Безопасность : Устройство Cisco NAC (Clean Access)

Часто задаваемые вопросы по Clean Access Manager

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Вопросы


Введение

Этот документ отвечает на большинство часто задаваемых вопросов (часто задаваемые вопросы), отнесенные Менеджеру Cisco Clean Access. Этот документ является частью первой двух наборов документации части. См. Менеджера Cisco Clean Access часто задаваемые вопросы 2 для части второй.

Названия продуктов были изменены. В этой таблице приводится перечень старых и новых названий:

Старое название Новое название
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Вопрос. Как я могу перенаправить к другой регистрационной странице сначала и затем стать перенаправленным назад к Странице входа?

О. Существует два решения:

  • Предоставьте ссылку для незарегистрированного или новых пользователей для щелчка от Страницы входа. Регистрационная страница может обнаружиться на правильном кадре. Пользователь может зарегистрироваться сначала, и затем получить их учетные данные входа в систему.

  • Используйте сопоставление атрибута в LDAP, который указывает, зарегистрированы ли пользователи или нет. Если пользователи не зарегистрированы, поместите их в специальную роль (на основе ответа от LDAP). Затем перенаправьте их к регистрационному веб-сайту для получения их учетных данных входа в систему на основе роли.

Вопрос. Как я могу настроить Карантинную Политику для доступа к различным узлам обновления, таким как Windows Update, Symantec LiveUpdate, и т.д?

О. Cisco предполагает, что вы устанавливаете эти правила в этом заказе для смягчения потребности поместить отдельный Windows Update или IP-адреса обновления антивируса:

  1. Позвольте DNS (ваш DNS может быть внутренним или внешним) решить DNS узла обновления.

  2. Заблокируйте весь входящий трафик TCP/UDP/ICMP к своей внутренней сети.

  3. Включите порт исходящих соединений 80/443, таким образом, трафик может пересечь к Windows Update и выполнить обновление.

    ca-mgr-faq-1.gif

    Cisco также рекомендует установить Карантинный таймер сеанса соответственно (например, 20 минут).

    ca-mgr-faq-2.gif

    Примечание: основанная на домене фильтрация политики была добавлена в версиях 3.2, и позже (позволяет windowsupdate.microsoft.com в разрешении на политику).

Вопрос. Где файлы журнала в Менеджере Cisco Clean Access?

О. Журнал событий находится на название таблицы базы данных как log_info таблица.

В Менеджере Cisco Clean Access существуют другие журналы:

  • /var/log/messages - запуск

  • /var/log/dhcplog - ретрансляция DHCP, журналы dhcp

  • /tmp/perfigo-log0.log.? - служебные журналы

  • /perfigo/control/apache/logs /* - ssl, апачские журналы ошибок

  • /perfigo/control/tomcat/logs/localhost*. - tomcat, перенаправление, журналы jsp

Вопрос. Когда я вхожу от сети в роль, которая требует VPN, я получаю сообщение, которое говорит, что я должен использовать Клиент VPN для соединения. Я хочу отредактировать его для добавления ссылки для загрузки Клиента VPN. Где расположена страница VPN?

О. Это расположено в/perfigo/access/tomcat/webapps/auth/perfigo_ipsec_enforced.jsp на Сервере Cisco Clean Access.

Вопрос. Где удаленный сценарий резервного копирования, который может взять снимок и передать определенному удаленному серверу с помощью FTP?

О. Удаленный сценарий резервного копирования находится на Менеджере Cisco Clean Access в/perfigo/control/bin каталоге, названном как pg_backup.

При выполнении его без каких-либо параметров это говорит вам, как это должно использоваться. Использование для сценария:

  • pg_backup [Сервер FTP] [Имя пользователя] [Пароль]

Вопрос. Менеджер Cisco Clean Access показывает все MAC-адреса как 00:00:00:00:00:00. В чем причина?

О. Это может происходить по следующим причинам:

  • Если существует нисходящий поток маршрутизатора, Менеджер Cisco Clean Access показывает MAC-адрес маршрутизатора, пока маршрутизатор является ARPing для рассматриваемых IP-адресов (например, IP пользователя). Если маршрутизатор не (по некоторым причинам), то у вас есть 00:00:00:00:00:00 как MAC-адрес пользователя.

  • Если пользователь входит с доверяемой стороны (например, нет никакой Записи ARP для пользователя на недоверяемой стороне), Менеджер Cisco Clean Access показывает все нули.

Вопрос. Я получил сертификат SSL со знаком для нашего Менеджера Cisco Clean Access. Я думал, что это будет мешать тому, чтобы попросить сертификата появиться, когда клиент начнет процесс проверки подлинности. Сертификат, предупреждающий все еще, появляется. Как это исправить?

О.. если вы не хотите получаете сертификат для Сервера Cisco Clean Access, не Менеджера Cisco Clean Access, чтобы ваши конечные пользователи видели сертификат предупредить,

Вопрос. Если у меня есть подписанный сертификат для Менеджера Cisco Clean Access, я могу также импортировать его в Серверах Cisco Clean Access и совместно использовать его?

О. Нет, вы не можете использовать сертификат, который вы купили для Менеджера Cisco Clean Access на Сервере Cisco Clean Access. Необходимо купить отдельный сертификат для каждого Сервера Cisco Clean Access.

Вопрос. Как я выключаю таймер очистки Сертифицированного устройства?

О. Выберите дату в будущем и нажмите коробку позволить/запретить для отключения сертифицированного таймера.

Вопрос. У меня есть два Диспетчера Failover Clean Access. Я добавил лицензионный ключ к основному диспетчеру, затем попытался перейти к второму через http://<sm2>/admin/main.jsp для добавления того же ключа к дополнительному диспетчеру. Когда я нажал кнопку "Apply License Key", я получаю ошибку. Почему появляется это сообщение?

О. Вы не должны делать этого. Лицензионный ключ сохранен в базе данных. Это передает свой путь к дополнительному диспетчеру через репликацию базы данных.

Вопрос. У вас есть Поддержка кластерных систем Сервера проверки подлинности?

О. Cisco в настоящее время поддерживает объединение в кластеры Сервера проверки подлинности и планирует изучить Аварийное переключение Сервера проверки подлинности в будущих версиях.

Вопрос. Как работает Параметр пакета Пропускной способности?

О. Пульсирующий фактор используется для определения "емкости" блока. Как пример, предположите, что пропускная способность составляет 100 кбит/с, и фактор равняется 2. Поэтому емкость блока составляет 100 Кбит * 2=200 КБ.

Если пользователь не передает пакета в течение некоторого времени, у них есть самое большее маркеры на 200 Кбит в блоке. Как только пользователь должен передать пакеты, пользователь в состоянии отослать пакеты на 200 Кбит сразу. После того пользователь должен ждать маркеров для вхождения по курсу 100 кбит/с для отсылки дополнительных пакетов.

Один способ думать об адаптации состоит в том, что средняя скорость составляет 100 кбит/с, и пиковая скорость составляет приблизительно 200 кбит/с. Поэтому это хорошо для пакетных приложений, таких как просмотр веб - ресурсов.

Вопрос. Когда вы изменяете Network Interface Cards (NIC) на Менеджере Cisco Clean Access, каково влияние?

О. Если у вас есть некорпоративная лицензия, сообщите технической поддержке Cisco изменения на MAC-адресе для выпуска нового лицензионного ключа. Для пары аварийного переключения предоставьте оба MAC-адреса. Если у вас есть корпоративная лицензия, вы не должны сообщать технической поддержке Cisco.

Вопрос. Network Interface Cards (NIC) не подходят должным образом и не передают трафик. Какие действия следует предпринять?

О. Это может быть случаем NIC, не распознаваемых как NIC Broadcom. Попытайтесь:

  • Консоль в коробку.

  • Выполните CD/lib/modules/kernel-2.4.9-perfigo/drivers/addon/bcm5700 команда.

  • Выполните команду insmod./bcm5700.o.

Если эти команды результат ни по каким ошибкам, выполните vi/etc/modules.conf команда и добавьте эти две линии:

alias eth0 bcm5700

alias eth1 bcm5700

Вопрос. Как я сделал запрос сведений о пользователе от базы данных непосредственно?

О. На основном Менеджере Cisco Clean Access от корневого приглашения введите эту команду:

 root>psql –h 127.0.0.1 –U postgres controlsmartdb

Вы находитесь теперь в оболочке базы данных - controlsmartdb =#.

Примеры:

  • Введите эту команду для получения количества пользователей, вошедших в систему на Сервер Cisco Clean Access:

    select count(*) from user_info where ss_key=
    (select ss_key from securesmart_info where ss_ip='x.x.x.x');
    

    Примечание: Удостоверьтесь, что вы вводите запаздывающую точку с запятой. Измените IP-адрес для получения информации для других Серверов Cisco Clean Access.

  • Введите эту команду для получения количества пользователей, вошедших в систему на роль:

    select count(*) from user_info where role_id=
    (select role_id from role_info where role_name='Wireless');
    

    Примечание: Замените имя роли для получения информации, отнесенной к другим ролям.

  • Введите эту команду для получения журналов событий:

    select * from report_info;
    

Вопрос. Как я обхожу аутентификацию для iPhone на NAC-устройстве?

О. Для iPhone можно настроить опцию фильтра устройств под Управлением устройствами> Фильтры> Устройства> Новый. Как только вы включаете список MAC-адресов, которые вы хотите обойти, необходимо задать, ОБЕСПЕЧИВАЮТ Тип доступа для разрешения доступа к тем определенным устройствам. См. Настраивают Фильтры устройств для получения дополнительной информации.


Дополнительные сведения


Document ID: 63592