Ce document décrit comment dépanner des questions avec Javas 7 sur le Client à mobilité sécurisé Cisco AnyConnect, le Cisco Secure Desktop (CSD) /Cisco Hostscan, et le VPN SSL sans client (webvpn).
Exécutez le vérificateur de Javas afin de vérifier si Java est prise en charge sur les navigateurs en service. Si Java est activée correctement, passez en revue la commande de logins de console Java pour analyser le problème.
Cette procédure décrit comment activer les logins Windows de console :
Cette procédure décrit comment activer la console ouvre une session un MAC :
Pour les questions liées AnyConnect, collectez les logs diagnostiques d'enregistrement d'AnyConnect (DART) aussi bien que les logs de console Java.
L'ID de bogue Cisco CSCuc55720, « IE tombe en panne avec Javas 7 quand le module 3.1.1 est activé sur l'ASA, » était un problème connu, où l'Internet Explorer est tombé en panne quand un WebLaunch a été exécuté et AnyConnect 3.1 a été activé sur le headend. Cette bogue a été réparée.
Vous pourriez rencontrer des questions quand vous utilisez quelques versions d'AnyConnect et de Javas 7 avec des app de Javas. Pour de plus amples informations, voir l'ID de bogue Cisco CSCue48916, « la rupture d'app de Javas en utilisant AnyConnect 3.1.00495 ou 3.1.02026 et Java v7."
Si AnyConnect ne se connecte pas même après que vous améliorez Java Runtime Environment (JRE) à Javas 7, ou si une application Java ne peut pas se connecter au-dessus du tunnel VPN, passez en revue les logs de console Java et recherchez ces messages :
java.net.SocketException: Permission denied: connect
at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)
Ces entrées de journal indiquent que le client/application fait des appels d'IPv6.
Une solution pour cette question est de désactiver l'IPv6 (si elle est non utilisable) sur l'adaptateur Ethernet et l'adaptateur virtuel d'AnyConnect (VA) :
Une deuxième solution est de configurer Javas pour préférer l'ipv4 au-dessus de l'IPv6. Placez la propriété de système 'java.net.preferIPv4Stack « vraie » suivant les indications de ces exemples :
System.setProperty("java.net.preferIPv4Stack" , "true");
-Djava.net.preferIPv4Stack=true
-Djava.net.preferIPv4Stack=true
Pour des informations supplémentaires, référez-vous à :
Une troisième solution est de désactiver l'IPv6 complètement sur des ordinateurs Windows ; éditez cette entrée dans le registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters
Pour des informations supplémentaires, voyez comment désactiver l'IP version 6 ou ses éléments spécifiques dans Windows.
Le code de Javascript de Cisco a précédemment recherché le Sun comme valeur pour le constructeur de Javas. Cependant, Oracle a changé cette valeur comme décrit dans JDK7 : Modifications de propriété de constructeur de Javas. Cette question a été réparée par l'ID de bogue Cisco CSCub46241, « weblaunch d'AnyConnect échoue de l'Internet Explorer avec Javas 7."
Aucune question n'a été signalée. Les tests avec AnyConnect 3.1 (avec la configuration de WebLaunch/safari/MAC 10.7.4/Javas 7.10) n'affichent aucune erreur.
L'ID de bogue Cisco CSCue48916, des « app de Javas se cassent en utilisant AnyConnect 3.1.00495 ou 3.1.02026 et Java v7," a été classée. L'enquête initiale indique que les questions ne sont pas une bogue sur le côté client, mais pourrait être liée à la configuration de la machine virtuelle java (VM) à la place.
Précédemment, afin d'utiliser Javas 7 app sur le client d'AnyConnect 3.1(2026), vous avez décoché les configurations virtuelles d'adaptateur d'IPv6. Cependant, il est maintenant nécessaire de se terminer toutes les étapes dans cette procédure :
setx _JAVA_OPTIONS -Djava.net.preferIPv4Stack=true
Pour des questions CSD/Hostscan-related, collectez les logs de DART aussi bien que les logs de console Java.
Afin d'obtenir les logs de DART, le CSD se connectant de niveau doit être tourné au débogage sur l'ASA :
Hostscan est susceptible des crash semblables à ceux décrits précédemment pour AnyConnect dans Windows (ID de bogue Cisco CSCuc55720). La question hostscan a été résolue de l'ID de bogue Cisco CSCuc48299, « IE avec Javas 7 crash sur HostScan Weblaunch. »
Dans CSD 3.5.x, toutes les connexions de webvpn échouent ; ceci inclut des lancements de Web d'AnyConnect. Les logs de console Java n'indiquent aucun problème :
Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c: clear console window
f: finalize objects on finalization queue
g: garbage collect
h: display this help message
l: dump classloader list
m: print memory usage
o: trigger logging
q: hide console
r: reload policy configuration
s: dump system and deployment properties
t: dump thread list
v: dump thread stack
x: clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------
Si vous déclassifiez à JRE 6 ou améliorez le CSD à 3.6.6020 ou plus tard, les logs de console Java indiquent les problèmes :
Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c: clear console window
f: finalize objects on finalization queue
g: garbage collect
h: display this help message
l: dump classloader list
m: print memory usage
o: trigger logging
q: hide console
r: reload policy configuration
s: dump system and deployment properties
t: dump thread list
v: dump thread stack
x: clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------
CacheEntry[ https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/install/binaries/
instjava.jar ]: updateAvailable=false,lastModified=Wed Dec 31 19:00:00 EST
1969,length=105313
Fri Oct 19 18:12:20 EDT 2012 Downloaded
https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/hostscan/darwin_i386/cstub
to /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 file signature verification
PASS: /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 Spawned CSD stub.
La résolution est d'améliorer le CSD ou de déclassifier Javas. Puisque Cisco recommande que vous exécutiez la dernière version du CSD, vous devriez améliorer le CSD, plutôt que Javas de downgrade, d'autant plus qu'un downgrade de Javas peut être difficile sur un MAC.
Les questions avec Chrome et le safari sont comportement prévu :
Si vous faites déjà installer Javas 7, les résolutions sont :
Si vous vous êtes sur le MAC 10.9 et faites déjà activer le module d'extension de Javas (comme décrit dans les questions avec Chrome et le safari avec WebLaunch sur le MAC 10.8 sections), le WebLaunch pourrait continuer à échouer. Tous les applet Java sont initiés, mais le navigateur continue simplement à tourner. Si des logs de Javas sont activés comme décrit dans la section dépannage générale, les logs se remplissent rapidement comme affiché ici :
at java.lang.Thread.run(Thread.java:744)
Mon Dec 16 16:00:17 EST 2013 Failed to download cstub
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
Recherchez ce type d'entrée plus tôt dans le log :
Mon Dec 16 16:00:17 EST 2013 Downloaded https://rave.na.sage.com/CACHE/
sdesktop/hostscan/darwin_i386/manifest java.io.FileNotFoundException:
/Users/user1/.cisco/hostscan/bin/cstub (Operation not permitted) at
java.io.FileInputStream.open(Native Method)
Ceci indique que vous rencontrez l'ID de bogue Cisco CSCuj02425, « WebLaunch sur OSX 10.9 échoue si le mode peu sûr de Javas est désactivé. » Le contournement cette question, modifient les préférences de Javas ainsi Javas peuvent fonctionner en mode peu sûr pour le safari :
Pour le problème lié de webvpn vers Javas, collectez ces données pour dépannage des buts :
Reading Signers from 8412Dans cet exemple, 6a0665e9-1f510559.idx est la version cachée de mffta.jar 7. Si vous n'avez pas accès à ces fichiers, vous pouvez les collecter du cache de Javas en utilisant la liaison directe.
https://rtpvpnoutbound6.cisco.com/+CSCO+00756767633A2F2F7A2D73767972662E6
E7067727A76687A2E6179++/mffta.jar
C:\Users\wvoosteren\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\
6a0665e9-1f510559.idx
Une installation de test peut accélérer la résolution.
Les modifications récemment annoncées ont programmé pour la mise à jour 51 de Javas 7 (janvier 2014) ont établi que le curseur par défaut de Sécurité exige des signatures de code et les autorisations manifestent l'attribut. En résumé, tous les applet Java exigent :
Les applications sont affectées s'il utilise Javas commencées par un navigateur Web. Les applications en fonctionnent de où en dehors d'un navigateur Web sont bien. Ce que ce le moyen pour WevVPN est tout les modules d'extension de client qui sont distribués par Cisco pourraient être affectés. Puisque ces modules d'extension ne sont pas mis à jour ou sont pris en charge par Cisco, Cisco ne peut pas apporter des modifications au certificat de signature de code ou à l'applet afin de l'assurer se conforme à ces restrictions. La solution appropriée pour ceci est d'utiliser le certificat de signature de code provisoire sur l'ASA. Les ASA fournissent un certificat provisoire de signature de code pour signer des applet Java (pour le rewriter et les modules d'extension de Javas). Le certificat provisoire permet des applet Java de remplir leurs fonctions destinées sans message d'avertissement. Les administrateurs ASA devraient remplacer le certificat provisoire avant qu'il expire avec leur propre certificat de signature de code délivré par un Autorité de certification (CA) de confiance. Si ce n'est pas une alternative viable, le contournement est de se terminer ces étapes :
Des applications qui lancent des applet Java ont été signalées pour basculer le webvpn après une mise à jour à Javas 7. Ce problème est provoqué par par le manque du Secure Hash Algorithm (soutien SHA)-256 du rewriter de Javas. L'ID de bogue Cisco CSCud54080, le soutien "SHA-256 du rewriter de Javas de webvpn, » a été classé pour cette question.
Les applications qui commencent des applet Java par le portail avec le tunnel intelligent pourraient échouer quand JRE7 est utilisé ; c'est le plus commun avec les systèmes 64-bit. Dans les captures, notez que la VM de Javas envoie les paquets en texte clair, pas par la connexion en tunnel intelligente à l'ASA. Ceci a été adressé par l'ID de bogue Cisco CSCue17876, « des Java applets quelques ne se connectera pas par l'intermédiaire du tunnel intelligent sur des fenêtres à jre1.7."