Seguridad : Cisco NAC Appliance (Clean Access)

Limpie el Access Manager FAQ

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Preguntas


Introducción

Este documento contesta lo más frecuentemente a las preguntas hechas (FAQ) relacionadas con el Access Manager limpio de Cisco. Este documento es parte uno de un conjunto de documentación de dos porciones. Refiera al Access Manager limpio FAQ 2 de Cisco para la parte dos.

Los nombres del producto han cambiado. Esta tabla enumera los nombres anteriores y los nuevos nombres:

Viejo nombre Nuevo nombre
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Q. ¿Cómo puedo reorientar a otra página del registro primero y en seguida conseguir reorientado de nuevo a la página de registro?

A. Hay dos soluciones:

  • Proporcione un link para desregistrado o los usuarios nuevos para hacer clic en de la página de registro. La página del registro puede aparecer en la trama correcta. El usuario puede registrarse primero, y después obtiene sus credenciales del login.

  • Utilice la asignación del atributo en el LDAP que indica si registran a los usuarios o no. Si no registran a los usuarios, póngalos en un rol específico (basado en la respuesta del LDAP). Entonces reoriéntelos a un sitio web del registro para obtener sus credenciales del login basadas en el papel.

Q. ¿Cómo puedo configurar la directiva de la cuarentena para el acceso a los diversos sitios de actualización tales como Windows Update, Symantec LiveUpdate, y así sucesivamente?

A. Cisco sugiere que usted fije estas reglas en esta orden para atenuar la necesidad de poner Windows Update individual o los IP Addresses de la actualización del antivirus:

  1. Permita que el DNS (su DNS puede ser interno o externo) resuelva el DNS del sitio de actualización.

  2. Bloquee todo el tráfico entrante TCP/UDP/ICMP a su red interna.

  3. El tráfico del puerto de egreso 80/443 del permiso puede atravesar tan a Windows Update y realizar la actualización.

    ca-mgr-faq-1.gif

    Cisco también recomienda que usted fija el temporizador de sesión de la cuarentena por consiguiente (por ejemplo, 20 minutos).

    ca-mgr-faq-2.gif

    Nota:  la filtración basada en el dominio de la directiva se ha agregado en las versiones 3.2 y posterior (permite windowsupdate.microsoft.com en el permiso de la directiva).

Q. ¿Dónde son los archivos del registro en Cisco Access Manager limpio?

A. El registro de acontecimientos está en el nombre de la tabla de base de datos como tabla del log_info.

Hay otro abre una sesión el Access Manager limpio de Cisco:

  • /var/log/messages - lanzamiento

  • /var/log/dhcplog - retransmisión DHCP, registros DHCP

  • ¿/tmp/perfigo-log0.log.? - registros de servicio

  • /perfigo/control/apache/logs/ * - SSL, registros de error de apache

  • /perfigo/control/tomcat/logs/localhost *. - el tomcat, reorienta, los registros del jsp

Q. Cuando inicio sesión de la red en un papel que requiera un VPN, consigo un mensaje que me diga deba utilizar a un cliente VPN para conectar. Quiero editarlo para agregar un link para descargar a un cliente VPN. ¿Dónde se localiza la página VPN?

A. Está situada en /perfigo/access/tomcat/webapps/auth/perfigo_ipsec_enforced.jsp en el servidor de acceso limpio de Cisco.

Q. ¿Dónde está el script de reserva remoto que puede tomar una foto y remitir a un servidor remoto específico que usa el FTP?

A. El script de reserva remoto está en el Access Manager limpio de Cisco en el directorio de /perfigo/control/bin nombrado como pg_backup.

Si usted lo ejecuta sin ningunos parámetros, le dice cómo necesita ser utilizado. El uso para el script es:

  • pg_backup [FTP-Server] [Username] [password]

Q. El Access Manager limpio de Cisco muestra todas las direcciones MAC como 00:00:00:00:00:00. ¿Por qué ocurre esto?

A. Esto puede ser debido a:

  • Si hay un router receptor, el Access Manager limpio de Cisco muestra la dirección MAC del router, mientras el router sea ARPing para los IP Addresses en la pregunta (por ejemplo, el IP del usuario). Si el router no está (por alguna razón), después usted tiene 00:00:00:00:00:00 como la dirección MAC del usuario.

  • Si el usuario viene adentro del lado confiado en (por ejemplo, no hay entrada ARP para el usuario en el lado untrusted), el Access Manager limpio de Cisco muestra todos los ceros.

Q. Recibí un certificado firmado SSL para nuestro Access Manager limpio de Cisco. Pensé que esto pararía la advertencia del certificado de aparecer cuando un cliente comienza el proceso de autenticación. El certificado todavía que advierte aparece. ¿Cómo resuelvo este problema?

A. Si usted no quisiera que sus usuarios finales vieran la advertencia del certificado, consiga un certificado para el servidor de acceso limpio de Cisco, no el Access Manager limpio de Cisco.

Q. ¿Si tengo un certificado firmado para el Access Manager limpio de Cisco, puedo también importarlo en el Access Servers limpio de Cisco y compartirlo?

A. No, usted no puede utilizar un certificado que usted compró para el Access Manager limpio de Cisco en el servidor de acceso limpio de Cisco. Usted necesita comprar un certificado separado para cada servidor de acceso limpio de Cisco.

Q. ¿Cómo apago el temporizador que borra certificado del dispositivo?

A. Seleccione una fecha en el futuro y haga clic el cuadro del permiso/de la neutralización para inhabilitar el temporizador certificado.

Q. Tengo dos administradores limpios del acceso de la Conmutación por falla. Agregué una llave de la licencia al administrador primario, después intentada para ir al segundo vía http://<sm2>/admin/main.jsp a agregar la misma clave al administrador secundario. Cuando golpeo “aplique el botón de la llave de la licencia”, yo consiguen un error. ¿Por qué recibo este error?

A. Usted no necesita hacer esto. La llave de la licencia se mantiene la base de datos. Hace su manera encima al administrador secundario a través de la réplica de base de datos.

Q. ¿Usted tiene soporte de la Conmutación por falla del servidor de autenticación?

A. Cisco soporta actualmente el clúster y los planes del servidor de autenticación para mirar en la Conmutación por falla del servidor de autenticación en las futuras versiones.

Q. ¿Cómo la configuración de ráfaga del ancho de banda trabaja?

A. Un factor bursty se utiliza para determinar la “capacidad” del compartimiento. Como un ejemplo, asuma que el ancho de banda es 100 kbps y el factor es 2. Por lo tanto, la capacidad del compartimiento es el Kb 100 * el Kb 2=200.

Si un usuario no envía ningún paquete por algún tiempo, tienen a lo más 200 tokens del Kb en el compartimiento. Una vez que el usuario necesita enviar los paquetes, el usuario puede enviar 200 paquetes del Kb inmediatamente. Después de eso, el usuario necesita esperar los tokens para entrar al índice de 100 kbps enviar los paquetes adicionales.

Una manera de pensar en el ajuste es que la tasa promedio es 100 kbps, y la velocidad pico es aproximadamente 200 kbps. Por lo tanto, es bueno para las aplicaciones intermitentes tales como exploración de la Web.

Q. ¿Cuál es el impacto cuando usted cambia el Network Interface Cards (NIC) en el Access Manager limpio de Cisco?

A. Si usted tiene una licencia del NON-sitio, informe al Soporte técnico de Cisco el cambio en la dirección MAC para una emisión de la nueva clave de licencia. Para un par de fallas, proporcione ambas direcciones MAC. Si usted tiene una licencia del sitio, usted no necesita informar al Soporte técnico de Cisco.

Q. El Network Interface Cards (NIC) no sube correctamente y no pasa el tráfico. ¿Qué debo hacer?

A. Éste puede ser un caso de los NIC que no son reconocidos como Broadcom NIC. Intente a:

  • Consola en el cuadro.

  • Publique el comando cd de /lib/modules/kernel-2.4.9-perfigo/drivers/addon/bcm5700.

  • Publique el comando de ./bcm5700.o del insmod.

Si estos comandos dan lugar a ningunos errores, publique el comando de VI /etc/modules.conf y agregue estas dos líneas:

alias eth0 bcm5700

alias eth1 bcm5700

Q. ¿Cómo pregunto la información del usuario de la base de datos directamente?

A. En el Access Manager limpio primario de Cisco del prompt de la raíz, ingrese este comando:

 root>psql –h 127.0.0.1 –U postgres controlsmartdb

Usted ahora está en el shell de la base de datos - controlsmartdb=#.

Ejemplos:

  • Ingrese este comando de conseguir el número de usuarios abiertos una sesión por el servidor de acceso limpio de Cisco:

    select count(*) from user_info where ss_key=
    (select ss_key from securesmart_info where ss_ip='x.x.x.x');
    

    Nota: Aseegurese le ingresar el punto y coma que se arrastra. Cambie la dirección IP para conseguir la información para el otro Access Servers limpio de Cisco.

  • Ingrese este comando de conseguir el número de usuarios abiertos una sesión por el papel:

    select count(*) from user_info where role_id=
    (select role_id from role_info where role_name='Wireless');
    

    Nota: Substituya el nombre de la función para relacionado con la información a los otros papeles.

  • Ingrese este comando de conseguir los registros de acontecimientos:

    select * from report_info;
    

Q. ¿Cómo desvío la autenticación para los iPhones en un dispositivo NAC?

A. Para los iPhones, usted puede configurar la opción de filtro del dispositivo bajo la Administración de dispositivos > los filtros > dispositivos > nuevo. Una vez que usted incluye la lista de direcciones MAC que usted quiera desviar, usted debe especificar TIENE EN CUENTA el tipo de acceso para permitir el acceso a esos dispositivos específicos. Refiera a los filtros del dispositivo de la configuración para más información.


Información Relacionada


Document ID: 63592