نظام التحكم بالوصول الآمن 5.x والأسئلة المتداولة الأحدث

المقدمة

يقدم هذا المستند إجابات عن الأسئلة الأكثر شيوعا (FAQ) المتعلقة بنظام التحكم في الوصول الآمن (ACS) من Cisco الإصدار 5.x والإصدارات الأحدث.

المشاكل ذات الصلة بالمصادقة

س. هل يمكن إستبعاد عدد قليل من مستخدمي/مجموعات قاعدة البيانات الداخلية ل ACS 5.x من نهج كلمة مرور المستخدم (إدارة النظام > المستخدمون > إعدادات المصادقة)؟

أ. بشكل افتراضي، يجب أن يمتثل كل مستخدم قاعدة بيانات داخلي لنهج كلمة مرور المستخدم. حاليا، لا يمكن إستبعاد أي مستخدمين/مجموعات من قاعدة البيانات الداخلية ل ACS 5.x.

س. هل يمكن إستبعاد بعض مسؤولي واجهة المستخدم الرسومية (GUI) ل ACS 5.x من نهج كلمة مرور المستخدم الإداري (إدارة النظام > المسؤولون > الإعدادات > المصادقة)؟

a. بشكل افتراضي، يجب أن يمتثل كل مستخدم إداري ل GUI لنهج كلمة مرور المستخدم الإداري. حاليا، لا يمكن إستبعاد أي مستخدم إداري ل ACS 5.x.

س. هل يوفر ACS 5.x الدعم لأدوات VMWare؟

أ. لا. حاليا، ال VMWare أداة لا يساند مع ACS صيغة 5.x. راجع معرف تصحيح الأخطاء من Cisco CSCtg50048 ( العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

س. ما هي بروتوكولات مصادقة EAP المدعومة ل ACS 5.x عند تكوين LDAP كمخزن الهوية؟

أ. عند إستخدام LDAP كمخزن للهويات، يدعم ACS 5.2 بروتوكولات PEAP-GTC و EAP-FAST-GTC و EAP-TLS فقط. لا يدعم EAP-FAST MSCHAPv2 و PEAP EAP-MSCHAPv2 و EAP-MD5. لمزيد من المعلومات، ارجع إلى توافق بروتوكول المصادقة وقاعدة بيانات المستخدم.

س. لماذا فشلت مصادقة WLC باستخدام RADIUS على ACS، ولماذا لم يظهر ACS أي محاولات فاشلة؟

ألف - توجد مشكلة في إمكانية التشغيل البيني ل ACS 5.0 و WLC قبل التصحيح 4. قم بتنزيل التصحيح 8، وطبق التصحيح على واجهة سطر الأوامر. لا يستعمل TFTP in order to صححت هذا إصدار.

Q. لماذا يتعذر علي إستعادة ملفات tar.gz التي تم نسخها إحتياطيا باستخدام الأمر backup-log في ACS 5.2؟

أ. لا يمكنك إستعادة ملفات السجل التي تم نسخها إحتياطيا باستخدام الأمر backup-log. يمكنك إستعادة تلك الملفات التي تم نسخها إحتياطيا لتكوين ACS و ADE-OS. ارجع إلى أوامر النسخ الاحتياطي وسجلات النسخ الاحتياطي في دليل مرجع واجهة سطر الأوامر (CLI) لنظام التحكم في الوصول الآمن من Cisco 5.1 للحصول على مزيد من المعلومات.

س. هل يمكنني الحد من عدد محاولات كلمة المرور غير الناجحة على ACS 5.2؟

ألف - لا تتوفر هذه الميزة على ACS 5.2، ولكن من المتوقع دمجها في ACS 5.3. راجع قسم الميزات غير المدعومة في ملاحظات الإصدار الخاصة بنظام التحكم في الوصول الآمن من Cisco 5.2 للحصول على مزيد من المعلومات.

س. أنا يعجز أن يستعمل الخيار أن يغير الكلمة في التالي login للمستخدمين الداخليين في ACS 5،0. كيف يمكنني حل هذه المشكلة؟

أ. خيار تغيير كلمة المرور عند تسجيل الدخول التالي غير مدعوم في ACS 5.0. يتوفر دعم هذه الميزة في ACS 5.1 والإصدارات الأحدث.

س. ماذا يعني هذا التنبيه على ACS؟

Cisco Secure ACS - Alarm Notification 
Severity: Warning 
Alarm Name delete 20000 sessions 
Cause/Trigger active sessions are over limit 
Alarm Details session is over 250000

أ. يعني هذا خطأ أن عندما يبلغ عرض ACS حد من 250،000 جلسة، هو يلقي إنذار أن يمحو 20،000 جلسة. تقوم قاعدة بيانات عرض ACS بتخزين جميع جلسات المصادقة السابقة وعندما تصل إلى 250،000، فإنها تعطي إنذار لمسح ذاكرة التخزين المؤقت وحذف 20،000 جلسة.

س. كيف يمكنني حل رسالة الخطأ هذه: فشلت المصادقة:24407 فشلت مصادقة المستخدم مقابل Active Directory نظرا لأنه مطلوب من المستخدم تغيير كلمة المرور الخاصة به؟

أ. تظهر رسالة الخطأ هذه عندما تكون هناك مشكلة في إدارة كلمة المرور أثناء مصادقة SDI. يتم إستخدام ACS 5.x كوكيل RADIUS ويجب مصادقة المستخدمين بواسطة خادم RSA. سيعمل وكيل RADIUS إلى RSA فقط دون إدارة كلمة المرور. السبب هو أن قيمة OTP يجب أن تكون قابلة للاسترداد بواسطة خادم Radius من أجل توكيل قيمة كلمة المرور إلى خادم RSA. عندما تكون إدارة كلمة المرور ممكنة في مجموعة النفق، يتم إرسال طلب Radius مع سمات MS-CHAPv2. لا يدعم RSA MS-0CHAPv2، إنه يدعم PAP فقط.

أعجزت in order to حللت هذا إصدار، كلمة إدارة. أحلت ل كثير معلومة، cisco بق id CSCsx47423 ( يسجل زبون فقط).

س. هل من الممكن تقييد إدارة ACS لإدارة أجهزة معينة فقط ضمن ACS 5.1؟

أ. لا، من غير الممكن تقييد إدارة ACS لإدارة أجهزة معينة فقط داخل ACS 5.1.

س. هل يدعم ACS جودة الخدمة في المصادقة بحيث يمكن ترتيب RADIUS على TACACS؟

أ. لا، لا يدعم ACS جودة الخدمة في المصادقة. لن يقوم ACS بتحديد أولوية طلبات مصادقة RADIUS على طلبات TACACS أو TACACS عبر RADIUS.

س. هل يمكن ل ACS 5.x مصادقة وكيل TACACS و RADIUS إلى خوادم TACACS أو RADIUS الأخرى؟

أ. نعم، يمكن لجميع إصدارات ACS 5.x توكيل مصادقة RADIUS إلى خوادم RADIUS الأخرى. يمكن ل ACS 5.3 والإصدارات الأحدث توكيل مصادقة TACACS إلى خوادم TACACS الأخرى.

س. هل يمكن ل ACS 5.x التحقق من سمات الطلب لمستخدم Active Directory لمنح حق الوصول؟

أ. نعم، في ACS 5.3 وفيما بعد يمكنك السماح بالوصول لأذونات طلب الدخول الخاصة بالمستخدم ورفضه والتحكم فيه. يتم التحقق من الأذونات أثناء عمليات المصادقة أو الاستعلامات من Active Directory. تم تعيينها في قاموس Active Directory المخصص.

س. هل يدعم ACS 5.x أنواع مصادقة CHAP أو MSCHAP ل TACACS+؟

أ. نعم، يتم دعم أنواع مصادقة TACACS+ CHAP و MSCHAP في ACS الإصدار 5.3 والإصدارات الأحدث.

س. هل يمكنني تعيين نوع كلمة المرور للمستخدم الداخلي ل ACS إلى أي قاعدة بيانات خارجية؟

أ. نعم، في ACS 5.3 وفيما بعد يمكنك تعيين نوع كلمة المرور للمستخدم الداخلي ل ACS. وكانت هذه الميزة متاحة في ACS 4.x.

س. هل يمكنني تمرير/فشل مصادقة استنادا إلى الوقت الذي تم فيه إنشاء المستخدم في مخزن الهوية الداخلي ل ACS؟

أ. نعم، في ACS 5.3 وفيما بعد يمكنك إستخدام عدد الساعات منذ سمة إنشاء المستخدم لإنشاء سياساتك. تحتوي هذه السمة على عدد الساعات منذ إنشاء المستخدم في "مخزن الهوية الداخلية" إلى وقت طلب المصادقة الحالي.

س. هل يمكنني إستخدام أحرف البدل لإضافة إدخال مضيف جديد في قاعدة البيانات الداخلية ل ACS؟

أ. نعم، يسمح لك ACS 5.3 والإصدارات الأحدث باستخدام أحرف البدل عند إضافة مضيفين جدد إلى مخزن الهوية الداخلي. كما يسمح لك بإدخال أحرف البدل (بعد إدخال الأنظمة الثمانية الثلاثة الأولى) لتحديد جميع الأجهزة من الشركة المصنعة المحددة.

س. هل يمكنني تكوين تجمعات عناوين IP على ACS 5.x وتعيينها من ACS؟

أ. لا، من غير الممكن حاليا إنشاء تجمعات عناوين IP على ACS 5.x.

س. هل يمكنني رؤية عنوان IP الخاص بعميل AAA حيث جاء الطلب في تقرير المصادقة الفاشل؟

أ. لا، من غير الممكن رؤية عنوان IP لعميل AAA من المكان الذي جاء فيه الطلب.

س. ما هو عرض إسترداد رسائل السجل في ACS 5.3؟

A. يوفر ACS 5.3 ميزة جديدة لاسترداد أي سجل يتم تفويته عندما يكون العرض معطلا. ويجمع ACS هذه السجلات المفقودة ويخزنها في قاعدة بياناته. باستخدام هذه الميزة، يمكنك إسترداد السجلات المفقودة من قاعدة بيانات ACS إلى قاعدة بيانات طريقة العرض بعد إجراء نسخ إحتياطي لطريقة العرض. لاستخدام هذه الميزة، يجب تعيين تكوين إسترداد رسائل السجل على قيد التشغيل. لمزيد من التفاصيل حول تكوين "إسترداد رسائل سجل العرض"، ارجع إلى مراقبة عمليات نظام عارض التقارير.

Q. هل يمكنني ضغط قاعدة بيانات ACS 5.x من خلال إصدار الأمر database-compress من واجهة سطر الأوامر (CLI) لمحرك الحل؟ وكانت هذه الميزة متاحة في ACS 4.x.

أ. نعم، في ACS 5.3 والإصدارات الأحدث، يقلل الأمر ضغط قاعدة البيانات من حجم قاعدة بيانات ACS باستخدام خيار حذف جدول معاملات ACS.يمكن لمسؤولي ACS إصدار هذا الأمر لتقليل حجم قاعدة البيانات. يساعد ذلك على تقليل حجم قاعدة البيانات والوقت المستغرق لإجراء عمليات النسخ الاحتياطي والمزامنة الكاملة اللازمة لإجراء الصيانة.

س. هل يمكنني البحث في إدخال عميل AAA استنادا إلى عنوان IP الخاص به؟

أ. نعم، يسمح لك ACS 5.3 والإصدارات الأحدث بالبحث في جهاز الشبكة باستخدام عنوان IP الخاص به. يمكنك أيضا إستخدام أحرف البدل والنطاق للبحث في مجموعة محددة من أجهزة الشبكة.

س. هل يمكنني إنشاء شرط استنادا إلى الوقت الذي تم فيه إنشاء المستخدم في مخزن الهوية الداخلية ل ACS؟

أ. نعم، في ACS 5.3 وفيما بعد يمكنك إستخدام عدد الساعات منذ إنشاء المستخدم سمة التي تمكنك من تكوين شروط قاعدة السياسة، استنادا إلى الوقت الذي تم فيه إنشاء المستخدم في مخزن الهوية الداخلي ل ACS. على سبيل المثال: إذا كانت المجموعة=HelpDesk&NumberOfHoursSinceUserCreation>48، فسيتم رفضها. تحتوي هذه السمة على عدد الساعات منذ إنشاء المستخدم في "مخزن الهويات الداخلية" إلى وقت طلب المصادقة الحالي.

س. هل يمكنني التحقق من مخزن الهوية الذي تمت مصادقة المستخدم عليه في قسم التخويل ضمن نهج الخدمة؟

أ. نعم، في ACS 5.3 والإصدارات الأحدث، يمكنك إستخدام سمة مخزن هوية المصادقة، التي تمكنك من تكوين شروط قاعدة السياسة استنادا إلى مخزن هوية المصادقة. على سبيل المثال: إذا تم رفض AuthenticationIdentityStore=LDAP_NY. تحتوي هذه السمة على اسم مخزن الهويات المستخدم ويتم تحديثها باسم مخزن الهويات ذي الصلة بعد المصادقة الناجحة.

س. متى ينتقل ACS إلى مخزن الهوية التالي المعرف في تسلسل مخزن الهوية؟

أ. يذهب ACS إلى مخزن الهوية التالي المعرف في تسلسل مخزن الهويات في هذه السيناريوهات:

• لم يتم العثور على مستخدم في مخزن الهوية الأول

• مخزن الهوية غير متوفر في التسلسل

س. ما هي سياسة تعطيل الحساب في ACS 5.3؟

أ. يسمح لك نهج تعطيل الحساب بتعطيل مستخدمي مخزن الهوية الداخلية عندما يتجاوز التاريخ الذي تم تكوينه التاريخ المسموح به، أو يتجاوز عدد الأيام التي تم تكوينها الأيام المسموح بها، أو يتجاوز عدد محاولات تسجيل الدخول غير الناجحة المتتالية الحد. تتجاوز القيمة الافتراضية للتاريخ 30 يوما من التاريخ الحالي. يجب ألا تكون القيمة الافتراضية للأيام أكثر من 60 يوما من اليوم الحالي. القيمة الافتراضية للمحاولات الفاشلة هي 5.

س. يستطيع أنا غيرت الكلمة من قاعدة معطيات داخلي مستعمل ل ACS عبر telnet؟

أ. نعم، يسمح لك بتغيير كلمة المرور الخاصة بمستخدم قاعدة البيانات الداخلي باستخدام TACACS+ عبر برنامج Telnet. أنت تحتاج أن ينتقي يمكن telnet تغير كلمة تحت كلمة تغيير تحكم على ACS 5.x.

س. هل يقوم مثيل ACS 5.x الأساسي تلقائيا بتحديث مثيلات النسخ الاحتياطي بشكل دوري، أم يجب أن يحدث ذلك فقط عند تغير تكوين ما؟

أ. سيقوم ACS 5.x بالنسخ المماثل على الفور إلى ACS الثانوي كلما قمت بإجراء تغييرات على ACS الأساسي. بالإضافة إلى ذلك، إذا لم تقم بإجراء أي تغييرات على مصدر المحتوى الإضافي الأساسي حينئذ، سيتم فرض النسخ كل 15 دقيقة. عند هذه النقطة، لا يوجد خيار للتحكم في المؤقت حتى يمكن ل ACS نسخ المعلومات بعد وقت معين.

س. هل يمكنني عرض/تصدير تقرير عن ACS 5.x لكافة المستخدمين الذين تم تسجيل دخولهم حاليا والمصادقة عليهم من ACS على عملاء NAS مختلفين؟

أ. نعم، هذا ممكن. هناك تقريران منفصلان ل RADIUS و TACACS+. يمكنك العثور عليها تحت المراقبة والتقارير > التقارير > الكتالوج > دليل جلسة العمل > جلسات عمل RADIUS النشطة وTACACS لجلسات العمل النشطة. يستند كلا التقريرين إلى معلومات المحاسبة الواردة من عملاء NAS لأنها تتيح لك تعقب وقت اتصال المستخدم وتسجيله. يسمح لك سجل جلسة العمل بالحصول على معلومات من رسائل البدء والإيقاف خلال يوم معين.

معلومات ذات صلة

• صفحة دعم نظام التحكم في الوصول الآمن من Cisco
• الدعم التقني والمستندات - Cisco Systems