Seguridad : Cisco NAC Appliance (Clean Access)

Limpie el Access Manager FAQ 2

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Preguntas


Introducción

Este documento dirige lo más frecuentemente las preguntas hechas (FAQ) relacionadas con el Access Manager limpio de Cisco. Este documento es parte dos de una documentación del dos-conjunto. Refiera al Access Manager limpio FAQ de Cisco para la parte una.

Los nombres del producto han cambiado. Esta tabla enumera los nombres anteriores y los nuevos nombres:

Viejo nombre Nuevo nombre
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Q. Quisiera cambiar la página web inicial que sube cuando primero intento acceder un sitio web antes de que me registren en Cisco. ¿Cómo hago esto?

A. La página inicial que aparece los estados, “le están reorientando a la página de la autenticación de red.” Esta página no es actualmente editable porque es una secuencia de comandos CGI. Además, la página se muestra solamente un par de segundos. Los usuarios no pueden leer la visualización de texto extendida más allá de las dos líneas.

Q. ¿Cuando el número de entradas en los registros de acontecimientos pasa el número configurado en el Access Manager limpio de Cisco, las entradas se quitan de la base de datos, o el GUI muestra solamente el número especificado?

A. El umbral del registro de acontecimientos es el número de eventos que se salven en la base de datos. El número máximo de eventos del registro guardados en el servidor, por abandono, es 100,000. El umbral del registro de acontecimientos debe ser más pequeño de 200,000. El registro de acontecimientos es un registro circular. Las más viejas entradas están sobregrabadas cuando el registro pasa el umbral.

Q. Cuando usted intenta actualizar el NAC con la versión 4.6.1 a 4.7.1, es posible que usted consigue el PCI: Bug BIOS: El área MCFG en e0000000 no es E820-reserved PCI: No usando el mensaje de error MMCONFIG. ¿Por qué este error ocurre y cómo puede esto ser resuelta?

A. Este error ocurre si usted actualiza a través del monitor/del teclado y no a través del puerto de la consola.

Q. Veo mensaje del error de servidor interno "500” cuando el Access Manager limpio (activo) primario de Cisco falla encima al administrador (inactivo) espera. Las visualizaciones del administrador GUI nunca. ¿Cómo resuelvo este problema?

A. Marque /etc/ha.d/perfigo.conf para asegurarse de que el peerhostname y el ha_serial están fijados correctamente.

ca-mgr-faq2-2.gif

Q. ¿En el modo de gateway virtual, pueden yo re-etiqueta todas las máquinas en un papel (por ejemplo, Xboxes) y hacen que aparezcan estar en una red?

A. UN VLA N no retagged en el modo de gateway virtual.

Q. El Access Servers limpio de la Conmutación por falla no aparece a la Conmutación por falla correctamente. Ambo Access Servers limpio de Cisco indica que el otro está abajo. Los intentos primarios a la Conmutación por falla al secundario pero no tienen éxito. No se autentica ningunos nuevos logines durante este tiempo. ¿Por qué este problema ocurre?

A. La causa del problema puede estar en la configuración de /etc/lilo.conf y de /etc/inittab. Modifique /etc/lilo.conf y /etc/inittab para parar el cambio de dirección de la consola a la salida serial del ttyS0.

Complete estos pasos para configurar de nuevo el ttyS0 como la conexión de latido:

  1. De un cliente SSH, acceda el servidor de acceso limpio de Cisco y/o el servidor limpio del Access Manager de Cisco como usuario raíz.
  2. Edite /etc/lilo.conf y quítelo o comente hacia fuera la línea más reciente:
    append="console=ttyS0....."
    Esta línea hace la salida de la consola ser reorientada al puerto serial.

    Nota: Agregue a # carácter al comienzo de la línea para comentar hacia fuera una línea. Se ignoran las líneas que comienzan con este carácter.

  3. Edite /etc/inittab y quítelo o comente hacia fuera la línea más reciente:
    co:2345:respawn ...vt100
    Esta línea hace un terminal de inicio ser encendida en el puerto serial.
  4. Lilo y Presione ENTER del tipo en el comando prompt. Esto comienza a Lilo, el cargador de arranque de Linux.
  5. Ingrese el comando reboot de reiniciar el ordenador.
  6. Relance estos pasos en el Access Manager limpio de Cisco del par de la Conmutación por falla.

Q. Necesito desarrollar una página donde los técnicos de asistencia técnica pueden ingresar los direccionamientos MAC en la tabla de la “exclusión” para las cosas tales como impresoras, Routers, los sistemas de juego, y así sucesivamente. ¿Hay una utilidad para lograr esto?

A. El acceso limpio de Cisco proporciona un script utilitario llamado cisco_api.jsp (o perfigo_api.jsp para las versiones anteriores 3.2 y 3.3) que permita que usted realice ciertas operaciones a través del POSTE HTTPS. Aquí está el URL para la página limpia de la descripción del acceso API para su Access Manager limpio que usted pueda acceder de un buscador Web:

  • https:// <ccam-ip-or-name>/admin/cisco_api.jsp

La sección le dice cuáles son las funciones y cómo accederlos.

Importante: Requisitos de uso

  • Usted o alguien en su organización debe saber y ser cómodo con los lenguajes de la secuenciación de comandos tales como Perl.

  • Solamente se soportan el HTTPS, el POSTE y el AUTH. No se soporta el HTTP, el GET, y ninguna autenticación API.

  • Usted necesita instalar los paquetes Perl (o algo similar) en la máquina que funciona con estos scripts.

  • El Soporte técnico de Cisco no soporta el debugging de su Perl o paquetes del scripting.

Requisitos de autenticación (3.5.4+)

El API requiere la autenticación sobre el SSL para el acceso al API, con estos dos métodos de autentificación:

  • Autenticación por la sesión

    En este método, como administrador, usted puede utilizar el adminlogin y las funciones del adminlogout. Estas funciones le permiten para crear una autenticación secuencia de comandos shell que fije un Cookie con el ID de sesión que se accederá para el resto de la sesión del administrador. Si un Cookie del ID de sesión no se fija, el usuario recibe un prompt de inicio de sesión. La función del adminlogin (login del administrador) vuelve un ID de sesión, que se debe fijar como cookie para el uso de cualquier API. Usted debe entonces utilizar la función del adminlogout para terminar la sesión. Sin embargo, si usted no utiliza el adminlogout, la sesión todavía termina cuando los tiempos de la sesión del administrador hacia fuera.

  • Autenticación por la función

    Si usted no quiere utilizar los Cookie para crear secuencia de comandos shell, usted puede en lugar de otro realizar la autenticación cada vez que se utiliza una función. Si usted autentica por la función, usted necesita agregar el admin y los parámetros de la contraseña a todas las funciones que usted utilice en su script existente. En este caso, usted no utiliza el adminlogin y las funciones del adminlogout.

Soporte del acceso de invitado (3.5.8+)

El getlocaluserlist, el addlocaluser, y el deletelocaluser API se piensan para soportar el acceso de invitado para la generación dinámica del acceso de usuario de Token, y proporcionan la capacidad a:

  • Utilice una página web para acceder el acceso limpio API de Cisco para insertar un nombre de usuario del visitante o una contraseña (por ejemplo, jdoe@visitor.com, jdoe112805), y asigne un papel (por ejemplo, guest1day).

  • Borre a todos los Usuarios invitados asociados a ese papel de ese día (por ejemplo, guest1day).

  • Enumere todos los nombres de usuario asociados a ese papel (por ejemplo, todos los usuarios para guest1day).

Estos API soportan la mayoría de las implementaciones del token/de la generación de contraseña dinámicos del acceso de Usuario invitado y permiten el retiro de esos usuarios para un rol de invitado. Esto le proporciona la capacidad de crear sus propias páginas personalizadas del login o de la suscripción y después de llamar CCA el API.

Nota: Usted todavía necesita crear la contraseña/el token frontales de la generación. Para los fines contables, el acceso limpio de Cisco proporciona la funcionalidad de contabilidad de RADIUS solamente.

Ejemplo:

Aquí está una muestra (click derecho, descarga) del script de prueba Perl para la operación del “addmac”.

Usted debe instalar estos módulos en su servidor Linux para que este script se ejecute. Usted puede descargarlos de la Red integral de archivo Perlleavingcisco.com .

  • MIME-Base64-3.05.tar.gz

  • URI-1.33.tar.gz

  • HTML-Tagset-3.03.tar.gz

  • HTML-Parser-3.36.tar.gz

  • Crypt-SSLeay-0.51.tar.gz (requiere el openssl instalado)

  • libwww-perl-5.77.tar.gz

Refiera qué hacerle una vez han descargado un módulo Del CPAN para las instrucciones de instalación de módulos.

Después de la instalación, usted puede probarla con SSH al Access Manager limpio de Cisco. Vaya a /root/perl (si se asume que le instaló aquí) y ejecute el script del https-auth-poste. Una entrada MAC se agrega a los filtros globales de 192.168.151.156.

Nombre de la operación: adminlogin

Descripción — El login del administrador vuelve un ID de sesión que tenga que ser fijado como cookie para el uso de cualquier API.

Utilice el adminlogin y el adminlogout para crear secuencia de comandos shell si usted utiliza la autenticación por la sesión con los Cookie. Si no, utilice el admin y los parámetros de la contraseña en cada función.

En los Params:

  • — adminlogin (requerido) de Op. Sys.

  • admin (requerido) — Nombre de usuario de la cuenta de administración

  • passwd (requerido) — Contraseña de la cuenta de administración

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

  • ¡Si el valor del mesg es 0, otro comentario de la forma <! --session_id=SESSION_ID_STRING--> se vuelve

Nombre de la operación: adminlogout

Descripción — Terminan la sesión al administrador. El Cookie identifica la sesión.

Utilice el adminlogin y el adminlogout para crear secuencia de comandos shell si usted utiliza la autenticación por la sesión con los Cookie. Si no, utilice el admin y los parámetros de la contraseña en cada función.

En los Params:

  • — adminlogout (requerido) de Op. Sys.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

Nombre de la operación: addmac

Descripción — Agrega la dirección MAC a la lista de dispositivos.

En los Params:

  • — addmac (requerido) de Op. Sys.

  • mac (requerido) — Formatos admitidos 00:01:12:23:34:45 o 00-01-12-23-34-45 o 000112233445

  • IP (opcional) — Formatos admitidos 192.168.0.10

  • tipo (opcional) — Uno del [deny, allow, userole] de las cadenas. El valor por defecto es niega.

  • papel (opcional) — Especifique el nombre de la función. El valor por defecto es unauthenticated. Requerido si type=userole.

  • desc (opcional) — Cualquier description string.

  • ssip (opcional) — El valor por defecto es global. Proporcione la dirección IP usada para configurar el servidor de acceso limpio para limpiar el Access Manager.

  • admin (opcional) — El Nombre de usuario de la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

  • passwd (opcional) — La contraseña para la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

Nombre de la operación: removemac

Descripción — Quita la dirección MAC de la lista de los filtros del dispositivo.

En los Params:

  • — removemac (requerido) de Op. Sys.

  • mac (requerido) — Formatos admitidos 00:01:12:23:34:45 o 00-01-12-23-34-45 o 000112233445

  • ssip (opcional) — El valor por defecto es global. Proporcione la dirección IP usada para la configuración del servidor de acceso limpio para limpiar el Access Manager.

  • admin (opcional) — El Nombre de usuario de la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

  • passwd (opcional) — La contraseña para la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

Nombre de la operación: addcleanmac

Descripción — Agrega una dirección MAC a Cisco que el acceso limpio certificó la lista de dispositivos como dispositivo eximido.

En los Params:

  • — addcleanmac (requerido) de Op. Sys.

  • mac (requerido) — Formatos admitidos 00:01:12:23:34:45 o 00-01-12-23-34-45 o 000112233445

  • ssip (opcional) — El valor por defecto es global. Proporcione la dirección IP usada para configurar el servidor de acceso limpio al Access Manager limpio.

  • admin (opcional) — El Nombre de usuario de la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

  • passwd (opcional) — La contraseña para la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

Nombre de la operación: removecleanmac

Descripción — Quita la dirección MAC de la lista de dispositivos certificada acceso limpio.

En los Params:

  • — removecleanmac (requerido) de Op. Sys.

  • mac (requerido) — Formatos admitidos 00:01:12:23:34:45 o 00-01-12-23-34-45 o 000112233445

  • ssip (opcional) — El valor por defecto es global. Proporcione la dirección IP usada para configurar el servidor de acceso limpio para limpiar el Access Manager.

  • admin (opcional) — El Nombre de usuario de la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

  • passwd (opcional) — La contraseña para la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

    Usted puede tener más de un comentario del error si el SSIP no se proporciona y el MAC no se puede borrar de más de un servidor de acceso limpio.

Nombre de la operación: clearcertified

Descripción — Borra la lista de dispositivos certificada acceso limpio.

En los Params:

  • de Op. Sys. (requerido) — clearcertified

  • admin (opcional) — El Nombre de usuario de la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

  • passwd (opcional) — La contraseña para la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

Nombre de la operación: kickuser

Descripción — Golpea hacia fuera al usuario autenticado con el pie

En los Params:

  • — kickuser (requerido) de Op. Sys.

  • IP (requerido) — Proporciona la dirección IP del usuario que se quitará.

  • admin (opcional) — El Nombre de usuario de la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

  • passwd (opcional) — La contraseña para la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

Nombre de la operación: kickoobuser

Descripción — Golpea hacia fuera con el pie abierto una sesión fuera del usuario de la banda.

En los Params:

  • — kickoobuser (requerido) de Op. Sys.

  • mac (requerido) — Proporciona la dirección MAC del usuario que se quitará.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

Nombre de la operación: queryuserstime

Descripción — Pregunta el tiempo restante de los usuarios autenticados en la sesión. Solamente vuelven a los usuarios registrados en los papeles del tiempo de espera de la sesión.

En los Params:

  • — queryuserstime (requerido) de Op. Sys.

  • admin (opcional) — El Nombre de usuario de la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

  • passwd (opcional) — La contraseña para la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

  • ¡Si el valor del mesg es 0, otro comentario de la forma <! --list=iplist--> se vuelve. El formato del iplist es 10.1.10.10=23345,10.1.10.11=23001,10.1.10.12.......,IP=Time_Remaining(milliseconds).

Nombre de la operación: renewuserstime

Descripción — Renueve el tiempo de espera de la sesión de los usuarios autenticados por una sesión.

En los Params:

  • — renewuserstime (requerido) de Op. Sys.

  • lista (requerida) — El formato de la lista es 10.1.10.10, 10.1.10.11, 10.1.10.12.....IP, IP.

  • admin (opcional) — El Nombre de usuario de la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

  • passwd (opcional) — La contraseña para la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

Nombre de la operación: changeuserrole

Descripción — Cambia el papel del usuario autenticado.

En los Params:

  • — changeuserrole (requerido) de Op. Sys.

  • IP (requerido) — La dirección IP del usuario autenticado.

  • papel (requerido) — El papel este usuario tiene que ser puesto adentro.

  • admin (opcional) — El Nombre de usuario de la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

  • passwd (opcional) — La contraseña para la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

Nombre de la operación: getuserinfo

Descripción — Dado del IP, del MAC o del nombre, la información del usuario abierta una sesión se vuelve. Si hay los usuarios múltiples que hacen juego los criterios, una lista de usuarios se devuelve.

En los Params:

  • — getuserinfo (requerido) de Op. Sys.

  • qtype (requerido) — Una de las cadenas (“IP”, “mac”, “nombre”, “todos ").

  • qval (requerido) — La dirección IP o la dirección MAC o el Nombre de usuario o la cadena vacía en caso de “todos”.

  • admin (opcional) — El Nombre de usuario de la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

  • passwd (opcional) — La contraseña para la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

  • Si el valor del mesg es 0, el comentario A de la forma <!--count=10--> muestra el número de usuarios vueltos, seguido por un número de correspondencia de comentarios de la forma <!--IP=10.1.10.12,MAC=0A:13:07:9B:82:60,NAME=jdoe,PROVIDER=LDAP Server,ROLE=Student,ORIGROLE=Student,VLAN=1024,NEWVLAN=1024,OS=Windows XP--> se vuelven.

Nombre de la operación: getoobuserinfo

Descripción: Dado del IP, del MAC o del nombre, OOB abierta una sesión la información del usuario será vuelto. Si hay usuarios múltiples que corresponden con los criterios, una lista de usuarios será devuelta

En los Params:

  • — getoobuserinfo (requerido) de Op. Sys.

  • — (requerido) el qtype de las cadenas (“IP”, “mac”, “nombre”, “todos ")

  • qval (requerido) — Dirección IP o dirección MAC o Nombre de usuario o cadena vacía en caso de “todos”

  • Nombre de usuario de la cuenta de administración admin (opcional) —. Este parámetro no es necesario si usa la autenticación por la sesión.

  • contraseña del passwd (opcional) — para la cuenta de administración. Este parámetro no es necesario si usa la autenticación por la sesión.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

  • Si el valor del mesg es 0, un comentario de la forma <!--count=10--> muestra el número de usuarios vueltos, seguido por un número de correspondencia de comentarios de la forma <!--IP=10.1.10.12,MAC=0A:13:07:9B:82:60,NAME=jdoe,PROVIDER=LDAP Server,ROLE=Student,AUTHVLAN=10,ACCESSVLAN=1024,OS=Windows XP,SWITCHIP=10.1.10.1,PORTNUM=18-->.

Nombre de la operación: getcleanuserinfo

Descripción — Dado del MAC o del nombre, la información del usuario certificada se vuelve. Si hay los usuarios múltiples que hacen juego los criterios, una lista de usuarios certificados se devuelve.

En los Params:

  • — getcleanuserinfo (requerido) de Op. Sys.

  • qtype (requerido) — Una de las cadenas (“mac”, “nombre”, “todos ").

  • qval (requerido) — La dirección MAC o el Nombre de usuario o la cadena vacía en caso de “todos”.

Hacia fuera Params:

  • ¡Un comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es un éxito o bien hay una secuencia de comandos de error.

  • Si el valor del mesg es 0, un comentario de la forma <!--count=10--> muestra el número de usuarios vueltos, seguido por el mismo número de comentarios de la forma <!--MAC=0A:13:07:9B:82:60,NAME=jdoe,PROVIDER=LDAP Server,ROLE=Student,VLAN=10-->.

Nombre de la operación: getlocaluserlist

Descripción — Devuelve la lista de cuentas de usuario local configuradas con el Nombre de usuario y el nombre de la función.

En los Params:

  • — getlocaluserlist (requerido) de Op. Sys.

  • Nombre de usuario de la cuenta de administración admin (opcional) —. Este parámetro no es necesario si usa la autenticación por la sesión.

  • contraseña del passwd (opcional) — para la cuenta de administración. Este parámetro no es necesario si usa la autenticación por la sesión.

Hacia fuera Params:

  • ¡Comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0 entonces la operación es éxito o bien habrá una secuencia de comandos de error.

  • ¡Si el valor del mesg es 0, el comentario A de la forma <!--count=10--> muestra el número de usuarios vueltos, después del mismo número de comentarios de la forma <! --NAME=jdoe, ROLE=Student--> se vuelven.

Nombre de la operación: addlocaluser

Descripción — Agrega una nueva cuenta de usuario local.

En los Params:

  • — addlocaluser (requerido) de Op. Sys.

  • Nombre de usuario de la cuenta de usuario local del nombre de usuario (requerido) —.

  • contraseña del usuario de la cuenta de usuario local de los userpass (requeridos) —.

  • del userrole (requerido) — del nombre de la cuenta de usuario local rol del usuario.

  • Nombre de usuario de la cuenta de administración admin (opcional) —. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

  • contraseña del passwd (opcional) — para la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

Hacia fuera Params:

  • ¡Comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0, la operación es un éxito, si no, hay una secuencia de comandos de error.

Nombre de la operación: deletelocaluser

Descripción — Borra una cuenta de usuario local.

En los Params:

  • — deletelocaluser (requerido) de Op. Sys.

  • — (requerido) el qtype de las cadenas (“nombre”, “todos ")

  • qval (requerido) — Nombre de usuario o cadena vacía en caso de “todos”

  • Nombre de usuario de la cuenta de administración admin (opcional) —. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

  • contraseña del passwd (opcional) — para la cuenta de administración. Este parámetro no es necesario si usted utiliza la autenticación por la sesión.

Hacia fuera Params:

  • ¡Comentario de la forma <! --error=mesg--> se vuelve. Si el valor del mesg es 0, la operación es un éxito, si no, hay una secuencia de comandos de error.

Q. ¿Si el temporizador de sesión se fija a 0 para un papel, y un usuario en ese papel apaga la máquina y va a casa, se vuelve por la mañana y gira la máquina, requieren al usuario abrir una sesión otra vez?

A. Una sesión del usuario persiste hasta que ocurra uno de éstos:

  • El usuario termina una sesión la red.

  • Un administrador golpea manualmente al usuario con el pie de la red.

  • Los tiempos de la sesión hacia fuera debido al temporizador de sesión. Tiempo de espera de la sesión, en el cual caen al usuario sin importar el estado de la conexión o la actividad. La configuración se aplica a todos los usuarios, si localmente o externamente autenticado.

  • El servidor de acceso limpio de Cisco determina que el usuario está conectado no más usando el temporizador Heartbeat (de latido).

  • El temporizador Heartbeat (de latido) fija el número de minutos después de lo cual un intento de conexión del servidor de acceso limpio de Cisco termina una sesión a un usuario la red si es inalcanzable.

Explicaciones adicionales:

  • Si el temporizador de sesión es 0 y el temporizador Heartbeat (de latido) no se fija, no caen de los usuarios en línea y no es re-inicio al usuario requerido.

  • Si el temporizador de sesión es 0 y se fija el temporizador Heartbeat (de latido), después el temporizador Heartbeat (de latido) toma el efecto.

  • Si el temporizador de sesión es no-cero y el latido del corazón no se fija, después el temporizador de sesión toma el efecto.

  • Si se fijan ambos temporizadores, el primer temporizador que se alcanzará se activa primero.

  • Si el usuario termina la sesión y apaga la máquina, caen de los usuarios en línea y es re-inicio al usuario requerido.

Nota: Un cliente Clean Access Agent de Cisco no envía una petición del logout al servidor de acceso limpio de Cisco cuando es la máquina del cliente apaga basado en la configuración de conexión basada sesión limpia del acceso API (antes CleanMachine) de Cisco.

Q. Me he asegurado de que el plug in de barrido Nessus 11011 SMB en el puerto 445 está desmarcado pero todavía aparece en el informe de la exploración del usuario. ¿Por qué ocurre esto?

/image/gif/paws/63593/ca-mgr-faq2-3.gif

A. Si usted ha girado otros plug-in que marcan al administrador de LAN del Windows NT (NTLM) por ejemplo 12054 vulnerabilidades del análisis ASN.1 (control NTLM), la exploración 11011 todavía se activa mientras que la exploración baja y los 11011 está señalada como tipo de información.

Mientras usted no haya hecho 11011 una vulnerabilidad, no acciona ninguna respuesta con excepción de la INFORMACIÓN en el informe.

Nota: Comenzando con la versión 3.2.13, los usuarios ven solamente los informes de los plug-in seleccionados.

Q. Cuando realizo una Conmutación por falla, veo la BASE DE DATOS, el CREATE DATABASE, y el pg_restore del DESCENSO: [archiver (db)] no podía ejecutar la interrogación: ERROR: No puede crear los mensajes del registro de los valores únicos en /var/log/messages o /var/log/ha-log. ¿Por qué ocurre esto?

A. La base de datos inconsistente es probablemente a causa a un problema de la actualización. Si sucede esto después de que una actualización, ejecute el dbupgrade.sql otra vez y señale al Soporte técnico de Cisco los mensajes de error que usted ve.

Q. ¿Se puede la base de datos limpia del Access Manager de Cisco preguntar remotamente con el SQL?

A. No, el servidor permite solamente las conexiones locales por razones de seguridad.

Q. ¿Cómo realizo un backup de la base de datos manual?

A. Complete estos pasos.

  1. Inicie sesión como raíz en el cuadro limpio del Access Manager de Cisco.
  2. Tipo su – postgres para conmutar al usuario al postgres.
  3. Pg_dump del tipo – controlsmartdb h 127.0.0.1 – D – f sm_back_092004.sql para crear el volcado de la base de datos. Este comando crea un archivo llamado sm_back_092004.sql en el directorio de /var/lib/pgsql.
  4. SCP este archivo.

Q. ¿Cómo reconstruyo la base de datos?

A. Publique estos comandos en esta orden.

  1. mantenga la parada del perfigo
  2. su – postgres
  3. dropdb – controlsmartdb h 127.0.0.1
  4. createdb – controlsmartdb h 127.0.0.1
  5. psql – controlsmartdb < /perfigo/dbscripts/pg_createtable.sql h 127.0.0.1
  6. logout del postgres
  7. mantenga el comienzo del perfigo

Q. ¿Cómo diga si los servicios se están ejecutando?

A. Publique uno de estos comandos:

  • [to show all services running] del netstat - an

  • netstat - al | [to show web server listening] HTTP del grep

  • ps - ef | [to show web services running] HTTP del grep

  • ps - ef | grep java [to show java services running]

Q. ¿Qué filtros necesito configurar para Xbox Live?

A. Primero, los filtros puestos y puesto la dirección MAC de Xbox en un papel, por ejemplo, O.N.U-autenticaron el papel. Entonces configure esta directiva para el papel.

El servicio de Xbox Live utiliza dos puertos estándars que necesiten ser configurados en su papel (por ejemplo, un papel O.N.U-autenticado).

  • Kerberos-SEC (UDP); Puerto 88; UDP; Envíe reciben

  • Interrogación DNS (UDP); Puerto 53; Envíe

El servicio también requiere dos definiciones del protocolo personalizado se configure en su papel (por ejemplo, un papel O.N.U-autenticado)

  • El puerto 3074 sobre el UDP envía/recibe

  • Puerto 3074 sobre el TCP saliente

El servicio también requiere que usted configure estos puertos:

  • (TCP) del puerto de servidor del juego: 22042

  • Puerto de la charla de la Voz (TCP/UDP): 22043-22050

  • Puerto del ping del par (UDP): 13139

  • Puerto de la interrogación del par (UDP): 6500

Nota: Si usted quiere habilitar Xbox a través de los VLA N, haga un túnel Xbox entre los VLA N usando una de estas herramientas:

Para GameCube (usted puede necesitar marcar los juegos específicos):

  • Puerto 4000: UDP y TCP

Para Playstation 2 (usted puede necesitar marcar los juegos específicos):

  • Puertos TCP: 10070 - 10080

  • Puertos UDP: 10070

Q. Cargué algunos jpgs y páginas HTML que se utilizarán para la trama correcta de la página de registro usando las tramas. ¿Dónde están los archivos y cómo me refiero a ellos?

A. Los archivos cargados al Access Manager limpio de Cisco usando File Upload (Subir archivo) la lengueta están situados en /perfigo/control/tomcat/normal-webapps/admin en el Access Manager limpio de Cisco.

Ingrese https://manageripaddress/admin/file_name.htm (para el URL) o el src= " file_name.jpg " del <img > (para el jpg) referirse a los archivos en el rectángulo derecho del capítulo.

ca-mgr-faq2-4.gif

Q. La Administración del configuré el ancho de banda I para el papel del unauthenticated, y mi conexión (o el Access Manager limpio de Cisco) al servidor de acceso limpio de Cisco es muy lenta ahora y mide el tiempo de vez en cuando hacia fuera. ¿Por qué ocurre esto?

A. En la versión 3.2, el ancho de banda de comunicación entre el Access Manager limpio de Cisco y el servidor de acceso limpio de Cisco es gobernado por la función no autenticada de las configuraciones de ancho de banda. De acuerdo con cuáles son sus configuraciones, puede afectar al ancho de banda de comunicación y puede afectar de vez en cuando a la publicación de la configuración.

Cisco recomienda que usted no fija la administración del ancho de banda para el papel del unauthenticated en la versión 3.2 por este ejemplo:

/image/gif/paws/63593/ca-mgr-faq2-5.gif

Q. ¿Cómo encuentro el número de usuarios per os abierto una sesión?

A. Este primer comando le consigue a la base de datos CLI solamente:

  • [Manager root] # psql - controlsmartdb h 127.0.0.1 - postgres U [ENTER]

El comando second le consigue el diverso OSes solamente (uno a la vez):

  • seleccione la cuenta (*) del user_info DONDE os_name = “WINDOWS_ALL”;

  • seleccione la cuenta (*) del user_info DONDE os_name = “WINDOWS_XP”;

  • seleccione la cuenta (*) del user_info DONDE os_name = 'WINDOWS_98;

  • seleccione la cuenta (*) del user_info DONDE os_name = 'WINDOWS_95;

  • seleccione la cuenta (*) del user_info DONDE os_name = ' WINDOWS_ME';

  • seleccione la cuenta (*) del user_info DONDE os_name = 'WINDOWS_2K;

  • seleccione la cuenta (*) del user_info DONDE os_name = “MAC_ALL”;

  • seleccione la cuenta (*) del user_info DONDE os_name = “MAC_OSX”;

  • seleccione la cuenta (*) del user_info DONDE os_name = los “LINUX;

Q. ¿El CAM soporta la autenticación del EAP-TLS o EAP-TTLS?

A. No, CAM no soporta la autenticación del EAP-TLS y EAP-TTLS.

Q. Qué hace este error del [Failure]: ¿El “error [1.3.6.1.4.1.9.9.215.1.1.5.0]:No SNMP mensaje de error de tal nombre” ocurre en el Switch?

A. Este problema ocurre generalmente cuando usted intenta cambiar las configuraciones en la lengueta > el administrador de switches > los dispositivos > el Switch de los PUERTOS del CAM. Corrija las cadenas de comunidad SNMP en la configuración CAM para resolver este problema.

Q. ¿Cómo agrego un servidor de acceso limpio (CAS) en el Access Manager limpio (CAM)?

A. Usted tiene que configurar el ACS en el CAM como servidor autorizado de modo que el CAM establezca una conexión a CAS. Usted puede ahora agregar CAS en el CAM. Refiera a la autorización Administrador-a-limpia del servidor de acceso del acceso limpio de la configuración para más información sobre cómo agregar CAS al CAM.

Q. Porqué hace el “incapaz de leer el CERT encontrado en el NAC de /root/.chain.crt maneja solamente la excepción de ...java.io.IO del <= 2048 de las claves RSA: clave sujeta, espec. desconocida de la clave: Tamaño inválido del módulo RSA.” ¿el mensaje de error aparece?

A. Marque el certificado se utiliza que. El acceso limpio de Cisco soporta solamente 1024- y las longitudes de clave 2048-bit RSA para los Certificados SSL.

Q. Cuando intento salvar los ejecutar-config del Switch con el SNMP, consigo no podido para salvar el mensaje de Error de configuración corriente. ¿Por qué este error ocurre y cómo puede esto ser resuelta?

A. No podido para salvar el mensaje de Error de configuración corriente ocurre cuando el tiempo llevado para salvar los ejecutar-config es más que el conjunto del descanso, que hace el proceso salvar la configuración para fallar. Aumente el tiempo hacia fuera valoran para resolver este error. Para cambiar el descanso, elija OOB la Administración > los perfiles > el receptor SNMP > avanzó las configuraciones y el tiempo de espera de SNMP del cambio a un valor más alto.

Q. ¿Qué puertos necesito abrir entre los agentes CAM y de CAS, CAM/CAS y AD, de CAS y del NAC?

A. Los puertos que usted necesita abrir entre el CAM y CAS ambas maneras son TCP: 443, 1099, 8995 y 8996

Los puertos que usted necesita abrir entre CAM/CAS y el AD son TCP: 88, 135, 389, 445, 636, 1025, 1026 y 3268 UDP: 88, 389, 636 y 3268.

Los puertos que usted necesita abrir entre CAS y los clientes (agente del NAC) son TCP: 443 UDP: 8905, 8906.

Refiera a la conectividad de puerto para más información.


Información Relacionada


Document ID: 63593