Безопасность : Защищенный мобильный клиент Cisco AnyConnect Secure Mobility

AnyConnect ошибка верификации подписи Hostscan на Linux

31 января 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (1 октября 2013) | Отзыв

Введение

Этот документ описывает, как решить ошибку подключения защищенного мобильного клиента Cisco AnyConnect Secure Mobility, если вы развертываете Hostscan на Linux.

Внесенный Атри Базу и Джеем Янгом, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • AnyConnect Cisco
  • Cisco Secure Desktop (CSD)
  • Linux

Используемые компоненты

Сведения в этом документе влияют на пользователей Linux, которые выполняют CSD Hostscan.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Проблема:

Когда пользователь Linux выполняет Cisco Anyconnect в сочетании с CSD Hostscan, сообщение об ошибках появляется, который указывает, что Оценка Положения, Отказавшая с Hostscan, Калибрует ошибку:

116040-problemsolution-product-01.png

В libcsd.log файле сообщение об ошибках указывает, что истек сертификат, используемый, чтобы подписать CSD двоичные файлы Hostscan:

[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
  hello
[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
  libcsd.so version 3.1.02040
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
  [hs_transport_init] initialization
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
  [hs_file_verify_with_killdate] verifying file
  signature: file = [/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0],
  signer = [Cisco Systems, Inc.], type = [2] [Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cb]
  Error 10, certificate has expired
[Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cert]
  Certificate is not trusted
[Thu Feb 07 18:52:15.964 2013][libcsd][error]
  [hs_file_verify_with_killdate] unable to verify
  the certificate trust.
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_dl_load_global]
  file signature invalid, not
  loading library (/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0).

Примечание. На Mac и Пользователей Windows не влияет эта проблема. Это вызвано тем, что код Mac и Windows - клиента проверяет, что сертификат, используемый для того, чтобы подписаться, допустим во время подписывания кода, тогда как проверки кода Клиента Linux, если сертификат, используемый для того, чтобы подписаться, в настоящее время допустим.

Решение:

Так как проблема вызвана датой, в которую был подписан сертификат, можно изменить системные часы, чтобы позволить пользователю соединяться; однако это не временное решение проблемы.

CSCue49663 идентификатора ошибки Cisco (только зарегистрированные клиенты) был подан, чтобы решить эту проблему. Чтобы получить временное решение проблемы, обновляют к Версии 3.1.02043 AnyConnect, или обновить только пакет Механизма Hostscan к Версии 3.0.11046, как показано здесь:

webvpn 
enable outside 
csd hostscan image disk0:/hostscan_3.1.02043-k9.pkg
csd enable 
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1 regex "Windows NT" 
anyconnect image disk0:/anyconnect-macosx-i386-3.1.02040-k9.pkg 2 regex "Mac OS" 
anyconnect image disk0:/anyconnect-linux-3.1.02043-k9.pkg* 3 regex "Linux"

Примечание. Эти чернила соединяются с корректными версиями загрузок программного обеспечения (только зарегистрированные клиенты).


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 116040