Безопасность : Сервер безопасного контроля доступа Cisco для Windows

Безопасный ACS для Windows FAQ

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (8 августа 2008) | Английский (22 августа 2015) | Отзыв


Вопросы


Введение

Этот документ отвечает на некоторые часто задаваемые вопросы о сервере Cisco Secure Access Control Server (ACS) для Windows.

Поддерживаемые характеристики

Вопрос. . 64-разрядная операционная система работает с продуктами ACS?

Ответ. Да. ACS 4.2.1 предоставляет 64-разрядную поддержку Windows для Окон ACS и ACS удаленный агент. Версии ACS до 4.2.1 не поддерживают 64-разрядную операционную систему.

Вопрос. . Команда authorization поддерживается в ACS Express?

О. Нет. Команда authorization доступна только с ACS (не с ACS Express).

Вопрос. . VMware Windows ACS 4.1 Поддержки сервера ESX и 4.2?

О. ACS 4.1 и 4.2 был протестирован на VMware сервер ESX с этой конфигурацией:

  • VMware сервер ESX 3.0.0

  • 16 ГБ ОЗУ

  • Процессор AMD Opteron Dual Core

  • Жесткий диск на 300 ГБ

  • Четыре виртуальных машины

  • Windows 2003 Standard Edition

  • 3 ГБ ОЗУ для гостевой операционной системы

Вопрос. . Когда был Протокол PPTP с поддержкой кодирования Средств шифрования Microsoft точка-точка (MPPE) добавлен к Cisco Secure ACS для Windows?

Ответ. PPTP версии 2.6 требует аутентификации по протоколу взаимной аутентификации (MS-CHAP), если должно быть проведено MPPE-шифрование. В более ранних версиях аутентификация PPTP возможна. Однако поддержка кодирования MPPE не была добавлена до версии ACS 2.6.

Вопрос. Поддерживает ли ACS протокол аутентификации с предварительным согласованием вызова Microsoft (MS-CHAP)?

Ответ. ACS в настоящее время поддерживает MS-CHAP версии 1. ACS версии 3.0 и более поздние поддерживают MS-CHAP версий 1 и 2.

Вопрос. . Действительно ли возможно использовать Радиус ACS для настройки аутентификации для Cisco VPN Client?

Ответ. Да. Возможно использовать Радиус на версии ACS 5.2 для настройки аутентификации для Cisco VPN Client. Версия ACS 5.0 не поддерживает использование Радиуса для настройки аутентификации для Cisco VPN Client.

Вопрос. . Можно ли установить SDI (Security Dynamics Internationa) и ACS в одной системе?

Ответ. Да, ACS и сервер записей контроля доступа (ACE-сервер) от SDI могут быть запущены на одной машине. Существует также расположение клиент-сервер с ACS и Клиентом ACE на одной машине и сервером ACE на другом.

Вопрос. . Каковы различия между Протоколом аутентификации пароля (PAP) и Протоколом аутентификации по квитированию вызова (CHAP)? Почему CHAP неспособен использоваться с базой данных NT?

Ответ. По протоколу PAP пароли пересылаются между пользователем и TACACS+ или RADIUS-клиентом или устройством в незашифрованном виде. Если пароль корректен, аутентификация подтверждена. В противном случае происходит разрыв подключения.

CHAP передает Challenge - сообщение удаленному пользователю. Удаленный пользователь отвечает значением, которое вычисляет с использованием функции однонаправленного хэширования. Клиент или устройство проверяют ответ против его собственного вычисления ожидаемого значения хеша. Если значения совпадают, аутентификация подтверждена. В противном случае происходит разрыв подключения. Пароли не посылаются в явном виде.

CHAP не может использоваться с базой данных NT из-за RFC CHAP (1994) leavingcisco.com требование. Это сообщает:

Протокол CHAP требует, чтобы секретные данные были доступны в виде простого текста. Стандартные базы данных с необратимым шифрованием пароля не используются."

Это обычно устраняет использование базы данных NT для CHAP с Протоколом квитирования с аутентификацией Microsoft (MS-CHAP) как опция.

Microsoft предлагает заплату, которая может предоставить обходной путь для баз данных пользователей Microsoft Windows NT. Это позволяет паролям пользователя быть сохраненными в открытом текстовом формате. Для дополнительных сведений обратитесь к Обновлению CHAP для IAS (сервер RADIUS NT4.0) Аутентификацию к Windows NT4.0 Domain Controllers leavingcisco.com.

Вопрос. . Совершает поступок ACS как прокси-сервер к другим серверам?

Ответ. Да, сервер ACS принимает запросы аутентификации от серверов доступа к сети (NAS) и передает их на другие серверы. Необходимо определить другие серверы. Для этого выберите Network Configuration > AAA Servers на источнике. Исходный сервер определен как TACACS + или NAS RADIUS на цели. Как только те определены, настраивают Параметры распределенной системы в конфигурации сети источника для определения параметров прокси.

Вопрос. . Существует ли предел на количестве серверов доступа к сети, которые поддерживаются ACS?

Ответ. Не ограничено, так как это количество определяется тем, сколько может поддерживать реестр Windows NT. Это, как оценивается, множества серверов. Информация NAS не сохранена в базе данных. Это сохранено в реестре. Поэтому при выдаче команды csutil-d вы не выполняете резервное копирование никакая информация NAS.

Вопрос. . Где хранятся пользовательские данные на сервере управления доступом?

Ответ. На ACS есть собственная внутренняя база данных. Она сохраняется в нескольких файлах.

Вопрос. . Поддерживает ли сервер ACS удаление домена?

Ответ. Да, ACS поддерживает расслоение домена. Когда существует комбинация Виртуальной частной коммутируемой сети (VPDN) и непользователей VPDN, это полезно.

Когда внешняя база данных NT используется для аутентификации, другое использование для удаления домена состоит в том. Когда пользователь впервые регистрируется, его имя автоматически вносится в ACS. Так как пользователь, вероятно, входит как DOMAIN_A\user или как пользователь, названия могут появиться в ACS как "DOMAIN_A\user" или как "пользователь". Это приводит к обеим записям в базе данных. Дублированных записей можно избежать с использованием удаления домена. Это - то, где префиксный домен с разделителем \может быть стерт для имения согласованной базы данных. Для этого выберите Network Configuration > Proxy Distribution Table.

Вопрос. . Что такое синхронизация системы управления реляционными базами данных (RDBMS)?

Ответ. ACS поддерживает базы данных с RDBMS, такие как Oracle, чтобы синхронизировать базу данных между двумя системами, использующими какую-либо RDBMS.

Вопрос. . Как Программное обеспечение CRYPTOCard, обрабатываемое в версии ACS 3.0 и позже?

Ответ. Из ACS версий 3.0 и более поздних убран компонент CRYPTOAdmin-сервер. Любые будущие лицензии, бесплатные или иным образом, должны быть получены непосредственно из CRYPTOCard.

Вопрос. . Ретранслятор DHCP поддерживается на ACS?

О. Нет. Ретранслятор DHCP не поддерживается на ACS.

Вопрос. . Я могу изменить имя хоста сервера ACS, работающего на Windows?

О. Нет. Не возможно изменить имя хоста сервера ACS, работающего на Windows. ACS разработан по умолчанию для взятия названия Windows Server в качестве имени хоста.

Вопрос. . ACS поддерживается на серверных платформах Windows 2008?

Ответ. Да. ACS поддерживается на Windows Server 2008 и доступен из исправления 4 ACS 4.2 и позже. Обратитесь к Windows и Active Directory 2008 Поддерживаемый раздел Сценариев в Комментариях к выпуску для Cisco Secure ACS 4.2 для получения дополнительной информации.

Вопрос. . SNMP поддерживается на ACS для Windows?

О. Нет. SNMP поддерживается только на приборе ACS. Обратитесь к Разделу поддержки SNMP Поддерживаемых взаимодействующих устройств и Таблиц ПО для документа Выпуска 4.2 Cisco Secure ACS.

Вопрос. . IPv6 поддерживается на ACS?

О. Нет. IPv6 не поддерживается на ACS.

Вопрос. . Функция TLS PEAP поддерживается на ACS?

О. Нет. TLS PEAP не поддерживается на ACS.

TACACS + и связанные проблемы радиуса

В. Есть ли в ACS поддержка RADIUS?

Ответ. Уровень поддержки RADIUS зависит от версии ACS. Request For Comments (RFC) 2138 leavingcisco.com и 2139 leavingcisco.com всегда поддерживается, как Cisco программное обеспечение IOS� определяемые поставщиком атрибуты (VSA). Чтобы посмотреть перечень пунктов, связанных с поддержкой RADIUS в данной конкретной версии, выберите Network Configuration > Network Device Groups > AAA Clients Area.

Вопрос. . В состоянии ACS, чтобы сделать прокси-сервер преобразования между RADIUS и TACACS + и реверс?

Ответ. ACS может выполнять роль посредника между RADIUS и RADIUS, или TACACS+ и TACACS+, но не между разными протоколами.

Вопрос. . Как я назначаю Domain Naming System (DNS) и IP-адреса сервера Сервиса Windows назначения имен в интернете (WINS) для PPP - подключений от ACS с помощью TACACS +?

Ответ. Указать IP-адреса DNS и WINS-серверов для отдельных пользователей или группы пользователей можно с помощью ACS, добавляя следующие строки в качестве внутренних атрибутов PPP IP в настройках группы.

dns-servers = 10.1.1.1 10.1.1.3

wins-servers = 10.1.1.5 10.1.1.16

Вопрос. . Как я назначаю Domain Naming System (DNS) и IP-адреса сервера Сервиса Windows назначения имен в интернете (WINS) для PPP - подключений от ACS с помощью RADIUS?

Ответ. Указать IP-адреса DNS и WINS-серверов для отдельных пользователей или группы пользователей можно с помощью ACS, добавляя следующие строки в Cisco RADIUS Attributes (свойства Cisco RADIUS) и AV-pair в настройках группы.

ip:wins-server=123.1.1.1 123.1.1.2

ip:dns-servers=212.1.1.1 212.1.1.2

Вопрос. . Как вносят вас изменение порт, в котором сервер RADIUS прослушивает настройки реестра?

Ответ. Начиная с версии 2.5, ACS принимает данные для RADIUS через пользовательский протокол данных UDP 1645 и UDP 1812 для аутентификации; и порты 1646 и 1813 для учета.

При использовании более старую версию, изменяете порты прослушивания. Чтобы сделать это, переиздайте значения атрибута соответствующего ключа в Реестре Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv2.3\CSRadius
"AuthenticationPort"=dword:1812
"AccountingPort"=dword:1813
This can also be changed in the newer version:
HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.0\CSRadius
AccountingPort = 1646
AccountingPortNew = 1813
AuthenticationPort = 1645
AuthenticationPortNew = 1812

Вопрос. . Можно ли изменить порт по умолчанию для TACACS+ на другое значение вместо TCP 49?

Ответ. Измените заданные по умолчанию номера портов для служб TACACS+. Чтобы сделать это, отредактируйте значения атрибута соответствующего ключа в Реестре Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.0\CSTacacs
"Port"=dword:59

Вопрос. . Я не хочу административную служебную информацию необходимости перечислить все серверы доступа к сети (NASes) в моей сети, и у них всех есть тот же tacacs-server key. Как я устанавливаю ключ по умолчанию для использования с моим NASes?

Ответ. Добавьте NAS, заданный по умолчанию, в зоне настроек NAS. При этом оставьте поле имени хоста и IP-адреса пустым. Введите только ключ. Щелкните Submit (отправить). Вы тогда видите других NAS и *.*.*.*.

Примечание: Эта процедура только работает для TACACS +, и не RADIUS.

Вопрос. . Необходимо взаимодействие устройства с ACS по TACACS+ и RADIUS для проверки подлинности. Мне нужен один для набора и один для управления маршрутом. Как это сделать?

Ответ. Настройте для TACACS+ заданный по умолчанию сервер доступа к сети NAS, как описано в ответе на предыдущий вопрос и, затем, перечислите серверы NAS для RADIUS. Если введена команда aaa authentication ppp default if-needed RADIUS, NAS посылает на выделенный для протокола RADIUS порт сервера ACS запрос установки связи по протоколу RADIUS.

Если введена команда aaa authentication login default TACACS+, NAS посылает запросы управления маршрутизатором через протокол TACACS+ на порт сервера ACS, выделенный для протокола TACACS+.

Опознавательные связанные проблемы

Вопрос. . Когда пользователи неспособны подтвердить подлинность против базы данных NT, что я должен проверить?

Ответ. Чтобы решить этот вопрос, выполните следующие действия.

  1. Проверьте, чтобы видеть, можно ли подтвердить подлинность пользователя на локальном домене. Для этого выберите Start > Shutdown > Close all programs and log on as a different user (Пуск > Выключить компьютер > Закрыть все программы и зайти под другим пользователем). Если вы не можете подтвердить подлинность пользователя на локальном домене, ACS не работает.
  2. Если пункт отмечен verify grant dialin permission for the users (контролировать предоставление пользователям разрешения на удаленный доступ) в конфигурации базы данных Cisco Secure, проверьте, предоставлено ли этому пользователю разрешение на удаленный доступ в базе данных NT.
  3. Если это - набираемое соединение, удостоверьтесь, что Протокол Протокола аутентификации пароля (PAP) или квитирования с аутентификацией Microsoft (MS-CHAP) (не CHAP) настроен на маршрутизаторе и ПК.

Вопрос. . Когда пользователи неспособны подтвердить подлинность против базы данных Novell Directory Server (NDS), что я должен проверить?

Ответ. Проверьте правильность указанных названия дерева, контекста и контейнера. Запустите с одного контейнера, где присутствуют пользователи. Можно добавить больше контейнеров позже.

Если вы успешны, проверьте NAS, чтобы видеть, ли вы в состоянии подтвердить подлинность пользователя оболочки (пользователь Telnet). Также гарантируйте, что для PPP вам настроили аутентификацию Протокола аутентификации пароля (PAP) на асинхронном интерфейсе.

Вопрос. . Как можно решить проблему аутентификации SDI (Security Dynamics International)?

Ответ. Для решения проблем с аутентификацией в SDI выполните следующие действия.

  1. Подтвердите подлинность пользователя с агентом проверки Элемента управления доступом (ACE).
  2. Если это работает, подтвердите, что карта синхронизируется с базой данных. Гарантируйте использование шифрования Стандарта шифрования данных (DES) на сервере SDI, когда инициализируется карта. Выбор SDI не работает.
  3. Переведите монитор активности в рабочее состояние на сервере ACE при попытке аутентификации Telnet к устройству.
  4. Проверьте, чтобы видеть, существуют ли какие-либо ошибки на мониторе активности на сервере ACE.
  5. Если сервер ACE работает, но существует проблема с набираемыми пользователями, проверьте параметры настройки на серверах доступа к сети (NAS), чтобы гарантировать, что настроен Протокол аутентификации пароля (PAP). Затем попытайтесь соединиться как отличный от SDI пользователь.
  6. Если это работает, соединение, поскольку пользователь SDI, как ожидают, будет работать. Введите имя пользователя во вкладку имени пользователя и код доступа во вкладке Password (Пароль) на Удаленном доступе к сети.
  7. Если клиент от того, где вы набираете, настроен для внедрения почтового экрана терминала после того, как вы набираете, гарантируете запуск этой команды аутентификации, авторизации и учета (AAA) на NAS:
    aaa authentication ppp default if-needed 
    tacacs+/Radius
    
    Используемый ключ – if-needed. Это означает, что пользователь уже заверен путем запуска этой команды AAA:
    aaa authentication login default
    	 tacacs+/radius
    
    Когда вы делаете PPP, Затем вы не должны подтверждать подлинность пользователя снова. Это также применяется при использовании обычного пароля PAP.

Вопрос. . Моя аутентификация ACS не работает для многоканальных служб. Что я должен сделать?

Ответ. Выберите Interface Configuration > Tacacs+ (Cisco) > Add New Service. Укажите ppp в качестве службы и multilink в качестве протокола.

Примечание: PPP и multilink должны быть в нижнем регистре.

Вопрос. . Какова политика лицензирования сервера аутентификации CRYPTOAdmin для клиентов Cisco?

Ответ. Полное описание условий лицензионного соглашения и будущих обновлений можно получить послав письмо на E-mail sales@cryptocard.com, код продукта, который нужно указать – CA5.1SC. Пакет оценки Программного обеспечения сервера CRYPTOAdmin, который включает ограниченную временем лицензию и программные маркеры, получен из Страницы разгрузки CRYPTOCard leavingcisco.com.

Вопрос. При включении аутентификации на коммутаторе или маршрутизаторе такими командами, как aaa authentication enable default tacacs+ или set authentication login tacacs enable telnet primary происходит выход из режима активации, и маршрутизатор выдает сообщение об ошибке Error in authentication (ошибка в аутентификации). Что я должен сделать?

Ответ. Проверьте в ACS записи о неудачных попытках. Если журнал говорит неверный пароль CS, может случиться так, что не было специального enable password, установленного для пользователя. Это требуется, когда вы настраиваете, включают аутентификацию. Если в настройках пользователя не отображено Advanced TACACS+ Settings, перейдите к Interface Configuration > Advanced Configuration Options > Advanced TACACS+ Features и выберите вышеупомянутый параметр для отображения настроек TACACS+ среди настроек пользователя. Затем выберите Max privilege for any AAA Client (максимальный уровень доступа для любого AAA-клиента) (обычно равно 15) и введите TACACS+ Enable Password, который будет использоваться пользователем для доступа к активации.

Вопрос. . Как я определяю то, что 'Authen отказал' средства типа сообщения?

Ответ. Отметьте дату и время сообщения, откройте файл журнала CSAuth и проведите поиск по дате и времени. Больше подробного объяснения сообщения тогда представлено.

Вопрос. . Пользователь неспособен подтвердить подлинность против использования субдомена ACS Express. Почему это происходит?

О. Когда пользователь не предоставляет доменное имя, эта проблема происходит. Если доменное имя не предоставлено, ACS Express attemps для добавления доменного имени домена, что присоединяются к ACS Express. Если пользователь находится в субдомене, и ACS Express соединена с родительским доменом, то пользователь должен предоставить полное доменное имя на аутентификации имени пользователя.

Вопрос. . ACS поддерживает QoS на аутентификации так, чтобы RADIUS мог быть расположен по приоритетам по TACACS?

О. Нет. ACS не поддерживает QoS на аутентификации. ACS не расположит по приоритетам запросы Проверки подлинности RADIUS по TACACS или запросы TACACS по RADIUS.

Учет связанных проблем

Вопрос. . Система учета ACS отображает сообщение NAS reset (сброс NAS). Что может быть причиной появления такого сообщения?

Ответ. Сообщения NAS reset (сброс NAS) могут быть вызваны перезагрузкой устройства или командой tacacs-server host #.#.#.# single-connection, введенной в ПО Cisco IOS. Если устройство не перезагружается, введите команду tacacs-server host #.#.#.#, чтобы поменять настройки и убрать эти сообщения.

Вопрос. . Можно ли посылать учетную информацию в другую систему и при этом иметь копию в локальной системе?

Ответ. Да. Выберите System Configuration> Регистрация для настройки этой опции.

Вопрос. . Рекомендует ли Cisco программное приложение, которое можно использовать для отчетности по журналам учета, имеющимся в ACS?

Ответ. Учетные записи ACS сохраняются в одном из двух форматов:

  • Файлы csv — формат отделенного запятой значения (CSV) делает запись данных в столбцах, разделенных запятыми. Этот формат легко импортируется в различные сторонние приложения, например в Microsoft Excel и Microsoft Access. После того, как данные от Файла csv импортированы в такие приложения, подготовьте диаграммы или выполните запросы, например, для определения, сколько часов в пользователя входят к сети во время установленного срока.

  • Таблицы ODBC - совместимой базы данных — регистрация Подключения открытых баз данных (ODBC) позволяет вам настраивать ACS для регистрации непосредственно в Реляционную базу данных совместимый с ODBC, где информация хранится в таблицах, одной таблице на журнал. После того, как данные экспортируются в реляционную базу данных, используйте данные всегда, вы требуете.

С любым методом программное обеспечение, используемое для парсинга журналов, широко доступно. Однако Cisco не рекомендует определенному поставщику.

Вопрос. . Учетная информация ACS (какое-либо изменение происходит), синтаксический анализ к Мониторингу, Анализу и Cистеме ответа (MARS)?

О., К сожалению, текущая поддержка в MARS не имеет возможности парсинга ничего кроме Неудачных попыток, Переданных Аутентификаций и Журналов учета RADIUS.

В ACS 5.0 Представление ACS будет механизмом для отслеживающего и сообщающего ACS, больше, чем MARS.

Резервные связанные проблемы

Вопрос. . Как выполнить резервное копирование сервера управления доступом?

Ответ. Создать резервную копию ACS можно через графический интерфейс на вкладке "System Configuration" или с помощью интерфейса командной строки. При использовании GUI существует резервная копия пользователей, групп и настроек реестра. При использовании CLI, выполняете эти команды:

Чтобы вывести на печать пользователей и группы:

$BASE\utils\csutil -d

Для резервирования параметров пользователей, групп и настроек реестра:

$BASE\utils\csutil -b

Для получения дополнительной информации о том, как выполнить Резервную копию acs, обратитесь к тому, Как резервировать Cisco Secure ACS для Базы данных Windows.

Вопрос. . Можно ли создать резервную копию на одном сервере ACS, чтобы затем выполнить процедуру восстановления на другом сервере?

Ответ. Нет, программа резервного копирования предназначена для сохранения информации о пользователях, группах и настройках реестра на одном ACS-устройстве и ее восстановления на этом же устройстве с той же версией программного обеспечения. . Если существует потребность клонировать коробку ACS, репликация доступна вместо этого.

Для копирования только пользователей и группы с одного сервера на другой введите команду csutil -d. Новый текст дампа (.txt) файл тогда скопирован к конечному полю. После этого введите команду csutil -n -l, чтобы инициализировать базу данных и импортировать пользователей и группы.

Вопрос. . Я добираюсь, CSBackupRestore (OUT) не может сохранить reg ключевое сообщение об ошибках, когда я пытаюсь резервировать данные на ACS. Почему происходит эта ошибка?

О. Эта ошибка происходит, когда диск, на котором установлен ACS, является абсолютно полным или защищенным от записи. Удостоверьтесь, что существует достаточно свободного места на диске, и оно не защищено от записи так, чтобы ошибка не происходила снова.

Связанные проблемы пароля

Вопрос. . С помощью Cisco Secure можно добиться изменения паролей пользователями по истечении определенного срока. Когда вы используете базу данных для аутентификации Windows NT, в состоянии вы, чтобы сделать это?

Ответ. Эта функция доступна во всех версиях при использовании для аутентификации базы данных Cisco Secure. Версии 3.0 и более поздняя поддержка предложения Протокола квитирования с аутентификацией Microsoft (MS-CHAP) Версия 2 и Устаревание пароля MS-CHAP. Это работает с клиентом Microsoft Dial-Up Networking, Cisco VPN Client (версии 3.0 и позже), и любой клиент рабочего стола, который поддерживает MS-CHAP. Эта функция побуждает вас изменять ваш пароль после входа в систему, где истек пароль. ОСНОВАННАЯ НА MS-CHAP функция устаревания пароля поддерживает пользователей, которые подтверждают подлинность с базой данных Пользователя Windows, и предлагается в дополнение к устареванию пароля, поддерживаемому базой данных пользователей Cisco Secure. Эта опция добавлена в ACS 3.0, но это также требует устройства или поддержки клиентов. Cisco Systems постепенно добавляет такое устройство или поддержку клиентов к различным аппаратным средствам.

Вопрос. . Как вносят пользовательское изменение их собственные пароли?

Ответ. Если на ПК установлен "Cisco Secure Authentication Agent" (агент аутентификации для Cisco Secure), пользователя извещают о том, когда истекает срок действия пароля для удаленного соединения в базе данных Cisco Secure. Как только пользователи находятся в сети, они используют Программное обеспечение для изменения пароля пользователем, которое выполняется с Microsoft IIS. Когда пользователи находятся в сети, они нацеливают свои браузеры к системе, где Контрольная точка пользователя (UCP) установлена, и измените их пароли.

Вопрос. . Какой алгоритм шифрования используется для хранения паролей ACS?

Ответ. Пароли шифруются с помощью Crypto API Microsoft Base Cryptographic Provider версии 1.0, с использованием алгоритма RC2 40-битного ключа. Для получения дополнительной информации обратитесь к Базам данных пользователей - О Базе данных пользователей Cisco Secure.

Вопрос. . Настройки по умолчанию позволяют пользователям изменять свои собственные пароли путем соединения с маршрутизатором через Telnet. Как я отключаю эту опцию?

Ответ. Чтобы помешать пользователям изменить их пароли с помощью Telnet, выполните следующие действия.

  1. Поддерживайте локальную регистрацию.
  2. Перейдите к ключу реестра HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv< your_version >\CSTacacs
  3. Выделите CSTacacs. Затем щелкните правой кнопкой мыши и выберите NEW-DWORD для добавления значения регистра.
  4. Когда в правой стороне окна появится новый ключ, введите в окно нового ключа disablechangepassword.
  5. Значение по умолчанию для нового ключа 0. Это позволяет пользователям изменять пароль. Нажмите правой кнопкой мыши на новый ключ и выберите Modify. Затем измените значение ключа на 1, чтобы отключить возможность смены пароля.
  6. После того, как вы добавляете этот новый ключ, перезапускаете CSTacacs и Сервисы CSAUTH.

Вопрос. . TACACS + Правило Устаревания пароля не работает с SSH, когда Применяются, правило изменения пароля установлено. Как заключают меня сделка с этим?

О. Используйте telnet для аутентификации.

TACACS + изменения пароля пользователя, например перед истечением, во время входа в систему не работают с SSH. Проблема принадлежит TACACS + AAA-сервер и SSH для установления сеанса. Это не держится для RADIUS или сеансов Telnet.

TACACS + предоставляет функцию, где, если пустой пароль предоставлен AAA-серверу, это вызывает последовательность изменения пароля. Например, запросы о старом пароле придерживаются новым паролем. Это зависит от успешности или неуспешности и принят ли новый пароль или отклонен.

Используйте telnet, если пароль должен быть изменен перед истечением. Для паролей с истекшим сроком поведение SSH прекрасно, поскольку оно вызывает последовательность изменения пароля тогда.

: когда telnetting к маршрутизатору в Пароле, который пользователь может просто поразить входят, вызовите для инициирования последовательности пароля изменения. Если их пароль истекает или истек, пользователь может также быть уведомлен. Когда вы соединяетесь с маршрутизатором через SSH, эта функция не работает.

Вопрос. . Как я восстанавливаю пароль для Сервера Cisco Secure ACS?

О. Для пошаговой процедуры для восстановления пароля для Сервера Cisco Secure ACS сошлитесь на Процедуру восстановления пароля для Прикладного устройства управления услугами Solution Engine Cisco Secure ACS, которое объясняет процесс восстановления подробно.

Удаленный агент выходит

Вопрос. . Иногда таймаут происходит во время попытки связи удаленному агенту. В чем причина?

О. Удостоверьтесь, что версия программного обеспечения на сервере ACS и удаленном агенте должна быть тем же. Например, если SE ACS работает под управлением ПО версии 4.1, то необходимо использовать удаленную версию агента 4.1 в AD. Если версии программного обеспечения не будут тем же, то конфигурация не будет работать, и вы могли бы получить это сообщение об ошибках: Внешний недопустимый пользователь DB или неверный пароль.

Вопрос. . Как я удаляю или удаляю удаленных агентов в ACS?

О. Выполните эти шаги, чтобы удалить или удалить удаленных агентов в ACS:

  1. Перейдите к Сервисам в Windows Server и остановите сервис Агента ACS.
  2. Перейдите к ACS и остановите сервисы входа в систему. Выберите System Configuration> вход в систему> настройка Удаленного входа в систему и выберите Do not log Remotely.
  3. Попытайтесь удалить удаленного агента. Обратитесь к Удалению Удаленной Настройки агента для получения дополнительной информации об удалении удаленного агента.

Вопрос. . Когда удаленные агенты добавлены к ACS, эта ошибка происходит: Подведенный к Полям commit all. Как исправить эту ошибку?

О. Когда исправление не установлено правильно или повреждено, Отказавшее к Полевому commit all сообщению об ошибках часто происходит. Повторно захватывание образ ACS и восстановление конфигурации решают ошибку.

Проблемы репликации

Вопрос. . Если репликация отказывает, какие вещи я должен искать?

Ответ. В командной строке введите команду net stopcsauth, чтобы остановить службу на каждом сервере. Затем введите csauth -z -p, чтобы запустить источник и адресата в режиме отладки, и следите за сообщениями в окне. Выходные данные также входят в файл $BASE\CSAuth\Logs\auth.log. Часто один или больше серверов аутентификации, авторизации и учета (AAA) неправильно сконфигурирован. Поэтому ищите сообщения на цели, что отчёт запрашивает от нелегала или неизвестных хостов. Если у источника есть несколько адаптеров сети, то он заставляет цель видеть неверный IP - адрес и отклонять источник как неизвестный.

Вопрос. . Я использую ACS с серверами в географически рассеянных областях, и сервисы разрушены, когда я реплицирую. Как заключают меня сделка с этим?

Ответ. Убедитесь, что аутентифицирующие устройства настроены на перехват управления при отказе., Другими словами, гарантируйте, что существует по крайней мере два сервера, определенные для обеспечения резервной копии, если один сервер недостижим. (Это - хорошая идея, включена ли репликация или нет.), Например, если расположение имеет один ACS в США, которые реплицируют во второй ACS в Австралии, настраивая устройства для проверки подлинности для попытки США тогда, Австралия является, вероятно, не лучшим планом. Установите второй локальный сервер (в США) и реплицируйте их от ведущего устройства США к ведомому устройству США. Ведомое устройство США тогда реплицирует в ведомое устройство Австралии.

Сообщения регистрации

Вопрос. . Журналы переданы в собственном ACS, форматируют или/могут, они преобразованы в системный журнал?

Ответ. Нет, они изначально находятся в формате системного журнала.

Вопрос. . Как вы генерируете файл журнала ежедневно на SE Cisco Secure ACS?

Ответ. Cisco Secure ACS создает отдельный log-файл для каждой записи формата CSV . Когда файл журнала достигает 10 МБ в размере, Cisco Secure ACS запускает новый файл журнала. Cisco Secure ACS сохраняет новые 7 файлов журнала для каждого журнала CSV. Для получения дополнительной информации о генерации журнала обратитесь к Включению или Отключению Журнала CSV.

Сообщения об ошибках

Вопрос. . Как я исправляю 'Пользовательский Доступ Фильтрованная' ошибка?

Ответ. Либо отключите систему ограничений на доступ в сеть (NAR), либо полностью настройте ее для использования.

Вопрос. . То, когда я установил аутентификацию, я получаю Chpass, в настоящее время отключается. ошибка, когда я пытаюсь подтвердить подлинность. Как решить этот вопрос?

Ответ. Учетный пароль пользователя должен быть установлен на change on login. Чтобы сменить пароль перейдите к System Configuration > Local Password Management > Disable TELNET Change Password against this ACS and return the following message to the users Telnet session "Chpass is currently disabled." и уберите флажок. Это позволяет вам изменять пароль.

Вопрос. Попытка загрузить базу данных командой csutil.exe -d приводит к появлению сообщения об ошибке "Failed to initialize crypto API" (не удалось инициализировать crypto API). Что это означает?

Ответ. Это сообщение отображается при входе на сервер Cisco Secure ACS по учетной записи отличной от учетной записи локального администратора. По этой причине невозможно выполнение команды csutils.

Другая причина для этой ошибки состоит в том, что пароли и AAA вводят базу данных ACS, зашифрованы с помощью Microsoft Crypto API. Только локальные администраторы и реальная система в состоянии обратиться к важной информации, необходимой для дешифрования этих паролей и ключей.

Вопрос. . Когда я пытаюсь обновить от Cisco Secure ACS для Windows 3.0.3 к 3.2, я получаю "ПАПКУ ACS, IS БЛОКИРОВАЛ BY сообщение об ошибках" ПРИЛОЖЕНИЯ ANOTHER. Что я должен сделать?

Ответ. Выполните следующие действия.

  1. Выполните служебную программу Filemon для проверки для любых "ошибок совместного доступа" при попытке установки.

    Примечание: Не используйте сервисы терминалов, чтобы обновить и отключить сервис временно.

  2. Измените параметры в System Configuration > Service Control > Manage Directory, чтобы хранить только семь последних файлов.

Вопрос. . Когда я пытаюсь перевести GUI в рабочее состояние, я получаю Ошибку административного управления. Установка успешна, и выполненные сервисы. В чем проблема?

Ответ. Эта проблема обычно возникает, когда браузер настроен для использования прокси-сервера. Для решения проблемы этого отключите прокси-сервер полностью и затем переведите экран администрирования ACS в рабочее состояние.

Вопрос. . В ГИП сервера управления доступом появляются странные вещи. Например, те же пользователи появляются в множественных группах и не удается удалить пользователей из базы данных. Как я исправляю этот тип повреждения?

Ответ. Выполните следующие действия, чтобы добавить пользователя:

  1. Добавьте новую запись в конец файла.
  2. Создайте индексный путь к новой записи.

Если существует прерывание Сервисов CSAUTH во время этого процесса, возможно, что запись находится в базе данных. Однако это не может быть отредактировано, потому что это использует поиск через код индексации.

Чтобы очистить базу данных, воспользуйтесь командной строкой. Введите команду $BASE\utils\csutil -q -d -n -l dump.txt.

$BASE является каталогом, где установлено программное обеспечение. Эта команда заставляет базу данных быть разгруженной и повторно загруженной для разрешения счетчиков.

Вопрос. . Я не могу запустить сервисы для RADIUS после того, как я повторно установлю программное обеспечение несколько раз. Ошибка события говорит, что сервис был завершен с сервисной определенной ошибкой 11.

Ответ. Есть несколько разных причин, по которым могут не запускаться службы CSRadius. Самая обычная проблема запускает Windows с неподдерживаемым пакетом обновления, или существует конфликт ПО с другим приложением. Поддерживаемые платформы и пакеты обновления заданы в установочной документации.

Для проверки наличия конфликта портов, воспользуйтесь командной строкой и введите netstat -an | findstr 1645 и netstat -an | findstr 1644, чтобы посмотреть, не заняты ли эти UDP-порты какими-то другими службами. Если другой сервис использует эти порты, вы видите что-то подобное этим выходным данным:

UDP 0.0.0.0:1645 *:*

UDP 0.0.0.0:1646 *:*

Другая возможная причина сообщения об ошибках - то, что, вероятно, не запустились сервисы сервера Microsoft. Чтобы проверить это, выберите Control Panel > Services и убедитесь, что для серверных служб выбрано Started и Automatic.

Вопрос. . Установка ACS отказывает, и я вижу ошибку о NSLDAPSSL32V30.dll, который говорит, что это не может перезаписать файл. Что вызывает это и как я решаю ошибку?

Ответ. Эта ошибка может быть вызвана конфликтом с установкой Cisco Secure VPN Client версии 1.1. Решите конфликт с удалением Клиента VPN от системы.

Прочее

Вопрос. . Я не могу подключить Прикладное устройство управления услугами Solution Engine (SE) ACS с внешней Базой данных Windows. В чем причина?

О. Причиной для этой проблемы является внешняя База данных Windows, 64-разрядная операционная система. Продукты ACS с версией ACS до 4.2.1 не работают с 64-разрядной операционной системой. В версии ACS 4.2.1 и позже поддерживается операционная система на 64 бита, и следовательно вы в состоянии подключить Прикладное устройство управления услугами Solution Engine (SE) ACS с внешней Базой данных Windows.

Вопрос. . Как я могу включить # 80 пары IETF - обрамленный пул на Cisco Secure ACS?

О. Вы не можете непосредственно отредактировать этот атрибут, потому что GUI ACS уже имеет опцию о том, как установить это значение.

В разделе "присвоения IP-адреса" редактирования группы у вас есть три опции: "присвоение no ip address", "назначенный клиентом удаленного доступа", и "Назначенный от пула клиента AAA". Существует четвертая опция, "Назначенный от AAA-сервера объединяют", если вам назначили пулы.

Необходимо использовать третью опцию ("Назначенный от пула клиента AAA"). Установка этого и затем определение имени пула возвратят это значение в атрибуте 88. Параметры настройки стороны пользователя имеют эти опции при необходимости этого, чтобы быть настроенными на уровне для каждого пользователя. Кроме того, необходимо установить клиента AAA в RADIUS используемой аутентификации (IETF).

Вопрос. . Действительно ли там какие-либо программные средства доступны, который может использоваться, чтобы обратиться и/или отсортировать файлы?

Ответ. С ACS никакого инструментария не поставляется. Для дополнительных сведений посмотрите, что Cisco рекомендует программное приложение, которое может использоваться для создания отчетов относительно журналов учета, доступных в ACS?

Вопрос. . ACS был реконфигурирован, чтобы потребовать, чтобы имя пользователя и пароль вошло локально. Теперь все заблокированы. Как это исправить?

Ответ. Способ решения этой проблемы зависит от версии установленного программного обеспечения. Независимо от того, какую версию программного обеспечения вы имеете, убедиться выполнить резервное копирование Реестр NT сначала.

В ранних версиях ACS требование имени пользователя и пароля для локального входа в систему модифицируется в реестре. Issue the regedit command and search for allow AutoLocalLogin. Change the registry value to 1 in order to allow local login, and then recycle the services.

В ACS версий 2.6 и более поздней введите команду regedit и переместите пользователей в следующую область:

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAA##\CSAdmin\Administrators

Под ключом Администраторов посмотрите всех администраторов, которых вы создали. Удалите пользователей и выйдите из редактора реестра. При доступе к ACS вам не предлагают для имени пользователя и пароля. Как только вы находитесь в GUI, добавьте администраторов.

Вопрос. В документации по ACS глава, посвященная работе с базой данных программными средствами командной строки ACS, объясняет как организовать групповой импорт большого количества пользователей в ACS командой csutil -i. Как делают меня серверы доступа к сети группового импорта (NASes)?

Ответ. Процедура группового импорта серверов NAS аналогична импорту пользователей. Этот неструктурированный файл является примером:

ONLINE 
ADD_NAS:sam_i_am:IP:10.31.1.51:KEY:cisco:VENDOR:CISCO_T+ 
ADD_NAS:son_of_sam:IP:10.31.1.52:KEY:cisco:VENDOR:CISCO_R

NASes может также быть импортирован в конкретную группу сетевых устройств. Этот неструктурированный файл является примером:

ADD_NAS:koala:IP:10.31.1.53:KEY:cisco:VENDOR:CISCO_R:NDG:my_ndg

Вопрос. . Как я получаю ACS 3.2 для обновления к более ранней версии?

Ответ. Дополнительную информацию см. в документе Вопросы и ответы по Cisco Secure ACS версии 3.2 для Windows 2000 и NT.

Вопрос. . Как настроить базу данных сервера каталогов Novell (NDS)?

Ответ. При выборе NDS Server Support, выполните следующие действия:

  1. Посмотрите администратора Операционной системы Novell NetWare для получения названий и другой информации для дерева, контейнера и контекста.
  2. Нажмите NDS Server Support.
  3. Введите имя для конфигурации. Это название для получений информации только.
  4. Введите имя дерева.
  5. Введите полный список контекста, разделенный точками (.).). Разделите списки составного контекста запятой и пространством. Например, если организацией является Корпорация, названием организации является Чикаго, и вы хотите ввести два названия контекста (Маркетинг и Разработка), ввести эту информацию:
    Engineering.Chicago.Corporation, 
    Marketing.Chicago.Corporation
    В этом списке контекста не нужно добавлять пользователей.
  6. Нажать кнопку submit. Изменения сразу вступают в силу. Вы не должны перезапускать ACS.

    caution  Внимание. При нажатии Delete, все настройки базы данных вашего NDS будут удалены.

Вопрос. . Как узнать точный выпуск программного обеспечения ACS?

Ответ. Существует два способа проверки версии.

  • Когда вы переводите браузер в рабочее состояние, ищете это внизу страницы:

    Cisco Secure ACS v2.3 for Windows NT
     
    Release 2.3(2)
  • Переведите командную строку DOS в рабочее состояние на машине Cisco Secure и работайте:

    D:\Program Files\Cisco Secure ACS v2.3\Utils>csutil
    CSUtil v2.3(2.4), Copyright 1997, Cisco Systems Inc.

Вопрос. . Мой ACS, Вошедший Пользовательский отчёт, работает с некоторыми устройствами, но не с другими. В чем проблема?

Ответ. Чтобы работал отчет о подключенных пользователях (это также касается большинства других функций, подразумевающих активное соединение), пакеты должны включать как минимум следующее:

Пакет запроса аутентификации

nas-ip-address
nas-port

Пакет начала учета

nas-ip-address
nas-port
session-id
framed-ip-address

Пакет остановки учета

nas-ip-address
nas-port
session-id
framed-ip-address

Атрибуты (такие как nas-port и nas-ip-address), которые появляются в нескольках пакетов, должны содержать то же значение во всех пакетах.

Если соединение так кратко, что существует мало времени между запуском, и остановите пакеты (например, HTTP через PIX), то вошедшии в систему пользователь не работают.

Версии ACS 3.0 и позже позволяют устройству передавать или nas-port или nas-port-id.

Вопрос. . Когда я вхожу в ACS GUI через межсетевой экран, адрес сервера в поле URL меняется с глобального IP-адреса на местный адрес. Почему это происходит?

Ответ. На эту проблему обратили внимание в текущей версии ACS 3.0. Когда вы изменяетесь на последующие страницы после первоначального входа в систему, глобальный IP-адрес не изменяется.

Вопрос. . Может ли пользователь одновременно входить в несколько групп?

Ответ. Нет, пользователь не может одновременно состоять более чем в одной группе.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 8539