يقدم هذا المستند إجابات عن الأسئلة الأكثر شيوعا (FAQ) المتعلقة بنظام التحكم في الوصول الآمن (ACS) من Cisco الإصدار 5.x والإصدارات الأحدث.
أ. بشكل افتراضي، يجب أن يمتثل كل مستخدم قاعدة بيانات داخلي لنهج كلمة مرور المستخدم. حاليا، لا يمكن إستبعاد أي مستخدمين/مجموعات من قاعدة البيانات الداخلية ل ACS 5.x.
a. بشكل افتراضي، يجب أن يمتثل كل مستخدم إداري ل GUI لنهج كلمة مرور المستخدم الإداري. حاليا، لا يمكن إستبعاد أي مستخدم إداري ل ACS 5.x.
أ. لا. حاليا، ال VMWare أداة لا يساند مع ACS صيغة 5.x. راجع معرف تصحيح الأخطاء من Cisco CSCtg50048 ( العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
أ. عند إستخدام LDAP كمخزن للهويات، يدعم ACS 5.2 بروتوكولات PEAP-GTC و EAP-FAST-GTC و EAP-TLS فقط. لا يدعم EAP-FAST MSCHAPv2 و PEAP EAP-MSCHAPv2 و EAP-MD5. لمزيد من المعلومات، ارجع إلى توافق بروتوكول المصادقة وقاعدة بيانات المستخدم.
ألف - توجد مشكلة في إمكانية التشغيل البيني ل ACS 5.0 و WLC قبل التصحيح 4. قم بتنزيل التصحيح 8، وطبق التصحيح على واجهة سطر الأوامر. لا يستعمل TFTP in order to صححت هذا إصدار.
أ. لا يمكنك إستعادة ملفات السجل التي تم نسخها إحتياطيا باستخدام الأمر backup-log. يمكنك إستعادة تلك الملفات التي تم نسخها إحتياطيا لتكوين ACS و ADE-OS. ارجع إلى أوامر النسخ الاحتياطي وسجلات النسخ الاحتياطي في دليل مرجع واجهة سطر الأوامر (CLI) لنظام التحكم في الوصول الآمن من Cisco 5.1 للحصول على مزيد من المعلومات.
ألف - لا تتوفر هذه الميزة على ACS 5.2، ولكن من المتوقع دمجها في ACS 5.3. راجع قسم الميزات غير المدعومة في ملاحظات الإصدار الخاصة بنظام التحكم في الوصول الآمن من Cisco 5.2 للحصول على مزيد من المعلومات.
أ. خيار تغيير كلمة المرور عند تسجيل الدخول التالي غير مدعوم في ACS 5.0. يتوفر دعم هذه الميزة في ACS 5.1 والإصدارات الأحدث.
Cisco Secure ACS - Alarm Notification Severity: Warning Alarm Name delete 20000 sessions Cause/Trigger active sessions are over limit Alarm Details session is over 250000
أ. يعني هذا خطأ أن عندما يبلغ عرض ACS حد من 250،000 جلسة، هو يلقي إنذار أن يمحو 20،000 جلسة. تقوم قاعدة بيانات عرض ACS بتخزين جميع جلسات المصادقة السابقة وعندما تصل إلى 250،000، فإنها تعطي إنذار لمسح ذاكرة التخزين المؤقت وحذف 20،000 جلسة.
أ. تظهر رسالة الخطأ هذه عندما تكون هناك مشكلة في إدارة كلمة المرور أثناء مصادقة SDI. يتم إستخدام ACS 5.x كوكيل RADIUS ويجب مصادقة المستخدمين بواسطة خادم RSA. سيعمل وكيل RADIUS إلى RSA فقط دون إدارة كلمة المرور. السبب هو أن قيمة OTP يجب أن تكون قابلة للاسترداد بواسطة خادم Radius من أجل توكيل قيمة كلمة المرور إلى خادم RSA. عندما تكون إدارة كلمة المرور ممكنة في مجموعة النفق، يتم إرسال طلب Radius مع سمات MS-CHAPv2. لا يدعم RSA MS-0CHAPv2، إنه يدعم PAP فقط.
أعجزت in order to حللت هذا إصدار، كلمة إدارة. أحلت ل كثير معلومة، cisco بق id CSCsx47423 ( يسجل زبون فقط).
أ. لا، من غير الممكن تقييد إدارة ACS لإدارة أجهزة معينة فقط داخل ACS 5.1.
أ. لا، لا يدعم ACS جودة الخدمة في المصادقة. لن يقوم ACS بتحديد أولوية طلبات مصادقة RADIUS على طلبات TACACS أو TACACS عبر RADIUS.
أ. نعم، يمكن لجميع إصدارات ACS 5.x توكيل مصادقة RADIUS إلى خوادم RADIUS الأخرى. يمكن ل ACS 5.3 والإصدارات الأحدث توكيل مصادقة TACACS إلى خوادم TACACS الأخرى.
أ. نعم، في ACS 5.3 وفيما بعد يمكنك السماح بالوصول لأذونات طلب الدخول الخاصة بالمستخدم ورفضه والتحكم فيه. يتم التحقق من الأذونات أثناء عمليات المصادقة أو الاستعلامات من Active Directory. تم تعيينها في قاموس Active Directory المخصص.
أ. نعم، يتم دعم أنواع مصادقة TACACS+ CHAP و MSCHAP في ACS الإصدار 5.3 والإصدارات الأحدث.
أ. نعم، في ACS 5.3 وفيما بعد يمكنك تعيين نوع كلمة المرور للمستخدم الداخلي ل ACS. وكانت هذه الميزة متاحة في ACS 4.x.
أ. نعم، في ACS 5.3 وفيما بعد يمكنك إستخدام عدد الساعات منذ سمة إنشاء المستخدم لإنشاء سياساتك. تحتوي هذه السمة على عدد الساعات منذ إنشاء المستخدم في "مخزن الهوية الداخلية" إلى وقت طلب المصادقة الحالي.
أ. نعم، يسمح لك ACS 5.3 والإصدارات الأحدث باستخدام أحرف البدل عند إضافة مضيفين جدد إلى مخزن الهوية الداخلي. كما يسمح لك بإدخال أحرف البدل (بعد إدخال الأنظمة الثمانية الثلاثة الأولى) لتحديد جميع الأجهزة من الشركة المصنعة المحددة.
أ. لا، من غير الممكن حاليا إنشاء تجمعات عناوين IP على ACS 5.x.
أ. لا، من غير الممكن رؤية عنوان IP لعميل AAA من المكان الذي جاء فيه الطلب.
A. يوفر ACS 5.3 ميزة جديدة لاسترداد أي سجل يتم تفويته عندما يكون العرض معطلا. ويجمع ACS هذه السجلات المفقودة ويخزنها في قاعدة بياناته. باستخدام هذه الميزة، يمكنك إسترداد السجلات المفقودة من قاعدة بيانات ACS إلى قاعدة بيانات طريقة العرض بعد إجراء نسخ إحتياطي لطريقة العرض. لاستخدام هذه الميزة، يجب تعيين تكوين إسترداد رسائل السجل على قيد التشغيل. لمزيد من التفاصيل حول تكوين "إسترداد رسائل سجل العرض"، ارجع إلى مراقبة عمليات نظام عارض التقارير.
أ. نعم، في ACS 5.3 والإصدارات الأحدث، يقلل الأمر ضغط قاعدة البيانات من حجم قاعدة بيانات ACS باستخدام خيار حذف جدول معاملات ACS.يمكن لمسؤولي ACS إصدار هذا الأمر لتقليل حجم قاعدة البيانات. يساعد ذلك على تقليل حجم قاعدة البيانات والوقت المستغرق لإجراء عمليات النسخ الاحتياطي والمزامنة الكاملة اللازمة لإجراء الصيانة.
أ. نعم، يسمح لك ACS 5.3 والإصدارات الأحدث بالبحث في جهاز الشبكة باستخدام عنوان IP الخاص به. يمكنك أيضا إستخدام أحرف البدل والنطاق للبحث في مجموعة محددة من أجهزة الشبكة.
أ. نعم، في ACS 5.3 وفيما بعد يمكنك إستخدام عدد الساعات منذ إنشاء المستخدم سمة التي تمكنك من تكوين شروط قاعدة السياسة، استنادا إلى الوقت الذي تم فيه إنشاء المستخدم في مخزن الهوية الداخلي ل ACS. على سبيل المثال: إذا كانت المجموعة=HelpDesk&NumberOfHoursSinceUserCreation>48، فسيتم رفضها. تحتوي هذه السمة على عدد الساعات منذ إنشاء المستخدم في "مخزن الهويات الداخلية" إلى وقت طلب المصادقة الحالي.
أ. نعم، في ACS 5.3 والإصدارات الأحدث، يمكنك إستخدام سمة مخزن هوية المصادقة، التي تمكنك من تكوين شروط قاعدة السياسة استنادا إلى مخزن هوية المصادقة. على سبيل المثال: إذا تم رفض AuthenticationIdentityStore=LDAP_NY. تحتوي هذه السمة على اسم مخزن الهويات المستخدم ويتم تحديثها باسم مخزن الهويات ذي الصلة بعد المصادقة الناجحة.
أ. يذهب ACS إلى مخزن الهوية التالي المعرف في تسلسل مخزن الهويات في هذه السيناريوهات:
لم يتم العثور على مستخدم في مخزن الهوية الأول
مخزن الهوية غير متوفر في التسلسل
أ. يسمح لك نهج تعطيل الحساب بتعطيل مستخدمي مخزن الهوية الداخلية عندما يتجاوز التاريخ الذي تم تكوينه التاريخ المسموح به، أو يتجاوز عدد الأيام التي تم تكوينها الأيام المسموح بها، أو يتجاوز عدد محاولات تسجيل الدخول غير الناجحة المتتالية الحد. تتجاوز القيمة الافتراضية للتاريخ 30 يوما من التاريخ الحالي. يجب ألا تكون القيمة الافتراضية للأيام أكثر من 60 يوما من اليوم الحالي. القيمة الافتراضية للمحاولات الفاشلة هي 5.
أ. نعم، يسمح لك بتغيير كلمة المرور الخاصة بمستخدم قاعدة البيانات الداخلي باستخدام TACACS+ عبر برنامج Telnet. أنت تحتاج أن ينتقي يمكن telnet تغير كلمة تحت كلمة تغيير تحكم على ACS 5.x.
أ. سيقوم ACS 5.x بالنسخ المماثل على الفور إلى ACS الثانوي كلما قمت بإجراء تغييرات على ACS الأساسي. بالإضافة إلى ذلك، إذا لم تقم بإجراء أي تغييرات على مصدر المحتوى الإضافي الأساسي حينئذ، سيتم فرض النسخ كل 15 دقيقة. عند هذه النقطة، لا يوجد خيار للتحكم في المؤقت حتى يمكن ل ACS نسخ المعلومات بعد وقت معين.
أ. نعم، هذا ممكن. هناك تقريران منفصلان ل RADIUS و TACACS+. يمكنك العثور عليها تحت المراقبة والتقارير > التقارير > الكتالوج > دليل جلسة العمل > جلسات عمل RADIUS النشطة وTACACS لجلسات العمل النشطة. يستند كلا التقريرين إلى معلومات المحاسبة الواردة من عملاء NAS لأنها تتيح لك تعقب وقت اتصال المستخدم وتسجيله. يسمح لك سجل جلسة العمل بالحصول على معلومات من رسائل البدء والإيقاف خلال يوم معين.