Безопасность : Система управления доступом Cisco Secure Access Control System

Система управления Безопасного доступа (ACS 5.x и позже) Устранение проблем

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет сведения о том, как устранить неполадки системы управления доступом Cisco Secure Access Control System (ACS) и как решить сообщения об ошибках.

Для получения информации о том, как устранить неполадки Cisco Secure ACS 3.x и 4.x, обратитесь к Серверу безопасного контроля доступа (ACS 3.x и 4.x) Устранение проблем.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на версии 5.x системы управления доступом Cisco Secure Access Control System и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Проблема: "Ошибка: Сохраненный рабочая конфигурация для запущения успешно Файла манифеста %, не найденного в связке (bundle)" на приборе ACS во время обновления устройства

Когда попытка предпринята для обновления ACS Express от 5.0 до 5.0.1, ошибка Error: Saved the running configuration to startup successfully % Manifest file not found in the bundle появляется.

Решение

Выполните эти шаги для обновления прибора ACS без любой проблемы:

  1. Исправление 9 (5-0-0-21-9.tar.gpg) загрузки и ОС ADE (ACS_5.0.0.21_ADE_OS_1.2_upgrade.tar.gpg) от: Cisco.com> поддержка> загружает> Security программного обеспечения> Cisco Secure Access Control System 5.0> программное обеспечение Системы управления Безопасного доступа> 5.0.0.21

  2. После установки этих двух файлов установите обновление ACS 5.1 ACS_5.1.0.44.tar.gz. Это доступно от того же пути от предыдущего шага.

  3. Используйте эту команду для установки обновления:

    обновление приложения <комплект приложений> удаленное название репозитория
    

Это завершает процедуру обновления.

См. Обновление Сервера ACS от 5.0 до 5.1 для получения дополнительной информации о том, как обновить прибор ACS.

Проблема: Неспособный перезапустить сервер ACS 5.x от GUI

Этот раздел объясняет, почему вы не можете перезапустить версию 5.x сервера ACS от GUI.

Решение

Нет никакой опции, доступной для перезапуска ACS 5.x сервер от GUI. ACS может только быть перезапущен от CLI.

Проблема: Проблема, устанавливающая Аутентификацию Active Directory с ACS 5.2

При устанавливании аутентификации Active Directory (AD) для новых 5.2 сервисов ACS получено это сообщение об ошибках:

Unexpected RPC Error: Access Denied due to unexpected configuration or network error. Please try the --verbose option or run "adinfo --diag".

Решение

ACS нужно к разрешениям на запись для аутентификации с AD. Для решения этого вопроса предоставьте временные разрешения на запись учетной записи сервиса.

Проблема: Не может просмотреть больше чем 100 страниц в бухгалтерском отчёте

При попытке генерировать пользовательский отчёт об учете AAA с версией ACS 5.1, вы не можете просмотреть больше чем 100 страниц. Это не покрывает несколько более старых отчётов. Как вы изменяете эти настройки для наблюдения всех страниц?

Решение

Вы не можете изменить количество страниц на ACS, потому что максимальное число отображенных страниц является только 100 по умолчанию. Чтобы преодолеть это ограничение и просмотреть более старую статистику, необходимо изменить параметры фильтра так, чтобы могли быть сделаны более определенные соответствия. Например, при попытке генерировать отчёт в течение прошлых тридцати дней, он содержит большой объем, и последние 100 страниц могли бы показать действие в течение только прошлого часа. Здесь, использование параметров фильтра рекомендуется. Взятие параметра фильтра как идентификатор пользователя и определение time-range приведут к отчётам значительно старше.

Проблема: Неспособный генерировать отчёт об аутентификации прохода/сбоя для группы устройств

Эта проблема происходит при попытке генерировать опознавательный отчёт только для группы шести маршрутизаторов/коммутаторов, не для всех устройств. Версия ACS 4.x используется.

Решение

Это не возможно с ACS 4. x . Необходимо мигрировать на ACS 5.x, потому что эта функция доступна с той версией. Можно извлечь отчёты для определенной группы устройств путем генерации Отчётов о Каталоге.

См. этот образ для лучше понимания:

http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113485-acs5x-tshoot-01.gif

Проблема: Отслеживающая и сообщающая база данных в настоящее время недоступна. Попытка повторно соединиться за 5 секунд.

При нажатии Launch Monitoring and Report Viewer from ACS 5.x это сообщение об ошибках получено: The monitoring and reports database is currently unavailable. Attempting to reconnect in 5 seconds. If problem persist, please contact your ACS administrator.

Решение

Выполните один из этих обходных путей для решения этого вопроса:

  • Перезапустите сервисы ACS от CLI путем выдачи этих команд:

    application stop acs
    application start acs
  • Обновление к последнему доступному исправлению. См. Применение Исправлений Обновления для получения дополнительной информации об этом.

Предмет Проблема: 22056, не найденный в применимом хранилище (хранилищах) идентификаторов

AD пользователи не становятся аутентифицируемыми с ACS Version 5.x и получают это сообщение об ошибках: 22056 Subject not found in the applicable identity store(s).

Решение

Это сообщение об ошибках происходит, когда ACS был не в состоянии находить пользователя в первой перечисленной базе данных, которая настроена в Последовательности хранилища идентификаторов. Это - информационное сообщение и не влияет на производительность ACS. Способ, которым ACS 5.x выполняет аутентификацию для внутреннего или внешних пользователей, является другим, чем предыдущее 4.x версия. С 5.x версия, существует опция под названием Последовательность хранилища идентификаторов для определения последовательности баз данных пользователей, которые будут аутентифицироваться. Для получения дополнительной информации обратитесь к Последовательностям хранилища идентификаторов Настройки.

При получении этой ошибки при использовании ACS для аутентификации запросов против Дочернего домена, то необходимо добавить суффикс UPN или префикс NetBIOS к имени пользователя. Для получения дополнительной информации обратитесь к Примечаниям в разделе Microsoft AD.

Проблема: Неспособный интегрировать ACS с Active Directory

Пользователи не могут интегрировать ACS с Active Directory, и сообщение об ошибках Samba Port Status Error получено.

Решение

Для решения этой проблемы удостоверьтесь, что эти порты открыты для поддержки функциональности Active Directory:

  • Порт Samba - TCP 445

  • LDAP - TCP 389

  • LDAP - UDP 389

  • KDC - TCP 88

  • kpasswd - TCP 464

  • NTP - UDP 123

  • Глобальный каталог - TCP - 3268

  • DNS - UDP 53

ACS должен достигнуть всех DC в домене для AD ACS интеграции, чтобы быть завершенным. Даже если один из DC не достижим от ACS, интеграция не происходит. См. идентификатор ошибки Cisco CSCte92062 (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: Неспособный интегрировать ACS с LDAP

В этом документе ACS 5.2 используется в качестве сервера AAA RADIUS для реализации 802.1X. 802.1X может успешно использоваться с ACS с помощью хранилища внутреннего пользователя, но существуют проблемы, интегрирующие ACS и LDAP. Появляется следующее сообщение об ошибке:

Radius authentication failed for USER: example MAC:
UU-VV-WW-XX-YY-ZZ AUTHTYPE: PEAP(EAP-MSCHAPv2)
EAP session timed out : 5411 EAP session timed out

Решение

В этом случае LDAP используется с PEAP, и используемый метод внутренней аутентификации является eap-mschap v2. Это откажет, потому что LDAP не поддерживается для PEAP (eap-mschap v2). Рекомендуется использовать tls eap или AD.

Проблема: "csco acs_internal_operations_diagnostics ошибка: не мог записать в Сообщение об ошибках" файла локального хранилища

Во время репликации ACS основной ACS не реплицирует должным образом и отображает это сообщение об ошибках:

csco acs_internal_operations_diagnostics error: could
	 not write to local storage file

Решение

Перезапустите сервисы ACS и удостоверьтесь, что отключена важная регистрация. Для получения дополнительной информации обратитесь к идентификатору ошибки Cisco CSCth66302 (только зарегистрированные клиенты). Если это не помогает, свяжитесь с Центром технической поддержки Cisco, чтобы заставить последнее исправление ACS, подходящее решать эту проблему.

Проблема: Неспособный интегрировать ACS 5.1 с Active Directory

При попытке внедрить AD интеграцию, получено это сообщение об ошибках:

Error while configuring Active Directory:Using writable
	 domain controller:test1.test.pvt Authentication error due unexpect
	 configuration or network error. Please try the --verbose option or run 'adinfo
	 -diag' to diagnose the problem. Join to domain 'test.pvt', zone 'null'
	 failed.

Решение

Завершите этот обходной путь для решения этой проблемы:

  1. Удалите существующую учетную запись машины на AD.

  2. Создайте новый OU.

  3. Перейдите к Свойствам OU, и снятие наследовали разрешения.

  4. Создайте новую машину, составляют ACS в новом OU.

  5. Позвольте AD реплицировать.

  6. Попытайтесь присоединиться к AD от GUI ACS.

В некоторых случаях, если вы связываетесь с Microsoft и применяете Текущие исправления, также полезно leavingcisco.com.

Проблема: Неспособный настроить ACS 5.x для распознавания регулярных выражений в сервисных правилах выбора

Решение

Это не возможно, потому что это еще не поддерживается в ACS 5. x .

Проблема: Резервная копия SFTP не работает при использовании Cisco, Работает как сервер SFTP

Когда сетевой ресурс находится на Сервере СiscoWorks, резервный планировщик хорошо работает с другими клиентами SFTP, но не ACS 5.2. В частности, при попытке соединиться с сервером SFTP от ACS, сообщение об ошибках Unable to negotiate a key exchange method получено.

Решение

В этом случае сервером SFTP не является FIPS совместимое устройство с помощью группы DH 14. ACS только поддерживает серверы с поддержкой DH 14, поскольку это - совместимый FIPS. Для получения дополнительной информации об этой проблеме, обратитесь к Известным ограничениям в ACS 5.2.

Проблема: "Недопустимое информационное наполнение EAP понизилось"

Сообщение об ошибках Error: Invalid EAP payload dropped получено при аутентификации пользователей беспроводной связи на исправлении 7 ACS 5.0.

Решение

Это - наблюдаемое состояние и обращенный в идентификаторах ошибок Cisco CSCsz54975 (только зарегистрированные клиенты) и CSCsy46036 (только зарегистрированные клиенты).

Для решения этого вопроса обновите к исправлению 9 ACS 5.0, которое требуется как часть обновления к 5.1 или 5.2. См. Обновление Базы данных для завершенных подробных данных. Это также включает информацию о том, как обновить к исправлению 9.

Проблема: "Процесс времени выполнения ACS не работает на этом экземпляре в это время".

Пользователи не могут войти к GUI ACS, и это сообщение об ошибках получено:

"The ACS runtime process is not running on this instance at this time. Changes can be made to the ACS configuration (these will be saved in the database), but changes will not take effect until the runtime process is restarted."

Решение

Вручную перезапуск процесса во время выполнения от CLI и перезагрузка устройства решают этот вопрос. Это - незначительная проблема и не создает проблемы производительности для ACS. Существует два незначительных дефекта, поданные для наблюдения этого поведения. Для получения дополнительной информации обратитесь к идентификаторам ошибок Cisco CSCtb99448 (только зарегистрированные клиенты) и CSCtc75323 (только зарегистрированные клиенты).

Для перезапуска процессов во время выполнения вручную, выполните эти команды от CLI ACS:

  • acs останавливают время выполнения

  • acs запускают время выполнения

Проблема: Неспособный экспортировать пользователей с Паролем

Можно экспортировать и импортировать базу данных пользователей к другому ACS 5.x с Файлом csv, но это не включает поле пароля пользователя (появляется пробел). Как вы перемещаете Идентификационное хранилище локального пользователя от одного ACS до другого, который включает сведения о пароле?

Решение

Это не возможно, поскольку это станет нарушением безопасности. В этом случае один обходной путь должен выполнить процедуру резервного копирования и восстановления. Однако ограничение к этому обходному пути - то, что резервная копия и восстановление только работают для другого ACS с подобной конфигурацией.

Проблема: Внутренние пользователи ACS отключены периодически

Пользователи ACS отключены периодически с сообщением Password expired. Политика истечения срока действия пароля установлена в течение 60 дней, но этим пользователям нужно вручную позволить для них получить доступ.

Решение

Это поведение наблюдается и регистрируется в идентификаторе ошибки Cisco CSCtf06311 (только зарегистрированные клиенты). Этот вопрос может быть решен путем применения исправления 3 к ACS 5.1. Для просмотра всех решенных проблем в соответствии с исправлением 3 обратитесь к Решенным проблемам в Кумулятивном ACS Исправления 5.1.0.44.3. Для дополнительных сведений о том, как обновить исправление, обратитесь к Применению Исправлений Обновления.

Проблема: "TACACS + запрос аутентификации закончился ошибкой"

Отчёт об аутентификации ACS показывает сообщение об ошибках TACACS+ authentication request ended with error.

Решение

Когда Аутентификации TACACS установили Тип сервиса в PPP, это происходит. См. идентификатор ошибки Cisco CSCte16911 (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: "Запрос Проверки подлинности RADIUS, Отклоненный из-за важной ошибки регистрации"

Проверка подлинности RADIUS отклонена с сообщением об ошибках Radius Authentication Request Rejected due to critical logging error.

Решение

Эта ошибка детализирована в идентификаторе ошибки Cisco CSCth66302 (только зарегистрированные клиенты).

Проблема: Когда ACS обновлен от 5.2 до 5.3, интерфейс Представления ACS показывает "Обновление Данных, Отказавшее" в верхней части страницы

Когда ACS обновлен от 5.2 до 5.3, интерфейс Представления ACS показывает Data Upgrade Failed в верхней части страницы.

Решение

Эта ошибка детализирована в идентификаторе ошибки Cisco CSCtu15651 (только зарегистрированные клиенты).

Проблема: Проблема с "паролем изменения на следующем входе в систему acs" на Cisco ACS 5.0

Решение

В ACS 5.0 функция истечения срока действия пароля (пользователь должен изменить пароль на следующем входе в систему) на ID локального пользователя Хранилище можно выбрать, но не работает. Запрос на расширение CSCtc31598 исправляет проблему в версии ACS 5.1.

Проблема: "Обновление приложения % отказало, Ошибка-999. Проверьте журналы ADE для подробных данных или повторно выполнитесь с - установка приложения отладки - включила" на приборе ACS во время обновления

Когда попытка предпринята для обновления ACS Express от 5.0 до 5.0.1, ошибка % Application upgrade failed, Error - -999. Please check ADE logs for details, or re-run with - debug application install - enabled появляется.

Решение

Эта ошибка происходит, когда используемый репозиторий является TFTP, и размер файла больше, чем 32 МБ. ACS Express не может обработать файлы, больше, чем 32 МБ. Используйте FTP в качестве репозитория для решения этого вопроса, даже если размер файла составляет больше чем 32 МБ.

Проблема: Ошибка "Аутентификация отказала: 12308 Клиентов передали сбой указания TLV Результата"

Когда вы пытаетесь аутентифицироваться впервые, ошибка Authentication failed : 12308 Client sent Result TLV indicating failure происходит на ACS. Аутентификация хорошо работает во второй раз.

Решение

Эта ошибка может быть решена, когда вы отключаете, Быстро Повторно соединяются. Обновление к исправлению 2 версии ACS 5.2 помогает решать вопрос без Быстрого, Повторно подключают быть отключенным.

Эта ошибка может также быть решена при отключении Принудительного cryptobinding на соискателе. См. идентификатор ошибки Cisco CSCtj31281 (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: Ошибка "24495 Серверов Active Directory не доступна"

Аутентификация начинает отказывать с этой ошибкой: 24495 Active Directory servers are not available. в журналах ACS 5.3.

Решение

Проверьте файл ACSADAgent.log через CLI ACS 5.x для сообщений такой as:Mar 11 00:06:06 xlpacs01 adclient[30401]: INFO <bg:bindingRefresh> base.bind.healing Lost connection to xxxxxxxx. Running in disconnected mode: unlatch. Если вы видите сообщение об ошибках Running in disconnected mode: unlatch, это означает, что ACS 5.3 не может поддержать стабильное соединение с Active Directory. Обходной путь должен или переключиться к LDAP или понизить ACS до 5.2 версий. См. идентификатор ошибки Cisco CSCtx71254 (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: Ошибка "5411 сеансов EAP испытала таймаут"

Сообщения об ошибках 5411 EAP session timed out получены на ACS 5. x .

Решение

Превышение времени ожидания сеанса EAP довольно распространено с PEAP, где соискатель перезапускает аутентификацию после того, как начальный пакет выходит в сервер RADIUS и, большую часть времени, не показателен из проблемы.

Поток, который обычно замечается:

Supplicant ------------- Authenticator -------------- ACS
Connect
<------------------Request for Identity
-----------------------> Response Identity ------------->
<--------------   EAP Challenge <-----------------
EAPOL-Start ------------->
normal flow ending in successful authentication.......

В конце аутентификация успешна. Однако существует поток, оставленный открытым на ACS из-за резкого перезапуска сеанса EAP от соискателя, который вызывает успешную аутентификацию, придерживавшуюся сообщением превышения времени ожидания сеанса EAP. Много раз это происходит из-за уровня драйвера машины. Удостоверьтесь, что NIC/Драйверы беспроводных устройств актуален на клиентском компьютере. Можно перехватить на клиенте и фильтре на EAP || EAPOL для наблюдения то, что клиент получает или передает при соединении.

Проблема: Если ограничения входа в систему настроены на Active Directory, аутентификация 802.1x не работает

Если у пользователей есть ограничения входа в систему, настроенные на Active Directory, аутентификация 802.1x не работает.

Решение

Если вы имеете Active Directory набора ограничений входа в систему для одиночной машины и делаете попытку аутентификации 802.1x. Аутентификация отказывает, потому что в перспективе Active Directory, что аутентификация прибывает из ACS, не машины, в которую установлено ограничение входа в систему. Для аутентификации, чтобы быть успешными, ограничения входа в систему могут собираться включать учетные записи машины ACS.

Проблема: Ошибка: "Вы не авторизуетесь просмотреть запрошенную страницу", когда ACS 5.x admin с ролью ChangeUserPassword изменяет пароль

ACS 5.x пользователь с правами администратора GUI с ролью ChangeUserPassword не может изменить пароль пользователя AAA, сохраненного во внутренней базе данных. После изменения пароля пользователь получает это всплывающее сообщение об ошибках: You are not authorized to view the requested page.

Решение

Когда ACS 5.x база данных перемещен от ACS 4, это может произойти. x . Используйте Суперадминистративную привилегию для изменения пароля пользователя. См. идентификатор ошибки Cisco CSCty91045 (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: При получении ошибки на ACS 5.x для ошибки проверки подлинности "24495 Серверов Active Directory не доступны".

Решение

Необходимо проверить Интеграцию Active Directory с ACS 5. x . Если это - распределенная настройка, гарантируйте, что и основной и вторичный ACS 5.x в настройке должным образом интегрирован с Active Directory.

Проблема: Неспособный соединиться с прибором ACS с помощью BMC

Когда клиент BMC (программное средство аппаратного уровня) используется для вхождения в ACS 1121 сервер IBM, замечено, что у клиента BMC есть два IP-адреса.

Решение

Это поведение было определено и вошлось идентификатор ошибки Cisco CSCtj81255 (только зарегистрированные клиенты). Для решения этого необходимо отключить клиента DHCP BMC на ACS 1121.

Проблема: Предупреждающий аварийный сигнал "удаляет 20000 сеансов" с причиной "активные сеансы, по пределу", появитесь в мониторе и сообщите об общей информационной панели.

Существует предел количеству записей, которые может держать каталог сеанса. Поскольку запросы зондирования тяжелы в настройке клиента, предел достигнут быстро. После достижения предела, дизайном, Представление ACS удаляет определенное число записей (например, 20k) из каталога сеанса и передает предупреждение. Можно увеличить этот предел, но он не помогает многому кроме продлить предупреждение.

Решение

Для решения этого выполните придерживающееся:

  • Предложено отключить регистрацию для просмотра базы данных.

    1. Перейдите к Cisco Secure ACS> Администрирование системы> Конфигурация> Регистрационная Конфигурация> Категории Регистрации>, Глобальный> "Передал Аутентификации"> Remote Syslog Target, и удалите LogCollector из Selected Targets.

    2. Перейдите к Cisco Secure ACS> Администрирование системы> Конфигурация> Регистрационная Конфигурация> Категории Регистрации> Глобальный> "Неудачные попытки"> Remote Syslog Target и удалите LogCollector из Selected Targets.

    3. Перейдите к Cisco Secure ACS> Администрирование системы> Конфигурация> Регистрационная Конфигурация> Категории Регистрации>, Глобальный> Редактирует: "RADIUS Accounting"> Remote Syslog Target и удаляет LogCollector из Selected Targets.

  • Можно проигнорировать запросы аутентификации зондирования becasue, это не реальные запросы аутентификации. Выполните следующее:

    Перейдите к Cisco Secure ACS>, Контролирующая Конфигурация Configuration> System> Добавляет Фильтр и создает фильтр. Создание фильтра на основе имени пользователя является более соответствующим, потому что запросы зондирования, как понимают, отправлены с названием фиктивного пользователя. Если вы создаете отдельную политику доступа в ACS для обработки этих запросов зондирования, то фильтры могут быть созданы на основе Службы доступа также.

Проблема: ACS 5.x ошибка "11013 Пакетов RADIUS уже в процессе"

В развертываниях ACS 5.3 пользователи отказывают аутентификацию dot1x. Используемой базой данных является Active Directory. Код отказа сервера Radius показывают здесь:

RADIUS Request dropped: 11013 RADIUS packet already in the process

Решение

ACS проигнорировал этот запрос, потому что это - копия другого пакета, который в настоящее время обрабатывается. Это может произойти из-за любого из них:

  • Средняя статистическая величина Задержки Запроса RADIUS близко к или превышает клиентский таймаут Запроса RADIUS клиента.

  • Внешнее хранилище идентификаторов может быть очень медленным.

  • ACS был перегружен.

Выполните эти шаги для решения:

  1. Увеличьте клиентский таймаут Запроса RADIUS клиента.

  2. Используйте более быстрое или дополнительное внешнее хранилище идентификаторов.

  3. Придерживайтесь способов уменьшить перегрузку на ACS.

Проблема: Проверка подлинности RADIUS, подведенная с ошибкой "11012 Пакетов RADIUS, содержит недопустимый заголовок"

Решение

Заголовок входящего Пакета RADIUS не проанализировал правильно. Для решения этого проверьте придерживающееся:

  • Проверьте сетевое устройство или Клиента AAA для неполадок в оборудовании.

  • Проверьте сеть, которая подключает устройство с ACS для неполадок в оборудовании.

  • Проверьте, есть ли у сетевого устройства или Клиента AAA какие-либо известные проблемы совместимости RADIUS.

Проблема: RADIUS/TACACS + аутентификация, подведенная с ошибкой "11007, не Мог определить местоположение Сетевого устройства или Клиента AAA"

Когда ASA передает сообщение access-request радиуса, это сообщение об ошибках получено на ACS:

11007 Could not locate Network Device or AAA Client

Решение

Это происходит, потому что существует несоответствие между IP клиента ACS и интерфейсным IP, который фактически отправляет запрос. Иногда межсетевой экран выполняет переадресацию этому клиенту AAA. Проверьте, настроен ли клиент AAA должным образом с корректным преобразованным IP-адресом в этом пути:

Сетевые ресурсы> Сетевые устройства и Клиенты AAA

Проблема: Проверка подлинности RADIUS, подведенная с ошибкой "11050 Запросов RADIUS, понизилась из-за системной перегрузки".

Пользователи не могут обратиться к сети из-за ошибок проверки подлинности. Это сообщение об ошибках от ACS получено:

11050 RADIUS request dropped due to system overload

Решение

ACS Cisco отбрасывает эти запросы аутентификации из-за перегрузки. Это может быть вызвано репликацией многих, параллельны запросам auhentication. Во избежание этого выполните любой из них:

  • Модифицируйте Сетевое устройство / параметры настройки КЛИЕНТА AAA так, чтобы оно использовало Устаревший TACACS + Вариант поддержки Одиночного соединения. С этим клиент снова использует тот же сеанс для всех запросов вместо того, чтобы создать много сеансов.

  • Рефрен пользователи из призыва новых запросов аутентификации для некоторого момента времени.

  • Перезапустите сервер ACS.

Проблема: Проверка подлинности RADIUS отказала с ошибкой "11309 Неправильных атрибутов RADIUS MS-CHAP v2".

Решение

Эта ошибка происходит из-за недопустимой длины или неверного значения от одного из атрибутов MSCHAP v2 (ЗАПРОС ВЫЗОВА CHAP MS, ОТВЕТ CHAP MS, MS-CHAP-CPW-2, или MS-CHAP-NT-Enc-PW) в полученном пакете запроса доступа RADIUS.

Проблема: ACS сообщает об использовании памяти более чем 90%. Сигнал тревоги

ACS сообщает об использовании памяти более чем 90%. Встревожьте, такие как придерживающееся: Cisco Secure ACS - Alarm NotificationSeverity: Critical Alarm Name ACS - System HealthCause/Trigger Alarm caused by ACS - System Health thresholdAlarm Details ACS Instance CPU Utilization (%) Memory Utilization (%) Disk I/O Utilization (%) Disk Space Used /opt (%) Disk Space Used /localdisk: (%) Disk Space Used / (%) KOM-AAA02 0.41 90.14 0.02 9.57 5.21 25.51

Решение

Эта проблема обычно замечается на ACS 5.2. Для устранения этой проблемы повторно загрузите ACS для освобождения памяти или обновления к исправлению 7 ACS 5.2 или позже. См. идентификатор ошибки Cisco CSCtk52607 (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: error:com.cisco.nm.acs.mgmt.msgbus. FatalBusException: Подведенный для соединения узлов

В распределенной настройке после задачи по техническому обслуживанию (соединяющий с основным, вызовите полную репликацию, исправив), ACS инстанцируют экземпляр ACS отчётов B настолько же оффлайн на экране распределенного развертывания, в то время как B является действительно онлайновым и сообщает об экземпляре как онлайн. В журналах управления вы видите error:com.cisco.nm.acs.mgmt.msgbus.FatalBusException: Failed to link nodes.

Решение

Это может произойти, если предыдущий экземпляр сервиса управления репликацией все еще связан с портом 2030, когда новый экземпляр подходит и пытается связать с тем портом. От CLI экземпляра ACS B, run:sho acs-регистрирует файл ACSManagement. log | i Replication service. Вы будете видеть сообщения, такие как Replication service failed.:Port already in use: 2030. В настоящее время обходной путь должен перезапустить экземпляр ACS B (тот, который сообщает о другом как онлайн). См. идентификатор ошибки Cisco CSCtx56129 (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: error:com.cisco.nm.acs.mgmt.msgbus. FatalBusException: Подведенный для соединения узлов

В распределенной настройке после задачи по техническому обслуживанию (соединяющий с основным, вызовите полную репликацию, исправив), ACS инстанцируют экземпляр ACS отчётов B настолько же оффлайн на экране распределенного развертывания, в то время как B является действительно онлайновым и сообщает об экземпляре как онлайн. В журналах управления вы видите error:com.cisco.nm.acs.mgmt.msgbus.FatalBusException: Failed to link nodes.

Решение

Обновление к исправлению 6 ACS 5.2 или позже для устранения этой проблемы. См. идентификатор ошибки Cisco CSCto47203 (только зарегистрированные клиенты) для получения дополнительной информации.

Примечание: Резервная копия viewDB откажет, как только ""/выбирают"" использование, превышает 30%. Это требуется, чтобы настраивать организацию NFS для выполнения резервной копии, когда ""/выбирают"", превышает 30%-е использование.

Проблема: ошибка 11026 запрошенный DACL не найдена

Проверка подлинности RADIUS отказывает с этим сообщением об ошибках: 11026 The requested dACL is not found.

Решение

Запрос отклонен, потому что не найдена версия Загружаемого списка ACL, который запрашивают в Access-Request RADIUS. Запрос о Загружаемом списке ACL произошел после исходного Access-Request. Из-за этого версия Загружаемого списка ACL больше не была доступна. Найдите причину для этой задержки запроса о Загружаемом списке ACL от Клиента RADIUS.

Проблема: ошибка 11025 Access-Request для запрошенного DACL пропускает атрибут Cisco-av-pair со значением aaa:event=acl-download. Запрос отклонен

Проверка подлинности RADIUS отказывает с этим сообщением об ошибках: 11025 The Access-Request for the requested dACL is missing a cisco-av-pair attribute with the value aaa:event=acl-download. The request is rejected.

Решение

Каждый Access-Request для Загружаемого списка ACL должен иметь cisco-av-pair attribute со значением aaa:event=acl-download. В этом случае тот атрибут пропускает запрос, и ACS отказал запрос. Проверьте, есть ли у сетевого устройства или клиента AAA какие-либо известные проблемы совместимости RADIUS.

Проблема: ошибка 11023 запрошенный DACL не найдена. Это - неизвестное название DACL

Проверка подлинности RADIUS отказывает с этим сообщением об ошибках: 11023 The requested dACL is not found. This is an unknown dACL name.

Решение

Проверьте конфигурацию AсS, чтобы проверить, что Загружаемый список ACL, заданный в Профиле Авторизации, существует в списке Загружаемых списков ACL. Это - неверная конфигурация стороны ACS.

Проблема: Проверка подлинности администратора отказала с ошибкой 10001 Внутреннюю ошибку. Версия некорректной конфигурации

Проверка подлинности администратора отказывает с этой ошибкой: 10001 Internal error. Incorrect configuration version.

Решение

Эта ошибка может быть вызвана поврежденной базой данных ACS, или проблемой в базовых данных о конфигурации. Свяжитесь с Центром технической поддержки Cisco (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: Проверка подлинности администратора отказала с ошибкой 10002 Внутренних ошибки: Сбой для загрузки соответствующего сервиса

Проверка подлинности администратора отказывает с этой ошибкой: 10002 Internal error: Failure to load appropriate service.

Решение

ACS 5.x не может загрузить сервис настройки AAC. Это может быть вызвано поврежденной базой данных ACS, или проблемой в базовых данных о конфигурации. Когда ресурсы системы исчерпаны, может также произойти. Свяжитесь с Центром технической поддержки Cisco (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: Проверка подлинности администратора отказала с ошибкой 10003 Внутренних ошибки: Проверка подлинности администратора получила пустое название Администратора

Проверка подлинности администратора отказывает с этой ошибкой: 10003 Internal error: Administrator authentication received blank Administrator name.

Решение

При доступе к GUI ACS 5.x, ACS получает пустое имя пользователя. Проверьте законность имени пользователя, переданного к ACS. Если это допустимо, свяжитесь с Центром технической поддержки Cisco (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: Причина сбоя: 24428 связанных ошибок Соединения произошли или в LRPC, LDAP или в KERBEROS

Это сообщение об ошибках получено на ACS:

Failure Reason : 24428 Connection related error has occurred in either LRPC, LDAP or KERBEROS This RPC connection problem may be because the stub received incorrect data

Решение

Для решения этого вопроса обновите ACS к версии 5.2.

Проблема: TACACS + Проверка подлинности auth-proxy не работает на маршрутизатор рабочий IOS 15.x от ACS 5.x сервер

TACACS + Проверка подлинности auth-proxy не работает на маршрутизатор, который выполняет Cisco IOS Software Release 15.x от ACS 5.x сервер.

Решение

TACACS + Auth-Proxy только поддерживается после исправления 5 ACS 5.3. Обновите свой ACS 5.x или используйте RADIUS для Auth-Proxy.

Проблема: Получая сообщение об ошибках сбой Хранилища (acs-xxx, TacacsAccounting) от ACS 5. x

Решение

ACS 5.1 TACACS, считающий отчёт, пропускает несколько атрибутов, таких как имя пользователя, уровень привилегий и Тип Запроса, когда это получает неправильно сформированный пакет учета от клиента. В некоторых случаях это приводит к генерации "Сбоя хранилища (acs-xxx, TacacsAccounting)" сигнал тревоги в поле зрения. Для решения этого проверьте придерживающееся:

  • Пакет учета, переданный клиентом, имеет неправильно сформированный аргумент TACACS (например, несоответствие в длине и значении любого аргумента, передаваемого клиентом AAA).

  • Гарантируйте, что клиент передает допустимый пакет учета с правильной длиной и значением для аргументов.

См. идентификатор ошибки Cisco CSCte88357 (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: Проверка подлинности пользователя, подведенная с ошибкой "11036 атрибут RADIUS Средства проверки подлинности сообщения, недопустима".

Решение

Проверьте следующие данные:

  • Проверьте, совпадают ли Общие секретные ключи на клиенте AAA и сервере ACS.

  • Гарантируйте, что у клиента AAA и сетевого устройства нет неполадок в оборудовании или проблем с совместимостью RADIUS.

  • Гарантируйте, что сеть, которая подключает устройство с ACS, не имеет никаких неполадок в оборудовании.

Проблема: Учет RADIUS отказал с ошибкой "11037 Отброшенных бухгалтерских запросов, полученных через неподдерживаемый порт".

Решение

Учет запроса был отброшен, потому что это было получено через неподдерживаемый Номер порта UDP. Проверьте следующие данные:

  • Гарантируйте, что совпадает конфигурация номера порта тарификации на клиенте AAA и на сервере ACS.

  • Гарантируйте, что у клиента AAA нет неполадок в оборудовании или проблем с совместимостью RADIUS.

Проблема: Учет RADIUS, подведенный с ошибкой "11038 заголовков Запроса RADIUS Accounting, содержит недопустимое поле Authenticator".

ACS не может проверить поле Authenticator в заголовке Пакета запроса RADIUS Accounting. Поле Authenticator не должно быть перепутано с атрибутом RADIUS Средства проверки подлинности сообщения. Гарантируйте, что Общий секретный ключ RADIUS настроил на соответствиях клиента AAA, которые настроили для выбранного Сетевого устройства на сервере ACS. Кроме того, гарантируйте, что у клиента AAA нет неполадок в оборудовании или проблем с совместимостью RADIUS.

Ошибка: "24493 ACS имеют проблемы при передаче с Active Directory с помощью его учетных данных машины".

Решение

Проверьте ACS для AD подключения и гарантируйте, что учетная запись машины ACS все еще присутствует в AD.

Проблема: "При создании Имен профилей Shell со специальными символами как "�" может завершиться катастрофическим отказом ACS".

Решение

Это поведение было определено и вошлось идентификатор ошибки Cisco CSCts17763 (только зарегистрированные клиенты). Необходимо обновить к 5.3.40 исправлениям 7 исправления 1 или 5.2.26.

Проблема: Получение "Ошибки разбора в линии 2: не правильно построенный (недопустимый маркер)", в то время как рабочий "покажите выполненный" на ACS 5.x CLI.

Решение

Удостоверьтесь, что у сообщества SNMP, настроенного на ACS, есть верные символы. Только алфавитно-цифровым знакам (только буквы и номера) позволяют использоваться в названии сообщества.

Проблема: ACS 5.x / выбирает, разделение заполняется очень быстро

Решение

ACS 5.x исчерпывает дисковое пространство из-за недостаточно мест в/, выбирают разделение. Это происходит из-за большого числа регистрации данных, заполняющих Представление ACS. Как обходной путь, необходимо часто заменять Обзорную базу данных. Поскольку Представление ACS не может справляться с данными размером 1 Гб каждый день, необходимо организовать данные регистрации. При необходимости во всех журналах используйте внешний сервер системного журнала вместо Представления ACS. Когда необходимо использовать только часть данных регистрации, используйте Администрирование системы> Конфигурация> Регистрационная Конфигурация> Категории Регистрации> Глобальный для передачи только требуемых журналов к регистрационному коллектору Представления ACS.

Проблема: Запрос желаемого домена

Может ACS 5.x запрос желаемые Контроллеры домена (DC) при присоединении к Домену Active Directory?

Решение

Нет. В настоящее время ACS делает запрос DNS с доменом для получения списка всех DC в домене. Затем это пытается связаться со всеми ними. Если соединение с даже сбоем DC, то соединение ACS с доменом объявлено, как подведено.

Проблема: Родитель и дочерние домены в то же время

Существует ли способ установить ACS 5.x и в родителе и в дочерних доменах в то же время?

Решение

Нет. В настоящее время ACS 5.x может только быть частью одного домена. Однако ACS 5.x может аутентифицировать пользователей/машины от множественных надежных доменов.

Проблема: Регистрация к удаленной базе данных

Я могу регистрировать ACS 5.x Обзорные данные к удаленной базе данных?

Решение

Да, ACS 5.x позволяет вам регистрировать данные Представления ACS к серверам SQL Oracle и Microsoft SQL Server.

Проблема: Поддержка VMware

Решение

ACS 5.x может быть установлен на Виртуальной машине. Последняя версия, ACS 5.3, может быть установлена на этих версиях VMware:

  • VMWare ESX 3.5

  • VMWare ESX 4.0

  • VMWare ESX i4.1

  • VMWare ESX 5.0

Проблема: Требуемые пространства на диске

Каковы требуемые пространства на диске для ACS 5.x пробная версия?

Решение

Минимум дискового пространства на 60 ГБ требуется для пробной версии. 500 ГБ требуются для производственной установки.

Проблема: "24401 не Мог установить соединение с агентом Active Directory ACS".

Решение

Для решения этой ошибки проверьте придерживающееся:

  • Проверьте, соединена ли машина ACS с доменом Active Directory.

  • Проверьте статус подключения между машиной ACS и Сервером Active Directory.

  • Проверьте, работает ли агент Active Directory ACS.

См. идентификатор ошибки Cisco CSCtx71254 (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: Процесс "Во время выполнения" показывает "Выполнению Отказавшее" состояние

При обновлении ACS Cisco с исправлением процесс Во время выполнения застревает в "Выполнении, Отказавшее" состояние и это сообщение зарегистрированы:

"local0 err err 83 2012-06-12T12:11:08+0200 192.168.150.74 ACS ACS logforward ERROR: /opt/CSCOacs/runtime/bin/run-logforward.sh: line 18: 7097 Segmentation fault (core dumped) ./$daemon -b -f $logfile"

Решение

Это может быть проблемой с исправлением MD5 последнего исправления. Проверьте, что контрольная сумма MD5 последнего исправления применилась к ACS Cisco. Загрузка, что снова, затем примените его должным образом.

Проблема: Отказавшая аутентификация ACS, когда UCS вызывает повторную проверку подлинности

Сервер UCS настроен для аутентификации Клиента Java от ACS Cisco. Процесс проверки подлинности включает использование Символического сервера RSA. Первые опознавательные проходы. Однако, когда UCS обновляет и вынуждает Клиента Java пройти повторную проверку подлинности, он отказывает, потому что RSA не позволяет снова использовать любой маркер. Поэтому опознавательные сбои.

Решение

Это - ограничение от persepective Сервера UCS, но не от ACS Cisco. Сервер UCS придерживается двухфакторной аутентификации, которая является неподдерживаемой характеристикой для ACS Cisco, когда используется с Маркерами RSA. В настоящее время это не поддерживается. Как обходной путь, вам рекомендуют использовать любой сервер базы данных, такой как AD или LDAP, кроме Символического сервера RSA.

Проблема: "24444 операции Active Directory отказали из-за неуказанной ошибки в ACS"

Решение

Отмененная сопоставление ошибка произошла в отнесенной операции AD. См. ACS 5.x Интеграция с Microsoft AD Configuration Example и настраивают AD интеграцию с ACS должным образом. Если все настроено должным образом согласно документу, то свяжитесь с Центром технической поддержки Cisco для дальнейшего устранения проблем.

Проблема: Неспособный аутентифицировать пользователей ACS 5.1 с Сервером R2 AD 2008

Решение

Это происходит из-за проблем несовместимости. Интеграция R2 AD 2008 поддерживается от версии ACS 5.2 только. Обновите свой ACS к 5.2 или позже. См. идентификатор ошибки Cisco CSCtg12399 (только зарегистрированные клиенты) для получения дополнительной информации.

Ошибка: 22056 Предметов, не найденных в применимом хранилище (хранилищах) идентификаторов.

Когда пользователи VPN SSL пытаются аутентифицироваться от устройства RSA, это сообщение об ошибках получено от Сервера Cisco ACS:

Failure Reason: 22056 Subject not found in the applicable identity store(s).

Решение

Проверьте, присутствует ли пользователь в базе данных, где ACS указан для поиска. В случае RSA и Идентификационного Хранилища RADIUS, гарантируйте, что опция Treat Reject выбрана как подведенная аутентификация. Это находится под Вкладкой Дополнительно Идентификационной конфигурации Хранилища.

Проблема: ipt_connlimit: ой: Недопустимое состояние цемента?

Когда ACS 5.x работает на VMware, сообщение об ошибках ipt_connlimit: Oops: Invalid ct state ? появляется на консоли.

Решение

Это - декоративное сообщение. См. идентификатор ошибки Cisco CSCth25712 (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: ACs 5.x / ISE не видит атрибута calling-station-id радиуса в Запросе RADIUS от Cisco IOS Software Release 15.x NAS

ACs 5.x / ISE не видит атрибута radius calling-station-id в Запросе RADIUS от Cisco IOS Software Release 15.x NAS.

Решение

Использование , которое radius-server attribute 31 передает команде nas-port-detail на Cisco IOS Software Release 15.x, чтобы позволить передать атрибут.

Проблема: Учетные записи пользователя блокированы в первой инстанции неправильных учетных данных даже если настроенный для 3 попыток

Когда ACS 5.3 интегрирован с Active Directory на функциональном уровне Windows 2008 R2, учетные записи пользователя, которые установлены с параметрами локаута (3 неправильных попытки) являются lockouted преждевременно после того, как пользователь вводит неправильные учетные данные только однажды.

Решение

См. идентификатор ошибки Cisco CSCtz03211 (только зарегистрированные клиенты) для получения дополнительной информации.

Проблема: Некипа для сохранения резервного копирования от ACS

Во время попытки сохранить резервную копию от ACS, появляется Cause: Incremental Backup Not Configured- Details: Incremental backup is not configured.Configuring incremental backup is necessary to make the database purge successful. This will help to avoid disk space issues. View database Size is 0.08GB and size it occupies on the harddisk is 0.08GB, предупреждающий.

Решение

Вы не можете одновременно выполнить нарастающее количество резервных копий, защитник и чистка данных. Если какое-либо из этих заданий работает, необходимо ждать сроком на 90 минут, прежде чем можно будет начать следующее задание.


Дополнительные сведения


Document ID: 113485