティング停止パケットの場合

nas-ip-address

nas-port

session-id

framed-ip-address

また、接続時間が非常に短く、開始パケットと停止パケットの間にほとんど時間がない場合(たとえば PIX Firewall を通した HTTP の場合など)は、 Logged in Users レポートが失敗することがあります。

サードパーティ製サーバの問題

 

状態
解決策

認証要求が外部データベースにヒットしない。

System Configuration > Service Control でロギングをフル ロギングに設定してください。

Support 機能を使用して csauth.log をチェックし、認証要求がサードパーティ製サーバへ転送されているかどうかを確認してください。転送されていない場合は、外部データベースの設定と未知のユーザ ポリシーの設定が正しいかどうかを確認してください。

ACE/SDI サーバ上で、着信している要求が Cisco Secure ACS から見えない。ただし、RSA/エージェントの認証は正しく機能している。

ダイヤルアップ ユーザの場合は、MS-CHAP や CHAP でなく PAP を使用していることを確認してください。RSA/SDI は CHAP をサポートしていないため、Cisco Secure ACS は RSA サーバへ要求を送信せず、外部データベースの障害としてログにエラーを記録します。

PIX Firewall の問題

 

状態
解決策

リモート管理者が Cisco Secure ACS をブラウザから起動できないか、アクセスが許可されていないという警告が表示される。

PIX Firewall 上で NAT が使用可能になっている場合、このファイアウォールを通した管理は機能しません。

ファイアウォールを通して Cisco Secure ACS を管理するには、System Configuration: Access Policy で HTTP ポート範囲を設定する必要があります。PIX Firewall は、Cisco Secure ACS で指定された範囲に含まれるすべてのポートで、HTTP トラフィックを許可するように設定されている必要があります。詳細については、「アクセス ポリシー」を参照してください。

ユーザ認証の問題

 

状態
解決策

管理者が Dialin Permission 設定を使用不可にした後、Windows データベースのユーザが引き続きダイヤルインでき、Windows のユーザ データベースで設定したコールバック文字列を適用できる(Dialin Permission チェックボックスを表示するには、External User Databases をクリックし、Database Configuration、Windows Database、Configure を順にクリックします)。

Cisco Secure ACS サービスを再起動します。手順については、「サービスの停止、起動、再起動」を参照してください。

ユーザが新しいグループから設定を継承できない。

新しいグループへ移動したユーザは新しいグループの設定を継承しますが、ユーザ設定はそれまでのものを保持しています。User Setup セクションで、設定を手動で変更してください。

認証が失敗する。

Failed Attempts レポートをチェックしてください。

リトライ インターバルが短すぎる可能性があります(デフォルトは 5 秒)。AAA クライアント上でリトライ インターバルを長くし、20 以上に設定してください( tacacs-server timeout 20 )。

Windows ユーザ データベースと照合して認証を行ったときに、AAA クライアントがタイムアウトする。

TACACS+/RADIUS のタイムアウト インターバルをデフォルトの 5 から 20 に増やします。Cisco IOS コマンドを次のように設定してください。
tacacs-server timeout 20
radius-server timeout 20

認証が失敗し、Failed Attempts ログに「Unknown NAS」エラーが記録される。

次の点を確認してください。

AAA クライアントが Network Configuration セクションで設定されていること。

AAA クライアント上に RADIUS/TACACS の source-interface コマンドを設定してある場合は、ACS 上のクライアントが、指定されたインターフェイスの IP アドレスを使用して設定されていること。

別の方法として、NAS 設定領域でホスト名と IP アドレスをブランクのままにして、キーだけを入力することにより、デフォルトの NAS を設定できます。

認証が失敗し、Failed Attempts ログに「key mismatch」エラーが記録される。

TACACS+ または RADIUS のキーが、AAA クライアントと Cisco Secure ACS の両方で同一(大文字と小文字を区別する)になっているかどうかを検証してください。

キーを再入力し、同一なことを確認します。

ユーザの認証はできるが、許可が期待どおりにならない。

さまざまなベンダーがさまざまな AV ペアを使用しています。あるベンダーのプロトコルで使用されている AV ペアが、別のベンダーのプロトコルで無視される場合もあります。ユーザ設定に正しいベンダーのプロトコル、たとえば RADIUS(Cisco IOS/PIX)が反映されていることを確認してください。

LEAP 認証が失敗し、Failed Attempts ログに「Radius extension DLL rejected user」エラーが記録される。

Access Point に対して正しい認証タイプが設定されているかどうかを検証します。最低限、Network-EAP チェックボックスがオンになっていることを確認してください。

外部ユーザ データベースを認証に使用している場合は、それがサポートされているかどうかを検証します。詳細については、「認証プロトコルとデータベースの互換性」を参照してください。

TACACS+ および RADIUS アトリビュートの問題

 

状態
解決策

Group Setup ページに TACACS+ アトリビュートと RADIUS アトリビュートが表示されない。

Network Configuration セクションで、少なくとも 1 つの RADIUS または TACACS+ の AAA クライアントが設定されていることを確認し、Interface Configuration セクションで、設定する必要がある各アトリビュートが使用可能になっていることを確認してください。


) Cisco Secure ACS の一部のアトリビュートはユーザ設定ができず、値が Cisco Secure ACS によって設定されます。