Seguridad : Cisco Secure Access Control Server para Unix

Cisco Secure ACS UNIX FAQ

24 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (2 Octubre 2014) | Comentarios


Preguntas


Introducción

Este documento proporciona las respuestas a las preguntas comunes sobre el Cisco Secure Access Control Server (ACS) para UNIX (CSUnix).

General

Q. ¿Se pueden los datos emigrar entre CSUnix y el Cisco Secure ACS for Windows (ACS)?

A. No hay actualmente herramientas soportadas usadas para emigrar a los usuarios a partir de un producto a otro producto.

Q. ¿CSUnix autentica contra una base de datos de NT, un LDAP, o un Novell's NDS?

A. No, pero estas características está presentes en el Cisco Secure ACS for Windows (ACS). El Cisco Access Registrar soporta el Lightweight Directory Access Protocol (LDAP).

Licencia y software

Q. ¿El CSUnix versión 2.3.6.2 se soporta en el Oracle versión 9.2.0?

A. Los Release Note para el CSUnix versión 2.6.3.2 estado esa versión 8.0.x del Oracle Enterprise, 8i, y la versión 9.0.1 9i es versiones admitidas. Es posible actualizar al Oracle versión 9.2.0. Sin embargo, se recomienda que usted respaldo su base de datos antes de que usted actualice.

Q. ¿Cómo pongo al día una clave de licencia vencida?

A. Para los detalles en cómo obtener una llave de la licencia, refiera a las emisiones de la licencia para Cisco UNIX seguro.

Q. ¿Cómo encuentro mi Versión de Solaris y la dirección IP de mi sistema?

A. Para determinar la Versión de Solaris que usted uso, publica el comando uname – a.

Para determinar el IP Address funcionando por su sistema, publique el comando ifconfig – a.

Q. ¿Dónde puedo conseguir las actualizaciones y parche de software para CSUnix?

A. Las actualizaciones del software se pueden obtener del sitio web del software de Cisco Secure Access Control Server (clientes registrados solamente). Las parches de software se pueden obtener de las correcciones del Software de Cisco Secure - sitio web de UNIX (clientes registrados solamente).

Nota: Usted debe ingresar el cspatchunix en el campo del código de acceso especial para alcanzar las correcciones del Software de Cisco Secure - Web site de UNIX (clientes registrados solamente).

Los usuarios que no tienen una identificación válida en Cisco pueden obtener las actualizaciones y parche de software del Soporte técnico de Cisco vía el email y el teléfono. Refiera al sitio web de los contactos mundiales de Cisco.

Q. ¿Puedo actualizar de CSUnix a Cisco seguro para Windows o el Cisco Access Registrar?

A. Para la información sobre la tasación y la Disponibilidad de las “actualizaciones del lateral,” entre en contacto a su equipo de cuenta Cisco local.

Q. ¿Cómo determino mi versión de CSUnix?

A. Ejecutar este comando:

$BASE/CSU/CiscoSecure -v

El $BASE representa el directorio en el cual CSUnix está instalado.

Q. ¿Cómo reciclo (apagado y comienzo) los servicios de CSUnix?

A. Hay dos maneras diferentes de reciclar los servicios.

  • Publique el comando de /etc/rc0.d/K80CiscoSecure de apagar, después publique el comando de /etc/rc2.d/S80CiscoSecure de recomenzar.

    O

  • Publique el comando $BASE/utils/kcs de apagar, después publique el comando $BASE/utils/scs de recomenzar.

    El $BASE representa el directorio en el cual CSUnix está instalado.

Después de que recomiencen a los servicios, publique el comando $BASE/utils/psg. Visualiza una entrada para cada servicio.

Q. ¿Cómo puedo descubrir dónde CSUnix está instalado en mi máquina?

A. Para determinar ubicación de la instalación de CSUnix, publique el comando pkginfo -l CSCEacs.

Q. ¿Cómo sé qué valores fueron seleccionados durante la instalación?

A. El registro de la instalación de CSUnix se salva en $BASE/logfiles/cs_install.log, donde $BASEREPRESENTS el directorio en el cual CSUnix está instalado. Este listas de archivos que todos los valores seleccionaron durante la instalación.

Q. ¿Cuáles son los requisitos de hardware y de software para mi versión de CSUnix?

A. La Información sobre los requerimientos está en las instrucciones de instalación para su versión de software específica. La Información sobre los requerimientos también se resume en la compatibilidad de UNIX del Cisco Secure ACS.

Q. ¿Hay limitaciones de exportación en CSUnix?

A. No, CSUnix se lía con la versión exportable del Servidor FastTrack de Netscape.

Configuración e instalación del sistema

Q. ¿Cómo cambio la dirección IP, el nombre de host, o el nombre de dominio completo (FQDN) del servidor CSUnix?

A. La dirección IP, el nombre de host, y el FQDN para el servidor se salvan en varios archivos, sobre la base de la versión de CSUnix funcionando. Por esta razón, el método aceptado usado para cambiar un IP Address, el nombre de host, o el FQDN es desinstalar el software y después reinstalarlo con las configuraciones deseadas. Esta operación no afecta a la base de datos. Conservan a los usuarios y a los grupos.

Complete estos pasos para realizar los cambios a las configuraciones en su servidor CSUnix:

  1. Apague el software.
  2. Sostenga la base de datos. El Oracle o SYBASE se puede sostener por el administrador de la base de datos. Copie el csecure.db y los archivos de csecure.log a un lugar seguro para sistema de respaldo SQLAnywhere. Esto es una precaución solamente, pues las tablas no se caen durante el proceso de la desinstalación y de la reinstalación. Además, guarde una copia del archivo del $BASE/config/CSU.cfg. Este archivo contiene la información del dispositivo. $BASEREPRESENTS el directorio en el cual CSUnix está instalado.
  3. Publique el comando pkgrm CSCEacs de desinstalar el programa. Este comando sale del csecure.db y de los archivos de csecure.log en el lugar.
  4. Asegúrese de que la resolución de nombre trabaje. Para hacer esto, publique los comandos hostname, nslookup, y ifconfig tal y como se muestra en de esta salida.
    # hostname
    
    rtp-evergreen
    
    # nslookup rtp-evergreen
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Non-authoritative answer:
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # nslookup rtp-evergreen.cisco.com
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Non-authoritative answer:
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # nslookup 172.18.124.114
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # ifconfig -a
    
    lo0: flags=849<UP,LOOPBACK,RUNNING,MULTICAST> mtu 8232
    inet 127.0.0.1 netmask ff000000
    le0: flags=863<UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST> mtu 1500
    inet 172.18.124.114 netmask ffff0000 broadcast 172.18.255.255
    ether 8:0:20:76:79:f9
  5. Instale el software. Publique el comando pkgadd -d path_to_software e indique que esto es una instalación de la actualización tal y como se muestra en de esta salida.
    New CiscoSecure install             no
    .
    .
    .
    SQLAnywhere DB directory            original_path
    
    !--- Use the path in which the csecure.* files are located.
    
    Drop existing database tables       no
  6. Después de que la instalación sea completa, comience el software y asegúrese de que los servicios funcionamiento.

Q. Estoy teniendo problemas con el Domain Name System (DNS) en mi red. ¿Cómo inhabilito la resolución DNS IP al nombre del host en el sistema CSUnix de modo que no intente resolver los nombres?

A. Por abandono, CSUnix intenta resolver el IP entrante del dispositivo del cliente a un nombre de dominio completo (FQDN) y después compara el FQDN a las entradas en el archivo CSU.cfg. Si el DNS en la red no trabaja correctamente, éste puede causar la autenticación y los problemas esporádicos lentos. Para evitar que CSUnix intente la resolución, sostenga el archivo del $BASE/config/CSU.cfg (donde $BASEREPRESENTS el directorio en el cual CSUnix está instalado). Después, modifiqúelo agregando esta línea a la sección del principio con el otro NUMBERENTRIES:

NUMBER config_get_names_from_dns = 0;

Salve el archivo modificado, después recicle el servidor.

Q. ¿Cómo fijo el número de intentos fallidos de acceso al sistema aceptable?

A. Complete estos pasos para fijar este valor en las bases globales para todos los usuarios.

  1. Abra el archivo del $BASE/config/CSU.cfg ($BASEREPRESENTS el directorio en el cual CSUnix está instalado).
  2. Agregue esta línea a la sección del principio con las otras entradas NUMBER:
    NUMBER config_max_failed_authentication = n;
    Substituya n por el número de intentos fallidos permitidos.

Complete estos pasos para fijar este valor en por usuario o el para cada grupo en CSUnix versión 2.3.5.1 o más adelante:

  1. Abra el archivo del $BASE/config/CSU.cfg.
  2. Agregue esta línea a la sección del principio con las otras entradas NUMBER:
    NUMBER config_allow_global_max_failed_login_session_enable = 0;
    Porque el sistema utiliza las configuraciones globales por abandono, la línea de los tis se utiliza para apagar el máximo global de las autentificaciones que resultó mal y para permitir por usuario o los máximos del por-grupo que se fijarán.
  3. En el usuario o el perfil del grupo, agregue esta línea:
    set server max-failed-login-count = n;
    Substituya n por el número de intentos fallidos permitidos.

Q. ¿Cómo cambio el puerto predeterminado (9900) en los cuales la base de datos escucha?

precaución Precaución: CSUnix no se ha probado para la Interoperabilidad con el otro software. Las aplicaciones múltiples que se ejecutan en el mismo servidor no se soportan. Esto puede causar los problemas de rendimiento y los conflictos del puerto en los puertos con excepción del puerto del servidor de datos.

Si usted desea funcionar con las instancias múltiples de la base de datos, apague los procesos de CSUnix y modifique estos archivos para utilizar un puerto con excepción de 9900:

  • $BASE/CSU/libdb.conf

  • $BASE/FastAdmin/turbo.conf

  • $BASE/config/CSConfig.ini

El $BASE representa el directorio en el cual CSUnix está instalado.

Q. ¿Cómo veo los grupos o perfil de usuario en la interfaz de la línea de comandos?

A. Publique estos comandos en el prompt del directorio $BASE/CLI/, donde el $BASE representa el directorio en el cual CSUnix está instalado.

  • Ingrese ./ViewProfile - p 9900 - nombre de usuario u para ver un perfil del usuario.

    Substituya el nombre de usuario por el Nombre de usuario para el perfil del usuario que usted quiere ver.

  • Ingrese ./ViewProfile - p 9900 - nombre de grupo g para ver un perfil del grupo.

    Substituya el nombre de grupo por el nombre para el perfil del grupo que usted quiere ver.

Q. ¿Cómo fijo la página web de CSUnix para ejecutarme en un puerto con excepción del puerto 80?

precaución Precaución: CSUnix no se ha probado para la Interoperabilidad con el otro software. Las aplicaciones múltiples que se ejecutan en el mismo servidor no se soportan. Esto puede causar los problemas de rendimiento y los conflictos del puerto en los puertos con excepción del puerto del servidor de datos.

Si usted desea funcionar con los servidores Web múltiple, apague los procesos de CSUnix y modifique estos archivos para utilizar un puerto con excepción del puerto 80:

  • En el archivo $BASE/ns-home/httpd-servername/config (donde el $BASE representa el directorio en el cual CSUnix está instalado), puerto 80 del cambio para virar n hacia el lado de babor, donde está el nuevo puerto n en el cual usted quisiera que se ejecutara.

  • En el archivo $BASE/FastAdmin/turbo.conf, cambie NS_PATH =server/cs/al =server de NS_Path: n/cs, donde está el número del puerto n ingresado en el archivo.

Q. Olvidé mi contraseña. ¿Cómo puedo reajustar el perfil del administrador?

A. Publique estos comandos para reajustar la contraseña del administrador:

$BASE/CLI/DeleteProfile -p 9900 -u superuser
$BASE/CLI/AddProfile -p 9900 -u superuser 
           -a 'member = administrator \n privilege = web "password" 15 '

Nota: El comando second debe estar en una línea.

Substituya la contraseña en el comando second por su nueva contraseña. El $BASE representa el directorio en el cual CSUnix está instalado.

Q. ¿Cómo puedo decir qué versiones de los servidores del FastTrack de Acme, de la administración de Netscape, y de Netscape Communications son funcionando con Cisco seguro?

A. Cisco seguro utiliza una versión modificada de la versión del servidor 1.7 con fecha de noviembre 13 de la cumbre, 1996.

Para determinar las versiones del servidor de Netscape, publique estos comandos (donde el $BASE representa el directorio en el cual CSUnix está instalado):

$BASEDIR/ns-home/admserv/ns-admin -v
Netscape Communications Corporation Netscape-Administrator/2.14,sec=e

$BASEDIR/ns-home/bin/httpd/ns-httpd -v
Netscape Communications Corporation Netscape-FastTrack/2.01c

Bases de datos

Q. ¿Cuántos usuarios el requisito de espacio de disco 500�MB apoya usando las bases de datos SQLAnywheres?

A. El requisito de espacio de disco 500�MB soporta un máximo de 5,000 usuarios.

Q. ¿Cuándo se crea el archivo del csdblog_yy-mm-dd?

A. Se crea la primera vez que DBServer empieza para arriba y después se regenera el archivo del csdblog_yy-mm-dd cada 24 horas (hora aproximada).

Q. ¿Cuál es el número máximo de usuarios que se puede razonablemente mantener en un servidor CSUnix con el SQLAnywhere, el servidor Oracle, o el servidor Sybase?

A. El SQLAnywhere se soporta oficialmente para hasta 5,000 usuarios. El Oracle y SYBASE se han probado con hasta millón de usuarios, cada uno con diez pares del valor de atributo (AV). Con este muchos usuarios, mantenimiento son más rápidos con las utilidades del comando line interface(cli) en vez de la interfaz de HTML o del GUI avanzado de la Java basada. Observe que la ojeada vía el GUI puede ser muy lenta. Puede a veces ser más rápida utilizar la opción del hallazgo en el GUI avanzado o la opción del Edit (Editar) > View (Ver) en la interfaz de HTML.

Q. ¿Cómo enciendo manualmente las bases de datos SQLAnywheres?

A. Complete estos pasos para encender manualmente el motor SQLAnywhere:

  1. Fije las variables de entorno necesarias para el usuario raíz. En este ejemplo, se utiliza la concha C. También, publique estos comandos:
    setenv SQLANY $BASE/SYBSsa50
    setenv LD_LIBRARY_PATH $SQLANY/lib
    set PATH=($path $SQLANY/bin)
    
  2. Publique este comando para comenzar la base de datos:
    dbeng50 -n csecure $BASE/SQLANY/csecure.db
    
    Substituya el $BASE/SQLANY por la ubicación del archivo de bases de datos SQLAnywheres.

Q. ¿Qué valor necesito fijar para las conexiones del servidor de la base de datos?

A. En el CSUnix versión 2.3, el valor predeterminado es 10. Las Conexiones de base de datos se comparten con otras aplicaciones como las utilidades del comando line interface(cli) y el GUI cuando funcionan con y acceden la base de datos. Como regla general, el número de Conexiones de base de datos necesita igualar las autenticaciones máximas por segundo, más por lo menos 3 para otras tareas ACS, y el aproximadamente 25 por ciento para el crecimiento.

Hay otros factores que necesitan ser considerados. Si usted utiliza el CLI en línea, después usted necesita agregar el número de conexiones CLI paralelas se utilicen que. Para cada conexión CLI paralela, agregue una Conexión de base de datos adicional. Con CSUnix 2.3, el mitigar que considera utiliza hasta ocho Conexiones de base de datos cuando está habilitado.

Nota: El número de Conexiones de base de datos se basa en cómo se utiliza CSUnix. Utilice esta información solamente como guía de consulta.

Q. ¿Hay una manera que puedo ver la base de datos usando el SQL?

A. Sí, usted puede utilizar la interfaz delusuario del SQLAnywhere (ISQL) o el comando ExecSql en la línea de comando. Refiérase con el ISQL para ver la base de datos segura de Cisco para los detalles adicionales. Este documento explica la estructura de la base de datos, da un ejemplo de los expedientes, ilustra las solicitudes típicas, y muestra cómo ejecutar las interrogaciones usando el ISQL o usar el comando ExecSql a través del comando line interface(cli). También discute los comandos ViewProfile y DBClient.

Q. ¿Cómo replico la base de datos usando el software de la base de datos predeterminada (SQLAnywhere) que viene con CSUnix?

A. La réplica de base de datos con el SQLAnywhere no se soporta. Cisco soporta solamente la replicación con el servidor adaptable SyBase y el Oracle 7.3.4 y posterior.

Dos métodos usados para hacer una copia de las bases de datos SQLAnywheres se muestran aquí.

  • Los archivos de bases de datos SQLAnywheres (csecure.db y csecure.log) se pueden copiar a partir de un servidor a otro después de que apaguen a los servicios en el servidor de la fuente y el servidor de destino. Los permisos y la propiedad de los archivos deben ser lo mismo en el servidor de la fuente y el servidor de destino.

  • El comando dbbackup puede ser publicado mientras que es el servidor de la fuente hasta crea los archivos de base de datos de backup (csecure.db y csecure.log). Estos archivos se pueden entonces copiar al servidor de destino después de que apaguen a los servicios en el servidor de destino. Los permisos y la propiedad de los archivos deben ser lo mismo en el servidor de la fuente y el servidor de destino.

Q. ¿Cómo sostengo las bases de datos SQLAnywheres usando el comando dbbackup mientras que CSUnix se ejecuta?

A. Complete estos pasos para publicar el comando dbbackup de sostener las bases de datos SQLAnywheres mientras que CSUnix todavía se ejecuta.

Nota: Este procedimiento asume que usted utiliza la concha C. Si usted utiliza un diverso shell, el comando env permite que usted marque que las variables de entorno estén fijadas como se muestra aquí.

  1. Publique estos comandos para fijar las variables de entorno:
    setenv SQLANY $BASE/SYBSsa50
    setenv LD_LIBRARY_PATH $SQLANY/lib
    set path=($path $SQLANY/bin)
    setenv SATMP $SQLANY/tmp
    
  2. Publique este comando para funcionar con la utilidad dbbackup:
    
    dbbackup -c "ENG=csecure; UID=DBA; PWD=SQL" -x target_directory
    
    
    Substituya target_directory por la ubicación en donde usted quiere el csecure.db y los respaldos de csecure.log que se guardarán.

Q. ¿Puedo tener servidores CSUnix principal y de backup de modo que los dispositivos puedan conectar con el servidor de backup si el servidor primario está abajo?

A. Sí, esta conexión de recuperación tras falla a un servidor de backup se determina en el nivel del dispositivo. La mayoría de los dispositivos de Cisco permiten la Conmutación por falla cuando el servidor CSUnix primario es inasequible. Para el Routers, las entradas del host del TACACS-servidor o del host de servidor RADIUS se configuran con el nombre o los IP Addresses de los diversos servidores. La información del usuario debe estar disponible para los diversos servidores en caso de Conmutación por falla.

Q. ¿Puedo configurar CSUnix en un entorno distribuido, con toda la administración hecha en un sitio central y la base de datos distribuidos a los servidores CSUnix local?

A. Sí, usted puede configurar un entorno distribuido con CSUnix usando las bases de datos Sybase y Oracle.

Q. ¿Cómo hace la interfaz CSUnix con la base de datos? ¿Permite la creación dinámica de la cuenta que se puede entonces agregar a las bases de datos de CSUnix?

A. CSUnix proporciona un comando line interface(cli) y un GUI usados para manejar los usuarios y a los grupos. Utilice el CLI o el GUI para acceder la base de datos para manejar los perfiles, bastante que cualquier acceso directo a la base de datos con el SQL.

Q. Tengo actualmente un tipo de la base de datos adentro Cisco seguro, y quiero emigrar al usuario o los datos del grupo a una diferente base de datos teclean (por ejemplo, Oracle a SYBASE, SQLAnywhere al Oracle). ¿Cómo hago esto?

A. Complete estos pasos para exportar a los usuarios a un archivo plano y para importarlos en CSUnix de ese archivo.

Nota: Antes de la versión 2.3.6.1, este procedimiento importa solamente los perfiles TACACS+. A partir de la versión 2.3.6.1, este procedimiento también trabaja para los perfiles de RADIUS.

  1. Publique este comando para exportar a los usuarios en un archivo plano:
    $BASEDIR/utils/CSexport -p file_path -d export_file_name
    
    
    El $BASE representa el directorio en el cual CSUnix está instalado.
  2. Publique estos comandos para importar a los usuarios de este archivo plano:
    $BASEDIR/utils/CSimport -t -p file_path -s import_file_name
    
    
    !--- Run CSimport in test mode.
    
    $BASEDIR/utils/CSimport -c -p file_path -s import_file_name
    
    
    !--- Commit the changes to the database.
    
    
    En estos comandos, el export_file_name es el nombre del archivo exportado, el import_file_name es el nombre del archivo importado, y el file_path es el directorio en el cual el archivo está situado.

Q. ¿Cómo determino el número de usuarios que existan en la base de datos para cada servidor CSUnix? ¿Qué sintaxis del comando sql necesito utilizar?

A. Publique este comando del directorio $BASE/utils/bin (donde el $BASE representa el directorio en el cual CSUnix está instalado):

$BASE/utils/bin/ ./ExecSql "select count(distinct profile_id) from cs_profile"

Este comando cuenta todo el usuario y perfiles del grupo. Si usted quiere contar solamente los perfiles del usuario, substituya cs_profile por cs_user_profile.

Q. ¿Qué bases de datos o clientes de la base de datos son compatibles con mi versión de CSUnix?

A. Para la información sobre la compatibilidad, refiera a las instrucciones del instalar para su versión específica o al resumen en la compatibilidad de UNIX del Cisco Secure ACS.

Q. Tengo las bases de datos existentes (o cualquier [RDBMS] del sistema de administración de base de datos relacional) sin relación a Cisco seguro que contienen mi información del usuario. ¿CSUnix proporciona una herramienta de importación que pueda permitir que importe esta información del usuario?

A. CSUnix no proporciona una herramienta que usted puede utilizar para importar a los usuarios de una base de datos NON-Cisco-segura existente. Porque todas las bases de datos tienen cierto mecanismo para ver y para modificar los datos, la “información del usuario” se puede extraer usando el SQL. La información preguntada de las bases de datos existentes se puede recoger en un archivo plano y convertir a un formato de sintaxis de CSUnix que se pueda entonces importar en CSUnix con el comando CSimport (para el TACACS+) o el comando CSmigrate (para el RADIUS).

Administración de la Web y GUI

Q. No puedo ver todas las opciones en el ACS GUI. ¿Cómo corrijo este problema?

A. Gire el registro remoto del agente debajo Interface Configuration > Advanced Options. Marque todas las opciones que usted necesite.

Q. ¿Cómo accedo el servidor administrativo FastTrack de Netscape?

A. El servidor administrativo FastTrack se accede generalmente a través de un buscador Web. Utilice este procedimiento:

  1. Vaya a este URL:
    http://server_name:64000
    Substituya el server_name por el nombre o la dirección IP del servidor administrativo FastTrack.
  2. Ingrese su nombre de usuario y contraseña como se muestra aquí.
    Username: admin
    Password: password
    
  3. Si la contraseña no trabaja, complete estos pasos para reajustarla.
    1. Edite el archivo $BASE/ns-home/amdpw (donde el $BASE representa el directorio en el cual CSUnix está instalado).
    2. Encuentre esta línea en el archivo:
      admin:GuBqifMleNxmY
    3. Quite el texto de la contraseña encriptada después de los dos puntos y salve el archivo. Usted puede ahora iniciar sesión como admin usando una contraseña en blanco.
  4. Si usted consigue un mensaje de error del host no autorizado, complete estos pasos.
    1. Edite el archivo ns-admin.conf en el directorio $BASE/ns-home/admserv/o $BASE/ns-home/admin-serv/(donde $BASEREPRESENTS el directorio en el cual CSUnix está instalado).

      Nota:  Puede ser posible que uno de estos archivos no está presente.

    2. Borre los hosts y dirige las líneas en el archivo.

      precaución Precaución: Esté seguro de borrar solamente las líneas de los direccionamientos (conclusión en el es). No borre la línea del direccionamiento (ninguna conclusión es).

    3. Guarde el archivo.
    4. Recomience el servidor de la administración publicando el comando stop-admin y entonces el comando start-admin en el directorio $BASE/ns-home/.

Q. ¿Qué navegadores son compatibles con mi versión de CSUnix?

A. Para la información sobre la compatibilidad, refiera a las instrucciones del instalar para su versión específica o al resumen en la compatibilidad de UNIX del Cisco Secure ACS.

Servidores Token

Q. ¿Puedo agregar el servidor ACE del Security Dynamics Incorporated (SDI) después de que instale CSUnix?

A. Sí, usted puede habilitar el servidor ACE del SDI con este procedimiento.

Nota: Antes de que usted intente una integración con CSUnix, es una buena idea hacer una prueba de la autentificación del cliente SDI para asegurarse de que el SDI trabaja en sí mismo.

  1. Apague CSUnix.
  2. Agregue estas líneas al archivo del $BASE/config/CSU.cfg (donde $BASEREPRESENTS el directorio en el cual CSUnix está instalado).
    AUTHEN config_external_authen_symbols = { 
    {
    "./libsdi.so",
    "sdi"
    }
  3. Recomience CSUnix.

Usted puede también habilitar el servidor ACE del SDI usando CSUnix GUI, como se muestra aquí.

Nota: Antes de que usted intente una integración con CSUnix, realice una prueba de la autentificación del cliente SDI para asegurarse de que el SDI trabaja en sí mismo.

  1. En el menú GUI, elija el AAA > General (General).
  2. En el área de los métodos de autentificación de la ficha general, haga clic el botón de radio dinámico seguro (del servidor ACE).

Para más información, refiera a configurar Cisco UNIX seguro y Secure ID (cliente SDI).

Q. ¿Puedo instalar un servidor ACE y un CSUnix del Security Dynamics Incorporated (SDI) en la misma máquina?

A. Sí, si el TACACS+ y el RADIUS se inhabilitan en el servidor ACE del SDI. Los errores pueden ocurrir si el servidor ACE del SDI y el TACACS+ o el RADIUS se ejecutan al mismo tiempo. Esto es porque el servidor ACE del SDI puede utilizar los mismos Protocolos de autenticación en los mismos puertos.

Q. ¿Puedo utilizar la autenticación del Challenge Handshake Authentication Protocol (CHAP) con un servidor ACE del Security Dynamics Incorporated (SDI)?

A. Sí, pero la contraseña se ingresa de una diversa manera. Para más información, refiera a configurar Cisco UNIX seguro y Secure ID (cliente SDI).

Q. ¿Cuál es almacenamiento en memoria inmediata simbólico y cómo yo lo habilitan?

A. Con la autenticación token-basada, los tokens son a menudo buenos por solamente un período limitado de tiempo y no se pueden reutilizar dentro de ese período de tiempo. Estas restricciones pueden causar los problemas para el ISDN o los usuarios de links múltiples. La autenticación del Token inicial es acertada, pero las reautentificaciones subsiguientes pueden fallar porque la interfaz de usuario no permite que los usuarios entren los tokens adicionales.

Cuando se utiliza el almacenamiento en memoria inmediata simbólico, las peticiones de la reautentificación todavía se envían a CSUnix. Entonces CSUnix devuelve un PASO si se cumplen las condiciones de la sesión o del descanso.

Complete estos pasos para utilizar el almacenamiento en memoria inmediata simbólico.

  1. El almacenamiento en memoria inmediata del token se debe habilitar en el usuario o el perfil del grupo agregando esta línea:
    set server token-caching=enable
  2. Publique este comando para fijar la condición o las condiciones bajo las cuales la contraseña expira y por lo tanto cuánto tiempo la contraseña sigue siendo válida.
    set server token-caching-expire-method= [session | timeout | both]
    
    • la sesión mantiene la contraseña en memoria caché válida para la duración de la sesión original.

    • el descanso mantiene la contraseña en memoria caché válida para la cantidad de tiempo especificada.

    • ambos mantienen la contraseña en memoria caché válida para la sesión y por una determinada cantidad de hora.

  3. Si el descanso o ambos fue elegido en el paso 2, utilice este comando de fijar la cantidad de tiempo durante la cual la contraseña sigue siendo válida.
    set server token-caching-timeout=120
    

Q. ¿Las funciones ofrecidas por el CRYPTOAdmin reemplazan el soporte para CRYPTOCards que se incorpora en nuestros productos de CSUnix? ¿Cómo diferencian?

A. El servidor CRYPTOCard liado con CSUnix proporciona solamente el soporte a Token Bus, mientras que el CRYPTOAdmin es una herramienta de administración convivial usada para configurar los tokens y a los usuarios. El CRYPTOAdmin trabaja con CSUnix y proporciona a un cliente GUI que no venga unido con CSUnix. CSUnix contiene kit de herramientas CRYPTOCard. Por lo tanto, el CRYPTOAdmin complementa con eficacia CSUnix. Refiera al sitio web de CRYPTOCardleavingcisco.com para más información sobre el CRYPTOAdmin.

Contraseñas y perfiles de usuario

Q. ¿Cómo agrego los perfiles del usuario para el TACACS+ en ACS (UNIX)?

A. Para agregar este tipo de perfil a través del comando AddProfile, el cliente puede utilizar el AddProfile - [-s [Filename] de la opción s]. Los atributos se pueden poner en un archivo y pueden agregar al usuario según lo considerado aquí.

*$BASEDIR/CLI* ./AddProfile -p 9900 -u userA -s script

Estos atributos se ponen en el archivo de secuencia de comandos.

*$BASEDIR/CL>* *vi script*

password = clear "userA"
default service=permit
service=Sandvine {
set Sandvine-HomeDir = "/tmp"
set Sandvine-Group = "sv_operator,sv_admin"
set Sandvine-Shell = "/bin/sh"
}

El $BASEDIR es el directorio donde Cisco asegura está instalado.

Q. ¿Qué el mínimo y el número máximo de caracteres no se prohiben en una contraseña en CSUnix?

A. La base de datos salva las contraseñas hasta 255 caracteres. La interfaz GUI aplica el mínimo y el máximo. Para más información, refiera a la opción de ayuda en CSUnix GUI. Esto describe las reglas de la contraseña.

Q. ¿CSUnix permite que cambie mi contraseña?

A. Sí, usted puede cambiar su contraseña con el login terminal (del shell) o con CSUnix GUI. Para cambiar su contraseña con el login terminal (del shell), complete estos pasos.

Nota: Este procedimiento cambia solamente su contraseña de texto sin cifrar.

  1. Utilice el comando telnet de acceder al router.
  2. Cuando se le pregunte, ingrese su Nombre de usuario asignado.
  3. Cuando está pedido su contraseña, deje la en blanco y el Presione ENTER. La secuencia de contraseñas del cambio del mensaje aparece.
  4. Ingrese su contraseña anterior, después siga los prompts para ingresar y para confirmar su nueva contraseña.

Para cambiar su contraseña usando CSUnix GUI (interfaz de HTML), complete estos pasos.

Nota: Este procedimiento cambia automáticamente todas sus contraseñas asignadas. No hay manera de cambiar solamente algunas de sus contraseñas.

  1. Agregue esta línea a su perfil del usuario:
    privilege = web "new_password" 1
    Substituya el new_password por la nueva contraseña que usted quisiera utilizar.
  2. En un buscador Web, vaya a esta ubicación:
    http://host_name/cs
    Substituya el host_name por el nombre o la dirección IP del servidor CSUnix.
  3. Inicie sesión con su Nombre de usuario asignado y la contraseña usada en el paso 1.

Q. ¿Hace el envejecimiento de la contraseña de soporte de CSUnix?

A. Sí, pero solamente a través de la interfaz de Telnet. Marque estos elementos:

  • El perfil del usuario tiene hasta que fecha fijada para la contraseña.

  • El archivo CLI.cfg tiene líneas que definan estos valores:

    config_warning_period x
    config_expiry_period y
    

Si todos estos elementos son verdades, después el usuario recibe un mensaje de vencimiento con los días de Telnet x antes del hasta la fecha. Cuando el usuario comienza la secuencia del cambio de la contraseña dejando su espacio en blanco de la contraseña y presionando para ingresar, hasta que la fecha se incremente por los días y. Un perfil del usuario de la muestra se muestra en esta salida, con una explicación abreviada.

> ./ViewProfile -p 9900 -u abcde123

!--- In this example, abcde123 is used in place of an actual user name.

User Profile Information
user = abcde123{
profile_id = 21 
profile_cycle = 1 
password = clear "********" until "8 Aug 2001" 
}

En este ejemplo, si el archivo CSU.cfg tiene las líneas config_warning_period 5 y config_expiry_period 30, después el usuario nombrado el "abcde123" comienza a recibir las advertencias de Telnet del vencimiento de contraseña el 3 de agosto (cinco días antes del 8 de agosto). Si el usuario cambia la contraseña en la interfaz de Telnet el 6 de agosto, el untildate en el perfil se reajusta para 30 días después. Esto da lugar a una nueva fecha de vencimiento del 5 de septiembre.

Q. ¿Hay un atributo que expire un usuario después de una cantidad especificada de días de inactividad en una cuenta?

A. La desactualización de contraseña es la opción más cercana. Vea la pregunta de la desactualización de contraseña en este documento para más detalles. Si un usuario no inicia sesión por la fecha la cual la contraseña expira, después la cuenta expira.

Nota: Porque el cambio de contraseña no se soporta usando el PPP, éste significa que los trabajos de la expiración de usuarios solamente para el modo terminal inician sesión.

Q. ¿CSUnix aplica restricciones en las selecciones de contraseña? ¿Es decir rechaza “las contraseñas fáciles” o “crackable”?

A. No CSUnix no aplica ninguna políticas de restricción de contraseñas, incluyendo marcar un diccionario o recordar más viejas contraseñas. La restricción más importante es que las contraseñas deben ser una longitud mínima de seis caracteres alfanuméricos para ser validado. Los únicos caracteres válidos para contraseñas son las cartas alfabéticas (A a Z y a con z) y los números (0 a 9). Refiera al guía del usuario para más información sobre las restricciones de contraseña.

Q. ¿Si es un perfil del usuario “bloqueado,” cómo puedo desbloquear el perfil de la línea de comando?

A. Complete estos pasos para publicar el comando DBClient de desbloquear manualmente un perfil:

  1. Publique este comando en la línea de comando:
    $BASEDIR/DBClient/DBClient -p 9900
    
    El $BASE representa el directorio en el cual CSUnix está instalado.
  2. Ingrese estos valores cuando le indican.
    username: 
    admin_name
    
    
    !--- Enter your administrator user name in place of admin_name.
    
    password: 
    admin_password
    
    
    !--- Enter the administrator password in place of admin_password.
    
    
  3. El tipo abre y Presione ENTER.
  4. User_name del user = del tipo. Substituya el user_name por el nombre del perfil del usuario que usted quiere desbloquear.
  5. Presione ENTER dos veces.
  6. Teclee la salida y el Presione ENTER para cerrar la ventana de prompt de comando.

Contabilidad

Q. ¿CSUnix proporciona los informes del uso de la cuenta por usuario?

A. CSUnix no proporciona tales informes, pero esta información se puede extraer de la base de datos. La información de la cuenta como está previsto por el servidor de acceso a la red (NAS) se salva y se puede extraer en un archivo de texto usando la utilidad AcctExport. Una vez que la información de la cuenta se extrae de la base de datos, un script se puede crear para analizar los datos y para generar por usuario el informe necesario. Cuando usted publica el comando AcctExport target, quita los registros de contabilidad de la base de datos y los pone en la blanco.

Q. ¿Qué sucede si CSUnix genera los nuevos registros de contabilidad mientras que el comando AcctExport se ejecuta?

A. Los registros nuevos no son afectados puesto que el comando AcctExport recolecta los números de ID máximos en las tablas antes de que comience su operación de la exportación.

Q. ¿Cómo sé independientemente de si el comando AcctExport es acertado?

A. Si usted publica el comando AcctExport de la línea de comandos, vuelve el mensaje hecho con éxito. Si usted accede el comando AcctExport de un programa, un código de salida de 0 indica el éxito, mientras que un código de salida de 1 indica el error.

Q. ¿Si hacen las estadísticas del comando enable I, CSUnix registraron el comando exacto ingresado en el router? ¿Por ejemplo, registra un comando específico como la ruta de IP 135.52.0.0 255.255.0.0 1.1.1.1?

A. Cuando usted publica el comando aaa accounting command 15 start-stop tacacs+ en el router, la sintaxis completa de los comandos se registra en el servidor de AAA. Esta información se puede extraer de la base de datos con el comando AcctExport.

Algunos expedientes del ejemplo de los comandos de contabilidad se muestran aquí.

lab-i52.cisco.com dphillip tty18 170.69.200.7 start server=ciscosecure-sun 
     time=10:09:56 date=05/19/97 task_id=74	service=shell

lab-i52.cisco.com dphillip tty18 170.69.200.7 stop server=ciscosecure-sun 
     time=10:09:58 date=05/19/97 task_id=75 service=shell	
     priv-lvl=15 cmd=configure terminal <cr>

lab-i52.cisco.com dphillip tty18 170.69.200.7 stop server=ciscosecure-sun 
     time=10:10:03 date=05/19/97 task_id=76 service=shell 
     priv-lvl=15 cmd=ip route 1.1.1.1 255.255.255.255 Serial 0 <cr>

Q. ¿El CallerID se captura en las estadísticas?

A. Sí, el CallerID se salva en el campo del rem_addr. Puede contener el Calling Line Identification (CLID) y el Dialed Number Information Service (DNIS), que son separados por una barra diagonal (/).

Errores y depuraciones

Q. ¿Cómo corrijo el error filtrado “acceso del usuario”?

A. Inhabilite las restricciones del acceso a la red (NAR) o configurelas totalmente para el uso.

Q. ¿Cómo determino lo que falló el Tipo de mensaje “Authen” significa?

A. Observe la fecha y hora del mensaje, vaya al archivo del registro del csauth, y a la búsqueda en la fecha y hora. Una más explicación detallada del mensaje entonces se presenta.

Q. Mientras que el CSUnix instala en la base 8 de Solaris, genera los errores. ¿Por qué ocurre esto?

A. Verifique que los archivos de paquete no falten de la base instalen:

/usr/lib/libX11.so.4, a symlink pointing to /usr/openwin/lib/libX11.s0.4
/usr/lib/libXext.so.0, a symlink pointing to /usr/openwin/lib/libXext.so.0
/usr/ucblib/libucb.so.1 

Q. ¿CSUnix recibe ERROR del mensaje de Syslog '- incapaz de conseguir el nombre de NAS 134.' qué hace este medio?

A. Si hay un servidor contento de la transferencia implicado, vaya a él y quite los tacacs del servidor. Agregue los tacacs que la frecuencia 0 entonces agrega los tacacs de nuevo a ese servidor. Esto es similar a un ataque y uno de éstos resuelve este problema.

Publique estos comandos para inhabilitar las señales de mantenimiento de TACACS en el servidor CSS:

CSS(config)# no tacacs-server 10.152.4.24 49 
CSS(config)# tacacs-server frequency 0 
CSS(config)# tacacs-server 10.152.4.24 49 primary 

Q. Cuando hago el debug de en mi router, recibo un mensaje de error mutilado “protocolo”. ¿Qué significa?

A. Usted no tiene probablemente una clave de licencia válida en el archivo CSU.cfg. Sin la clave, cuando CSUnix alcanza cuatro puertos, escribe un error al archivo $BASE/logfiles/cs_startup.log (donde $BASEREPRESENTS el directorio en el cual CSUnix está instalado). Entonces envía un Licensednumber del mensaje excedido los puertos al router. El router interpreta este mensaje según lo protocolgarbled. Para más detalles en la autorización, refiera a LicensingIssues para Cisco UNIX seguro.

Q. ¿Qué necesito hacer si recibo un mensaje del “error de seguridad” cuando conecto con el GUI avanzado?

A. Edite el archivo $BASE/config/CSConfig.ini (donde $BASEREPRESENTS el directorio en el cual CSUnix está instalado), y cambie la línea ValidateClients = verdad al ValidateClients = falso. Recicle los servicios de modo que el cambio tome el efecto. Esta configuración dice CSUnix no marcar la dirección IP del administrador entrante.

Si hay una necesidad de marcar los IP Addresses, de dejar el ValidateClients = línea verdadera sin cambios y de incluir las líneas en el archivo que son similares a esta salida:

[Valid Clients]
100=chicago.cisco.com
102=1.2.3.4

Q. ¿Qué necesito hacer si recibo de “un mensaje de error demasiados abrires archivo en el registro de inicio?

A. Estos mensajes de error indican que hay demasiado pocas descripciones del archivo de Solaris disponibles.

Jan 21 19:44:54 secs1 : (Too many open files)
Jan 21 19:53:17 secs1 CiscoSecure: ERROR - error on accept: (Too many open files)

Para corregir y prevenir estos errores, modifique los archivos de configuración de CSUnix tal y como se muestra en de estos pasos.

  1. Aumente el valor del ulimit a 4096 en el archivo $BASE/bin/DBServer.sh (donde $BASEREPRESENTS el directorio en el cual CSUnix está instalado), como se muestra aquí.
    ulimit -n 4096
  2. Aumente el valor del ulimit al 256 en el archivo $BASE/bin/AcmeServer.sh, como se muestra aquí.
    ulimit -n 256
  3. Fije el valor del ulimit a ilimitado en el archivo de /etc/rc2.d/S80CiscoSecure, como se muestra aquí.
    ulimit -n unlimited

Q. ¿Qué necesito hacer si no puedo comenzar CSUnix y veo “un mensaje del fall del seminit (libsec .8187)” en el archivo de cs_startup.log?

A. Marque los permisos en el directorio de /tmp. Deben ser fijados para leer, para escribir, y para ejecutar (rwx) para los usuarios, los grupos, y otro. La salida del ls - comando ld /tmp vuelve algo similar a esto:

drwxrwxrwt 6 sys sys 317 Jul 8 12:00 /tmp

Nota: El mensaje del fall del seminit (libsec .8187) es un mensaje de error de Netscape.

Q. Qué lo hacen yo necesite hacer si intento utilizar CSUnix y recibo un “TAC+: ¿Datos recibidos presentan errores mensaje de error del servidor”?

A. Esto significa que hay o una discrepancia de clave entre el servidor de acceso a la red (NAS) y CSUnix o allí es un problema con el Domain Name System (DNS) o el Network Information Service (NIS).

Para probar su configuración, substituya la dirección IP NAS o el nombre por las comillas dobles vacías ("") en el archivo CSU.cfg. Este reemplazo permite a CSUnix para comunicar con cualquier cliente con una clave correcta. Un ejemplo de las líneas en el CSU.cfgfile antes y después del reemplazo se muestra aquí.

  • Antes:

    NAS config_nas_config = {
    {
    "192.91.124.172", /* NAS name can go here */
  • Después:

    NAS config_nas_config = {
    {
    "", /* NAS name can go here */

También intento para inhabilitar el DNS en el archivo CSU.cfg agregando esta línea a la sección del principio con el otro NUMBERENTRIES:

NUMBER config_get_dns_names = 0

Refiera al guía del usuario para más detalles.

Q. ¿Qué necesito hacer si la consola del Servidor seguro Cisco se inunda con “no puede localizar el mensaje de error del perfil del servidor”?

A. Este mensaje de error es generalmente cosmético y es probable ocurrir cuando la base de datos se copia a partir de un servidor a otro. Si hay un perfil del servidor en el servidor de la fuente pero ningún perfil del servidor en el servidor de destino, se genera este mensaje.

Para prevenir este error, usted puede agregar el perfil para el servidor CSUnix sí mismo en el GUI avanzado. O, si usted no utiliza el RADIUS, usted puede inhabilitar el RADIUS con este procedimiento:

  1. Respaldo el archivo de /etc/rc2.d/S80CiscoSecure.

  2. Edite el archivo de /etc/rc2.d/S80CiscoSecure insertando - R en la línea mostrada aquí.

    cd $BASE/CSU; $BASE/CSU/CiscoSecure -R -f $BASE/config/CSU.cfg 
    >>$BASE/logfiles/cs_startup.log 2>&1
  3. Recomience los servicios de CSUnix.

Q. ¿Cómo consigo la información de registro de protocolo y más debugging detallado abajo al byte-nivel? Cambié ya el valor del “config_logging_configuration” en el archivo CSU.cfg, pero todavía no consigo el registro del protocolo.

A. La información del debug del protocolo no se envía al Syslog. En lugar, esta información se escribe al error estándar. En la configuración normal, el servidor CSUnix cierra el descriptor del archivo de error estándar, que hace los debugs del protocolo conseguir lanzados en el bloque de memoria de bits.

Para ver los debugs del nivel del protocolo, usted necesita encender el servidor CSUnix con - c - la opción de la línea de comandos x. Esto hace el servidor de AAA ejecutarse en el primero plano y guarda su salida estándar y los descriptores del archivo de error estándar se abren. Usted entonces ve los debugs del protocolo en la consola. Estos debugs se pueden también capturar a un archivo usando el cambio de dirección del error estándar de UNIX.

Q. ¿Cómo descubro el número de archivos que un proceso tenga abierto?

A. Publique este comando en la línea de comando:

/usr/proc/bin/pfiles process_ID

Substituya el process_id por el número de ID de proceso.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 4186