Seguridad : Cisco Secure Access Control Server para Unix

Mejores prácticas para la administración del Cisco Secure ACS para UNIX

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona las mejores prácticas para administrar Cisco (CS) ACS seguro para la aplicación UNIX. Las recomendaciones presentadas en este documento son basadas en las experiencias del diseño y del despliegue por los ingenieros de desarrollo Cisco (DE).

prerrequisitos

Requisitos

Quienes lean este documento deben tener conocimiento de los siguientes temas:

  • configurando y administrando CS ACS para UNIX

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión de UNIX CS ACS 2.3(5)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco.

Anuncio de las mejores prácticas

Abajo está un anuncio de las mejores prácticas recomendadas.

Pasos

Complete estos pasos:

  1. Aseegurese que las bases de datos SQLAnywheres no exceden 5000 perfiles del usuario.

  2. Los registros de contabilidad no deben exceder 50,000 expedientes en las tablas de contabilidad.

  3. Funcione con el diario de la utilidad AcctExport.

  4. Si la velocidad de transacción es muy alta, y hay tráfico enorme de las estadísticas tales que hay más de 50,000 registros de contabilidad, después ejecute el AcctExport dos veces o tres veces basado en la carga.

  5. Aseegurese que hay disco adecuado y espacio de intercambio disponibles en la caja Solaris.

  6. Funcione con la publicación mensual de la utilidad dbunload. Esto ayudará a reducir los tamaños de las bases de datos de CSUnix.

  7. El csecure.db debe nunca exceder 1 GB de espacio en disco.

  8. Si el csecure.db se excede de tamaño muy rápidamente, después aseegurese que el dbunload está ejecutado más con frecuencia.

  9. Si el radio AAA no se utiliza en el CS, después esto se puede inhabilitar con la ayuda – del indicador R en /etc/rc2.d/S80Ciscosecure.

  10. En el tiempo de ejecución, los errores DBServeres, incluyendo los errores encontrados en la interfaz a la base de datos, están señalados en los ficheros de diario/el archivo del csdb_ <date>. Cualesquiera errores inesperados o información del desperfecto por la máquina virtual Java son archivo abierto una sesión del registro/dbserver.log. Marque estos archivos para cualquier error.

  11. Si el AAAServer causa un crash, los archivos núcleo serán situados en el $BASEDIR/corefiles. Marque para saber si hay la existencia de los archivos núcleo, si los hay.

  12. Respaldo la base de datos regularmente (diario o semanal), sobre la base de las necesidades de los clientes.

  13. Para el mejor rendimiento, inhabilite la característica de registro del csuslog. Esto aumentará drástico el funcionamiento.

  14. El valor del ulimit debe ser 4096 en /etc/system, /etc/rc2.d/S80Ciscosecure $BASEDIR/bin/DBServer.sh

  15. Quite csecure.log regularmente. Antes de quitar csecure.log, el CS debe ser parado.

  16. Manualmente no agregue/modifiqúese/cancelación las tablas de base de datos directamente - utilice solamente los métodos aceptados.

  17. Archive el directorio $BASEDir/logfiles una vez al mes.

  18. Archive los archivos de /var/log/csuslog regularmente, y corte los tamaños publicando el comando cat /dev/null > csuslog. Si se borra el archivo, el Syslog no trabajará, y por lo tanto el registro no será reorientado al archivo del csuslog.

  19. Problemas del servidor DNS: Si el sistema de destino tiene un DNS configurado, o si el sistema operativo Solaris se ha configurado como servidor DNS, el particular cuidado debe ser tomado para asegurar que el rendimiento de DNS y las operaciones son completamente - operativo.

    Si el sistema Solaris de la blanco del servidor ACS CS tiene DNS habilitado, pudo haber problemas del funcionamiento o de la autenticación para CS ACS. El CS ACS no llama directamente un servidor DNS; sin embargo, las llamadas de sistema operativo Solaris “gethostbyadd_r” y pudieron llamar indirectamente el servidor DNS, si estuvieron configuradas para hacer tan. Marque el archivo de /etc/nsswitch.conf para tal configuración. Si la operación de resolución del Domain Name DNS no trabaja ni es lenta, ésta afecta directamente a CS ACS.

  20. Mientras que funciona con las herramientas tales como dbbackup y dbunload, la TRAYECTORIA debe ser fijada correctamente. Si no, las herramientas pueden no trabajar correctamente. $BASEDIR/utils/bin/env_setup se puede utilizar para fijar la trayectoria. Este archivo contiene todas las variables de entorno requeridas y otros detalles de la trayectoria.

  21. Los parámetros del MaxConnection y del ConnectionLicense se deben fijar para cubrir las necesidades basadas en el número de autenticaciones y el número de transacciones que el CSU pueda manejar. El MaxConnection se puede fijar a un valor máximo de 50, si el DB usado es SqlAnyWhere. Aumente el ConnectionLicense en $BASEDIR/config/CSConfig.ini, y aumente correspondientemente el valor del MaxConnection en $BASEDIR/CSU/libdb.conf a un valor dos menos que el ConnectionLicense basado en la carga.

  22. Al usar los scripts automatizados para iniciar sesión al Routers y al Switches, y para ejecutar los comandos, es una práctica adecuada poner el router normal/los comandos switch medios de los comandos sleep. Esto ayuda separó la carga y evita las contenciones de recurso en el servidor CS.

  23. Además, estos scripts automatizados deben cerrar correctamente a las sesiones telnets (incluso en el caso de los errores del comando any) para asegurar los recursos no son bloqueados en el servidor CS.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 63755