Безопасность : Устройство Cisco NAC (Clean Access)

Часто задаваемые вопросы по Clean Access Manager 2

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Вопросы


Введение

Этот документ обращается к большинству часто задаваемых вопросов (часто задаваемые вопросы), отнесенные Менеджеру Cisco Clean Access. Этот документ является частью две из документации с двумя наборами. Обратитесь к Менеджеру Cisco Clean Access часто задаваемые вопросы для части один.

Названия продуктов были изменены. В этой таблице приводится перечень старых и новых названий:

Старое название Новое название
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Вопрос. . Я хотел бы изменить начальную веб-страницу, которая подходит, когда я сначала пытаюсь обратиться к вебу - узлы/URL, прежде чем я буду зарегистрирован в Cisco. Как я делаю это?

О. Начальная страница, которая появляется состояния, "Вы перенаправляетесь к странице сетевой проверки подлинности". Эта страница в настоящее время не доступна для редактирования, потому что это - CGI - сценарий. Кроме того, странице показывают только несколько секунд. Пользователи не в состоянии считать расширенный текстовый показ вне двух линий.

Вопрос. . То, когда количество записей в конечном счете регистрирует, передает количество, настроенное в Менеджере Cisco Clean Access, записи удалены из базы данных, или GUI только показывает заданное количество?

О. Порог журнала событий является количеством событий, которые сохранены в базе данных. Максимальное число регистрационных событий сохранило сервер, по умолчанию, 100,000. Порог журнала событий должен быть меньшего размера, чем 200,000. Журнал событий является круговым журналом. Когда журнал передает порог, самые старые записи перезаписаны.

Вопрос. . Когда вы пытаетесь обновить NAC с 4.6.1 к 4.7.1 версиям, возможно, что вы получаете PCI: Дефект BIOS: областью MCFG в e0000000 не является E820-зарезервированный PCI: Не использование сообщение об ошибках MMCONFIG. Почему эта ошибка происходит и как это может быть решено?

О. Если вы обновляете через монитор/клавиатуру а не через консольный порт, эта ошибка происходит.

Вопрос. . Когда основной (активный) Менеджер Cisco Clean Access переключается при отказе резервному (неактивному) менеджеру, я вижу "500 Внутренних ошибок сервера" сообщение. Графический интерфейс пользователя менеджера никогда не отображается. Как это исправить?

О. Проверьте/etc/ha.d/perfigo.conf, чтобы гарантировать, что правильно установлены peerhostname и ha_serial.

ca-mgr-faq2-2.gif

Вопрос. . В режиме виртуального шлюза я могу повторно пометить все машины в роли (например, Xbox) и сделать, чтобы они, казались, быть в одной сети?

О. VLAN не повторно помечена в режиме виртуального шлюза.

Вопрос. . Аварийное переключение Чистые Серверы доступа не появляется к аварийному переключению правильно. Оба Сервера Cisco Clean Access указывают, что другой не работает. Основные попытки к аварийному переключению к вторичному устройству, но не успешно выполняются. Никакие новые входы в систему не заверены в это время. Почему возникает эта проблема?

О. Причина проблемы может быть в конфигурации/etc/lilo.conf и/etc/inittab. Модифицируйте/etc/lilo.conf и/etc/inittab для остановки консольного перенаправления к последовательным выходным данным ttyS0.

Выполните эти шаги для реконфигурирования ttyS0 как пульсирующего подключения:

  1. От Клиента SSH обратитесь к Серверу Cisco Clean Access и/или Серверу - диспетчеру Cisco Clean Access как пользователь маршрута.
  2. Отредактируйте/etc/lilo.conf и удалите или прокомментируйте последнюю линию:
    append="console=ttyS0....."
    Эта линия заставляет выходные данные консоли быть перенаправленными к последовательному порту.

    Примечание: Добавьте # символ к запуску линии, чтобы прокомментировать линию. Проигнорированы линии, которые запускаются с этого символа.

  3. Отредактируйте/etc/inittab и удалите или прокомментируйте последнюю линию:
    co:2345:respawn ...vt100
    Эта линия заставляет терминал входа быть запущенным на последовательном порту.
  4. Введите lilo и нажмите ENTER в командной строке. Это запускает Lilo, программу загрузки Linux.
  5. Введите команду перезагрузки для перезагрузки компьютера.
  6. Повторите эти шаги в однорангового Менеджера Cisco Clean Access аварийного переключения.

Вопрос. . Я должен разработать страницу, где специалисты справочной службы могут ввести MAC-адреса в таблицу 'исключения' для вещей, таких как принтеры, маршрутизаторы, игровые системы, и т.д. Существует ли утилита для выполнения этого?

О. Cisco Clean Access предоставляет сервисный сценарий, названный cisco_api.jsp (или perfigo_api.jsp для предшествующих версий 3. 2 и 3. 3), который позволяет вам выполнять определенные, некоторый операции через POST HTTPS. Вот URL для Чистой страницы описания API Доступа для Чистого Access Manager, к которому можно обратиться от web-браузера:

  • https://<ccam-ip-or-name>/admin/cisco_api.jsp

Раздел говорит вам, что функции и как обратиться к ним.

Важно: Требования к использованию

  • Вы или кто-то в организации должны знать и быть довольны языками сценария, такими как Perl.

  • Только HTTPS, POST и AUTH поддерживаются. HTTP, GET и Никакие Опознавательные API не поддерживаются.

  • Необходимо установить пакеты Perl (или что-то подобное) на машине, которая выполняет эти сценарии.

  • Техническая поддержка Cisco не поддерживает отладку Perl или сценарии пакетов.

Требования проверки подлинности (3.5.4 +)

API требует аутентификации по SSL для доступа к API через эти два метода аутентификации:

  • Аутентификация сеансом

    В этом методе, как администратор, можно использовать функции adminlogout и adminlogin. Эти функции позволяют вам создать опознавательный сценарий оболочки, который заставляет cookie с идентификатором сеанса быть обращенным для остатка сеанса admin. Если cookie идентификатора сеанса является "not set", пользователь получает приглашение регистрации. Adminlogin (вход в систему администратора) функция возвращает идентификатор сеанса, который должен быть установлен как используемые cookie любого API. Необходимо тогда использовать функцию adminlogout для завершения сеанса. Однако, если вы не используете adminlogout, сеанс все еще завершается, когда сеанс admin испытывает таймаут.

  • Аутентификация функцией

    Если вы не хотите использовать cookie для создания сценария оболочки, можно вместо этого выполнить аутентификацию каждый раз, когда функция используется. Если вы подтверждаете подлинность функцией, необходимо добавить admin и параметры пароля ко всем функциям, которые вы используете в существующем сценарии. В этом случае вы не используете функции adminlogout и adminlogin.

Гостевая поддержка доступа (3.5.8 +)

Getlocaluserlist, addlocaluser и deletelocaluser API предназначены, чтобы поддержать гостевой доступ для динамической генерации доступа пользователя с маркерным доступом и предоставить возможность:

  • Используйте веб-страницу для доступа к API Cisco Clean Access, чтобы вставить имя пользователя посетителя или пароль (например, jdoe@visitor.com, jdoe112805), и назначить роль (например, guest1day).

  • Удалите всех гостей, привязанных к той роли в течение того дня (например, guest1day).

  • Перечислите все имена пользователей, привязанные к той роли (например, все пользователи для guest1day).

Эти API поддерживают большинство реализаций доступа гостя динамический маркер/генерация пароля и позволяют удаление тех пользователей для роли guest. Это предоставляет вас возможность создать собственный специализированный вход в систему или страницы подписки и затем вызвать API CCA.

Примечание: Все еще необходимо создать пароль/маркер генерации фронтэнда. Для целей учета accounting purpose Cisco Clean Access предоставляет Функциональную возможность учета RADIUS только.

Пример

Вот выборка (правый щелчок, загрузки) сценария тестирования Perl для операции 'addmac'.

Необходимо установить эти модули на сервере Linux для этого сценария для выполнения. Можно загрузить их от Комплексной архивной сети Perl leavingcisco.com.

  • MIME-Base64-3.05.tar.gz

  • URI-1.33.tar.gz

  • HTML-Tagset-3.03.tar.gz

  • HTML-Parser-3.36.tar.gz

  • Crypt-SSLeay-0.51.tar.gz (требует установленного openssl),

  • libwww-perl-5.77.tar.gz

Обратитесь к тому, Что Сделать, Как только Вы Загрузили Модуль От CPAN для инструкций установки модуля.

После установки можно испытать его через SSH Менеджеру Cisco Clean Access. Перейдите к/root/perl (предполагающий, что вы установили здесь), и выполните https-auth-post сценарий. Запись MAC добавлена к 192.168.151.156 глобальным фильтрам.

Название операции: adminlogin

Описание Вход в систему Администратора возвращает идентификатор сеанса, который должен быть установлен как используемые cookie любого API.

Используйте adminlogin и adminlogout для создания сценария оболочки при использовании аутентификации сеансом с cookie. В противном случае используйте admin и параметры пароля в каждой функции.

Входные параметры:

  • (требуемый) op — adminlogin

  • admin (потребовал) — имя пользователя Учетной записи администратора

  • (требуемый) passwd — пароль Учетной записи администратора

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

  • Если значение mesg 0, другой комментарий формы <! - session_id=SESSION_ID_STRING-> возвращен

Название операции: adminlogout

Описание выходится из системы. Cookie определяет сеанс.

Используйте adminlogin и adminlogout для создания сценария оболочки при использовании аутентификации сеансом с cookie. В противном случае используйте admin и параметры пароля в каждой функции.

Входные параметры:

  • (требуемый) op — adminlogout

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

Название операции: addmac

Описание MAC-адрес к Списку устройств.

Входные параметры:

  • (требуемый) op — addmac

  • (требуемый) Mac — Поддерживаемые форматы 00:01:12:23:34:45 или 00-01-12-23-34-45 или 000112233445

  • (дополнительный) ip — Поддерживаемые форматы 192.168.0.10

  • введите (дополнительный) — Одна из Строк [запрещает, позволяет, userole]. По умолчанию, запрещают.

  • (дополнительная) роль — Задает имя роли. По умолчанию является не прошедшим поверку подлинности. Требуемый, если type=userole.

  • (дополнительный) desc — Любой description string.

  • (дополнительный) ssip — По умолчанию является глобальным. Предоставьте IP-адрес, используемый для настройки Чистого Сервера доступа для Очистки Access Manager.

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

Название операции: removemac

Описание MAC-адрес из списка Фильтров устройств.

Входные параметры:

  • (требуемый) op — removemac

  • (требуемый) Mac — Поддерживаемые форматы 00:01:12:23:34:45 или 00-01-12-23-34-45 или 000112233445

  • (дополнительный) ssip — по умолчанию является глобальным. Предоставьте IP-адрес, используемый для конфигурации Чистого Сервера доступа для Очистки Access Manager.

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

Название операции: addcleanmac

Описание MAC-адрес к списку сертифицированных устройств Cisco Clean Access как освобожденное устройство.

Входные параметры:

  • (требуемый) op — addcleanmac

  • (требуемый) Mac — Поддерживаемые форматы 00:01:12:23:34:45 или 00-01-12-23-34-45 или 000112233445

  • (дополнительный) ssip — по умолчанию является глобальным. Предоставьте IP-адрес, используемый для настройки Чистого Сервера доступа Чистому Access Manager.

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

Название операции: removecleanmac

Описание MAC-адрес из Чистого списка сертифицированных устройств Доступа.

Входные параметры:

  • (требуемый) op — removecleanmac

  • (требуемый) Mac — Поддерживаемые форматы 00:01:12:23:34:45 или 00-01-12-23-34-45 или 000112233445

  • (дополнительный) ssip — по умолчанию является глобальным. Предоставьте IP-адрес, используемый для настройки Чистого Сервера доступа для Очистки Access Manager.

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

    У вас может быть несколько ошибочных комментариев, если SSIP не предоставлен, и MAC не может быть удален из нескольких Чистых Серверов доступа.

Название операции: clearcertified

Описание Чистый список сертифицированных устройств Доступа.

Входные параметры:

  • (требуемый) op — clearcertified

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

Название операции: kickuser

Описание зарегистрированного пользователя

Входные параметры:

  • (требуемый) op — kickuser

  • ip (потребовал) — Предоставляет IP-адрес пользователя, чтобы быть удаленным.

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

Название операции: kickoobuser

Описание вошедший внеполосный пользователь.

Входные параметры:

  • (требуемый) op — kickoobuser

  • (требуемый) Mac — Предоставляет MAC-адрес пользователя, чтобы быть удаленным.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

Название операции: queryuserstime

Описание вошли в пользователей, остающихся временем на сеансе. Только пользователи вошли в роли превышения времени ожидания сеанса, возвращены.

Входные параметры:

  • (требуемый) op — queryuserstime

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

  • Если значение mesg 0, другой комментарий формы <! - list=iplist-> возвращен. Формат iplist 10.1.10.10=23345,10.1.10.11=23001,10.1.10.12......., IP=Time_Remaining (миллисекунды).

Название операции: renewuserstime

Описание вошедший пользовательское превышение времени ожидания сеанса сеансом.

Входные параметры:

  • (требуемый) op — renewuserstime

  • (требуемый) список — Формат списка 10.1.10.10, 10.1.10.11, 10.1.10.12..... IP, IP.

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

Название операции: changeuserrole

Описание роль зарегистрированного пользователя.

Входные параметры:

  • (требуемый) op — changeuserrole

  • ip (потребовал) — IP-адрес зарегистрированного пользователя.

  • (требуемая) роль — роль этот пользователь должна быть размещена в.

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

Название операции: getuserinfo

Описание одного из IP, MAC или Названия, возвращена информация о зарегистрированном пользователе (ях). Если существует несколько пользователей, которые совпадают с критериями, список пользователей возвращен.

Входные параметры:

  • (требуемый) op — getuserinfo

  • (требуемый) qtype — Одна из строк ('ip', 'Mac', 'название', 'все').

  • (требуемый) qval — IP-адрес или MAC-адрес или Имя пользователя или Пустая строка упаковывает 'всех'.

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

  • Если значение mesg 0, комментарий формы <! - count=10-> показывает, что количество пользователей возвратилось, придерживавшийся соответствующим количеством комментариев формы <! - IP=10.1.10.12, MAC=0A:13:07:9B:82:60, NAME=jdoe, Сервер PROVIDER=LDAP, ROLE=Student, ORIGROLE=Student, VLAN=1024, NEWVLAN=1024, XP OS=Windows-> возвращен.

Название операции: getoobuserinfo

Описание: Учитывая одного из IP, MAC или Названия, вошедшего будет возвращена информация о пользователе (ях) OOB. Если будет несколько пользователей, совпадающие с критериями, то список пользователей будет возвращен

Входные параметры:

  • (требуемый) op — getoobuserinfo

  • (требуемый) qtype — одна из строк ('ip', 'Mac', 'название', 'все')

  • (требуемый) qval — IP-адрес или MAC-адрес или Имя пользователя или Пустая строка упаковывает 'всех'

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

  • Если значение mesg 0, комментарий формы <! - count=10-> показывает, что количество пользователей возвратилось, придерживавшийся соответствующим количеством комментариев формы <! - IP=10.1.10.12, MAC=0A:13:07:9B:82:60, NAME=jdoe, Сервер PROVIDER=LDAP, ROLE=Student, AUTHVLAN=10, ACCESSVLAN=1024, XP OS=Windows, SWITCHIP=10.1.10.1, PORTNUM=18->.

Название операции: getcleanuserinfo

Описание один из MAC или Названия, возвращена сертифицированная информация о пользователе (ях). Если существует несколько пользователей, которые совпадают с критериями, список сертифицированных пользователей возвращен.

Входные параметры:

  • (требуемый) op — getcleanuserinfo

  • (требуемый) qtype — Одна из строк ('Mac', 'название', 'все').

  • (требуемый) qval — MAC-адрес или имя пользователя или Пустая строка упаковывает 'всех'.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция имеет успех или иначе существует строка с ошибкой.

  • Если значение mesg 0, комментарий формы <! - count=10-> показывает, что количество пользователей возвратилось, придерживавшийся тем же количеством комментариев формы <! - MAC=0A:13:07:9B:82:60, NAME=jdoe, Сервер PROVIDER=LDAP, ROLE=Student, VLAN=10->.

Название операции: getlocaluserlist

Описание список настроенных учетных записей локального пользователя с именем пользователя и именем роли.

Входные параметры:

  • (требуемый) op — getlocaluserlist

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0 тогда, операция является успехом или иначе будет строка с ошибкой.

  • Если значение mesg 0, комментарий формы <! - count=10-> показывает, что количество пользователей возвратилось, После того же количества комментариев формы <! - NAME=jdoe, ROLE=Student-> возвращен.

Название операции: addlocaluser

Описание новая учетная запись локального пользователя.

Входные параметры:

  • (требуемый) op — addlocaluser

  • (требуемое) имя пользователя — имя пользователя учетной записи локального пользователя.

  • (требуемый) userpass — пароль пользователя учетной записи локального пользователя.

  • (требуемый) userrole — название роли пользователя учетной записи локального пользователя.

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0, операция имеет успех, в противном случае, существует строка с ошибкой.

Название операции: deletelocaluser

Описание учетную запись локального пользователя.

Входные параметры:

  • (требуемый) op — deletelocaluser

  • (требуемый) qtype — одна из строк ('название', 'все')

  • (требуемый) qval — Имя пользователя или Пустая строка упаковывает 'всех'

  • (дополнительный) admin — имя пользователя учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

  • (дополнительный) passwd — пароль для учетной записи администратора. Этот параметр не необходим при использовании аутентификации сеансом.

Выходные параметры:

  • Комментарий формы <! - error=mesg-> возвращен. Если значение mesg 0, операция имеет успех, в противном случае, существует строка с ошибкой.

Вопрос. . Если таймер сеанса установлен в 0 для роли, и пользователь в той роли завершает машина и идет домой, возвращается утром и включает машину, пользователь требуется войти в систему снова?

О. Пользовательский сеанс сохраняется, пока один из них не происходит:

  • Входы пользователя в систему от сети.

  • Администратор вручную ударяет пользователя от сети.

  • Времена сеанса из-за таймера сеанса. Превышение времени ожидания сеанса, в котором пользователь отброшен независимо от статуса соединения или действия. Установка применяется ко всем пользователям, или локально или внешне заверенный.

  • Сервер Cisco Clean Access решает, что пользователь больше не связывается с помощью таймера пульса.

  • Таймер пульса определяет номер минут, после которых пользователь выходится из системы сеть, если недостижимый попыткой подключения от Сервера Cisco Clean Access.

Дополнительные пояснения:

  • Если таймер сеанса 0, и таймер пульса является "not set", пользователь не отброшен от подключенных пользователей и не обязан повторно входить в систему.

  • Если таймер сеанса 0, и таймер пульса установлен, то таймер пульса вступает в силу.

  • Если таймер сеанса является ненулевым, и биение является "not set", то таймер сеанса вступает в силу.

  • Если оба таймеров установлены, новичок, который будет достигнут, активирован сначала.

  • Если входы пользователя в систему и завершают машина, пользователь отброшен от Подключенных пользователей и обязан повторно входить в систему.

Примечание: Когда клиентский компьютер является завершением на основе API Cisco Clean Access (раньше CleanMachine) сеанс основанная настройка подключения, клиент агента защищенного доступа Cisco не отправляет запрос выхода из системы к Серверу Cisco Clean Access.

Вопрос. . Я гарантировал, что Nessus просматривает плагин, 11011 SMB на порту 445 неконтролируемы, но все еще обнаруживаются в пользовательском отчёте о просмотре. В чем причина?

/image/gif/paws/63593/ca-mgr-faq2-3.gif

О. Если вы включили другие плагины, которые проверяют LAN Manager Windows NT (NTLM), такой как 12054 Уязвимости Парсинга ASN.1 (проверка NTLM), эти 11011 просмотров все еще активированы, поскольку об основном просмотре и этих 11011 сообщают как ИНФОРМАЦИОННЫЙ тип.

Пока вы не сделали 11011 уязвимость, она не вызывает ответа кроме ИНФОРМАЦИИ в отчёте.

Примечание: Начиная с версии 3.2.13 пользователи только видят отчёты из выбранных плагинов.

Вопрос. . Когда я выполняю аварийное переключение, я вижу DROP DATABASE, CREATE DATABASE и pg_restore: [archiver (db)] не мог выполнить запрос: ОШИБКА: не Может создать сообщения журнала уникальных значений в/var/log/messages или/var/log/ha-log. В чем причина?

О. Нестабильная база данных является вероятной причиной к проблеме обновления. Если это происходит после обновления, выполните dbupgrade.sql снова и сообщите технической поддержке Cisco о сообщениях об ошибках, которые вы видите.

Вопрос. . База данных диспетчера Cisco Clean Access можно делать запрос удаленно через SQL?

О. Нет, сервер только позволяет подключения по локальной сети для соображений безопасности.

Вопрос. . Как я выполняю ручное резервное копирование базы данных?

Ответ. Выполните следующие действия.

  1. Войдите как root на Менеджере Cisco Clean Access коробка.
  2. Введите su – пост-ГРЭС для коммутации пользователя к пост-ГРЭС.
  3. Введите pg_dump –h 127.0.0.1 controlsmartdb –D –f sm_back_092004.sql для создания дампа базы данных. Эта команда создает файл, названный sm_back_092004.sql в/var/lib/pgsql каталоге.
  4. SCP этот файл.

Вопрос. . Как я воссоздаю базу данных?

О. Выполните эти команды в этом заказе.

  1. сервисный perfigo останавливается
  2. su – пост-ГРЭС
  3. dropdb –h 127.0.0.1 controlsmartdb
  4. createdb –h 127.0.0.1 controlsmartdb
  5. psql –h 127.0.0.1 controlsmartdb </perfigo/dbscripts/pg_createtable.sql
  6. выход из системы от пост-ГРЭС
  7. сервисный perfigo запускается

Вопрос. . Как действительно говорят, работают ли сервисы?

О. Выполните одну из этих команд:

  • netstat - [для показа всего выполнения сервисов]

  • netstat - al | http grep [для показа прослушивания Web-сервера]

  • ps - ef | http grep [для показа выполнения веб-сервисов]

  • ps - ef | Grep Java [для показа выполнения сервисов Java]

Вопрос. . Какие фильтры я должен настроить для Xbox Live?

О. Во-первых, установите Фильтры и помещенный MAC-адрес (а) Xbox () в роли, например, неаутентифицированной роли. Затем настройте эту политику для роли.

Сервис Xbox Live использует два стандартных порта, которые должны быть настроены в роли (например, неаутентифицированная роль).

  • Сек. Kerberos (UDP); порт 88; UDP; передайте получают

  • Запрос DNS (UDP); порт 53; Send _________________________________________________________________________

Сервис также требует, чтобы два определения настраиваемого протокола были настроены в роли (например, неаутентифицированная роль)

  • Порт 3074 по UDP передает/Получает

  • Порт 3074 по исходящему TCP

Сервис также требует, чтобы вы настроили эти порты:

  • Игровой порт сервера (TCP): 22042

  • Речевой порт Чата (TCP/UDP): 22043-22050

  • Одноранговый порт эхо-запроса (UDP): 13139

  • Одноранговый порт запроса (UDP): 6500

Примечание: Если вы хотите включить Xbox по VLAN, туннельный Xbox между VLAN с помощью одного из этих программных средств:

Для GameCube (вы, возможно, должны проверить определенные игры):

  • Порт 4000: и UDP и TCP

Для Playstation 2 (вы, возможно, должны проверить определенные игры):

  • Порты TCP: 10070 - 10080

  • Порты UDP: 10070

Вопрос. . Я загрузил некоторый jpgs и страницы HTML, которые будут использоваться для правильного кадра Страницы входа с помощью кадров. Где файлы и как я ссылаюсь на них?

О. Файлы, загруженные Менеджеру Cisco Clean Access, использующему вкладку File Upload, расположены в/perfigo/control/tomcat/normal-webapps/admin в Менеджере Cisco Clean Access.

Введите https://manageripaddress/admin/file_name.htm (для URL) или <img src = "file_name jpg"> (для jpg) для ссылки на файлы на правильной коробке Кадра.

ca-mgr-faq2-4.gif

Вопрос. . Я управление настраиваемой пропускной способности для неаутентифицированной роли и мое соединение (или Менеджер Cisco Clean Access) к Серверу Cisco Clean Access являются теперь очень медленными и это иногда, испытываю таймаут. В чем причина?

О. В выпуске 3.2, пропускной способности соединения между Менеджером Cisco Clean Access и Сервером Cisco Clean Access управляется параметрами полосы пропускания неаутентифицированной роли. На основе какого параметры настройки, это может влиять на пропускную способность соединения и может иногда влиять на публикацию конфигурации.

Cisco рекомендует сделать управление пропускной способностью "not set" для неаутентифицированной роли в версии 3.2 на данный пример:

/image/gif/paws/63593/ca-mgr-faq2-5.gif

Вопрос. . Как я нахожу количество пользователей на ОС вошедшим в систему?

О. Эта первая команда получает вас к CLI базы данных только:

  • [Root менеджера] # psql-h 127.0.0.1 controlsmartdb-U пост-ГРЭС [ВХОДИТ]

Вторая команда (ы) получает вас различные ОС только (по одному):

  • выберите количество (*) от user_info ГДЕ os_name = 'WINDOWS_ALL';

  • выберите количество (*) от user_info ГДЕ os_name = 'WINDOWS_XP';

  • выберите количество (*) от user_info ГДЕ os_name = 'WINDOWS_98';

  • выберите количество (*) от user_info ГДЕ os_name = 'WINDOWS_95';

  • выберите количество (*) от user_info ГДЕ os_name = 'WINDOWS_ME';

  • выберите количество (*) от user_info ГДЕ os_name = 'WINDOWS_2K';

  • выберите количество (*) от user_info ГДЕ os_name = 'MAC_ALL';

  • выберите количество (*) от user_info ГДЕ os_name = 'MAC_OSX';

  • выберите количество (*) от user_info ГДЕ os_name = 'LINUX';

Вопрос. . CAM поддерживает аутентификация EAP-TTLS или EAP-TLS?

О. Нет, CAM не поддерживает аутентификация EAP-TTLS и EAP-TLS.

Вопрос. . Что делает этот [Сбой] Ошибка: "Сбой SNMP [1.3.6.1.4.1.9.9.215.1.1.5.0]: Никакое такое название" сообщение об ошибках не происходит в коммутаторе?

О. Когда вы пытаетесь изменить настройки во вкладке PORTS> Управление коммутатором> Устройства> Коммутатор CAM, эта проблема обычно происходит. Исправьте строки имени и пароля SNMP в конфигурации CAM для решения этого вопроса.

Вопрос. . Как я добавляю чистый сервер доступа (CAS) в Clean Access Manager (CAM)?

О. Необходимо настроить ACS на CAM как санкционированный сервер так, чтобы CAM установил соединение с CAS. Теперь вы в состоянии добавить CAS в CAM. Отнеситесь для Настройки Чистой Авторизации Сервера доступа Access-Manager-к-чистому для получения дополнительной информации о том, как добавить CAS к CAM.

Вопрос. . Почему делает "неспособный читать, свидетельство нашло в/root/.chain.crt NAC, только обрабатывает ключи RSA <= 2048... java.io. IOException: подвергните ключевую, Неизвестную ключевую спекуляцию: Недопустимый размер модуля RSA". сообщение об ошибках появляется?

О. Проверьте сертификат, который используется. Cisco Clean Access только поддерживает 1024-и 2048-разрядные длины ключа RSA для сертификатов SSL.

Вопрос. . Когда я пытаюсь сохранить running-config коммутатора через SNMP, я заставляю отказавшее сохранять сообщение об ошибках рабочей конфигурации. Почему эта ошибка происходит и как это может быть решено?

О. Отказавшее для сохранения сообщения об ошибках рабочей конфигурации происходит, когда время, потраченное для сохранения running-config, является больше, чем набор таймаута, который заставляет процесс сохранять конфигурацию для сбоя. Увеличьте стоимость таймаута для решения этой ошибки. Для изменения таймаута выберите OOB Management> Profiles> SNMP Receiver> Advanced Settings и измените Время ожидания SNMP на более высокое значение.

Вопрос. . Какие порты я должен открыть между CAM и CAS, CAM/CAS и AD, CAS и Агентами NAC?

О. Порты, что необходимо открыть между CAM и CAS оба пути, являются TCP: 443, 1099, 8995 и 8996

Порты, которые необходимо открыть между CAM/CAS и AD, являются TCP: 88, 135, 389, 445, 636, 1025, 1026 и 3268 UDP: 88, 389, 636 и 3268.

Порты, которые необходимо открыть между CAS и клиентами (агент NAC) являются TCP: 443 UDP: 8905, 8906.

Обратитесь к Возможности подключения порта для получения дополнительной информации.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения