Безопасность : Сервер управления безопасного доступа Cisco для Unix

Передовые примеры администрирования Cisco Secure ACS для UNIX

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет оптимальные методы для управления ACS Cisco Secure (CS) для Приложения UNIX. Рекомендации, представленные в этом документе, основываются на дизайне и опыте развертываний Инженерами развития Cisco (DE).

Предварительные условия

Требования

Читатели данного документа должны обладать знаниями по следующим темам:

  • настройка и администрирование ACS CS для UNIX

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Версия UNIX 2.3 (5) ACS CS

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Распечатка оптимальных методов

Ниже распечатка рекомендуемых оптимальных методов.

Шаги

Выполните следующие действия:

  1. Удостоверьтесь, что База данных sqlanywhere не превышает 5000 профилей пользователей.

  2. Учетные записи не должны превышать 50,000 записей в таблицах учета.

  3. Выполняйте утилиту AcctExport ежедневно.

  4. Если скорость транзакций очень высока, и существует огромный бухгалтерский трафик, таким образом, что существует больше чем 50,000 учетных записей, то выполненный AcctExport дважды или трижды на основе загрузки.

  5. Удостоверьтесь, что существует соответствующий диск и Область подкачки, доступная на Поле Solaris.

  6. Выполните служебную программу dbunload ежемесячно. Это поможет уменьшать размер Базы данных CSUNIX.

  7. Csecure.db никогда не должен превышать 1 ГБ дискового пространства.

  8. Если csecure.db превышает в размере очень быстро, то удостоверьтесь, что dbunload выполняется более часто.

  9. Если AAA Радиуса не используется в CS, то это может быть отключено с помощью флага –R в/etc/rc2.d/S80Ciscosecure.

  10. Во времени выполнения об ошибках DBServer, включая ошибки, с которыми встречаются в интерфейсе к базе данных, сообщают в logfiles/csdb_ <дата> файл. В любые неожиданные ошибки или сведения об аварийном отказе Виртуальной машиной java входят log/dbserver.log файл. Проверьте эти файлы для любых ошибок.

  11. Если AAAServer завершится катастрофическим отказом, то ключевые файлы будут расположены в $BASEDIR/corefiles. Проверьте для существования ключевых файлов, если таковые имеются.

  12. Резервируйте базу данных регулярно (ежедневно или еженедельно), на основе потребностей клиентов.

  13. Для лучшей производительности отключите характеристику входа в систему csuslog. Это решительно увеличит производительность.

  14. Значение ulimit должно быть 4096 в/etc/system, $BASEDIR/bin/DBServer.sh/etc/rc2.d/S80Ciscosecure

  15. Удаляйте csecure.log регулярно. Прежде, чем удалить csecure.log, CS должен быть остановлен.

  16. Вручную не добавляйте/модифицируйте/удаляйте, что база данных / таблицы непосредственно - использует только поддерживаемые методы.

  17. Заархивируйте каталог $BASEDir/logfiles один раз в месяц.

  18. Архивируйте/var/log/csuslog файлы регулярно и обрезайте размер путем запуска команды cat/dev/null> csuslog. Если файл будет удален, то системный журнал не будет работать, и следовательно журнал не будет перенаправлен к файлу csuslog.

  19. Проблемы Сервера DNS: Если целевой системе настроили DNS, или если Операционная система Solaris была настроена как сервер DNS, специальное обслуживание должно быть взято, чтобы обеспечить, чтобы Производительность DNS и операции были полностью в рабочем состоянии.

    Если целевой Системе Solaris сервера ACS CS включили DNS, могли бы быть проблемы производительности или проблемы аутентификации для ACS CS. ACS CS непосредственно не вызывает сервер DNS; однако, Операционная система Solaris вызывает “gethostbyadd_r” и могла бы косвенно вызвать сервер DNS, если настроено, чтобы сделать так. Проверьте/etc/nsswitch.conf файл для такой конфигурации. Если операция разрешения имен Домена DNS не работает или является медленной, это непосредственно влияет на ACS CS.

  20. В то время как рабочие программные средства, такие как dbbackup и dbunload, должен быть правильно установлен ПУТЬ. В противном случае программные средства могут не работать должным образом. $BASEDIR/utils/bin/env_setup может использоваться для установки пути. Этот файл содержит все требуемые переменные окружения и другие подробные данные пути.

  21. MaxConnection и параметры ConnectionLicense должны быть установлены, чтобы удовлетворить потребности на основе количества аутентификаций и количества Транзакций, которые может обработать CSU. Если используемым db является SqlAnyWhere, MaxConnection может быть установлен в Max. значение 50. Увеличьте ConnectionLicense в $BASEDIR/config/CSConfig.ini, и соответственно увеличьте стоимость MaxConnection в $BASEDIR/CSU/libdb.conf к значению два меньше, чем ConnectionLicense на основе загрузки.

  22. При использовании автоматизированных сценариев, чтобы войти к маршрутизаторам и коммутаторам, и выполнить команды, это - полезный прием для размещения команд сна промежуточный стандартный маршрутизатор / команды коммутатора. Это помогает распределять нагрузку и избегать конфликтов ресурсов в сервере CS.

  23. Далее, эти автоматизированные сценарии должны должным образом закрыть сеансы Telnet (даже в случае любых сбоев команды), чтобы гарантировать, что ресурсы не блокированы в сервере CS.


Дополнительные сведения


Document ID: 63755