Безопасность : Сервер управления безопасного доступа Cisco для Unix

Часто задаваемые вопросы о Cisco Secure ACS UNIX

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Вопросы


Введение

Этот документ предоставляет ответы на обычные вопросы о сервере Cisco Secure Access Control Server (ACS) для UNIX (CSUnix).

Общие сведения

Вопрос. Данные могут быть перемещены между CSUnix и Cisco Secure ACS для Windows (ACS)?

О. В настоящее время нет никаких поддерживаемых программных средств, используемых для миграции пользователей от одного продукта до другого продукта.

Вопрос. CSUnix аутентифицируется против базы данных NT, LDAP или NDS Novell?

О. Нет, но эти функции присутствуют в Cisco Secure ACS для Windows (ACS). Cisco Access Registrar поддерживает Протокол LDAP.

Лицензирование и программное обеспечение

Вопрос. Версия CSUnix 2.3.6.2 поддерживается на Версии Oracle 9.2.0?

О. Комментарии к выпуску для версии CSUnix 2.6.3.2 сообщают, что версия 8.0.x, 8i Oracle Enterprise, и 9i версия 9.0.1 поддерживается версии. Возможно обновить к Версии Oracle 9.2.0. Однако рекомендуется резервировать базу данных перед обновлением.

Вопрос. Как я обновляю лицензионный ключ с истекшим сроком действия?

О. Для получения дополнительной информации о том, как получить лицензионный ключ, обратитесь к Проблемам лицензирования для Cisco Secure UNIX.

Вопрос. Как я нахожу свою версию ПО Solaris и IP-адрес моей системы?

О. Для определения версии ПО Solaris, что вы используете, выполняете uname –a команда.

Для определения IP-адреса в использовании системой выполните ifconfig –a команда.

Вопрос. Где я могу получить обновления программного обеспечения для CSUnix?

О. Обновления программного обеспечения могут быть получены из программного обеспечения сервера Cisco Secure Access Control Server (только зарегистрированные клиенты) веб-сайт. Исправления программного обеспечения могут быть получены из Исправлений Программного обеспечения Cisco Secure - UNIX (только зарегистрированные клиенты) веб-сайт.

Примечание: Необходимо ввести cspatchunix в поле Special Access Code для достижения Исправлений Программного обеспечения Cisco Secure - UNIX (только зарегистрированные клиенты) веб-сайт.

Пользователи, у которых нет корректного идентификатора Cisco, могут получить обновления программного обеспечения из технической поддержки Cisco через Электронную почту и телефон. См. веб-сайт международных контактов Cisco.

Вопрос. Я могу обновить от CSUnix до Cisco Secure для Windows или Cisco Access Registrar?

О. Для получения информации о ценообразовании и доступности "боковых обновлений", свяжитесь со своей локальной группой обслуживания продуктов Cisco.

Вопрос. Как я определяю свою версию CSUNIX?

О. Введите следующую команду:

$BASE/CSU/CiscoSecure -v

$BASE представляет каталог, в котором установлен CSUnix.

Вопрос. Как я перерабатываю (завершите работу и запуститесь), Сервисы Csunix?

О. Существует два других способа переработать сервисы.

  • Выполните команду/etc/rc0.d/K80CiscoSecure для завершения, затем выполните команду/etc/rc2.d/S80CiscoSecure для перезапуска.

    Или

  • Выполните команду $BASE/utils/kcs, чтобы завершить работу, затем выполнить команду $BASE/utils/scs для перезапуска.

    $BASE представляет каталог, в котором установлен CSUnix.

После того, как сервисы перезапущены, выполняют команду $BASE/utils/psg. Это отображает запись для каждого сервиса.

Вопрос. Как я могу узнать, где CSUnix установлен на моей машине?

О. Для определения размещения установки CSUnix выполните pkginfo-l команда CSCEacs.

Вопрос. Как я знаю, какие значения были выбраны во время установки?

О. Журнал установки CSUnix сохранен в $BASE/logfiles/cs_install.log, где $BASE представляет каталог, в котором установлен CSUnix. Это списки файлов все значения выбрано во время установки.

Вопрос. Каковы требования программного и аппаратного обеспечения для моей версии CSUNIX?

О. Информация о требованиях находится в инструкциях по установке для вашей определенной версии программного обеспечения. Информация о требованиях также суммирована в Совместимости Cisco Secure ACS UNIX.

Вопрос. Есть ли на CSUnix какие-либо ограничения экспорта?

О. Нет, CSUnix связан с версией разрешенная для экспорта Сервера FastTrack Netscape.

Конфигурация и настройка системы

Вопрос. Как я изменяю IP-адрес, имя хоста или полное доменное имя (FQDN) Сервера CSUnix?

О. IP-адрес, имя хоста и FQDN для сервера сохранены в нескольких файлах, на основе версии CSUNIX в использовании. Поэтому поддерживаемый метод, используемый для изменения IP-адреса, имени хоста или FQDN, должен деинсталлировать программное обеспечение и затем повторно установить его с нужными параметрами настройки. Эта операция не влияет на базу данных. Пользователи и группы сохранены.

Выполните эти шаги для внесения изменений в параметры настройки на Сервере CSUnix:

  1. Завершите работу программного обеспечения.
  2. Резервное копирование базы данных. Oracle или Sybase могут быть выполнены резервное копирование администратором базы данных. Скопируйте csecure.db и csecure.log файлы к надежному месту для выполнения резервное копирование SQLAnywhere. Это - предосторожность только, поскольку таблицы не отброшены во время процесса переустановки и удаления. Кроме того, поддержите копию файла $BASE/config/CSU.cfg. Этот файл содержит сведения об устройстве. $BASE представляет каталог, в котором установлен CSUnix.
  3. Выполните команду pkgrm CSCEacs для удаления программы. Эта команда оставляет csecure.db и csecure.log файлы на месте.
  4. Гарантируйте, что работает разрешение имен. Чтобы сделать это, выполните имя хоста, nslookup и команды ifconfig как показано в этих выходных данных.
    # hostname
    
    rtp-evergreen
    
    # nslookup rtp-evergreen
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Non-authoritative answer:
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # nslookup rtp-evergreen.cisco.com
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Non-authoritative answer:
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # nslookup 172.18.124.114
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # ifconfig -a
    
    lo0: flags=849<UP,LOOPBACK,RUNNING,MULTICAST> mtu 8232
    inet 127.0.0.1 netmask ff000000
    le0: flags=863<UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST> mtu 1500
    inet 172.18.124.114 netmask ffff0000 broadcast 172.18.255.255
    ether 8:0:20:76:79:f9
  5. Установите программное обеспечение. Выполните pkgadd-d path_to_software команда и укажите, что это - установка обновления как показано в этих выходных данных.
    New CiscoSecure install             no
    .
    .
    .
    SQLAnywhere DB directory            original_path
    
    !--- Use the path in which the csecure.* files are located.
    
    Drop existing database tables       no
  6. После того, как установка завершена, запустите программное обеспечение и гарантируйте, что работают сервисы.

Вопрос. У меня есть проблемы с Системой доменных имен (DNS) в моей сети. Как я отключаю Преобразование IP-адресов в имена с помощью службы DNS на системе CSUnix так, чтобы это не пыталось решить названия?

О. По умолчанию CSUnix пытается решить входящий IP устройства клиента к полному доменному имени (FQDN) и затем сравнивает FQDN с записями в файле CSU.cfg. Если DNS в сети не работает должным образом, это может вызвать медленную аутентификацию и дополнительные проблемы. Чтобы препятствовать тому, чтобы CSUnix делал попытку разрешения, выполните резервное копирование файл $BASE/config/CSU.cfg (где $BASE представляет каталог, в котором CSUnix установлен). Затем, модифицируйте его путем добавления этой линии к начинающемуся разделу с другими Записями NUMBER:

NUMBER config_get_names_from_dns = 0;

Сохраните модифицированный файл, затем переработайте сервер.

Вопрос. Как я определяю номер допустимых количеств неудачных попыток входа в систему?

О. Выполните эти шаги для установки этого значения в глобальном масштабе для всех пользователей.

  1. Откройте файл $BASE/config/CSU.cfg ($BASE представляет каталог, в котором CSUnix установлен).
  2. Добавьте эту линию к начинающемуся разделу с другими Записями NUMBER:
    NUMBER config_max_failed_authentication = n;
    Замените n количеством допустимых неудачных попыток.

Выполните эти шаги для установки этого значения на для каждого пользователя или каждой группе по отдельности в версии CSUnix 2.3.5.1 или позже:

  1. Откройте файл $BASE/config/CSU.cfg.
  2. Добавьте эту линию к начинающемуся разделу с другими Записями NUMBER:
    NUMBER config_allow_global_max_failed_login_session_enable = 0;
    Поскольку система использует глобальные параметры по умолчанию, это, линия используется, чтобы выключить неправильные проверки подлинности общего максимального количества и позволить максимумам на группу или для каждого пользователя быть установленными.
  3. В пользователе или профиле группы, добавьте эту линию:
    set server max-failed-login-count = n;
    Замените n количеством допустимых неудачных попыток.

Вопрос. Как я изменяю порт по умолчанию (9900), на котором слушает база данных?

caution Внимание: CSUnix не был протестирован на совместимость с другим программным обеспечением. Составные приложения, которые работают на том же сервере, не поддерживаются. Это может вызвать проблемы производительности и конфликты порта на портах кроме порта сервера данных.

Если вы хотите выполнить множественные случаи базы данных, завершите работу Процессов CSUNIX и модифицируйте эти файлы для использования порта кроме 9900:

  • $BASE/CSU/libdb.conf

  • $BASE/FastAdmin/turbo.conf

  • $BASE/config/CSConfig.ini

$BASE представляет каталог, в котором установлен CSUnix.

Вопрос. Как я просматриваю группу или профили пользователей в интерфейсе командной строки?

О. Выполните эти команды в приглашении каталога $BASE/CLI/, где $BASE представляет каталог, в котором установлен CSUnix.

  • Введите. / имя пользователя-p 9900-u ViewProfile для просмотра профиля пользователя.

    Имя пользователя замены с именем пользователя для профиля пользователя, который вы хотите просмотреть.

  • Введите. / имя группы-p 9900-g ViewProfile для просмотра профиля группы.

    Имя группы замены с названием для профиля группы, который вы хотите просмотреть.

Вопрос. Как я заставляю веб-страницу CSUnix работать на порту кроме порта 80?

caution Внимание: CSUnix не был протестирован на совместимость с другим программным обеспечением. Составные приложения, которые работают на том же сервере, не поддерживаются. Это может вызвать проблемы производительности и конфликты порта на портах кроме порта сервера данных.

Если вы хотите выполнить несколька веб-серверов, завершите работу Процессов CSUNIX и модифицируйте эти файлы для использования порта кроме порта 80:

  • В файле $BASE/ns-home/httpd-servername/config (где $BASE представляет каталог, в котором установлен CSUnix), порт изменения 80 к порту n , где n является новым портом, на котором вы хотите, чтобы он работал.

  • В файле $BASE/FastAdmin/turbo.conf измените NS_PATH=server/cs/на NS_Path=server:n/cs, где n является номером порта, введенным в файл.

Вопрос. Я забыл свой пароль. Как я могу перезагрузить Профиль администратора?

О. Выполните эти команды для сброса Пароля администратора:

$BASE/CLI/DeleteProfile -p 9900 -u superuser
$BASE/CLI/AddProfile -p 9900 -u superuser 
           -a 'member = administrator \n privilege = web "password" 15 '

Примечание: Вторая команда должна быть на одной линии.

Пароль замены во второй команде с вашим новым паролем. $BASE представляет каталог, в котором установлен CSUnix.

Вопрос. Как я могу сказать, какие версии Acme FastTrack, Netscape Administration и Communications Server Netscape используются с Cisco Secure?

О. Cisco Secure использует измененную версию Версии сервера 1.7 Acme, датированной 13 ноября 1996.

Для определения версий Сервера Netscape выполните эти команды (где $BASE представляет каталог, в котором CSUnix установлен):

$BASEDIR/ns-home/admserv/ns-admin -v
Netscape Communications Corporation Netscape-Administrator/2.14,sec=e

$BASEDIR/ns-home/bin/httpd/ns-httpd -v
Netscape Communications Corporation Netscape-FastTrack/2.01c

Базы данных

Вопрос. Сколько пользователей делает 500�MB поддержка требуемого пространства на диске с помощью Базы данных sqlanywhere?

О. 500�MB требуемое пространство на диске поддерживает максимум 5,000 пользователей.

Вопрос. Когда создан csdblog_yy-mm-dd файл?

О. Csdblog_yy-mm-dd файл создан первоначально, DBServer запускает и тогда восстанавливается каждые 24 часа (приблизительное время).

Вопрос. Каково максимальное количество пользователей, которое может обоснованно быть поддержано на Сервере CSUnix с SQLAnywhere, Сервером Oracle или Сервером Sybase?

О. SQLAnywhere официально поддерживается максимум для 5,000 пользователей. Oracle и Sybase были протестированы максимум с миллионом пользователей, каждым с десятью парами значения атрибута (AV). С этим много пользователей обслуживание быстрее с утилитами интерфейса командной строки (CLI) вместо интерфейса HTML или на основе Java расширенный ГИП. Обратите внимание на то, что просмотр через GUI может быть очень медленным. Это может иногда быть быстрее для использования опции Find в расширенном ГИПе или Редактировании> опция View в интерфейсе HTML.

Вопрос. Как я вручную запускаю Базу данных sqlanywhere?

О. Выполните эти шаги для ручного начала обработчика SQLAnywhere:

  1. Установите необходимые переменные среды для пользователя маршрута. В данном примере используется c-shell. Кроме того, выполните эти команды:
    setenv SQLANY $BASE/SYBSsa50
    setenv LD_LIBRARY_PATH $SQLANY/lib
    set PATH=($path $SQLANY/bin)
    
  2. Выполните эту команду для начала базы данных:
    dbeng50 -n csecure $BASE/SQLANY/csecure.db
    
    $BASE/SQLANY замены с местоположением файла Базы данных sqlanywhere.

Вопрос. Какое значение я должен установить для подключений к серверу базы данных?

О. В версии CSUnix 2.3 значение по умолчанию равняется 10. Соединения с базой данных разделены с другими приложениями как утилиты интерфейса командной строки (CLI) и GUI, когда они выполняют и обращаются к базе данных. Как правило количество соединений с базой данных должно равняться пиковым аутентификациям в секунду плюс по крайней мере 3 для других задач ACS и приблизительно 25 процентов для роста.

Существуют другие факторы, которые нужно рассмотреть. При использовании CLI онлайн, то необходимо добавить количество параллельных подключений с использованием интерфейса командной строки CLI, которые используются. Для каждого параллельного подключения с использованием интерфейса командной строки CLI добавьте дополнительное соединение с базой данных. С CSUnix 2.3, считая буферизующее использование до восьми соединений с базой данных, когда включено.

Примечание: Количество соединений с базой данных основывается, как используется CSUnix. Используйте эту информацию только в качестве рекомендации.

Вопрос. Существует ли способ, которым я могу просмотреть базу данных с помощью SQL?

О. Да, можно использовать графический интерфейс пользователя SQLAnywhere (ISQL) или команда ExecSql в командной строке. См. Использование ISQL для Просмотра Базы данных Cisco Secure для дополнительных сведений. Этот документ объясняет структуру базы данных, дает пример записей, иллюстрирует типичные запросы и показывает, как выполнить запросы с помощью ISQL или с помощью команды ExecSql через интерфейс командной строки (CLI). Это также обсуждает ViewProfile и команды DBClient.

Вопрос. Как я реплицирую базу данных с помощью программного обеспечения баз данных по умолчанию (SQLAnywhere), который идет с CSUnix?

О. Репликация базы данных с SQLAnywhere не поддерживается. Cisco только поддерживает репликацию с СУБДом Sybase Adaptive Server и Oracle 7.3.4 и позже.

Два метода, используемые для создания копии Базы данных sqlanywhere, показывают здесь.

  • Файлы Базы данных sqlanywhere (csecure.db и csecure.log) могут быть скопированы от одного сервера до другого после того, как сервисы будут закрыты на исходном сервере и конечном сервере. Разрешения и владение файлов должны быть тем же на исходном сервере и конечном сервере.

  • В то время как исходному серверу предстоит создавать файлы архивированной базы данных (csecure.db и csecure.log), команда dbbackup может быть выполнена. Эти файлы могут тогда быть скопированы к конечному серверу после того, как будут закрыты сервисы на конечном сервере. Разрешения и владение файлов должны быть тем же на исходном сервере и конечном сервере.

Вопрос. В то время как CSUnix выполняется, как я выполняю резервное копирование База данных sqlanywhere с помощью команды dbbackup?

О. Выполните эти шаги для запуска команды dbbackup для выполнения резервное копирование Базы данных sqlanywhere, в то время как все еще выполняется CSUnix.

Примечание: Эта процедура предполагает использование c-shell. При использовании другой оболочки огибающая команда позволяет вам проверять, что переменные среды установлены как показано здесь.

  1. Выполните эти команды для установки переменных среды:
    setenv SQLANY $BASE/SYBSsa50
    setenv LD_LIBRARY_PATH $SQLANY/lib
    set path=($path $SQLANY/bin)
    setenv SATMP $SQLANY/tmp
    
  2. Выполните эту команду для выполнения утилиты dbbackup:
    
    dbbackup -c "ENG=csecure; UID=DBA; PWD=SQL" -x target_directory
    
    
    Замените target_directory местоположением, где вы хотите, чтобы были сохранены csecure.db и резервные копии csecure.log.

Вопрос. У меня может быть основной CSUnix и серверы резервного копирования так, чтобы устройства могли соединиться с сервером резервного копирования, если основной сервер не работает?

О. Да, это соединение в режиме обхода отказа к серверу резервного копирования определено на уровне устройств. Когда основной Сервер CSUnix недоступен, большинство устройств Сisco обеспечивает аварийное переключение. Для маршрутизаторов tacacs-server host или записи radius-server host настроены с названием или IP-адресами различных серверов. Сведения о пользователе должны быть доступны различным серверам в случае аварийного переключения.

Вопрос. Я могу установить CSUnix в распределенной среде со всем администрированием, сделанным в центральном узле и базе данных, распределенной локальным серверам CSUnix?

О. Да, можно установить распределенную среду с CSUnix с помощью Oracle или Баз данных Sybase.

Вопрос. Как делает Интерфейс CSUnix с базой данных? Это позволяет динамическое создание учетных записей, которые могут тогда быть добавлены к Базе данных CSUNIX?

О. CSUnix предоставляет интерфейс командной строки (CLI), и GUI использовал управлять пользователями и группами. Используйте или CLI или GUI для доступа к базе данных для управления профилями, а не любым прямым доступом к базе данных через SQL.

Вопрос. У меня в настоящее время есть один тип базы данных в Cisco Secure, и я хочу переместить пользователя или данные группы к другому типу базы данных (например, Oracle к Sybase, SQLAnywhere к Oracle). Как я делаю это?

О. Выполните эти шаги, чтобы экспортировать пользователей в однородный файл и импортировать их в CSUnix от того файла.

Примечание: До версии 2.3.6.1 эта процедура только импортирует TACACS + профили. С версии 2.3.6.1 эта процедура также работает для Профилей RADIUS.

  1. Выполните эту команду для экспортирования пользователей в однородный файл:
    $BASEDIR/utils/CSexport -p file_path -d export_file_name
    
    
    $BASE представляет каталог, в котором установлен CSUnix.
  2. Выполните эти команды для импорта пользователей из этого однородного файла:
    $BASEDIR/utils/CSimport -t -p file_path -s import_file_name
    
    
    !--- Run CSimport in test mode.
    
    $BASEDIR/utils/CSimport -c -p file_path -s import_file_name
    
    
    !--- Commit the changes to the database.
    
    
    В этих командах export_file_name является экспортируемым именем файла, import_file_name является названием импортированного файла, и file_path является каталогом, в котором расположен файл.

Вопрос. Как я определяю количество пользователей, которые существуют в базе данных для каждого Сервера CSUnix? Какой синтаксис команды SQL я должен использовать?

О. Выполните эту команду из каталога $BASE/utils/bin (где $BASE представляет каталог, в котором CSUnix установлен):

$BASE/utils/bin/ ./ExecSql "select count(distinct profile_id) from cs_profile"

Эта команда считает всего пользователя и профили группы. Если вы хотите посчитать только профили пользователей, замените cs_profile cs_user_profile.

Вопрос. Какие базы данных или клиенты базы данных совместимы с моей версией CSUNIX?

О. Для получения информации о совместимости обратитесь к инструкциям по установке для вашей определенной версии или к сводке в Совместимости Cisco Secure ACS UNIX.

Вопрос. У меня есть существующая база данных (или любая система управления реляционными базами данных [RDBMS]) не связанный друг с другом к Cisco Secure, который содержит мои сведения о пользователе. CSUnix предоставляет средство импорта, которое может позволить мне импортировать эти сведения о пользователе?

О. CSUnix не предоставляет программное средство, которое можно использовать для импорта пользователей из существующей небазы данных CiscoSecure. Поскольку все базы данных имеют некоторый механизм, чтобы просмотреть и модифицировать данные, "данные пользователя" могут быть извлечены с помощью SQL. Запрашиваемая информация от существующей базы данных может быть собрана в однородный файл и преобразована в формат синтаксиса CSUnix, который может тогда быть импортирован в CSUnix с командой CSimport (для TACACS +) или командой CSmigrate (для RADIUS).

Администрирование графического интерфейса пользователей и веб-администрирование

Вопрос. Я неспособен просмотреть все опции в GUI ACS. Как я исправляю эту проблему?

О. Включите удаленного агента, регистрирующего под Interface Configuration> Advanced Options. Проверьте все опции, в которых вы нуждаетесь.

Вопрос. Как я обращаюсь к Серверу администрирования Netscape FastTrack?

О. К Административному серверу FastTrack обычно обращаются через web-браузер. Используйте эту процедуру:

  1. Перейдите к этому URL:
    http://server_name:64000
    Server_name замены с названием или IP-адресом Административного сервера FastTrack.
  2. Введите свое имя пользователя и пароль как показано здесь.
    Username: admin
    Password: password
    
  3. Если пароль не работает, выполняет эти шаги для сброса его.
    1. Отредактируйте файл $BASE/ns-home/amdpw (где $BASE представляет каталог, в котором CSUnix установлен).
    2. Найдите эту линию в файле:
      admin:GuBqifMleNxmY
    3. Удалите текст зашифрованного пароля после двоеточия и сохраните файл. Можно теперь войти как admin, использующий пустой пароль.
  4. Если вы получаете сообщение об ошибках Unauthorized host, выполняете эти шаги.
    1. Отредактируйте файл нс-admin.conf в каталоге $BASE/ns-home/admserv/или $BASE/ns-home/admin-serv/(где $BASE представляет каталог, в котором CSUnix установлен).

      Примечание: Может быть возможно, что не присутствует один из этих файлов.

    2. Удалите Хосты и линии Адресов в файле.

      caution Внимание: Обязательно только удалите Адреса (заканчивающийся в es) линии. Не удаляйте Адрес (никакой es, заканчивающийся) линия.

    3. Сохраните файл.
    4. Перезапустите административный сервер путем запуска команды stop-admin и затем команды start-admin в каталоге $BASE/ns-home/.

Вопрос. Какие браузеры совместимы с моей версией CSUNIX?

О. Для получения информации о совместимости обратитесь к инструкциям по установке для вашей определенной версии или к сводке в Совместимости Cisco Secure ACS UNIX.

Маркерные серверы

Вопрос. Я могу добавить сервер ACE Security Dynamics Incorporated (SDI) после того, как я установлю CSUnix?

О. Да, можно включить сервер ACE SDI с этой процедурой.

Примечание: Перед попыткой интеграции с CSUnix это - хорошая идея сделать тестовую аутентификацию SDI - клиента, чтобы гарантировать, что SDI работает отдельно.

  1. Завершите работу CSUnix.
  2. Добавьте эти линии к файлу $BASE/config/CSU.cfg (где $BASE представляет каталог, в котором CSUnix установлен).
    AUTHEN config_external_authen_symbols = { 
    {
    "./libsdi.so",
    "sdi"
    }
  3. CSUnix перезапуска.

Можно также включить сервер ACE SDI с помощью CSUNIX GUI, как показано здесь.

Примечание: Прежде чем вы будете делать попытку интеграции с CSUnix, будете выполнять тестовую аутентификацию SDI - клиента, чтобы гарантировать, что SDI работает отдельно.

  1. На меню графического интерфейса пользователя выберите AAA> General.
  2. В области Authentication Methods Вкладки Общие нажмите кнопку с зависимой фиксацией Secure Dynamic (ACE Server).

Для получения дополнительной информации обратитесь к Cisco Secure UNIX Настройки и Защитите ID (SDI - клиент).

Вопрос. Я могу установить сервер ACE Security Dynamics Incorporated (SDI) и CSUnix на той же машине?

О. Да, если TACACS + и RADIUS отключены на сервере ACE SDI. Ошибки могут произойти если и сервер ACE SDI и TACACS + или RADIUS, выполненный в то же время. Это вызвано тем, что сервер ACE SDI может использовать те же протоколы аутентификации на тех же портах.

Вопрос. Я могу использовать аутентификацию Протокола аутентификации по квитированию вызова (CHAP) с сервером ACE Security Dynamics Incorporated (SDI)?

О. Да, но код доступа введен по-другому. Для получения дополнительной информации обратитесь к Cisco Secure UNIX Настройки и Защитите ID (SDI - клиент).

Вопрос. Что такое кэширование маркера и как я включаю его?

О. С основанной на маркере аутентификацией маркеры часто хороши для только ограниченного периода времени и не могут быть снова использованы в том периоде времени. Эти ограничения могут вызвать проблемы для ISDN или многоканальных пользователей. Аутентификация начального маркера успешна, но последующие повторные проверки подлинности могут отказать, потому что интерфейс пользователя не позволяет пользователям вводить дополнительные маркеры.

Когда кэширование маркера используется, запросы повторной проверки подлинности все еще отправлены к CSUnix. Если сеанс или условия таймаута встречены, Затем CSUnix передает обратно PASS.

Выполните эти шаги для использования кэширования маркера.

  1. Маркерное кэширование должно быть включено в пользователе или профиле группы путем добавления этой линии:
    set server token-caching=enable
  2. Выполните эту команду для устанавливания условия или условий, при которых пароль истекает и поэтому сколько времени пароль остается допустимым.
    set server token-caching-expire-method= [session | timeout | both]
    
    • сеанс поддерживает кэшированный пароль допустимым на время исходного сеанса.

    • таймаут поддерживает кэшированный пароль допустимым для указанного промежутка времени.

    • оба поддерживают кэшированный пароль допустимым для сеанса и для указанного промежутка времени.

  3. Если или таймаут или оба были выбраны в шаге 2, используйте эту команду для установки периода времени, во время которого пароль остается допустимым.
    set server token-caching-timeout=120
    

Вопрос. Функциональность, предлагаемая CRYPTOAdmin, заменяют поддержку CRYPTOCard, которые включены в наши Продукты CSUnix? Как они отличаются?

О. Сервер CRYPTOCard, связанный с CSUnix только, предоставляет поддержку карт с переменным паролем, тогда как CRYPTOAdmin является удобным для пользователя средством управления, используемым для устанавливания маркеров и пользователей. CRYPTOAdmin работает с CSUnix и предоставляет клиентский GUI, который не прибывает связанный с CSUnix. CSUnix содержит модуль sendmail (отправки сообщений электронной почты). Поэтому CRYPTOAdmin эффективно CSUnix дополнений. См. веб-сайт CRYPTOCard leavingcisco.com для получения дополнительной информации о CRYPTOAdmin.

Профили и пароли пользователей

Вопрос. Как я добавляю Профили пользователей для TACACS + в ACS (UNIX)?

О. Для добавления этого типа профиля посредством команды AddProfile клиент может использовать AddProfile-s опция [-s [Имя файла]]. Атрибуты могут быть помещены в файл, и они могут добавить пользователя, как замечено здесь.

*$BASEDIR/CLI* ./AddProfile -p 9900 -u userA -s script

Эти атрибуты помещены в файл сценария.

*$BASEDIR/CL>* *vi script*

password = clear "userA"
default service=permit
service=Sandvine {
set Sandvine-HomeDir = "/tmp"
set Sandvine-Group = "sv_operator,sv_admin"
set Sandvine-Shell = "/bin/sh"
}

$BASEDIR является каталогом, где установлен Cisco Secure.

Вопрос. Каковы минимум и максимальное число символов, позволенных в пароле в CSUnix?

О. Базы данных, хранящая пароль до 255 символов. Графический интерфейс пользователя (GUI) принуждает минимум и максимум. Для получения дополнительной информации обратитесь к опции Help в CSUNIX GUI. Это описывает правила установки пароля.

Вопрос. CSUnix позволяет мне изменять свой пароль?

О. Да, можно изменить ваш пароль через Терминал (оболочка) вход в систему или через CSUNIX GUI. Для изменения вашего пароля через терминал (оболочка) вход в систему выполните эти шаги.

Примечание: Эта процедура только изменяет ваш нешифрованный пароль.

  1. Используйте команду telnet для доступа к маршрутизатору.
  2. Когда предложено, введите свое имя назначенного пользователя.
  3. Когда спросили относительно вашего пароля, оставьте его незаполненный и нажмите Enter. Сообщение Change password sequence появляется.
  4. Введите свой старый пароль, затем придерживайтесь приглашений, чтобы ввести и подтвердить ваш новый пароль.

Для изменения вашего пароля с помощью CSUNIX GUI (интерфейс HTML) выполните эти шаги.

Примечание: Эта процедура автоматически изменяет все ваши назначенные пароли. Нет никакого способа изменить только некоторые ваши пароли.

  1. Добавьте эту линию к своему профилю пользователя:
    privilege = web "new_password" 1
    Замените new_password новым паролем, который требуется использовать.
  2. В web-браузере перейдите к этому местоположению:
    http://host_name/cs
    Host_name замены с названием или IP-адресом Сервера CSUnix.
  3. Войдите со своим названием назначенного пользователя и паролем, используемым в шаге 1.

Вопрос. Устаревание Поддержки (истечения срока действия) пароля в CSUnix?

О. Да, но только через интерфейс Telnet. Проверьте эти элементы:

  • Профиль пользователя имеет, пока дата не установила для пароля.

  • Файл CLI.cfg имеет линии, которые определяют эти значения:

    config_warning_period x
    config_expiry_period y
    

Если все эти элементы истинны, то пользователь получает сообщение об окончании срока действия через Telnet x дни до до даты. Когда пользователь запускает последовательность изменения пароля путем оставления их незаполненного пароля и нажатия Enter, пока дата не инкрементно увеличена y днями. Типовой профиль пользователя показывают в этих выходных данных с кратким объяснением.

> ./ViewProfile -p 9900 -u abcde123

!--- In this example, abcde123 is used in place of an actual user name.

User Profile Information
user = abcde123{
profile_id = 21 
profile_cycle = 1 
password = clear "********" until "8 Aug 2001" 
}

В данном примере, если файл CSU.cfg имеет линии config_warning_period 5 и config_expiry_period 30, то пользователь назвал "abcde123", начинает получать предупреждения Telnet истечения срока действия пароля 3 августа (пять дней до 8 августа). Если пользователь изменяет пароль в интерфейсе Telnet 6 августа, пока дата в профиле не перезагружена для 30 дней спустя. Это заканчивается в новую дату окончания действия от 5 сентября.

Вопрос. Существует ли атрибут, который истекает пользователь после заданного номера дней бездействия на учетной записи?

О. Устаревание пароля является самой близкой опцией. Посмотрите вопрос об устаревании пароля в этом документе для получения дополнительной информации. Если пользователь не входит датой, в которую истекает пароль, то учетная запись истекает.

Примечание: Поскольку изменение пароля не поддерживается с помощью PPP, это означает, что истечение срока работы пользователей только работает для входа в систему режима терминала.

Вопрос. CSUnix принуждает какие-либо ограничения на выборы пароля? Другими словами, это запрещает "легкие" или "вскрываемые" пароли?

О. Нет. CSUnix не принуждает политики ограничения паролей, включая проверку словаря или запоминание более старых паролей. Основное ограничение - то, что пароли должны быть минимальной длиной шести алфавитно-цифровых знаков, чтобы быть принятыми. Единственные правильные символы для паролей являются алфавитными буквами (Через Z и через z) и цифры (0 до 9). См. руководство пользователя для получения дополнительной информации об ограничениях пароля.

Вопрос. Если профиль пользователя "блокирован", как я могу разблокировать профиль из командной строки?

О. Выполните эти шаги для запуска команды DBClient для ручного разблокирования профиля:

  1. Выполните эту команду в командной строке:
    $BASEDIR/DBClient/DBClient -p 9900
    
    $BASE представляет каталог, в котором установлен CSUnix.
  2. Введите эти значения, когда вам предложат.
    username: 
    admin_name
    
    
    !--- Enter your administrator user name in place of admin_name.
    
    password: 
    admin_password
    
    
    !--- Enter the administrator password in place of admin_password.
    
    
  3. Тип разблокировал и нажимает Enter.
  4. Введите user_name user = . User_name замены с названием профиля пользователя, который вы хотите разблокировать.
  5. Нажмите Enter дважды.
  6. Введите выход и нажмите Enter для закрытия Окна командной строки.

Учет

Вопрос. CSUnix предоставляет отчеты об использовании по учетным записям пользователей?

О. CSUnix не предоставляет такие отчёты, но эта информация может быть извлечена из базы данных. Учетная информация в соответствии с сервером доступа к сети (NAS) хранится и может быть извлечена в текстовый файл с помощью утилиты AcctExport. Как только учетные данные извлечены из базы данных, сценарий может быть создан, чтобы проанализировать данные и генерировать необходимый отчёт для каждого пользователя. При выдаче целевой команды AcctExport она удаляет учетные записи из базы данных и размещает их в цель.

Вопрос. Что происходит, если CSUnix генерирует новые учетные записи, в то время как выполняется команда AcctExport?

О. На новые записи не влияют, так как команда AcctExport собирает максимальные Номера ID в таблицах, прежде чем она запустит свою операцию экспорта.

Вопрос. Как я знаю, успешна ли команда AcctExport?

О. При запуске команды AcctExport от командной строки она возвращает сообщение, Успешно сделанное. В то время как код выхода 1 указывает на сбой, при доступе к команде AcctExport из программы код выхода 0 указывает на успех.

Вопрос.? Если я в маршрутизатор, Учет Команды enable, CSUnix делает запись точной команды ввел, например, это делает запись определенной команды как ip route 135.52.0.0 255.255.0.0 1.1.1.1?

О. При запуске стартстопного Є TACACS Є команды aaa accounting 15 + команда на маршрутизаторе полный синтаксис команд зарегистрирован в AAA-сервере. Эта информация может быть получена из базы данных с командой AcctExport.

Некоторые записи в качестве примера команд учета показывают здесь.

lab-i52.cisco.com dphillip tty18 170.69.200.7 start server=ciscosecure-sun 
     time=10:09:56 date=05/19/97 task_id=74	service=shell

lab-i52.cisco.com dphillip tty18 170.69.200.7 stop server=ciscosecure-sun 
     time=10:09:58 date=05/19/97 task_id=75 service=shell	
     priv-lvl=15 cmd=configure terminal <cr>

lab-i52.cisco.com dphillip tty18 170.69.200.7 stop server=ciscosecure-sun 
     time=10:10:03 date=05/19/97 task_id=76 service=shell 
     priv-lvl=15 cmd=ip route 1.1.1.1 255.255.255.255 Serial 0 <cr>

Вопрос. CallerID перехвачен в учете?

О. Да, CallerID сохранен в rem_addr поле. Это может содержать и Calling Line Identification (CLID) и Dialed Number Information Service (DNIS), которые разделены прямой косой чертой (/).

Ошибки и отладка

Вопрос. Как я исправляю 'Пользовательский Доступ Отфильтрованная' ошибка?

Ответ. Либо отключите систему ограничений на доступ в сеть (NAR), либо полностью настройте ее для использования.

Вопрос. То, как я определяю то, что отказал тип сообщения 'Authen', означает?

Ответ. Отметьте дату и время сообщения, откройте файл журнала CSAuth и проведите поиск по дате и времени. Больше подробного объяснения сообщения тогда представлено.

Вопрос. В то время как CSUnix устанавливает на Ядре Solaris 8, это генерирует ошибки. В чем причина?

О. Проверьте, что файлы пакета не отсутствуют в базовой установке:

/usr/lib/libX11.so.4, a symlink pointing to /usr/openwin/lib/libX11.s0.4
/usr/lib/libXext.so.0, a symlink pointing to /usr/openwin/lib/libXext.so.0
/usr/ucblib/libucb.so.1 

Вопрос. CSUnix получает сообщение системного журнала 'ОШИБКА - неспособный получить название NAS 134. Что это означает?

О. Если существует включенный Сервер Коммутации Содержания, перейдите к нему и удалите tacacs из сервера. Добавьте, что частота tacacs 0 тогда добавляет tacacs назад к тому серверу. Это подобно атаке, и один из них решает этот вопрос.

Выполните эти команды для отключения активности TACACS на сервере CSS:

CSS(config)# no tacacs-server 10.152.4.24 49 
CSS(config)# tacacs-server frequency 0 
CSS(config)# tacacs-server 10.152.4.24 49 primary 

Вопрос. То, когда я отлаживаю на своем маршрутизаторе, я получаю 'протокол, исказило' сообщение об ошибках. Что это означает?

О. У вас, вероятно, нет допустимого лицензионного ключа в файле CSU.cfg. Без ключа, когда CSUnix достигает четырех портов, он пишет ошибку в файл $BASE/logfiles/cs_startup.log (где $BASE представляет каталог, в котором CSUnix установлен). Это тогда передает Лицензированное количество превышенного сообщения портов к маршрутизатору. Маршрутизатор интерпретирует это сообщение как искаженный протокол. Для получения дополнительной информации на лицензировании, обратитесь к Проблемам лицензирования для Cisco Secure UNIX.

Вопрос. Что я должен сделать, если я получаю сообщение 'Ошибки системы безопасности', когда я соединяюсь с расширенным ГИПом?

О. Отредактируйте файл $BASE/config/CSConfig.ini (где $BASE представляет каталог, в котором CSUnix установлен), и измените ValidateClients линии = истинный для ValidateClients = ложь. Переработайте сервисы так, чтобы изменение вступило в силу. Эта установка говорит CSUnix не проверять IP-адрес входящего администратора.

Если существует потребность проверить IP-адреса, оставить ValidateClients = истинная линия неизменный и включать линии в файл, которые подобны этим выходным данным:

[Valid Clients]
100=chicago.cisco.com
102=1.2.3.4

Вопрос. Если я получаю 'Слишком много открытые файлы' сообщение об ошибках в журнале загрузки, что я должен сделать?

О. Эти сообщения об ошибках указывают, что существует слишком мало доступных дескрипторов файла Solaris.

Jan 21 19:44:54 secs1 : (Too many open files)
Jan 21 19:53:17 secs1 CiscoSecure: ERROR - error on accept: (Too many open files)

Чтобы исправить и предотвратить эти ошибки, модифицируйте файлы конфигурации CSUnix как показано в этих шагах.

  1. Увеличьте стоимость ulimit к 4096 в файле $BASE/bin/DBServer.sh (где $BASE представляет каталог, в котором CSUnix установлен), как показано здесь.
    ulimit -n 4096
  2. Увеличьте стоимость ulimit к 256 в файле $BASE/bin/AcmeServer.sh, как показано здесь.
    ulimit -n 256
  3. Установите значение ulimit в неограниченный в файле/etc/rc2.d/S80CiscoSecure, как показано здесь.
    ulimit -n unlimited

Вопрос. Что я должен сделать, если я не могу запустить CSUnix, и я вижу, что 'полугнида отказывает (libsec.8187)' сообщение в cs_startup.log файле?

О. Проверьте разрешения на / временном каталоге. Они должны собираться читать, записать и выполниться (rwx) для пользователей, групп и другого. Выходные данные от ls-ld / команда tmp возвращают что-то подобное этому:

drwxrwxrwt 6 sys sys 317 Jul 8 12:00 /tmp

Примечание: Сбой полугниды (libsec.8187) сообщение является сообщением об ошибках Netscape.

Вопрос. Что делает я должен сделать, если я пытаюсь использовать CSUnix, и я получаю 'TAC +: Получены абсурдные данные от сервера' сообщение об ошибках?

О. Это означает, что существует или основная несогласованность между сервером доступа к сети (NAS) и CSUnix или существует проблема с Системой доменных имен (DNS) или Информационной службой сети (NIS).

Для тестирования конфигурации замените IP-адрес NAS или название с пустыми двойными кавычками ("") в файле CSU.cfg. Эта замена позволяет CSUnix связаться с любым клиентом с корректным ключом. Пример линий в файле CSU.cfg прежде и после замены показывают здесь.

  • Прежде:

    NAS config_nas_config = {
    {
    "192.91.124.172", /* NAS name can go here */
  • После:

    NAS config_nas_config = {
    {
    "", /* NAS name can go here */

Также попытайтесь отключить DNS в файле CSU.cfg путем добавления этой линии к начинающемуся разделу с другими Записями NUMBER:

NUMBER config_get_dns_names = 0

См. руководство пользователя для получения дополнительной информации.

Вопрос. То, что я должен сделать, если консоль Cisco Secure Server лавинно рассылается, 'Не может определить местоположение профиля сервера' сообщение об ошибках?

О. Это сообщение об ошибках является обычно косметическим и, вероятно, произойдет, когда база данных скопирована от одного сервера до другого. Если существует профиль сервера на исходном сервере, но никакой профиль сервера на конечном сервере, генерируется это сообщение.

Для предотвращения этой ошибки можно добавить профиль для самого Сервера CSUnix в Расширенном ГИПе. Или, если вы не используете RADIUS, можно отключить RADIUS с этой процедурой:

  1. Резервируйте файл/etc/rc2.d/S80CiscoSecure.

  2. Отредактируйте файл/etc/rc2.d/S80CiscoSecure путем вставки-R в линию, показанную здесь.

    cd $BASE/CSU; $BASE/CSU/CiscoSecure -R -f $BASE/config/CSU.cfg 
    >>$BASE/logfiles/cs_startup.log 2>&1
  3. Перезапустите Сервисы Csunix.

Вопрос. Как я получаю регистрационную информацию протокола и больше подробного процесса отладки вниз к уровню байта? Я уже изменил значение "config_logging_configuration" в файле CSU.cfg, но я все еще не получаю регистрацию протокола.

О. Отладочная информация протокола не передается системному журналу. Вместо этого эта информация записана в стандартную ошибку. В стандартной конфигурации Сервер CSUnix закрывает дескриптор файла стандартных ошибок, который заставляет отладки протокола быть брошенными в битоприемник.

Для наблюдения отладок на уровне протокола необходимо запустить Сервер CSUnix с-c-x ключи командной строки. Это заставляет AAA-сервер работать на переднем плане и поддерживает его стандартный вывод и дескрипторы файла стандартных ошибок открытыми. Вы тогда видите отладки протокола на консоли. Эти отладки могут также быть перехвачены к файлу с помощью перенаправления стандартной ошибки UNIX.

Вопрос. Как я узнаю количество файлов, которые процесс имеет открытый?

О. Выполните эту команду в командной строке:

/usr/proc/bin/pfiles process_ID

process_ID замены с Номером ID процесса.


Дополнительные сведения


Document ID: 4186