Cisco Secure ACS Solution Engine ユーザ ガイド Version 4.0
トラブルシューティング
トラブルシューティング
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

トラブルシューティング

管理上の問題

ブラウザの問題

Cisco NAC の問題

データベースの問題

ダイヤルイン接続の問題

プロキシの問題

インストールおよびアップグレードの問題

MaxSessions の問題

レポートの問題

サード パーティ製サーバの問題

ユーザ認証の問題

TACACS+ および RADIUS のアトリビュートの問題

トラブルシューティング

この付録では、基本的な障害に関する情報を提供し、その解決方法について説明します。

左側のカラムを調べて、解決すべき状態を特定します。次に、対応する回復処置を右側のカラムで読み、慎重に実行します。

この章は、次の項で構成されています。

「管理上の問題」

「ブラウザの問題」

「Cisco NAC の問題」

「データベースの問題」

「ダイヤルイン接続の問題」

「プロキシの問題」

「インストールおよびアップグレードの問題」

「MaxSessions の問題」

「レポートの問題」

「サード パーティ製サーバの問題」

「ユーザ認証の問題」

「TACACS+ および RADIUS のアトリビュートの問題」

管理上の問題


) コマンドライン インターフェイス(CLI)を使用して管理コマンドを実行する方法については、
Installation and Setup Guide for Cisco Secure ACS Solution Engine』の「Administering Cisco Secure ACS Solution Engine」の章を参照してください。


次の表に、管理上の問題のトラブルシューティング情報を示します。

 

状態
回復処置

リモート管理者が、ブラウザで ACS の Web インターフェイスにアクセスできない、またはアクセスが許可されないという警告を受信する。

この問題を解決するには、次の手順を実行します。

1. サポートされているブラウザを使用していることを確認します。サポートされているブラウザのリストについては、『 Release Notes for Cisco Secure ACS Solution Engine 4.0 』を参照してください。

2. リモート管理者が Administration Control に登録済みの有効な管理者名およびパスワードを使用しているかどうかを確認してください。

3. Java 機能がブラウザで有効になっているかどうかを確認してください。

4. リモート管理者が ACS を管理するときに、ファイアウォール経由、ネットワーク アドレス変換を行うデバイス経由、または HTTP プロキシ サーバを使用するように設定されたブラウザ経由のいずれを使用するかを決めてください。

リモート管理者がログインできない。

Allow only listed IP addresses to connect オプションが選択されていますが、開始 IP アドレスと終了 IP アドレスがリストに入力されていません。 Administrator Control > Access Policy を選択し、 Start IP Address End IP Address を指定してください。

権限のないユーザがログインできる。

Reject listed IP addresses オプションが選択されていますが、開始 IP アドレスまたは終了 IP アドレスがリストに入力されていません。 Administrator Control > Access Policy を選択し、 Start IP Address Stop IP Address を指定してください。

Restart Services 機能が動作しない。

システムは、 System Configuration > Service Control ページ上の Restart コマンドには応答しません。ACS に対して PING を実行し、接続を確認してください。

サービスを手動で再起動するには、Cisco Secure ACS コンソールにログインして、restart コマンドに続けてスペースを 1 つ入力し、その次に再起動する ACS サービスの名前を入力します。

イベント通知対象に設定されている Administrator に電子メールが送信されない。

SMTP サーバ名が正しいかどうか確認してください。サーバ名が正しいときは、ACS を実行しているコンピュータで、SMTP サーバに対して PING を実行できるか、サード パーティ製の電子メール ソフトウェア パッケージを使って電子メールを送信できるかどうかを確認してください。電子メール アドレスでアンダースコア(_)を使用していないかどうかを確認します。

リモート管理者が、ブラウズ中に Logon failed . . . protocol error というメッセージを受信する。

CSADMIN サービスを再起動します。 CSAdmin サービスを再起動するには、CLI で restart コマンドと、引数として CSAdmin を入力します。必要に応じて、アプライアンスをリブートします。

リモートの管理者が、ブラウザから ACS にアクセスできない、またはアクセスが許可されないという警告を受信する。

PIX Firewall 上で Network Address Translation が有効である場合、ファイアウォール経由の管理は動作しません。

ACS をファイアウォール経由で管理するには、HTTP ポート範囲を設定する必要があります。 Administrator Control > Access Policy を選択します。ACS で指定された範囲にあるすべてのポートで、PIX Firewall が HTTP トラフィックを許可するように設定する必要があります。詳細については、「アクセス ポリシー」を参照してください。

ブラウザの問題

次の表に、ブラウザの問題のトラブルシューティング情報を示します。

 

状態
回復処置

ブラウザで、ACS の Web インターフェイスにアクセスできない。

Internet Explorer または Netscape Navigator を開きます。 Help > About を選択して、ブラウザのバージョンを確認してください。ACS がサポートしているブラウザのリストについては、『 Installation and Setup Guide for Cisco Secure ACS Solution Engine 』を参照してください。ブラウザの特定バージョンに関する既知の問題については、そのバージョンのリリース ノートを参照してください。

ブラウザに、セッション接続が切断されたという Java メッセージが表示される。

リモート管理者の Session idle timeout の値を調べてください。この値は、 Administration Control セクションの Session Policy Setup ページに表示されます。必要に応じて、この値を大きくしてください。

Administrator データべースが破損していると考えられる。

リモート Netscape クライアントがパスワードをキャッシングしています。間違ったパスワードを入力した場合、そのパスワードがキャッシュされます。正しいパスワードで再認証を試みるときに間違ったパスワードが送信されます。キャッシュを消去してから再認証を行うか、いったんブラウザを閉じてから新しいセッションを開始してください。

リモート管理者が ACS の Web インターフェイスをブラウズできないことがある。

クライアント ブラウザでプロキシ サーバが設定されていないことを確認します。ACS は、リモート管理セッション用として HTTP プロキシをサポートしていません。プロキシ サーバの設定を無効にします。

Cisco NAC の問題

次の表に、Cisco NAC の問題のトラブルシューティング情報を示します。

 

状態
回復処置

show eou all または show eou ip address の結果、実際のポスチャ確認の結果と一致しないポスチャが表示される、またはポスチャの代わりに「-------」が表示される。

「-------」が表示される場合、AAA クライアントは、Cisco IOS/PIX RADIUS
cisco-av-pair Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)内の posture-token アトリビュート値(AV)を受信していません。表示されるポスチャが実際のポスチャ確認の結果に対応していない場合、AAA クライアントは posture-token AV ペアの間違った値を受信しています。

Network Admission Control(NAC; ネットワーク アドミッション コントロール)データベースのグループ マッピングをチェックし、正しいユーザ グループが各 System Posture Token(SPT; システム ポスチャ トークン)に関連付けられていることを確認します。NAC 用に設定されたユーザ グループで、Cisco IOS/PIX cisco-av-pair VSA が正しく設定されていることを確認します。たとえば、Healthy SPT を受信する NAC クライアントを認可するように設定されたグループで、 [009\001] cisco-av-pair チェックボックスがオンになっていること、および [009\001] cisco-av-pair テキスト ボックスに次の文字列が表示されることを確認します。

posture-token=Healthy

注意 posture-token AV ペアは、ポスチャ確認によって戻される SPT について ACS が AAA クライアントに通知する唯一の方法です。posture-token AV ペアの設定は手動で行うため、posture-token の設定に誤りがあると、誤った SPT が AAA クライアントに送信され、AV ペアの名前に入力ミスがあると、AAA クライアントが SPT をまったく受信できなくなることがあります。

) AV ペアの名前は、大文字小文字が区別されます。


Cisco IOS/PIX cisco-av-pair VSA の詳細については、「cisco-av-pair RADIUS アトリビュートについて」を参照してください。

EXEC コマンドでは、Cisco IOS コマンドがチェックのときに拒否されない。

AAA クライアントでの Cisco IOS の設定を確認してください。次の Cisco IOS コマンドが存在しない場合は、AAA クライアントの設定に追加します。

aaa authorization command <0-15> default group TACACS+

テキスト ボックスの引数の正しい構文は、 permit argument または deny argument です。

EAP 要求に無効な署名がある。ログにエラー メッセージが記録される。

ACS が無効な共有秘密情報を持つ EAP 対応デバイスからトラフィックを受信すると、このエラー メッセージがログに記録されます。このエラーが発生するのは、次の 3 つの条件のうち、いずれかに該当する場合です。

無効な署名が使用されている。

RADIUS パケットが転送中に破損した。

ACS が攻撃を受けている。

EAP 対応デバイスを確認して、必要に応じて変更します。

AAA クライアントの設定が誤っているため、Administrator が AAA クライアントからロックアウトされている。

AAA クライアントでフォールバック メソッドを設定している場合は、AAA サーバへの接続を無効にし、ローカルまたはラインのユーザ名とパスワードを使用してログインします。

AAA クライアントへの直接接続をコンソール ポートで試みてください。この方法で問題が解決しない場合は、AAA クライアントのマニュアルを調べるか、Cisco.com の Password Recovery Procedures ページにアクセスして、特定の AAA クライアントに関する情報を確認してください。

aaa authentication enable
default tacacs+
の実行後、イネーブル モードに入ることができない。エラー メッセージ Error in
authentication on the router
が表示される。

ACS へのログインの失敗を確認してください。ログに CS password invalid と記されている場合は、ユーザがイネーブル パスワードを設定していない可能性があります。Advanced TACACS+ Settings セクションで TACACS+ Enable Password を設定します。

ユーザ設定オプションに Advanced TACACS+ Settings セクションが表示されない場合は、 Interface Configuration > Advanced Configuration Options > Advanced
TACACS+ Features
を選択し、オプションを選択して TACACS+ 設定をユーザ設定に表示させます。次に、 Max privilege for any AAA Client (通常は 15)を選択し、ユーザが使用する TACACS+ イネーブル パスワードを入力します。

NAC NRE とゲスト アクセスが 100 エンドポイントに制限される。

EAPoUDP 状態テーブルには、RADIUS 要求を削減することで、ACS サーバでの DoS 攻撃(サービス拒絶攻撃)を防ぐ機能があります。

NAD ごとに不正な応答のないエンドポイントが最大値である 100 に達すると、次のメッセージがルータ コンソールに表示されます。

*Jan 19 09:51:04.855: %AP-4-POSTURE_EXCEED_MAX_INIT: Exceeded maximum limit (100)

ルータは、NAC の RADIUS 要求の処理を停止します。このメカニズムでは、CTA の有無にかかわらず、正規のユーザはデフォルトのネットワーク アクセス(ルータのインターフェイス ACL が許可するものすべて)が可能です。

このメッセージは、100 以上の EAPoUDP セッションが INIT 状態の場合に表示されます。通常、ACS から RADIUS Accept-Accept を受信すると、セッションはこの状態から移行します。ただし、次のいずれかの状態の間は、EAPoUDP セッションはこの状態に留まります。

NAD に 100 を超える不正なエンドポイントが存在する。

ルータが ACS から Access-Reject を受信する。

ルータが ACS から応答を受信できない。

この動作を基に、次の推奨事項に注意してください。

ACS を NAC 用に正しく設定することで、予期しない Access-Reject を最小限にする。

NAC をパッシブ(モニタだけのモード)に展開する場合、ACS で Network Access Restriction(NAR; ネットワーク アクセス制限)付きの MAC アドレスまたは IP アドレス ワイルドカードを使用することにより、NonResponsive Endpoint(NRE; 応答しないエンドポイント)をすべて受け入れるように ACS を設定する。

単一の NAC 対応ルータの背後に 100 を超える不正なエンドポイントを持つことはできない。100 を超えると、CTA 対応エンドポイントにアクセスできなくなります。

デフォルトの保持期間に低い値を設定する。

新しいコマンドが IOS に追加されます。このコマンドにより、所定の展開の必要に応じてこの制限を増やしたり、減らしたりすることが可能になります。

データベースの問題

次の表に、データベースの問題のトラブルシューティング情報を示します。

 

状態
回復処置

RDBMS Synchronization が正常に動作しない。

正しいサーバが Partners リストに表示されることを確認してください。

Database Replication が正常に動作しない。

サーバが Send または Receive に正しく設定されているかどうかを確認してください。

送信側のサーバで、Replication リストの中に受信サーバがあるかどうか確認してください。

受信側のサーバで、送信サーバが Accept Replication from リストで選択されているかどうかを確認してください。また、送信側のサーバが複製パートナー リストの中にないことを確認してください。

送信側の ACS の複製スケジュールと、受信側の ACS の複製スケジュールに矛盾がないか確認してください。

受信側のサーバにデュアル ネットワーク カードが使用されている場合、送信側のサーバで、Network Configuration セクションの AAA Servers テーブルに AAA サーバを追加します。AAA サーバは受信サーバの IP アドレスごとに追加します。送信側のサーバにデュアル ネットワーク カードが使用されている場合、受信側のサーバで、ネットワーク設定の AAA Servers テーブルに AAA サーバを追加します。AAA サーバは送信サーバの IP アドレスごとに追加します。

外部ユーザ データベースが Group Mapping セクションで使用できない。

External User Databases セクションで外部データベースが設定されていないか、ユーザ名やパスワードが正しく入力されていません。該当する外部データベースをクリックして設定します。ユーザ名とパスワードが正しく入力されているかどうかを確認してください。

Database Replication が正常に動作しない。

ACS ドメインと他のドメインとの間に、双方向の信頼性(ダイヤルイン チェック用)が確立されているかどうかを確認してください。 csauth サービス ログ ファイルに [External DB] で始まるデバッグ メッセージがあるかどうかを確認してください。

未知ユーザが認証されない。

この問題を解決するには、次の手順を実行します。

1. External User Databases > Unknown User Policy を選択します。

2. Check the following external user databases オプションを選択します。

3. External Databases リストから、未知ユーザの認証時に照合するデータベースを選択します。

4. --> (右矢印ボタン)をクリックして、そのデータベースを Selected Databases リストに追加します。

5. Up または Down をクリックし、選択したデータベースを認証階層の必要な位置に移動します。

ACS の未知ユーザ機能を使用している場合、外部データベースは PAP だけを使用して認証可能です。

ダイヤルイン接続の問題

次の表に、ダイヤルイン接続の問題のトラブルシューティング情報を示します。

 

状態
回復処置

ダイヤルイン ユーザが AAA クライアントに接続できない。

試行のレコードが
TACACS+ Accounting Report または RADIUS Accounting Report に表示されない(Reports & Activity セクションで、 TACACS+ Accounting
RADIUS Accounting 、または Failed Attempts をクリック)。

ACS Reports または AAA クライアント Debug の出力を調べて、問題がシステム エラーにあるか、またはユーザ エラーにあるかを特定します。次の事項を確認してください。

ACS をインストールする 前に 、ダイヤルイン ユーザが接続を確立し、コンピュータに対して PING を実行できたこと。ダイヤルイン ユーザがこれらを実行できなかった場合、問題は ACS ではなく、AAA クライアントまたはモデムの設定にあります。

ACS を実行しているコンピュータと AAA クライアントの両方の LAN 接続が物理的に接続されていること。

ACS 設定の AAA クライアントの IP アドレスが正しいこと。

AAA クライアント設定の ACS の IP アドレスが正しいこと。

TACACS+ キーまたは RADIUS キーが、AAA クライアントおよび ACS の両方で同一であること(大文字と小文字は区別されます)。

Windows ユーザ データベースを使用する場合は、 ppp authentication pap コマンドが各インターフェイスに対して入力されていること。

ACS データベースを使用する場合は、 ppp authentication chap pap コマンドが各インターフェイスに対して入力されていること。

AAA コマンドおよび TACACS+、または RADIUS のコマンドが、AAA クライアントに正しく設定されていること。必要なコマンドは、次のディレクトリに存在します。

Program Files\CiscoSecure ACS vx.x\TacConfig.txt
Program Files\CiscoSecure ACS vx.x\RadConfig.txt

ACS サービス(CSAdmin、CSAuth、CSDBSync、CSLog、CSRadius、CSTacacs)が、ACS を実行しているコンピュータ上で実行されていること。

ダイヤルイン ユーザが AAA クライアントに接続できない。

Windows ユーザ データベースが認証に使用されている。

失敗した試行のレコードが Failed Attempts レポートに表示される
(Reports & Activity セクションで Failed Attempts をクリック)。

ACS 内部データベースでローカル ユーザを作成し、認証が成功するかどうかをテストします。成功した場合、問題は、Windows または ACS の認証に対してユーザ情報が正しく設定されていないことにあります。

Windows User Manager または Active Directory Users and Computers から、次の項目を確認します。

Windows User Manager または Active Directory Users and Computers で、ユーザ名とパスワードが設定されていること。

ワークステーションを介した認証で、ユーザがドメインにログインできること。

User Properties ウィンドウで User Must Change Password at Login が有効になっていること。

User Properties ウィンドウで Account Disabled がオフになっていること。

ACS が認証に Grant dial-in permission to user オプションを使用している場合、ダイヤルイン ウィンドウの User Properties ウィンドウでこのオプションが有効になっていること。

ACS から、次の項目を確認します。

ユーザ名がすでに ACS に入力されている場合、ユーザの User Setup ページにある Password Authentication リストで Windows ユーザ データベース設定が選択されていること。

ユーザ名がすでに ACS に入力されている場合、そのユーザが割り当てられた ACS のグループで正しい認可(IP/PPP、IPX/PPP、Exec/Telnet など)が有効になっていること。設定を変更したときは、 Submit + Restart をクリックしてください。

Windows ユーザ データベース内のユーザ期限満了情報による認証の失敗が起きていないこと。トラブルシューティングのため、Windows ユーザ データベースのユーザについてパスワードの有効期限を無効にします。

External User Databases をクリックし、次に List All Databases Configured をクリックして、Windows のデータベース設定が一覧表示されることを確認します。

External User Databases セクションの Configure Unknown User Policy テーブルで、Fail the Attempt オプションがオフになっていることを確認します。また、Selected Databases リストに必要なデータベースが反映されていることを確認します。

ユーザが属している Windows グループに No Access が適用されていないか確認します。

ダイヤルイン ユーザが AAA クライアントに接続できない。

ACS 内部データベースが認証に使用されている。

失敗した試行のレコードが Failed Attempts レポートに表示される
(Reports & Activity セクションで Failed Attempts をクリック)。

ACS から、次の項目を確認します。

ACS にユーザ名が入力されていること。

Password Authentication リストで ACS 内部データベースが選択され、ユーザの User Setup にパスワードが入力されていること。

ユーザを割り当てた ACS のグループで正しい認可(IP/PPP、IPX/PPP、
Exec/Telnet など)が有効になっていること。設定を変更したときは、 Submit + Restart をクリックしてください。

失効情報によって認証の失敗が起きていないこと。トラブルシューティングのために、 Expiration Never に設定します。

ダイヤルイン ユーザが AAA クライアントに接続できない。ただし、Telnet 接続は LAN 全体にわたって認証される。

この場合、問題は次の 3 つのうちのいずれかに分類されます。

回線またはモデムの設定に問題があります。モデムのマニュアルを参照して、モデムが正しく設定されているかどうかを確認してください。

ユーザが、正しい認可権限のあるグループに割り当てられていない。認可権限は Group Setup で修正できます。ユーザ設定を行うと、グループ設定が無効になります。

ACS、TACACS+、または RADIUS の設定が AAA クライアントで正しく行われていません。

さらに、LAN に接続されているワークステーションからアクセス サーバへの
Telnet を試行することによって、ACS の接続を検証できます。Telnet が正常に認証された場合は、ACS が AAA クライアントで正しく動作していることが確認されます。

ダイヤルイン ユーザが AAA クライアントに接続できない。Telnet 接続も LAN 全体にわたって認証されない。

ACS レポートを表示することで、ACS が要求を受信しているかどうかを調べます。レポートに書かれていない事項および使用データベースに基づいて、次に示す問題のトラブルシューティングを行います。

回線またはモデムの設定に問題があります。モデムのマニュアルを参照して、モデムが正しく設定されているかどうかを確認してください。

Windows ユーザ データベース、または ACS 内部データベースにユーザが存在せず、パスワードが正しくない可能性があります。認証パラメータは、User Setup で修正できます。

ACS か TACACS+、または RADIUS の設定が AAA クライアントで正しく行われていません。

コールバックが動作しない。

ローカルの認証を使用しているときに、AAA クライアント上でコールバックが動作することを確認します。その後で、AAA 認証を追加します。

PAP の使用時、ユーザ認証が失敗する。

送信 PAP がイネーブルになっていません。Failed Attempts レポートに送信 PAP を使用していると示された場合は、Interface Configuration セクションに移動し、
Per-User Advanced TACACS+ Features チェックボックスをオンにします。次に、User Setup ページの Advanced TACACS+ Settings テーブルの TACACS+ Outbound Password セクションを選択し、指定されたボックスにパスワードを入力して確認します。

プロキシの問題

次の表に、プロキシの問題のトラブルシューティング情報を示します。

 

状態
回復処置

別のサーバへのプロキシ要求が失敗する。

次の条件が満たされていることを確認します。

リモート サーバの方向が Incoming/Outgoing または Incoming に設定され、認証転送サーバの方向が Incoming/Outgoing または Outgoing に設定されていること。

共有秘密鍵が、片方あるいは両方の ACS の共有秘密鍵と一致していること。

文字列とデリミタが、Proxy Distribution テーブルで設定されているストリップ情報と一致し、その位置が正しく Prefix または Suffix に設定されていること。

上記の条件が満たされている場合は、サーバがダウンしているか、フォールバック サーバが設定されていない可能性があります。Network Configuration セクションを選択し、フォールバック サーバを設定します。フォールバック サーバが使用されるのは、次の場合だけです。

リモート ACS がダウンしている。

サービス(CSTacacs、CSRadius、または CSAuth)がダウンしている。

秘密鍵が間違って設定されている。

Inbound または Outbound メッセージ通信が間違って設定されている。

インストールおよびアップグレードの問題

次の表に、インストールおよびアップグレードの問題のトラブルシューティング情報を示します。

 

状態
回復処置

インストールに問題がある。

Installation and Setup Guide for Cisco Secure ACS Solution Engine 』を参照してください。

シリアル コンソールで upgrade コマンドを実行しても効果がない。

最初にアプライアンスのアップグレード バージョンを取得する必要があります(可能であれば、System Configuration の Appliance Upgrade ページから取得)。

Solaris 分散サーバを使用してアップグレードを実行している間は、autorun.sh を実行できない。

コマンド chmod +x autorun.sh を使用して、 autorun.sh の実行権限を許可してください。

MaxSessions の問題

次の表に、MaxSessions の問題のトラブルシューティング情報を示します。

 

状態
回復処置

MaxSessions over VPDN が動作しない。

MaxSessions over VPDN は使用できません。

User MaxSessions が不安定、または信頼できない。

ACS と AAA クライアントとの接続が不安定なためにサービスが再開されている可能性があります。 Single Connect TACACS+ AAA Client チェックボックスをオフにします。

User MaxSessions が反映されない。

AAA クライアントでアカウンティングを設定してあることと、アカウンティングの開始レコードと停止レコードを受信していることを確認してください。

レポートの問題

次の表に、レポートの問題のトラブルシューティング情報を示します。

 

状態
回復処置

logname active.csv レポートがブランクである。

プロトコルの設定が、最近変更されました。

プロトコルの設定を変更すると、既存の logname active.csv レポート ファイルは logname yyyy-mm-dd.csv にリネームされ、ブランクの新規 logname active.csv レポートが生成されます。

レポートがブランクである。

System Configuration の Logging にある Log Target の reportname で、Log to reportname Report が選択されていることを確認してください。さらに、Network Configuration の servername で Access Server Type を ACS for Windows NT に設定する必要があります。

Unknown User 情報がレポートに含まれない。

Unknown User データベースが変更されています。Accounting レポートには、今までどおり未知のユーザ情報が含まれています。

エントリ が、1 ユーザ セッションに対して 2 つ記録される。

リモート ロギング機能の設定で、アカウンティング パケットの送信先が、Proxy Distribution Table の Send Accounting Information フィールドと同じ場所に設定されていないことを確認します。

日付フォーマットを変更しても、Logged-In User リストと CSAdmin ログの日付が変更前のフォーマットで表示される。

変更を確認するには、 CSAdmin サービスを再起動して、再びログインします。

ログ機能が使用できない(その場合の認証機能への影響)。

ローカル ロギングまたはリモート ロギングの通常動作が停止すると、すべてのワーカー スレッドがロギングの割り当てでビジーになるため、認証機能がすぐに停止します。ロギング機能が修正されると、認証が復元します。したがって、ロギング サービス ログのトラブルシューティングが必要です。

一部のデバイスで Logged in Users レポートが機能しない。

Logged in Users レポートを機能させるには、少なくとも次のフィールドがパケットに含まれている必要があります(これは、このレポートだけでなく、セッションを持つほとんどの機能に当てはまります)。

認証要求パケット

nas-ip-address

nas-port

アカウンティング開始パケット

nas-ip-address

nas-port

session-id

framed-ip-address

アカウンティング停止パケット

nas-ip-address

nas-port

session-id

framed-ip-address

また、接続が短く、開始パケットと停止パケットの間にほとんど時間がない場合(たとえば、PIX Firewall を介した HTTP など)、 Logged in Users レポートは失敗する可能性があります。

サード パーティ製サーバの問題

次の表に、サード パーティ製サーバの問題のトラブルシューティング情報を示します。

 

状態
回復処置

認証要求で外部データベースがヒットしない。

ロギングをフルに設定します。 System Configuration > Service Control を選択します。

auth.log を調べて、認証要求がサード パーティ製サーバに転送されていることを確認します。転送されていない場合は、外部データベースの設定と未知ユーザ ポリシーの設定が正しいことを確認します。

RSA/agent 認証は機能しているが、ACE/SDI サーバで ACS からの着信要求が表示されない。

ダイヤルアップ ユーザの場合は、MS-CHAP や CHAP ではなく PAP を使用していることを確認してください。RSA/SDI は CHAP をサポートしていないので、ACS は RSA サーバに要求を送信せず、外部データベースの障害としてエラーを記録します。

ユーザ認証の問題

次の表に、ユーザ認証の問題のトラブルシューティング情報を示します。

 

状態
回復処置

管理者が Dialin Permission 設定を無効にしても、Windows データベース ユーザはダイヤルインが可能で、Windows ユーザ データベースで設定されたコールバック文字列を使用できる(Dialin Permission チェックボックスを表示するには、 External User Databases > Database Configuration > Windows Database >
Configure
を選択します)。

ACS サービスを再起動してください。手順については、「サービスの停止、開始、再開」を参照してください。

ユーザが新しいグループから設定を継承しない。

新しいグループに移動したユーザは新しいグループの設定を継承しますが、既存のユーザ設定も保持しています。手動で User Setup セクションの設定を変更してください。

認証に失敗する。

Failed Attempts レポートを調べます。

リトライ間隔が短すぎる可能性があります(デフォルトは 5 秒です)。AAA クライアントのリトライ間隔( tacacs-server timeout 20 )を 20 以上に増やしてください。

Windows ユーザ データベースに対する認証中に AAA クライアントがタイムアウトする。

TACACS+/RADIUS タイムアウト間隔を、デフォルトの 5 から 20 に増やしてください。Cisco IOS コマンドを次のように設定します。
tacacs-server timeout 20
radius-server timeout 20

認証に失敗し、 Unknown NAS というエラーが Failed Attempts ログに記録される。

次の事項を確認してください。

AAA クライアントが Network Configuration セクションの下に設定されていること。

AAA クライアントで RADIUS/TACACS source-interface コマンドを設定してある場合は、指定されたインターフェイスの IP アドレスを使用して ACS 上のクライアントが設定されていること。

認証に失敗し、 key mismatch というエラーが Failed Attempts ログに記録される。

TACACS+ キーまたは RADIUS キーが、AAA クライアントおよび ACS で同一であることを確認してください(大文字と小文字は区別されます)。

両方のキーが同一であることを確認するため、キーを再入力してください。

ユーザの認証はできるが、認可が予期したものと異なる。

ベンダーが違えば、使用する AV ペアも異なります。あるベンダー プロトコルで使用されている AV ペアが、別のベンダー プロトコルでは無視されることがあります。ユーザの設定に、正しいベンダー プロトコル、たとえば、RADIUS(Cisco IOS/PIX)が反映されているかどうかを確認してください。

LEAP 認証に失敗し、 Radius extension DLL rejected user というエラーが
Failed Attempts ログに記録される。

Access Point で正しい認証タイプが設定されていることを確認します。少なくとも Network-EAP チェックボックスがオンになっているかどうかを確認してください。

認証に外部ユーザ データベースを使用している場合は、それがサポートされていることを確認します。詳細については、「認証プロトコルとデータベースの互換性」を参照してください。

TACACS+ および RADIUS のアトリビュートの問題

次の表に、TACACS+ および RADIUS のアトリビュートの問題のトラブルシューティング情報を示します。

 

状態
回復処置

TACACS+ および RADIUS のアトリビュートが Group Setup ページに表示されない。