Seguridad : Cisco Secure Access Control Server para Windows

Troubleshooting del servidor del control de acceso seguro (ACS 3.x y 4.x)

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Abril 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo resolver problemas de Cisco Secure Access Control Server (ACS) y resolver mensajes de error.

Para la información sobre cómo resolver problemas el Cisco Secure Access Control System (ACS 5.x y posterior), refiera al troubleshooting del sistema de control de acceso seguro (ACS 5.x y posterior).

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en la versión 3.3 y 4.x del Cisco Secure Access Control Server (ACS).

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Problema: Los recursos necesarios por el CiscoSecure Install son bloqueados

Usted puede experimentar este problema cuando usted actualiza su servidor ACS.

Solución

Si usted tiene demasiados viejos archivos del registro, usted necesita borrar “los registros de la configuración del registro local”.

Modifique el registro del ACS para guardar los tres archivos más recientes.

  1. En el ACS GUI, elija la configuración del sistema > el control de servicio. Marque el cuadro del directorio del manejo y selecciónelo para guardar solamente los tres archivos más recientes. Después recomience el ACS y pruebe la actualización.

  2. Si la opción #1 no trabaja, usted puede intentar quitar manualmente algunos archivos del registro.

    Usted debe copiar siempre los archivos a una carpeta dedicada antes de que usted los borre.

    1. En la unidad local del Servidor Windows, donde el ACS para Windows está instalado, elija la carpeta de los archivos de programa > del Cisco Secure ACS.

    2. Borre todos los registros bajo cada uno de estas carpetas:

      • * Csauth

      • * CSLog

      • * CSDbsync

      • * CSAdmin

      • * CSRadius

      • * CSTacacs

      • * CSMon

    3. Recomience el PC y reexamine la actualización.

Problema: No puede borrar el servidor de AAA, el servidor de AAA es un partner de la sincronización

No puede borrar el servidor de AAA, el servidor de AAA es un partner de la sincronización que el mensaje de error puede aparecer cuando usted borra la entrada bajo configuración de red.

Solución

Complete estos pasos en la orden resuelven este problema:

  1. Elija la configuración de la interfaz, y marque la casilla de verificación de la RDBMS synchronization (Sincronización RDBMS)

  2. Elija la configuración del sistema > la RDBMS synchronization (Sincronización RDBMS) y quite el servidor de AAA que no se puede borrar del grupo AAA que está en el partner de la sincronización

  3. Usted puede ahora borrar al Grupo de servidores AAA.

Problema: 127.0.0.1 es una dirección reservada

Usted tiene dos unidades de ACS SE 1113 y quiere replicar las bases de datos internas de primario a secundario, pero usted nota este mensaje de error en la unidad secundaria:

Inbound database replication from ACS <secondary ACS unit name> denied - shared
    secret mismatch

Cuando usted intenta modificar la clave del uno mismo del servidor de AAA bajo configuración de red se devuelve el mensaje de error.

http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-server-windows/99449-acsfolder-error-02.gif

Solución

Para resolver el problema del uno mismo de 127.0.0.1, usted puede de reserva y restore que el .DMP clasifía en las instalaciones desde el inicio del ACS para Windows 4.2 y que modifica la entrada de 127.0.0.1 con el IP Address deseado.

Nota: Estados del Id. de bug Cisco CSCso36620 (clientes registrados solamente) que el comando NIC de la palanca cambia la dirección IP del servidor de AAA a 127.0.0.1 en el GUI. Para restablecer el IP Address original en el dispositivo, publique el comando set ip.

Problema: Falla de autenticación para el Switch del nexo

La autenticación del nexo 5010 no trabaja con el TACACS+. Este mensaje de error puede también aparecer:

Message-Type : Authen failed
Authen-Failure-Code : Key Mismatch

Solución

El secreto compartido definido bajo el NDG toma la precedencia sobre el dispositivo individualmente configurado. Mire el secreto compartido configurado bajo el GOLPECITO FSW del siglo NDG, y aseegurelo hace juego con el que está configurado en el Switch del nexo.

Problema: ACS 1113 SE - Incapaz de asignar el IP Address estático

Este problema ocurre cuando usted no puede configurar el IP address estático en ACS 1113 SE.

Solución

Para resolver este problema, instale la corrección applACS-4.1-set-ip-CSCsm73656-Patch.zip, que es disponible desde descargas de Cisco (clientes registrados solamente). La corrección se adapta a todas las versiones ACS SE 4.1.

Problema: El servidor primario no es Prempt

Cuando van los servidores ACS primarios abajo, usted autentica a los usuarios con el servidor secundario. Cuando el primario está para arriba otra vez, todavía autentican a sus usuarios contra el secundario, aunque el primario se está ejecutando otra vez.

Solución

Por abandono, el ASA trabaja en el modo de agotamiento. Cambíelo al modo sincronizado de modo que cuando el servidor ACS primario llega a ser activo usted pueda volver la autenticación al primario.

Usted puede utilizar:

host(config)# aaa-server <tag> protocol radius
host(config)# reactivation mode timed
host(config)# aaa-server acsgroup deadtime 0

Opcional: Especifique la cantidad de tiempo en los minutos con el deadtime, entre cero y 1440, entre el cual transcurre cuando el servidor más reciente del grupo se inhabilita y cuando se vuelven a permitir todos los servidores. El valor por defecto es diez minutos.

Problema: No puede fijar la nueva configuración NIC

Este problema ocurre cuando usted configura el IP Address estático en ACS 1113 SE.

Solución

Para resolver este problema, el intento recrear imagen el software.

Problema: La carpeta ACS es bloqueada por otra aplicación

La carpeta ACS es bloqueada por otro mensaje de error de la aplicación aparece durante una actualización de software ACS, tal como la actualización de la versión 3.3 a 4.0

Utilice estas soluciones para solucionar el problema.

Solución 1

Complete estos pasos:

  1. En la ventana ACS, marque la configuración del sistema > el control de servicio > el control la casilla de verificación del directorio del manejo.

  2. Ingrese un valor, tal como 3, en la custodia solamente el rectángulo más reciente del _files del _.

  3. Reinicio. La actualización es probable trabajar.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-server-windows/99449-acsfolder-error-1.gif

Solución 2

Si la solución 1 no resuelve el problema, complete estos pasos:

  1. Respaldo las bases de datos ACS actuales.

    Refiera a la sección de reserva del Cisco Secure ACS del guía del usuario para el servidor del Cisco Secure ACS for Windows para más información sobre cómo realizar el respaldo de las bases de datos ACS.

  2. Funcione con el archivo clean.exe para desinstalar la versión existente ACS 3.3 (o su). Este archivo está situado en el CD bajo utilidades/soporte ACS/limpia.

  3. Reinstale ACS 3.3 del CD.

  4. Restablezca su base de datos del archivo que usted guardó en el paso 1.

    Refiera a la sección del Restore del sistema del Cisco Secure ACS del guía del usuario para el servidor del Cisco Secure ACS for Windows para más información sobre cómo restablecer las bases de datos ACS.

  5. Actualice el ACS a la versión 4.0.

    Refiera a la guía de instalación para la versión del servidor 4.0 del Cisco Secure ACS for Windows para más información sobre los procedimientos de actualización.

Problema: Error de evento

Durante el lanzamiento, el ACS SE recibe por lo menos el un servicio o driver fallado durante el lanzamiento. utilice el visor de eventos para examinar el registro de acontecimientos para el mensaje de error de los detalles.

Solución

Este error en el ACS SE no afecta a las funcionalidades del ACS unas de los. Es un error de Microsoft Windowsleavingcisco.com . Este error aparece porque el monitor, el ratón y el teclado no se pueden utilizar en el dispositivo y se inhabilitan por abandono.

El dispositivo ACS es un sistema endurecido, bloqueado-abajo y se diseña con la Seguridad en la mente. Las ventanas de las aplicaciones del dispositivo consolidan la imagen, que tiene todos los servicios y conexiones redundantes parados. Se hace para guardar todos los virus, gusanos, y atacantes del DDOS hacia fuera. Por lo tanto no hay VNC, prompt DOS, o ninguna otra manera de alcanzar la configuración de las ventanas. Los servicios como el ratón, el teclado y el monitor son cerrados.

En las raras ocasiones, indica que algo está corrompido en la imagen del dispositivo. Si usted rehace la imagen el dispositivo, repara el problema en la mayoría de los casos. Usted puede intentar rehacer la imagen el ACS también.

Problema: Mala petición del NAS

Este mensaje de error aparece:

Bad request from NAS
OR
Authen-Failure-Code=Invalid message authenticator in EAP request 

Solución

Este mensaje de error aparece generalmente debido a una discordancía en la clave secreta compartida o como en este caso NDG definida con una clave que reemplaza la clave del cliente AAA.

Problema: Incapaz de instalar el ACS versión 3.3.3 en ACS 1113

Incapaz de instalar las imágenes anterior que la versión 4.0 en ACS SE 1113.

Solución

Solamente el ACS 4.0 y posterior puede ejecutarse en ACS SE 1113. Refiera a actualizar y a emigrar al Cisco Secure ACS el motor de solución para más información sobre cómo actualizar ACS SE.

Problema: Motivo: se está editando actualmente a otra parte

Cuando usted abre la página ACS, usted puede recibir este error: Motivo: se está editando actualmente a otra parte.

Solución

Recomience los servicios ACS para resolver este problema.

Problema: El servicio del Agente Remoto no comenzará

El usuario no puede funcionar con el servicio remoto del agente.

Solución

El usuario debe ser usuario del admin local para que el servicio comience.

Problema: "Error: Tipo del auth no soportado por el externo DB” durante la autenticación de usuario

El tipo del auth no soportado por el error externo DB aparece durante la autenticación de usuario.

Solución

Este error aparece porque el protocolo de autenticación CHAP no se soporta en el Active Directory de la base de datos de Microsoft Windows (AD) cuando usted utiliza el ACS versión 3.3. Para resolver este problema, utilice el PAP en vez de la GRIETA. Refiera a la compatibilidad de la Protocolo-base de datos de la autenticación para más información sobre la compatibilidad de la Protocolo-base de datos para el ACS versión 3.3.

Problema: Incapaz de habilitar el ping al ACS

Incapaz de hacer ping ACS SE.

Solución

Apague al agente CSA en configuración del sistema --> configuración del aparato para habilitar la respuesta al ping en las versiones ACS SE anterior a 4.2. Para la descarga de los ACS versión 4.2 y posterior y instale el cisco.com de la corrección disponible desde. Refiera al ping de torneado por intervalos para más información.

Problema: “Se muestra el mensaje en curso de la actualización del dispositivo” incluso después la actualización ACS es completa.

El mensaje en curso de la actualización del dispositivo aparece, incluso después la actualización ACS es completa.

Solución

El ACS pulso después de la actualización y no puede comenzar o parar ningunos servicios.

Complete estos pasos para resolver el problema:

  1. Registro en el dispositivo ACS con una diversa cuenta de administración.

  2. En la actualización del dispositivo presente conforme a la ficha de configuración del sistema, presione la restauración o el botón de la descarga.

    Refiera al Id. de bug Cisco CSCsg89042 (clientes registrados solamente) para más información.

    Si usted no puede utilizar el GUI, intente reiniciar el dispositivo ACS para resolver el problema.

Problema: La contraseña reajustó después de la replicación

Después de la replicación, la nueva contraseña consigue la restauración a la contraseña anterior.

Solución

Este problema ocurre porque los usuarios no autentican al ACS primario. Una vez que ocurre la replicación, el primario avanza sus directivas al ACS secundario porque la replicación no es bidireccional. Esto hace la contraseña ser reajustada a la contraseña anterior.

Para resolver este problema, autentique al usuario al ACS primario, si es posible.

Problema: Problema del DST en el ACS

Los problemas del DST se consideran en el ACS.

Solución

Para resolver el problema de la hora de ahorro de luz diurna (DST) con el ACS, descargue y instale estas correcciones:

  1. applAcs-4.1.4.13.7-CSUpdate.zip

  2. applAcs-4.1.4.13.7.zip

    Nota: Aplique la corrección del csupdate primero. Entonces instale la corrección acumulativa.

Problema: "Error: No podido conseguir la configuración NIC: (falta de información) (FFFFFFFF)” en el dispositivo ACS

El error: No podido conseguir la configuración NIC: (falta de información) (FFFFFFFF) el error aparece en el dispositivo ACS.

Solución

Este error aparece generalmente si la versión correcta de la imagen ACS no se utiliza en el dispositivo ACS. Es más de los problemas de compatibilidad. Rehaga la imagen el dispositivo ACS para resolver este problema.

Refiera a rehacer la imagen la unidad de disco duro del dispositivo para más información sobre cómo rehacer la imagen el dispositivo ACS.

Problema: Incapaz de inhabilitar SSHv1 el permiso solamente SSHv2 en el dispositivo ACS

Incapaz de inhabilitar SSHv1 y de dejar solamente el SSHv2 habilitado en el dispositivo ACS.

Solución

Ahora no es posible inhabilitar SSHv1 y dejar solamente SSHv2 habilitado. SSHv1 y SSHv2 se habilitan juntos y no se pueden inhabilitar individualmente.

Problema: Incapaz de reajustar el dispositivo ACS al valor predeterminado de fábrica

Esta sección detalla qué hacer si usted no puede reajustar el dispositivo ACS a las configuraciones predeterminadas de fábrica.

Solución

El comando de los restauración-config de los acs incluye una opción para reajustar la configuración que, cuando está publicada, reajusta toda la información de configuración de ACS, pero conserva las configuraciones del dispositivo tales como configuración de red. Si usted quisiera que mirara exactamente como el valor predeterminado de fábrica, usted necesita rehacer la imagen el dispositivo.

Problema: Fallado autenticación de TACACS+ con el ACS con el problema NDG

Esta sección explica porqué la autenticación falla con el TACACS+ cuando se configura un grupo de dispositivos de red (NDG).

Solución

Asocian al mismo cliente AAA a dos diverso NDGs, a uno como cliente RADIUS y al otro como cliente TACACS, y la autenticación de las bases de datos externas del nivel NDG se habilita para el NDG con el cliente RADIUS.

Configuran a los usuarios TACACS+ en las bases de datos internas ACS. Cuando autenticación de TACACS+ viene la petición, el ACS mira en el NDG, donde configuran al mismo cliente como RADIUS.

Para evitar este problema, quite la casilla de verificación de la autenticación de las bases de datos externas del RADIUS NDG.

Problema: Bases de datos externas de Windows no operativas

Esta sección explica porqué una cierta autenticación de usuario falla con el externo un error no operativo de la base de datos.

Solución

Aquí está una lista de posibles causas y de sus soluciones:

  • La coincidencia del se muera de la versión del Agente Remoto (RA) no el ACS versión. Instale la versión correcta del RA.

  • Paran a los servicios del Agente Remoto. Recomience los servicios RA.

  • Actualice el ACS a la última versión disponible.

Problema: Usuario externo DB inválido o contraseña incorrecta

Esta sección explica porqué usted recibe el usuario del externo DB inválido o el error de la contraseña incorrecta para la autenticación en el ACS.

Solución

Revise estos consejos de Troubleshooting para resolver este problema:

  • Si ninguno cambia relacionado a la calidad de miembro AD o el nombre del sistema se hace en el servidor ACS, aseegurese para reiniciarlo para que los cambios tomen el efecto.

  • Marque la Conectividad entre el ACS y el servidor del dominio.

  • Las políticas de seguridad en el servidor del dominio deben permitir que el ACS pregunte el nombre de usuario en el Active Directory.

  • Aseegurese que hay una confianza bidireccional que existe entre el ACS y el servidor del dominio.

  • Aseegurese que el ACS está instalado en un servidor que tenga el Local y privilegios de DomainAdmin.

  • Aseegure el nombre de usuario y contraseña está correcto.

Problema: Error en el ACS cuando está accedido usando IE8

El faultCode: Server.Error.Request faultString: “FaultDetail del error del pedido de HTTP”: "Error: [Error #2032"] del text= del cancelable=false eventPhase=2 del bubbles=false " del " ioError del type=” de IOErrorEvent. URL: error de /acsview/LoadAuthenticationTrendsPortlet.do el” ocurre en el ACS cuando el ACS se accede usando el Internet Explorer 8 (IE8).

Solución

Este error ocurre porque IE8 no es soportado por el ACS. Utilice a otro navegador para resolver este problema.

Problema: Error “tipo del eap_peap no configurado”

El error no configurado del tipo del eap_peap ocurre en el ACS cuando usted intenta realizar una autenticación inalámbrica.

Solución

Este error ocurre en el ACS debido a una de estas razones:

  1. El supplicant que pide para la autenticación EAP-PEAP no se configura en el ACS. Habilite el EAP MSCHAPv2 y el EAP-GTC de la página de la autenticación global, y inhabilite la SIESTA en el servidor primario para resolver el problema.

  2. Cuando un usuario de red inalámbrica intenta autenticar a través del servidor ACS, el login falla y el mensaje de error es tipo EAP_PEAP no configurado. Esto ocurre al autenticar con un usuario configurado en la base de datos de Microsoft Windows AD, así como al autenticar con un usuario en las bases de datos ACS locales.

  3. Cuando el WLC utiliza el clave-abrigo para los FIP, pero el ACS no se ha configurado para lo mismo. Configure lo mismo en el ACS para resolver el problema.

Problema: Incapaz de hacer el motor de solución de apertura de sesión local del Cisco Secure ACS en vez de usar la capacidad del registro remoto del agente del telecontrol del Cisco Secure ACS

El problema es la incapacidad para realizar al local que abre una sesión el motor de solución del Cisco Secure ACS en vez de usar la capacidad del registro remoto del agente del telecontrol del Cisco Secure ACS.

Solución

Es posible realizar al local que abre una sesión el motor de solución del Cisco Secure ACS en vez de usar la capacidad del registro remoto del agente del telecontrol del Cisco Secure ACS. Sin embargo, obligan al local que abre una sesión el motor de solución del Cisco Secure ACS de tamaño. Esto fuerza los archivos del registro para ser reciclada después de siete días. El agente remoto del Cisco Secure ACS proporciona la capacidad de registro completa, libre a un servidor remoto.

Problema: ¿Cómo usted genera la lista completa de todos los usuarios junto con su método actual de autenticación de contraseña?

Con ACS 4.2, los métodos distintos tales como Windows/LDAP/OTP autentican a los usuarios. ¿Hay una manera de elaborar una lista completa de los usuarios con sus métodos de autenticación de contraseña?

Solución

Esto es largo si está realizada manualmente. Hay una manera de realizar esto automáticamente con la versión 4.2.1.15 ACS.

Complete estos pasos:

  1. Tome el respaldo de las bases de datos internas ACS.

  2. Ejecute el CSUtil.exe - comando del dumpUSERS.

    Esto genera un archivo de texto “userauditinfo.txt” que contenga el método de autenticación de contraseña usado para todos los usuarios disponibles.

Problema: El ACS no puede controlar el delimitador del MAC address

El ACS no puede controlar el delimitador del MAC address. El delimitador no puede ser cambiado o ser agregado.

Solución

El ACS no se diseña para controlar el delimeter del MAC address y no puede cambiar o agregar el delimeter. El cliente o el WLC controla el delimitador.

Problema: “No podido exportar las bases de datos de usuarios. Marque por favor allí es suficiente espacio en disco después vuelve a efectuar la configuración. La configuración ahora saldrá.”

El problema es la base de datos de backup no puede ser restablecido al actualizar el ACS para Windows. Se recibe un mensaje de error del espacio en disco insuficiente.

Solución

Complete esta solución alternativa:

  1. Recoja un respaldo de su base de datos.

  2. Desinstale el software ACS usando la utilidad limpia que está disponible en los paquetes FULL de los archivos de instalación del ACS versión.

  3. Reinstale el software con la misma versión.

  4. Realice un restore de la base de datos.

  5. Actualice el ACS versión otra vez.

Problema: El ACS no puede unirse al dominio y al usuario del Active Directory incapaces de autenticar

El ACS no puede unirse al dominio del Active Directory y el usuario no puede autenticar. Se recibe un error de la posición oblicua del reloj.

Solución

Este problema puede ser resuelto cambiando el huso horario y la época en el ACS de hacer juego el huso horario y el tiempo en el Active Directory.

Problema: No podía generar la contraseña válida para realizar la prueba del auth

No podía generar la contraseña válida para realizar el mensaje de error de la prueba del auth aparece en el ACS.

Solución

Para resolver este problema, vaya a la configuración del sistema y haga clic la Administración de la contraseña local. Aseegure la longitud de contraseña no es más de 9 caracteres. Si es entonces aseegurese para cambiar la longitud entre a 4 y 8 caracteres.

Problema: No puede iniciar sesión a Cisco ACS, toda la administración que los puertos son actualmente funcionando

Al autenticar como administrador, se recibe un mensaje acertado. Entonces, le remiten rápidamente a una página que muestre no pueda iniciar sesión al CiscoSecure ACS, toda la administración que los puertos son actualmente funcionando. Entre en contacto al administrador de sistema para más detalles. Esto ocurre en ACS 4.X.

Solución

Este mensaje de error indica que el rango de puertos afectado un aparato para el auto GUI reorienta es totalmente reservado y que es utilizado por otros. Para resolver esto, complete este procedimiento:

  1. Pare el servicio del csadmin y después intente iniciar sesión.

  2. Verifique la política de asignación del puerto HTTP para el administrador. La trayectoria completa se muestra aquí:

    Administration Control (Control de administración) > la política de acceso > la asignación del puerto HTTP > restringen las sesiones de la administración al rango de puertos siguiente del puerto n para virar n hacia el lado de babor

  3. Aumente el rango de los puertos según el requisito. Para más información, refiera a la configuración HTTP.

  4. Especifique un poco ocioso-tiempo-hacia fuera de la sesión en la directiva de la sesión. La trayectoria completa se muestra aquí:

    Administration Control (Control de administración) > tiempo de inactividad de la directiva de la sesión > de la sesión

    Para más información, refiera a la directiva de la sesión.

  5. A veces, recargar el ACS puede también ayudar a resolver este problema.

Problema: Operación ODBC fallada con la siguiente información: [Adaptive Server Anywhere] del [ODBC Driver] del [Sybase] del message= .....

Este error se recibe en el ACS versión 4.X: Operación ODBC fallada con la siguiente información: [Adaptive Server Anywhere] del [ODBC Driver] del [Sybase] del message= ......

Solución

El ACS versión 4.0 no instala correctamente si el servidor Sybase está instalado en la misma máquina. En ciertos casos, cuando los CiscoWorks y el ACS se utilizan en la misma máquina, este mensaje de error aparece y los problemas de las instalaciones de ACS se presentan. Esto ocurre porque los CiscoWorks utilizan SYBASE para una base de datos. Para evitar este error, usted necesita asegurarse que no haya otra aplicación que utiliza el SQL dondequiera en ese PC para instalar con éxito el software. Refiera a la sección de notas con objeto de instalan o actualizan el ACS para más información.

Problema: Incapaz de integrar el ACS con el Active Directory

Incapaz se recibe de integrar el ACS con el Active Directory, y el mensaje de error del error del estado del puerto de la samba.

Solución

Para resolver este problema, aseegure estos puertos están abierto soportar las funciones del Active Directory:

  • Puerto de la samba - TCP 445

  • LDAP - TCP 389

  • LDAP - UDP 389

  • KDC - TCP 88

  • kpasswd - TCP 464

  • NTP UDP 123

  • Catálogo global - TCP - 3268

  • DNS - UDP 53

El ACS necesita poder alcanzar todo el DCS en el dominio para que la integración ACS-AD sea completo. Incluso si uno de DCS no es accesible del ACS, la integración no sucedería. Refiera al Id. de bug Cisco CSCte92062 (clientes registrados solamente) para más información.

Problema: El ERROR de CSCOacs_Internal_Operations_Diagnostics no podía encender el bus del mensaje

¿Por qué recibo el ERROR de CSCOacs_Internal_Operations_Diagnostics no podría comenzar el mensaje del mensaje error de bus en el ACS?

Solución

Esto es un error superficial y no es un problema grave mientras ninguno del funcionamiento de la autenticación/authorizations/ACS sea afectado e indica solamente que se está restableciendo la conexión del bus del mensaje interno.

Problema: 13017 recibió el paquete TACACS+ del dispositivo o del cliente AAA de la red desconocida

¿Por qué recibo el paquete recibido 13017 TACACS+ del mensaje de error del dispositivo o del cliente AAA de la red desconocida en el ACS?

Solución

Este error sube generalmente cuando o la interfaz correcta no se configura como el cliente AAA en el ACS, o cuando la dirección IP configurada en el ACS está consiguiendo natted. Es decir la dirección IP correcta no está entrando en contacto el ACS que está causando este error. Esto puede también subir si el comando de la interfaz de origen <interface-name/id> de los tacacs del IP es problemas en el router, pero una cierta otra dirección IP se utiliza en el ACS como el direccionamiento del cliente AAA. También, inhabilitando solo-conecte en el IOS pudo ayudar a resolver este problema.

Problema: Incapaz de borrar el historial de la autenticación (éxitos o errores RADIUS) y los Syslog del ACS

Incapaz de borrar el historial de la autenticación (éxitos o errores RADIUS) y los Syslog del ACS.

Solución

No es posible borrar el historial de la autenticación del ACS. También, los registros se envían que pues los Syslog al ACS sí mismo no pueden ser borrados.

Problema: Proceso de administración en no ejecutarse y las demostraciones “que se ejecutan (el HTTP es no sensible)”

El proceso de administración no se está ejecutando y se está ejecutando de las demostraciones del proceso de administración (el HTTP es no sensible).

Solución

Este problema puede ser resuelto restableciendo un más viejo respaldo de la configuración seguida reimaging y recargando el ACS.

Problema: ¿Puedo utilizar un token del Secure ID con el respaldo SFTP las bases de datos ACS?

Solución

No, esto no es posible. El SFTP necesita un Nombre de usuario/una contraseña estáticos. Al usar un Secure ID, no puede proporcionar un Nombre de usuario/una contraseña estáticos.

Problema: Incapaz de filtrar los informes usando el Visualizador interactivo

Al intentar filtrar los informes ACS usando el Visualizador interactivo; todos los botones son greyed hacia fuera y la opción de menú del click derecho no se puebla correctamente. El Internet Explorer 8 es el navegador usado.

Solución

Esto podía ser un problema relacionado del navegador. Intente a otros navegadores como Firefox para conseguir esto para trabajar. Usted podría también intentar permitir a la “opinión de Compatitibility” sobre IE8 para hacer que las cosas aparecen correctamente.

Problema: El prompt de la autenticación aparece solamente para la primera conexión y no para las conexiones subsiguientes

Cuando un host de Windows XP envía a través del las peticiones del 802.1x al ACS vía un 3750G Switch, hay un prompt de la autenticación solamente la primera vez que el dispositivo intenta conectar con el Switch. Todas las conexiones subsiguientes se hacen sin una autenticación. ¿Por qué esto sucede y cómo se puede el prompt de la autenticación hacer para aparecer cada vez que se hace una conexión?

Solución

Para se desmarca resolver el problema, ir a las conexiones de red > a la conexión de área local > a las propiedades > a la autenticación, y aseegurar la información del usuario del caché para las conexiones subsiguientes a esta opción de red.

Problema: El prompt de la autorización aparece al usar los dispositivos de Apple con el ACS

¿Por qué un prompt de la autorización valida el certificado apareció mientras que usa los dispositivos de Apple con el ACS? ¿Puedo parar este prompt de la autorización de aparecer?

Solución

El prompt de la autorización es generado por los iDevices de Apple y no el ACS. No hay manera de configurar el ACS de una manera tal que el dispositivo de Apple pare el mostrar del prompt de la autorización.

Problema: Mensaje de error ACS - No todos los grupos del Active Directory del usuario se extraen con éxito…

Porqué es no todos los grupos del Active Directory del usuario se extraen con éxito. ¿Uno o más del nombre canónico del grupo no eran mensaje de error extraído visto en el ACS?

Solución

Este problema ocurre porque los caracteres del unicode se utilizan en el nombre del grupo en el AD. Puesto que el ACS ve a los grupos AD como texto ASCII, los caracteres del unicode no se traducen correctamente. Como consecuencia, la membresía del grupo no se extrae. Quite el carácter del unicode de la configuración AD para resolver este problema.

Problema: El ACS no registra las peticiones de la autenticación de representación

El ACS no registra las peticiones de la autenticación de representación aunque se ha habilitado el envío a través de proxy del radio.

Solución

El ACS no registra las peticiones de la autenticación de representación. El ACS lleva solamente la petición y adelante la el servidor proxy. Los registros serán solamente visibles en el servidor de RADIUS del proxy. El ACS no contribuye cualquier cosa al proceso de la autenticación/de las estadísticas del paquete. Como consecuencia, no hay mensajes ACS abierto una sesión para los paquetes proxied.

Problema: El ACS pierde la configuración cuando el repositorio se crea del GUI

El ACS pierde la configuración cuando el repositorio se crea del GUI después de que las modificaciones se hagan en el CLI.

Solución

Si usted crea el repositorio del GUI, después de que las modificaciones se hagan usando el CLI, el ACS pierde la configuración y ésta es la conducta esperada. Cuando usted para y comienza el ACS, el repositorio será reconstruido basó en la configuración salvada por el GUI. Las modificaciones hechas en el CLI a un repositorio creado por el GUI no serán transportadas a la configuración de aplicación ACS.

Problema: Incapaz de utilizar a una sesión SSH para el atributo “Login-servicio” RADIUS IETF

Incapaz de utilizar a una sesión SSH para el atributo “Login-servicio” RADIUS IETF.

Solución

No es posible utilizar a una sesión SSH para el atributo “Login-servicio” RADIUS IETF pues los atributos ACS IETF son un por-RFC estándar y no hay manera que cualquier cambio se puede realizar en él.

Problema: El error “valor demasiado de largo (nombre de servidor ACS, TacacsAuthentication), los detalles de la alarma es “considera por favor el registro del colector para el "" de los detalles

El valor demasiado de largo (name> del servidor <ACS, TacacsAuthentication), los detalles de la alarma es “considera por favor que el registro del colector para mensaje de error de los detalles” está recibido.

Solución

Marque cada uno de estos elementos para resolver este problema:

  • Verifique que el puerto de la consola del ACS tenga un cable conectado con él.

  • Quite cualquier cable innecesario.

  • Vuelva a sentar el cable si está conectado con un servidor terminal.

Problema: El cambio de la contraseña de usuario local ACS 4.x no trabaja con los dispositivos IOS que ejecutan el v1 de SSH

Cuando un usuario conecta con SSH con el sistema y utiliza una contraseña TACACS expirada, a les indican que cambien su contraseña. Sin embargo, este cambio de la contraseña no está trabajando correctamente.

Solución

Para reparar este problema, usted necesita tener v2 de SSH con la autenticación interactiva del “teclado” para el v2 de SSH fijado. El Id. de bug Cisco CSCin91851 (clientes registrados solamente) discute este comportamiento.

Problema: El registro remoto no está funcionando para ACS 4.2

El Agente Remoto ACS no puede a los mensajes del registro del motor de solución ACS, y se recibe este mensaje de error:

CSLogAgent - No puede conseguir el Número máximo de maxNumberOfConnections de las conexiones usando el valor por defecto 32

Solución

Intente desinstalar al Agente Remoto del servidor miembro, y reinstalelo con la cuenta de Domain User.

Un dispositivo IOS usando el TACACS+ para autenticar a los usuarios del ACS retraso a sus bases de datos locales

¿En qué escenario un dispositivo del IOS usando el TACACS+ para autenticaría a los usuarios del retraso ACS a sus bases de datos locales?

Solución

Un dispositivo IOS usando el TACACS+ para autenticar a los usuarios del ACS retraso a sus bases de datos locales en estos dos escenarios:

  • Cuando no está respondiendo el servidor ACS (TACACS+). En los mensajes del debug IOS, usted verá el “descanso” en entrar en contacto el servidor TACACS+. En este caso, si un retraso se configura a las bases de datos locales, el IOS retraso a los usuarios de las bases de datos locales.

  • Cuando el servidor TACACS+ envía un mensaje de error en respuesta a un pedido de autenticación.

Problema: Error de los Config: El valor de enumeración ilegal “nombre” en la clave CiscoACS\Dictionaries\005\002\Enumerations - tipo equivocado, debe ser internacional

Se considera este mensaje de error mientras que agrega un nuevo UDV y sus VSA en ACS 4.1 usando el CSUTIL o la RDBMS synchronization (Sincronización RDBMS):

Config Error: Illegal
  enumeration value 'Name' in key CiscoACS\Dictionaries\005\002\Enumerations -
  wrong type, must be int

Solución

Este problema ocurre cuando los VSA se agregan en ACS 4.1.4.13. Refiera al Id. de bug Cisco CSCsq36428 (clientes registrados solamente) para más información.

Problema: El servicio del Microsoft Windows server podía permitir la ejecución de códigos remota

El motor de solución 4.2.0.124 ACS se ha analizado y se ha encontrado para ser vulnerable a la vulnerabilidad MS08-67, descrita como: El servicio del Microsoft Windows server podía permitir la ejecución de códigos remotaleavingcisco.com .

Solución

Aplique el nombre de fichero appl_w2K3_hotfix_kb958644.zip (clientes registrados solamente) de la corrección en el motor de solución ACS. Refiera al Id. de bug Cisco CSCsy71711 (clientes registrados solamente) para más información.

Problema: Error: No puede inicializar SchemeLayer

No puede inicializar el mensaje de error de SchemeLayer al ejecutar CSUtil.exe - se recibe u.

Solución

Complete estos pasos:

  1. Retitule la carpeta conforme a la cuenta de administración que instaló la aplicación presente en los documentos de la ubicación y el settings\administrator\applicationdata\Microsoft\Crypto\RSA\S-1-5xxxxxxxxxx.

  2. Recomience los servicios ACS.

Esto crea otra carpeta y repara el api crypto quebrado. Refiera al Id. de bug Cisco CSCse90116 (clientes registrados solamente) para más información.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 99449