Seguridad : Cisco Secure Access Control Server para Windows

Secure ACS para Windows FAQ

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Preguntas


Introducción

Este documento contesta a algunas preguntas frecuentes sobre el Cisco Secure Access Control Server (ACS) para Windows.

Características admitidas

Q. ¿El sistema operativo 64-bit funciona con los Productos ACS?

A. Sí. El ACS 4.2.1 proporciona el soporte 64-bit de Windows para las ventanas ACS y el agente del telecontrol ACS. Los ACS versión antes de 4.2.1 no soportan el sistema operativo 64-bit.

Q. ¿Soportan al comando authorization en el ACS expreso?

A. No. El comando authorization está disponible solamente con el ACS (no con el ACS expreso).

Q. ¿Hace el soporte de servidor Windows ACS 4.1 y 4.2 de VMware ESX?

A. El ACS 4.1 y 4.2 se ha probado en el servidor de VMware ESX con esta configuración:

  • Servidor 3.0.0 de VMware ESX

  • 16 GB de RAM

  • Procesador de AMD Opteron Dual Core

  • 300 GB de unidad de disco duro

  • Cuatro máquinas virtuales

  • Edición estándar de Windows 2003

  • 3 GB de RAM para el sistema operativo del invitado

Q. ¿Cuándo el Point-to-Point Tunneling Protocol (PPTP) con el soporte de codificación del Microsoft Point-to-Point Encryption (MPPE) fue agregado al Cisco Secure ACS for Windows?

A. El PPTP versión 2.6 requiere la autenticación del Protocolo de autenticación de entrada en contacto Microsoft Challenge (MS-CHAP) si se va la codificación MPPE (cifrado) a ser hecha. En las versiones anteriores, la autenticación PPTP es posible. Sin embargo, el soporte para la codificación MPPE no fue agregado hasta el ACS versión 2.6.

Q. ¿El ACS soporta el protocolo microsoft challenge handshake authentication (MS-CHAP)?

A. El ACS soporta actualmente la versión MS-CHAP 1. versiones 1 y 2. del soporte MS-CHAP del 3.0 de los ACS versión y posterior.

Q. ¿Es posible utilizar el radio ACS para configurar la autenticación para el Cliente Cisco VPN?

A. Sí. Es posible utilizar el radio en el ACS versión 5.2 para configurar la autenticación para el Cliente Cisco VPN. El ACS versión 5.0 no soporta el uso del radio de configurar la autenticación para el Cliente Cisco VPN.

Q. ¿Es posible instalar Security Dynamics International (SDI) y ACS en el mismo sistema?

A. Sí, un ACS y el servidor de la Entrada de control de acceso (ACE) de SDIs se pueden funcionar con en la misma máquina. Hay también un acuerdo cliente/servidor con un ACS y un cliente ACE en una máquina y el servidor ACE en otra.

Q. ¿Cuáles son las diferencias entre el protocolo password authentication (PAP) y el Challenge Handshake Authentication Protocol (CHAP)? ¿Por qué es la GRIETA incapaz de ser utilizado con la base de datos de NT?

A. El PAP envía las contraseñas en el claro entre el usuario y el TACACS+ o el cliente RADIUS o el dispositivo. Si la contraseña está correcta, se reconoce la autenticación. De no ser así, la conexión finaliza.

La GRIETA envía un mensaje de impugnación al usuario remoto. El usuario remoto responde con un valor que calcule con el uso de una función de parcialización unidireccional. El cliente o el dispositivo marca la respuesta contra su propio cálculo del valor de troceo esperado. Si los valores hacen juego, se reconoce la autenticación. De no ser así, la conexión finaliza. Las contraseñas no se envían sin cifrar.

La GRIETA no se puede utilizar con la base de datos de NT debido a requisitos de RFC de la GRIETA los 1994)leavingcisco.com (. Estado:

La “GRIETA requiere que el secreto esté disponible en el formato de texto únicamente. Las contraseñas irreversiblemente encriptadas comúnmente disponibles no se pueden utilizar.”

Esto impide generalmente el uso de la base de datos de NT para la GRIETA, con el protocolo microsoft challenge handshake authentication (MS-CHAP) como opción.

Microsoft ofrece un hotfix que pueda proporcionar una solución alternativa para las bases de datos de usuarios del Microsoft Windows NT. Permite que las contraseñas del usuario sean guardadas en el formato de texto sin formato. Para la información adicional, refiera a la actualización de la GRIETA para la autenticación de IAS (servidor de RADIUS NT4.0) a los controladores de dominio de Windows NT4.0leavingcisco.com .

Q. ¿Hace acto ACS como un servidor proxy a otros servidores?

A. Sí, el ACS recibe los pedidos de autenticación de los servidores de acceso a la red (NASes) y adelante de ellos a otros servidores. Usted necesita definir los otros servidores. Para hacer esto, seleccione el Network Configuration (Configuración de red) > AAA Servers (Servidores AAA) en la fuente. El servidor de la fuente se define como un TACACS+ o RADIUS NAS en la blanco. Una vez que se definen ésos, configure las configuraciones del sistema distribuido en la configuración de red de origen para definir los parámetros de proxy.

Q. ¿Hay un límite en el número de servidores de acceso a la red que sean soportados por el ACS?

A. No hay límite porque es una función de cuánto soporta el registro del Windows NT. Ésta se estima para ser miles de servidores. La información de NAS no se salva en la base de datos. Se salva en el registro. Por lo tanto, cuando usted publica el comando csutil - d, usted no sostiene ninguna información de NAS.

Q. ¿Dónde está almacenada la información del usuario en ACS?

A. El ACS tiene sus propias bases de datos propietaria. Se almacena en varios archivos.

Q. ¿Se admite el desmontaje de dominio con ACS?

A. Sí. El ACS soporta el desmontaje del dominio. Esto es útil cuando hay una combinación de Virtual Private Dialup Network (VPDN) y de los usuarios NON-VPDN.

Otro uso para el desmontaje del dominio es cuando la base de datos de NT del externo se utiliza para la autenticación. La primera vez que el usuario inicia sesión, el nombre de usuario se completa automáticamente en ACS. Puesto que un usuario entra probablemente como el DOMAIN_A \ usuario o como el usuario, los nombres pueden aparecer en el ACS como “DOMAIN_A \ usuario” o como “usuario.” Esto da lugar a ambas entradas en la base de datos. Las entradas duplicadas se pueden evitar con el uso del desmontaje del dominio. Aquí es donde el dominio del prefijo con el delimitador \ se puede borrar para tener las bases de datos coherentes. Para configurar esto, seleccione Network Configuration > Proxy Distribution Table.

Q. ¿Qué significa Sincronización de sistema de administración de base de datos relacional (RDBMS)?

A. El ACS soporta las bases de datos RDBMS, tales como Oracle, para sincronizar la base de datos entre dos sistemas que utilicen cualquier RDBMS.

Q. ¿Cómo el software CRYPTOCard se maneja en el 3.0 del ACS versión y posterior?

A. En el 3.0 de los ACS versión y posterior, el componente del servidor del CRYPTOAdmin se quita del ACS. Cualquier licencia del futuro, libera o de otra manera, debe ser obtenido directamente de CRYPTOCard.

Q. ¿El relé DHCP se soporta en el ACS?

A. No El relé DHCP no se soporta en el ACS.

Q. ¿Puedo cambiar el nombre de host del servidor ACS que se ejecuta en Windows?

A. No. No es posible cambiar el nombre de host del servidor ACS que se ejecuta en Windows. El ACS se diseña por abandono para tomar el nombre de Servidor Windows como el nombre de host.

Q. ¿El ACS se soporta en Windows 2008 plataformas del servidor?

A. Sí. El ACS se soporta en el Servidor Windows 2008, y es disponible desde la corrección 4 ACS 4.2 y posterior. Refiera a Windows y a la sección soportada de los escenarios del Active Directory 2008 en los Release Note para el Cisco Secure ACS 4.2 para más información.

Q. ¿El SNMP se soporta en el ACS para Windows?

A. No El SNMP se soporta solamente en el dispositivo ACS. Refiera a la sección de soporte SNMP de los dispositivos interoperables y de las tablas del software soportados para el documento de la versión 4.2 del Cisco Secure ACS.

Q. ¿El IPv6 se soporta en el ACS?

A. No El IPv6 no se soporta en el ACS.

Q. ¿La característica PEAP-TLS se soporta en el ACS?

A. No PEAP-TLS no se soporta en el ACS.

TACACS+ y asuntos relacionados del radio

Q. ¿El RADIUS puede ofrecer asistencia al ACS?

A. El nivel de soporte RADIUS depende de la versión de ACS. El Request For Comments (RFC) 2138leavingcisco.com y 2139leavingcisco.com se soporta siempre, al igual que los atributos específicos del proveedor del software del � del Cisco IOS (VSA). Para una lista de soporte RADIUS en una versión determinada, seleccione el Network Configuration (Configuración de red) > Network Device Groups (Grupos de dispositivos de red) > AAA Clients Area (Área de clientes AAA).

Q. ¿Puede el ACS hacer la representación de traducción entre el RADIUS y TACACS+ y el revés?

A. Los proxys ACS del RADIUS-a-RADIUS o de TACACS+-to-TACACS+, sino él no pueden proxy entre los protocolos diferentes.

Q. ¿Cómo asigno los dirección IP del servidor del Domain Naming System (DNS) y del Windows Internet Naming Service (TRIUNFOS) para las conexiones PPP del ACS usando el TACACS+?

A. Usted puede especificar el DNS y GANA los dirección IP del servidor del ACS sobre por usuario una base o para un grupo de usuarios con la adición de estas líneas como atributos personalizados del IP PPP en la configuración de grupo.

dns-servers = 10.1.1.1 10.1.1.3

wins-servers = 10.1.1.5 10.1.1.16

Q. ¿Cómo asigno los dirección IP del servidor del Domain Naming System (DNS) y del Windows Internet Naming Service (TRIUNFOS) para las conexiones PPP del ACS usando el RADIUS?

A. Usted puede especificar el DNS y GANA los dirección IP del servidor del ACS sobre por usuario una base o para un grupo de usuarios con la adición de estas líneas bajo los Cisco RADIUS Attribute y pares AV en configuración de grupo.

ip:wins-server=123.1.1.1 123.1.1.2

ip:dns-servers=212.1.1.1 212.1.1.2

Q. ¿Cómo usted cambia el puerto en el cual el servidor de RADIUS escucha en las configuraciones del registro?

A. Desde la versión 2.5, el ACS escucha en el User Datagram Protocol (UDP) 1645 de los puertos RADIUS y UDP 1812 la autenticación y en los puertos 1646 y 1813 para considerar.

Si usted utiliza una versión anterior, cambie los puertos de escucha. Para hacer esto, reedite los valores de atributo de la clave correcta en el registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv2.3\CSRadius
"AuthenticationPort"=dword:1812
"AccountingPort"=dword:1813
This can also be changed in the newer version:
HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.0\CSRadius
AccountingPort = 1646
AccountingPortNew = 1813
AuthenticationPort = 1645
AuthenticationPortNew = 1812

Q. ¿Puedo cambiar el puerto predeterminado para TACACS+ a un valor que no sea TCP 49?

A. Cambie el valor predeterminado del puerto para los servicios TACACS+. Para hacer esto, edite los valores de atributo de la clave correcta en el registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.0\CSTacacs
"Port"=dword:59

Q. No quiero el consumo de recursos gasto administrativo de tener que enumerar a todos los servidores de acceso a la red (NASes) en mi red, y todos tienen las mismas claves del TACACS-servidor. ¿Cómo configuro una clave predeterminada para utilizar con mi NASes?

A. Agregue un valor por defecto NAS en la área de configuración de NAS dejando el nombre del host y el espacio en blanco de la dirección IP. Ingrese solamente la clave. Haga clic en Submit (Enviar). Usted entonces ve el NAS otros y *.*.*.*.

Nota: Este procedimiento trabaja solamente para el TACACS+, y no el RADIUS.

Q. Deseo tener un dispositivo que "hable" tanto TACACS+ y RADIUS con ACS para autenticación. Deseo uno para marcado y otro para administración del router. ¿Cómo puedo hacer esto?

A. Configure un Access Server de la red predeterminada (NAS) según lo descrito en la pregunta anterior para el TACACS+, y después enumere el NAS para el RADIUS. El NAS envía los pedidos de marcación de RADIUS al ACS en el puerto RADIUS si publican el comando aaa authentication ppp default if-needed RADIUS.

El NAS envía los pedidos de administración de router TACACS+ al ACS en el puerto TACACS+ si publican el comando aaa authentication login default TACACS+.

Asuntos relacionados de la autenticación

Q. ¿Qué necesito marcar cuando los usuarios no pueden autenticar contra la base de datos de NT?

A. Complete estos pasos para resolver problemas el problema.

  1. Marque para ver si usted puede autenticar al usuario en el dominio local. Para asegurar esto, seleccione Start > Shutdown > Close All Programs y abra una sesión como diverso usuario. Si usted no puede autenticar al usuario en el dominio local, el ACS no trabaja.
  2. Si usted ha marcado verifique los permisos de marcado de la concesión para los usuarios en la configuración de la base de datos segura de Cisco, marcan para ver si los permisos de marcado se conceden para este usuario en la base de datos de NT.
  3. Si esto es una conexión de marcado, aseegurese que el protocolo password authentication (PAP) o el protocolo microsoft challenge handshake authentication (MS-CHAP) (no GRIETA) se configura en el router y el PC.

Q. ¿Qué necesito marcar cuando los usuarios no pueden autenticar contra la base de datos del Novell Directory Server (NDS)?

A. Marque para ver si el nombre del árbol, el nombre del contexto, y el nombre del contenedor todo se especifican correctamente. Comience con un envase donde están presentes los usuarios. Usted puede agregar más envases más adelante.

Si usted es acertado, marque el NAS para ver si usted puede autenticar usuario de shell (usuario de Telnet). También asegúrese de que para el PPP usted tenga autenticación del protocolo password authentication (PAP) configurada en la interfaz asincrónica.

Q. ¿Cómo resuelvo un problema de autenticación de Security Dynamics International (SDI)?

A. Complete estos pasos para resolver problemas un problema de autenticación SDI.

  1. Autentique al usuario con el agente de prueba de la Entrada de control de acceso (ACE).
  2. Si esto trabaja, confirme que el indicador luminoso LED amarillo de la placa muestra gravedad menor está sincronizado con la base de datos. Asegúrele el cifrado del Data Encryption Standard (DES) del uso en el servidor SDI cuando se inicializa el indicador luminoso LED amarillo de la placa muestra gravedad menor. Una opción del SDI no trabaja.
  3. Traiga para arriba el monitor de actividad en el servidor ACE mientras que usted intenta la autenticación Telnet a un dispositivo.
  4. Marque para ver si hay algunos errores en el monitor de actividad en el servidor ACE.
  5. Si el servidor ACE funciona, pero hay un problema con los usuarios del dial, marque las configuraciones en los servidores de acceso a la red (NAS) para asegurarse de que el protocolo password authentication (PAP) está configurado. Entonces intente conectar como a usuario no SDI.
  6. Si esto trabaja, se espera que la conexión como usuario de SDI trabaje. Ingrese el Nombre de usuario en la lengueta del Nombre de usuario y la contraseña en la ficha de contraseña en el dial-up networking.
  7. Si el cliente de donde le dial configuran para traer para arriba la pantalla de terminal del poste después de que usted marque, le asegura el problema este comando del Authentication, Authorization, and Accounting (AAA) en el NAS:
    aaa authentication ppp default if-needed 
    tacacs+/Radius
    
    La clave es utilizar si-necesario. Esto significa que publicando autentica al usuario ya este comando aaa:
    aaa authentication login default
    	 tacacs+/radius
    
    Entonces usted no tiene que autenticar al usuario otra vez cuando usted hace el PPP. Esto también se aplica cuando usted utiliza la contraseña PAP normal.

Q. Mi autenticación ACS no trabaja para los servicios multilink. ¿Qué necesito hacer?

A. Seleccione Interface Configuration > Tacacs+ (Cisco) > Add New Service. Designe ppp como el servicio y multilink como el protocolo.

Nota: PPP y multilink van en minúscula.

Q. ¿Cuál es la política sobre la licencia del Servidor de autenticación CRYPTOAdmin para clientes de Cisco?

A. Una descripción completa de las actualizaciones del término y condición de la licencia y futuras es obtenida enviando un email a sales@cryptocard.com, el Código del producto para utilizar pues una referencia es CA5.1SC. Un paquete de la evaluación del software del servidor del CRYPTOAdmin, eso incluye una licencia limitada en el tiempo y las fichas de software, se obtienen de la página de la descarga de CRYPTOCardleavingcisco.com .

Q. Cuando giro la autenticación del permiso en el Switch o el router con los comandos tales como TACACS+ predeterminado del permiso de la autenticación aaa o telnet primaria del set authentication login tacacs enable, soy bloqueado fuera del enable mode y recibo el error en el mensaje de error de autenticación en el router. ¿Qué necesito hacer?

A. Marque los intentos fallidos inician sesión el ACS. Si el registro dice la contraseña CS inválida, puede ser que no ha habido una contraseña habilitada especial configurada para el usuario. Se requiere esto cuando usted configura la autenticación del permiso. Si usted no ve las configuraciones del TACACS+ avanzado en la Opción del usuario, seleccione Interface Configuration > Advanced Configuration Options > Advanced Tacacs+ Features y seleccione que opción para conseguir las configuraciones TACACS+ para aparecer en los ajustes de usuario. Después seleccione el privilegio máximo para cualquier cliente AAA (éste es generalmente 15) y ingrese la contraseña habilitada TACACS+ que usted quisiera que el usuario tuviera para habilita.

Q. ¿Cómo determino lo que falló el “Authen” el Tipo de mensaje significa?

A. Observe la fecha y hora del mensaje, vaya al archivo del registro del csauth, y a la búsqueda en la fecha y hora. Una más explicación detallada del mensaje entonces se presenta.

Q. El usuario no puede autenticar contra el sub-dominio usando el ACS expreso. ¿Por qué esto ocurre?

A. Este problema ocurre cuando el usuario no proporciona un Domain Name. Si el Domain Name no se proporciona, los attemps expresos ACS para añadir el Domain Name al final del fichero del dominio que el ACS expreso se une a. Si un usuario reside en un sub-dominio, y el ACS expreso se une a un dominio del padre, después el usuario necesita proporcionar un Nombre de dominio totalmente calificado (FQDN) en la autenticación del Nombre de usuario.

Q. ¿El ACS soporta QoS en la autenticación para poder dar prioridad el RADIUS sobre el TACACS?

A. No El ACS no soporta QoS en la autenticación. El ACS no dará prioridad a las peticiones de la autenticación de RADIUS sobre las peticiones TACACS o TACACS sobre el RADIUS.

Asuntos relacionados que consideran

Q. Las estadísticas ACS visualizan el reinicio de NAS del mensaje. What can cause this message to appear?

A. Los mensajes del reinicio de NAS se pueden causar por una reinicialización del dispositivo o publicando el comando tacacs-server host -.-.-.- single-connection en el Cisco IOS Software. Si el dispositivo no reinicia, publique el comando tacacs-server host -.-.-.- para cambiar la configuración para eliminar los mensajes.

Q. ¿Puedo enviar información contable a otro sistema y también mantener una copia en el sistema local?

A. Sí. Elija la configuración del sistema > orden de apertura de sesión para configurar esta opción.

Q. ¿Cisco recomienda una aplicación de software que pueda usarse para realizar informes sobre registros de contabilidad disponibles en ACS?

A. Los archivos de registro ACS se registran en uno de dos formatos:

  • El CSV clasifía — El formato del Comma-Separated Value (CSV) registra los datos en las columnas separadas por las comas. Este formato se importa fácilmente a una variedad de aplicaciones de terceros como Microsoft Excel o Microsoft Access. Después de que los datos de a archivo CSV se importen en tales aplicaciones, prepare las cartas o realice las interrogaciones, por ejemplo para determinar cuántas horas abren una sesión un usuario a la red durante un período dado.

  • Base de datos conforme a ODBC tablas — El registro de la Conectividad abierta de base de datos (ODBC) permite que usted configure el ACS para registrar directamente en las bases de datos relacionales conformes a ODBC, donde la información se salva en las tablas, una tabla por el registro. Después de que los datos se exporten a las bases de datos relacionales, utilice los datos en cualquier manera que usted necesite.

Con cualquier método, el software usado para analizar los registros está extensamente - disponible. Sin embargo, Cisco no recomienda a un proveedor específico.

Q. ¿La información de la cuenta ACS (cambio ocurre) analiza a la supervisión, al análisis, y al sistema de respuesta (MARTE)?

A. Desafortunadamente, el soporte actual en MARTE no tiene capacidad del análisis para cualquier cosa con excepción de los intentos fallidos, pasajera las autenticaciones, y los archivos de registro RADIUS.

En ACS 5.0, la opinión ACS será el vehículo para la supervisión y la información ACS, más que MARTE.

Asuntos relacionados de reserva

Q. ¿Cómo realizo el respaldo de ACS?

A. Usted puede sostener el ACS con el GUI con la ayuda de la ficha de configuración del sistema, o utilice el comando line interface(cli). Si usted utiliza el GUI, hay un respaldo de los usuarios, de los grupos, y de las configuraciones del registro. Si usted utiliza el CLI, publique estos comandos:

Para el vaciado de usuarios o grupos:

$BASE\utils\csutil -d

Para realizar una copia de seguridad de usuarios, grupos y valores del registro:

$BASE\utils\csutil -b

Para más información sobre cómo realizar un respaldo ACS, refiera cómo al respaldo la base de datos del Cisco Secure ACS for Windows.

Q. ¿Puedo utilizar la utilidad de respaldo en un ACS y luego restaurar la información en otro servidor?

A. No. La utilidad Backup (Copias de resguardorespaldo) se piensa para salvar el usuario, el grupo, y la información de registro a partir de un cuadro ACS y para restablecerla al mismo cuadro ACS que funciona con la misma versión de software. Si hay una necesidad de reproducir un cuadro ACS, la replicación está disponible en lugar de otro.

Si usted necesita copiar solamente los usuarios y a los grupos a partir de un servidor a otro, publique el comando csutil - d. El nuevo archivo del texto del volcado (.txt) entonces se copia al cuadro objetivo. Después de esto, publique el comando csutil - n - l para inicializar la base de datos e importar los usuarios y a los grupos.

Q. Consigo el CSBackupRestore(OUT) no puedo salvar el mensaje de error dominante registro cuando intento el respaldo los datos sobre el ACS. ¿Por qué este error ocurre?

A. Este error ocurre cuando el disco en el cual el ACS está instalado es totalmente lleno o escribe - protegido. Aseegurese que hay bastante espacio libre en disco y no es escribir - protegido de modo que no ocurra el error otra vez.

Asuntos relacionados de la contraseña

Q. Con Cisco Secure puede obligar a los usuarios a cambiar sus contraseñas luego de un período de tiempo determinado. ¿Puede usted hacer esto cuando usted utiliza las bases de datos para la autenticación del Windows NT?

A. Esta característica está disponible en todas las versiones, cuando usted utiliza Cisco asegura las bases de datos para la autenticación. Soporte de la oferta del 3.0 de las versiones y posterior de la versión 2 del protocolo microsoft challenge handshake authentication (MS-CHAP) y de la desactualización de contraseña MS-CHAP. Esto trabaja con el cliente del dial-up networking de Microsoft, el Cliente Cisco VPN (3.0 de las versiones y posterior), y cualquier cliente de escritorio que soporte el MS-CHAP. Esta característica le indica a que cambie su contraseña después de un login donde ha expirado la contraseña. Ofrecen los usuarios MS-GRIETA-basados de los soportes de característica de la desactualización de contraseña que autentican con una base de datos de usuario de Windows y además de la desactualización de contraseña soportada por la base de datos de Usuario usuario seguro de Cisco. Esta característica se agrega en el 3.0 ACS, pero también requiere el dispositivo o el soporte de cliente. Cisco Systems está agregando gradualmente tal dispositivo o soporte de cliente al diverso hardware.

Q. ¿Cómo los usuarios cambian sus propias contraseñas?

A. Notifican a los usuarios de cuando las contraseñas de la base de datos seguras de Cisco expiran en las conexiones de marcado si el agente de autenticación seguro de Cisco está en el PC. Una vez que los usuarios están en la red, utilizan el software de contraseña cambiable por el usuario, que se ejecuta con Microsoft IIS. Cuando los usuarios están en la red, apuntan a sus navegadores al sistema donde el Punto de control del usuario (UCP) está instalado y cambian sus contraseñas.

Q. ¿Qué algoritmo de encripción se utiliza para almacenar las contraseñas de ACS?

A. Las contraseñas se cifran con la ayuda de la versión 1.0 del proveedor criptográfico base Microsoft Crypto api, usando el algoritmo RC2 y una clave 40-bit. Para más información, refiera a las bases de datos de usuarios - Sobre la base de datos de Usuario usuario seguro de Cisco.

Q. Las configuraciones predeterminadas permiten que los usuarios cambien sus propias contraseñas conectando con el router vía Telnet. ¿Cómo inhabilito esta opción?

A. Para evitar que los usuarios cambien sus contraseñas con Telnet, complete estos pasos.

  1. Realice el respaldo del registro local.
  2. Va al HKEY_LOCAL_MACHINE \ SOFTWARE de la clave de registro \ > \ CSTacacs del your_version de Cisco \ de CiscoAAAv<
  3. CSTacacs del resaltado. Entonces click derecho y NEW-DWORD selecto para agregar un valor de registro.
  4. Cuando la nueva clave aparece del lado derecho de la ventana, escriba disablechangepassword (deshabilitar, cambiar contraseña) en la ventana de la nueva clave.
  5. El valor predeterminado para la nueva clave es 0. Esto permite que los usuarios cambien la contraseña. El click derecho en la nueva clave y selectos se modifican. Entonces cambie el valor de la clave a 1 para inhabilitar la capacidad de cambiar la contraseña.
  6. Después de que usted agregue esta nueva clave, recomience los servicios del CSTacacs y del csauth.

Q. La regla de la desactualización de contraseña TACACS+ no trabaja con SSH cuando aplique la regla del cambio de la contraseña se fija. ¿Cómo trato de esto?

A. Utilice el telnet para la autenticación.

La contraseña del usuario TACACS+ cambia, por ejemplo antes del vencimiento, durante el login no trabaje con SSH. El problema pertenece al servidor de AAA y a SSH TACACS+ para establecer la sesión. Esto no se sostiene para el RADIUS o las sesiones telnets.

El TACACS+ proporciona una característica donde si una contraseña en blanco se suministra al servidor de AAA acciona una secuencia del cambio de la contraseña. Por ejemplo, los pedidos la contraseña anterior son seguidos por la nueva contraseña. Esto depende del éxito o del error y si la nueva contraseña está validada o rechazada.

Utilice el telnet si la contraseña necesita ser cambiada antes del vencimiento. Para el comportamiento expirado de SSH de las contraseñas está muy bien mientras que entonces acciona una secuencia del cambio de la contraseña.

Al telnetting a un router un usuario puede apenas golpear ingrese en la contraseña: indique para iniciar la secuencia de contraseñas del cambio. El usuario puede también ser notificado si su contraseña está expirando o ha expirado. Esta característica no trabaja cuando usted conecta con el router con SSH.

Q. ¿Cómo recupero la contraseña para el servidor del Cisco Secure ACS?

A. Para que el procedimiento paso a paso recupere la contraseña para el servidor del Cisco Secure ACS, refiera al procedimiento para recuperación de contraseña para el motor de solución del Cisco Secure ACS que explica el proceso de recuperación detalladamente.

Problemas del Agente Remoto

Q. El descanso ocurre a veces durante la tentativa de la comunicación al agente remoto. ¿por qué?

A. Aseegurese que la versión de software en el servidor ACS y el agente remoto debe ser lo mismo. Por ejemplo, si su ACS SE funciona con la versión de software 4.1, después usted debe utilizar la versión agente remota 4.1 en el AD. Si las versiones de software no son lo mismo, la configuración no trabajará y usted puede ser que reciba este mensaje de error: Usuario externo DB inválido o contraseña incorrecta.

Q. ¿Cómo quito o borro los agentes remotos en el ACS?

A. Complete estos pasos para quitar o borrar los agentes remotos en el ACS:

  1. Vaya a los servicios en el Servidor Windows y pare el servicio del agente ACS.
  2. Vaya al ACS y pare los servicios del login. Elija la configuración del sistema > el login > la configuración del registro remoto y selecto no registre remotamente.
  3. Intente quitar el agente remoto. Refiera a borrar una configuración de Agente Remoto para más información sobre borrar un agente remoto.

Q. Cuando los agentes remotos se agregan al ACS, este error ocurre: No podido confiar todos los campos. ¿Cómo puedo resolver este error?

A. No podido para confiar todo el mensaje de error de los campos ocurre a menudo cuando una corrección no está instalada correctamente ni se corrompe. Rehacer la imagen el ACS y restablecer la configuración resuelve el error.

Problemas de la replicación

Q. ¿Si la replicación falla, qué cosas necesito buscar?

A. De la línea de comando, publique el comando net stopcsauth para parar el servicio en cada servidor. Entonces publique el comando csauth - z - p para ejecutar la fuente y la blanco en el debug, y busque los mensajes en la ventana. La salida también entra el $BASE \ el csauth \ los registros \ el archivo del auth.log. Uno o más de los servidores del Authentication, Authorization, and Accounting (AAA) se configuran mal a menudo. Por lo tanto, busque los mensajes en la blanco que el informe pregunta ilegal o los host desconocidos. Si la fuente tiene varios adaptadores de red, después hace la blanco considerar el IP Address incorrecto y rechazar la fuente como desconocido.

Q. Utilizo el ACS con los servidores en las áreas geográficamente dispersas, e interrumpen a los servicios cuando replico. ¿Cómo trato de esto?

A. Asegúrese de que los dispositivos de autenticación estén configurados para la Conmutación por falla. Es decir asegúrese que haya por lo menos dos servidores definidos para proporcionar el respaldo si un servidor es inalcanzable. (Esto es una buena idea si la replicación está implicada o no.) Por ejemplo, si el arreglo tiene un ACS en los E.E.U.U. que replican a un segundo ACS en Australia, configurar los dispositivos de autenticación para intentar los E.E.U.U. entonces Australia no es probablemente el mejor plan. Instale un segundo servidor local (en los E.E.U.U.) y repliquelo del master E.E.U.U. al esclavo E.E.U.U. Las réplicas del esclavo E.E.U.U. entonces a la Australia esclavizan.

Mensajes de registración

Q. ¿Los registros se transfieren en el formato nativo ACS o do/can que consiguen convertidos al Syslog?

A. No, son syslog nativo.

Q. ¿Cómo usted genera un archivo del registro en una base diaria en el Cisco Secure ACS SE?

A. Para cada registro CSV, el Cisco Secure ACS escribe un archivo del registro separado. Cuando un archivo del registro alcanza el 10 MB de tamaño, el Cisco Secure ACS enciende un nuevo archivo del registro. El Cisco Secure ACS conserva los 7 archivos del registro más recientes para cada registro CSV. Para más información sobre la generación de un registro, refiera a habilitar o a inhabilitar un registro CSV.

Mensajes de error

Q. ¿Cómo corrijo el error filtrado “acceso del usuario”?

A. Inhabilite las restricciones del acceso a la red (NAR) o configurelas totalmente para el uso.

Q. Cuando I configura la autenticación, recibo el Chpass me inhabilito actualmente. error cuando intento autenticar. ¿Cómo resuelvo este problema?

A. La contraseña de la cuenta del usuario se debe fijar para cambiar en el login. Para cambiar la contraseña, inhabilitan la configuración del sistema > a la Administración de la contraseña local > los cambios de contraseña de TELNET selectos de la neutralización contra este ACS y devolver el siguiente mensaje a la sesión de usuario de telnet “Chpass actualmente.” y desmarque el cuadro. Esto permite que usted cambie la contraseña.

Q. Cuando intento descargar la base de datos con el comando csutil.exe -d, da lugar al mensaje de error “no podido para inicializar el API crypto”. ¿Qué significa?

A. Usted recibe este mensaje de error cuando usted registra en el Cisco Secure ACS un servidor con una cuenta con excepción de la cuenta del admin local. Esto causa la incapacidad del comando csutils de ejecutarse.

Otra causa para este error es que las contraseñas y las claves AAA en las bases de datos ACS están cifradas con la ayuda de Microsoft API Crypto. Solamente los administradores locales y el sistema real pueden acceder la información importante necesaria para desencriptar estas contraseñas y claves.

Q. Cuando intento actualizar el Cisco Secure ACS for Windows 3.0.3 a 3.2, recibo “CARPETA ACS SOY BLOQUEADO POR el mensaje de error de OTRA APLICACIÓN”. ¿Qué necesito hacer?

A. Complete estos pasos.

  1. Funcione con la utilidad de Filemon para marcar para saber si hay cualquier “distribución de las infracciones” mientras que usted intenta la instalación.

    Nota: No utilice los servicios de terminal para actualizar y inhabilitar el servicio temporalmente.

  2. Cambie la configuración del sistema > el control de servicio > manejan el directorio para guardar solamente los siete archivos más recientes.

Q. Cuando intento traer para arriba el GUI, consigo un error de control de administración inválido. La instalación es acertada, y el funcionamiento de los servicios. ¿Cuál es el problema?

A. Generalmente, este problema se observa cuando el explorador tiene configurado un servidor proxy. Para reparar esto, inhabilite el servidor proxy totalmente y después traiga para arriba la pantalla de la administración ACS.

Q. Veo cosas impares en la GUI de ACS. Por ejemplo, los mismos usuarios aparecen en diversos grupos y no puedo eliminar usuarios de la base de datos. ¿Cómo reparo a este tipo de daño?

A. Complete estos pasos para agregar a un usuario:

  1. Agregar un registro nuevo al final del archivo.
  2. Cree un trayecto índice hacia el nuevo registro.

Si hay una interrupción de los servicios del csauth durante este proceso, es posible que el expediente está en la base de datos. Sin embargo, no puede ser editado porque utiliza las operaciones de búsqueda con el código de la indexación de direcciones.

Para limpiar la base de datos, entre la línea de comando y publique el $BASE \ el utils \ csutil - q - d - n - l comando de dump.txt.

El $BASE es el directorio donde el software está instalado. Este comando hace la base de datos ser descargado y ser recargado para aclarar los contadores.

Q. No puedo comenzar los servicios para el RADIUS después de que reinstale el software varias veces. El error de evento dice que el servicio fue terminado con el error específico 11 del servicio.

A. Hay varias diversas razones por las que usted no puede comenzar el servicio del CSRadius. El problema más común está ejecutando Windows con un Service Pack sin apoyo, o hay contención de software con otra aplicación. Las plataformas admitidas y los paquetes de servicios se especifican en la documentación sobre instalación.

Para marcar para saber si hay conflictos del puerto, vaya a la línea de comando del servidor y publique el netstat - an | findstr 1645 y netstat - an | el findstr 1644 ordena para considerar si algún otro servicio utiliza estos puertos del protocolo user data (UDP). Si otro servicio utiliza estos puertos, usted ve algo similar a esta salida:

UDP 0.0.0.0:1645 *:*

UDP 0.0.0.0:1646 *:*

Otra posible causa del mensaje de error es que los servicios del servidor de Microsoft no han comenzado probablemente. Para marcar esto, seleccione el Control Panel (Panel de control) > Services (Servicios) y asegúrese de que las opciones de servicio de servidor para comenzado y el automáticos están seleccionados.

Q. Las instalaciones de ACS fallan y veo que un error sobre NSLDAPSSL32V30.dll que diga él no puede sobregrabar el archivo. ¿Qué causa esto y cómo hacen yo resuelven el error?

A. Este error se puede causar por la contención con una instalación de la versión 1.1 del Cliente Cisco Secure VPN. Resuelva el conflicto con el retiro del cliente VPN del sistema.

Miscelánea

Q. No puedo conectar el motor de solución ACS (SE) con las bases de datos de Windows externas. ¿por qué?

A. La razón de este problema es las bases de datos de Windows externas es un sistema operativo 64-bit. Los Productos ACS con el ACS versión antes de 4.2.1 no funcionan con el sistema operativo 64-bit. En el ACS versión 4.2.1 y posterior el sistema operativo de 64 bits se soporta y por lo tanto usted puede conectar el motor de solución ACS (SE) con las bases de datos de Windows externas.

Q. ¿Cómo puedo habilitar los pares IETF # 80 - Framed-pool en un Cisco Secure ACS?

A. Usted no puede editar directamente este atributo porque el ACS GUI tiene ya una opción en cómo fijar este valor.

Dentro “de la sección de la asignación de la dirección IP” del grupo que edita, usted tiene tres opciones: “ninguna asignación del IP Address”, “asignó por el cliente de marcación manual”, y “asignado del pool del cliente AAA”. Hay una cuarta opción, “asignado del pool del servidor de AAA”, si usted tiene los pools asignados.

Usted necesita utilizar la tercera opción (“asignado del pool del cliente AAA”). La determinación este y después la determinación del nombre del pool volverán este valor en el atributo 88. Las configuraciones del lado del usuario tienen estas opciones si usted necesita esto ser configurado en un por usuario llano. También, usted necesita fijar al cliente AAA para autenticar usando RADIUS (IETF).

Q. ¿Hay herramientas disponibles que se puedan utilizar para acceder y/o para clasificar a través de los archivos?

A. No se suministra ningunas herramientas el ACS. ¿Para la información adicional, vea hace Cisco recomiendan una aplicación de software que se pueda utilizar para señalar sobre los archivos de registro disponibles en el ACS?

Q. El ACS se ha configurado de nuevo para requerir un Nombre de usuario y una contraseña iniciar sesión localmente. Ahora todo el mundo está bloqueada hacia fuera. ¿Cómo resuelvo este problema?

A. La solución a este problema depende de la versión de software en el lugar. No importa qué la versión de software usted tiene, esté seguro de sostener el registro NT primero.

En las versiones tempranas del ACS, el Nombre de usuario y el requisito de contraseña para la conexión local se modifica en el registro. Publique el comando regedit y la búsqueda para permite AutoLocalLogin. Cambie el valor de registro a 1 para permitir la conexión local, y después recicle los servicios.

En los ACS versión 2.6 y posterior, publique el comando regedit y quite a los usuarios en esta ubicación:

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAA##\CSAdmin\Administrators

Bajo los administradores cierre, vea a todos los administradores que usted ha creado. Borre los usuarios y salga del registro. Cuando usted accede el ACS, le no indican para un Nombre de usuario y una contraseña. Una vez que usted está en el GUI, agregue a los administradores.

Q. El capítulo de la documentación de ACS encendido utilidad segura de base de datos de línea de comando ACS de Cisco explica cómo a las importaciones globales a un gran número de usuarios en el ACS con el comando csutil - i. ¿Cómo hacen los servidores de acceso a la red de las importaciones globales I (NASes)?

A. El procedimiento usado al NASes de las importaciones globales es similar a la importación de los usuarios. Este archivo plano es un ejemplo:

ONLINE 
ADD_NAS:sam_i_am:IP:10.31.1.51:KEY:cisco:VENDOR:CISCO_T+ 
ADD_NAS:son_of_sam:IP:10.31.1.52:KEY:cisco:VENDOR:CISCO_R

El NASes se puede también importar en un grupo determinado de dispositivos de red. Este archivo plano es un ejemplo:

ADD_NAS:koala:IP:10.31.1.53:KEY:cisco:VENDOR:CISCO_R:NDG:my_ndg

Q. ¿Cómo obtengo ACS 3.2 para actualizar a una versión anterior?

A. Para más información, refiera al Q&A para la versión 3.2 del Cisco Secure ACS para el Windows 2000 y NT.

Q. ¿Cómo configurar la base de datos Novell Directory Server (NDS)?

A. Si usted selecciona el soporte del servidor NDS, complete estos pasos:

  1. Vea a su administrador del Novell Netware para conseguir los nombres y la otra información para el árbol, el envase, y el contexto.
  2. Haga clic en NDS Server Support (Soporte del servidor NDS).
  3. Ingrese un nombre para la configuración. Este nombre está sólo con fines informativos.
  4. Ingrese el nombre del árbol.
  5. Ingrese la lista de contexto completa, separada por puntos (.). Separe las listas del contexto múltiple con una coma y un espacio. Por ejemplo, si su organización es sociedad, su nombre de la organización es Chicago, y usted quiere ingresar dos nombres del contexto (comercialización e ingeniería), ingresa esta información:
    Engineering.Chicago.Corporation, 
    Marketing.Chicago.Corporation
    No es necesario que agregue usuarios en la lista de contexto.
  6. Haga clic en Submit (Enviar). Los cambios toman el efecto inmediatamente. Usted no necesita recomenzar el ACS.

    precaución Precaución: Si usted hace clic la cancelación, se borran sus configuraciones de la base de datos NDS.

Q. Cómo puedo hacer para conseguir las versiones exactas de mi software ACS

A. Hay dos maneras que usted puede utilizar para marcar la versión.

  • Cuando usted saca a colación al navegador, busque esto en la parte inferior de la página:

    Cisco Secure ACS v2.3 for Windows NT
     
    Release 2.3(2)
  • Traiga para arriba el prompt DOS en Cisco aseguran la máquina y el funcionamiento:

    D:\Program Files\Cisco Secure ACS v2.3\Utils>csutil
    CSUtil v2.3(2.4), Copyright 1997, Cisco Systems Inc.

Q. Mis usuarios autenticados ACS señalan los trabajos con algunos dispositivos, pero no con otros. ¿Cuál es el problema?

A. Para que los usuarios autenticados señale para trabajar (esto también se aplica a la mayoría de las otras funciones que impliquen las sesiones), los paquetes necesitan incluir por lo menos estos campos:

Paquete de petición de autenticación

nas-ip-address
nas-port

Paquete de inicio de contabilidad

nas-ip-address
nas-port
session-id
framed-ip-address

Paquete de finalización de contabilidad

nas-ip-address
nas-port
session-id
framed-ip-address

Los atributos (tales como NAS-puerto y Nas-ip-address) que aparece en los paquetes múltiples necesitan contener el mismo valor en todos los paquetes.

Si una conexión es tan abreviada que hay poca hora entre el comienzo y los paquetes de la parada (por ejemplo, HTTP con el PIX), después los usuarios conectados al sistema no trabajan.

El 3.0 de los ACS versión y posterior permite que el dispositivo envíe el NAS-puerto o el nas-port-id.

Q. Cuando obtengo acceso a ACS GUI a través del escudo de protección, la dirección para el servidor en el campo URL cambia de una dirección IP global a una dirección local. ¿Por qué ocurre esto?

A. En la versión actual del 3.0 ACS, se ha abordado este problema. El IP Address global no cambia cuando usted cambia a las páginas subsiguientes después de la conexión con el sistema inicial.

Q. ¿Un usuario puede estar en más de un grupo a la vez?

A. No. Un usuario no puede estar en más de un en un momento del grupo.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 8539