Javas 7 questions avec AnyConnect, CSD/Hostscan, et webvpn - guide de dépannage

Introduction

Ce document décrit comment dépanner des questions avec Javas 7 sur le Client à mobilité sécurisé Cisco AnyConnect, le Cisco Secure Desktop (CSD) /Cisco Hostscan, et le VPN SSL sans client (webvpn).

Remarque: Des id de bogue Cisco marqués en tant qu'investigateur ne sont pas limités aux symptômes décrits. Si vous faites face à des questions avec Javas 7, assurez-vous que vous améliorez la version du client d'AnyConnect à la dernière version du client ou au moins à la version de version 3 de 3.1 maintenances disponible sur le Cisco Connection Online (CCO).

Dépannage général

Exécutez le vérificateur de Javas afin de vérifier si Java est prise en charge sur les navigateurs en service. Si Java est activée correctement, passez en revue la commande de logins de console Java pour analyser le problème.

Windows

Cette procédure décrit comment activer les logins Windows de console :

1. Ouvrez le panneau de configuration de Windows, et recherchez Javas.
   
   
2. Javas de double clic (l'icône de tasse de coffee). Le panneau de contrôle Java apparaît.
3. Cliquez sur l'onglet Advanced.
   
   
   1. Développez l'élimination des imperfections, et sélectionnez le suivi d'enable et activez se connecter.
   2. Développez la console Java, et cliquez sur la console d'exposition.
      
      

MAC

Cette procédure décrit comment activer la console ouvre une session un MAC :

1. Ouvrez les Préférences Système, et double-cliquer l'icône de Javas (tasse de coffee). Le panneau de contrôle Java apparaît.
   
   
   
   
2. Cliquez sur l'onglet Advanced.
   
   
   1. Sous la console Java, console d'exposition de clic.
   2. Sous l'élimination des imperfections, cliquez sur le suivi d'enable et activez se connecter.
      
      

Dépannage spécifique

AnyConnect

Pour les questions liées AnyConnect, collectez les logs diagnostiques d'enregistrement d'AnyConnect (DART) aussi bien que les logs de console Java.

Windows

L'ID de bogue Cisco CSCuc55720, « IE tombe en panne avec Javas 7 quand le module 3.1.1 est activé sur l'ASA, » était un problème connu, où l'Internet Explorer est tombé en panne quand un WebLaunch a été exécuté et AnyConnect 3.1 a été activé sur le headend. Cette bogue a été réparée.

Vous pourriez rencontrer des questions quand vous utilisez quelques versions d'AnyConnect et de Javas 7 avec des app de Javas. Pour de plus amples informations, voir l'ID de bogue Cisco CSCue48916, « la rupture d'app de Javas en utilisant AnyConnect 3.1.00495 ou 3.1.02026 et Java v7."

Questions avec Javas 7 et appels de socket d'IPv6

Si AnyConnect ne se connecte pas même après que vous améliorez Java Runtime Environment (JRE) à Javas 7, ou si une application Java ne peut pas se connecter au-dessus du tunnel VPN, passez en revue les logs de console Java et recherchez ces messages :

java.net.SocketException: Permission denied: connect
 at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
 at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)

Ces entrées de journal indiquent que le client/application fait des appels d'IPv6.

Une solution pour cette question est de désactiver l'IPv6 (si elle est non utilisable) sur l'adaptateur Ethernet et l'adaptateur virtuel d'AnyConnect (VA) :

Une deuxième solution est de configurer Javas pour préférer l'ipv4 au-dessus de l'IPv6. Placez la propriété de système 'java.net.preferIPv4Stack « vraie » suivant les indications de ces exemples :

• Ajoutez le code pour la propriété de système à code Java (pour des applications Java écrites par le client) :
  
  

  System.setProperty("java.net.preferIPv4Stack" , "true");

• Ajoutez le code pour la propriété de système de la ligne de commande :
  
  

  -Djava.net.preferIPv4Stack=true

• Placez les variables d'environnement _JPI_VM_OPTIONS et _JAVA_OPTIONS afin d'inclure la propriété de système :
  
  

  -Djava.net.preferIPv4Stack=true

Pour des informations supplémentaires, référez-vous à :

• Comment placer java.net.preferIPv4Stack=true dans le code de Javas ?
• Comment forcer Javas pour utiliser l'IPv6 d'ipv4 à la place ?

Une troisième solution est de désactiver l'IPv6 complètement sur des ordinateurs Windows ; éditez cette entrée dans le registre :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters

Pour des informations supplémentaires, voyez comment désactiver l'IP version 6 ou ses éléments spécifiques dans Windows.

Questions avec AnyConnect WebLaunch après mise à jour de Javas 7

Le code de Javascript de Cisco a précédemment recherché le Sun comme valeur pour le constructeur de Javas. Cependant, Oracle a changé cette valeur comme décrit dans JDK7 : Modifications de propriété de constructeur de Javas. Cette question a été réparée par l'ID de bogue Cisco CSCub46241, « weblaunch d'AnyConnect échoue de l'Internet Explorer avec Javas 7."

MAC

Aucune question n'a été signalée. Les tests avec AnyConnect 3.1 (avec la configuration de WebLaunch/safari/MAC 10.7.4/Javas 7.10) n'affichent aucune erreur.

Divers

Questions avec Javas 7 app sur le Cisco AnyConnect

L'ID de bogue Cisco CSCue48916, des « app de Javas se cassent en utilisant AnyConnect 3.1.00495 ou 3.1.02026 et Java v7," a été classée. L'enquête initiale indique que les questions ne sont pas une bogue sur le côté client, mais pourrait être liée à la configuration de la machine virtuelle java (VM) à la place.

Précédemment, afin d'utiliser Javas 7 app sur le client d'AnyConnect 3.1(2026), vous avez décoché les configurations virtuelles d'adaptateur d'IPv6. Cependant, il est maintenant nécessaire de se terminer toutes les étapes dans cette procédure :

1. Installez la version 3.1(2026) d'AnyConnect.
2. Désinstallez Javas 7.
3. Réinitialisation.
4. Installez l'expert en logiciel 6 de Javas, mise à jour 38, disponible sur le site Web d'Oracle.
5. Naviguez vers Javas 6 configurations de panneau de configuration, puis cliquez sur l'onglet de mise à jour pour améliorer à la dernière version de Javas 7.
6. Ouvrez une invite de commande et entrez :
   
   

   setx _JAVA_OPTIONS -Djava.net.preferIPv4Stack=true

7. Ouvrez une session avec AnyConnect, et les app de Javas devraient fonctionner.

Remarque: Cette procédure a été testée avec Javas 7 mises à jour 9, 10, et 11.

CSD/Hostscan

Pour des questions CSD/Hostscan-related, collectez les logs de DART aussi bien que les logs de console Java.

Afin d'obtenir les logs de DART, le CSD se connectant de niveau doit être tourné au débogage sur l'ASA :

1. Naviguez vers ASDM > configuration > Accès à distance VPN > gestionnaire > paramètres généraux de Secure Desktop.
2. Tournez-vous vers le haut du CSD se connectant vers le débogage sur le Cisco Adaptive Security Device Manager (ASDM).
3. DART d'utilisation afin de collecter les logs CSD/Hostscan.
   
   

Windows

Hostscan est susceptible des crash semblables à ceux décrits précédemment pour AnyConnect dans Windows (ID de bogue Cisco CSCuc55720). La question hostscan a été résolue de l'ID de bogue Cisco CSCuc48299, « IE avec Javas 7 crash sur HostScan Weblaunch. »

MAC

Questions avec les versions 3.5.x et Javas 7 CSD

Dans CSD 3.5.x, toutes les connexions de webvpn échouent ; ceci inclut des lancements de Web d'AnyConnect. Les logs de console Java n'indiquent aucun problème :

Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c:   clear console window
f:   finalize objects on finalization queue
g:   garbage collect
h:   display this help message
l:   dump classloader list
m:   print memory usage
o:   trigger logging
q:   hide console
r:   reload policy configuration
s:   dump system and deployment properties
t:   dump thread list
v:   dump thread stack
x:   clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------

Si vous déclassifiez à JRE 6 ou améliorez le CSD à 3.6.6020 ou plus tard, les logs de console Java indiquent les problèmes :

Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c:   clear console window
f:   finalize objects on finalization queue
g:   garbage collect
h:   display this help message
l:   dump classloader list
m:   print memory usage
o:   trigger logging
q:   hide console
r:   reload policy configuration
s:   dump system and deployment properties
t:   dump thread list
v:   dump thread stack
x:   clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------
CacheEntry[ https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/install/binaries/
   instjava.jar ]: updateAvailable=false,lastModified=Wed Dec 31 19:00:00 EST 
   1969,length=105313
Fri Oct 19 18:12:20 EDT 2012 Downloaded
  https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/hostscan/darwin_i386/cstub
  to /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 file signature verification
  PASS: /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 Spawned CSD stub.

La résolution est d'améliorer le CSD ou de déclassifier Javas. Puisque Cisco recommande que vous exécutiez la dernière version du CSD, vous devriez améliorer le CSD, plutôt que Javas de downgrade, d'autant plus qu'un downgrade de Javas peut être difficile sur un MAC.

Questions avec Chrome et safari avec WebLaunch sur le MAC 10.8

Les questions avec Chrome et le safari sont comportement prévu :

• Chrome est un navigateur de 32 bits et ne prend en charge pas Javas 7.
• Chrome n'a jamais été un navigateur officiellement pris en charge pour WebLaunch.
• Le MAC 10.8 a désactivé l'utilisation de Javas 7 sur le safari, et des versions plus anciennes de Javas ne sont pas activées par défaut.

Si vous faites déjà installer Javas 7, les résolutions sont :

• Utilisation Firefox.
• Javas 7 d'enable sur le safari :
  
  
  1. Vérifiez que Java 7 est installée sur le MAC et que le MAC a été redémarré. Ouvrez Firefox, et allez au vérificateur de Javas.
  2. Ouvrez le safari, et allez le vérificateur de Javas de nouveau. Vous devriez maintenant voir cet écran :
     
     
• Désactivez Javas 7, et activez l'expert en logiciel 6 de Javas fourni par Apple.

Conseil : Si vous ne faites pas installer Javas ou vous avez une version plus ancienne de Javas, vous êtes susceptible de voir le message d'erreur « Java bloquée pour ce site Web » sur java.com. Voir les mises à jour de Javas disponibles pour l'OS X en août 28, 2013 sur le forum de support d'Apple pour les informations sur l'installation des mises à jour de Javas.

Questions avec le safari avec WebLaunch sur le MAC 10.9

Si vous vous êtes sur le MAC 10.9 et faites déjà activer le module d'extension de Javas (comme décrit dans les questions avec Chrome et le safari avec WebLaunch sur le MAC 10.8 sections), le WebLaunch pourrait continuer à échouer. Tous les applet Java sont initiés, mais le navigateur continue simplement à tourner. Si des logs de Javas sont activés comme décrit dans la section dépannage générale, les logs se remplissent rapidement comme affiché ici :

at java.lang.Thread.run(Thread.java:744)
Mon Dec 16 16:00:17 EST 2013 Failed to download cstub
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45

Recherchez ce type d'entrée plus tôt dans le log :

Mon Dec 16 16:00:17 EST 2013 Downloaded https://rave.na.sage.com/CACHE/
   sdesktop/hostscan/darwin_i386/manifest java.io.FileNotFoundException: 
   /Users/user1/.cisco/hostscan/bin/cstub (Operation not permitted) at 
   java.io.FileInputStream.open(Native Method)

Ceci indique que vous rencontrez l'ID de bogue Cisco CSCuj02425, « WebLaunch sur OSX 10.9 échoue si le mode peu sûr de Javas est désactivé. » Le contournement cette question, modifient les préférences de Javas ainsi Javas peuvent fonctionner en mode peu sûr pour le safari :

1. Préférences de clic.
   
   
   
   
2. Le clic gèrent des configurations de site Web.
   
   
   
   
3. Dans l'onglet Sécurité, Javas choisies, et notent qu'Allow est sélectionné par défaut.
   
   
   
   
4. La modification laissent fonctionner en mode peu sûr.
   
   

Webvpn

Pour le problème lié de webvpn vers Javas, collectez ces données pour dépannage des buts :

• La sortie de la commande show tech-support.
• La console Java se connecte avec et sans l'appliance de sécurité adaptable (ASA) comme expliqué dans la section dépannage générale.
• Captures de webvpn.
• Captures de montre de HTTP sur l'ordinateur local avec et sans l'ASA.
• Captures standard de paquets sur l'ASA et sur l'ordinateur local.
  • Sur l'ordinateur local, ces captures peuvent être faites avec Wireshark.
  • Pour les informations sur la façon dont capturer le trafic sur l'ASA, voyez configurer des captures de paquet.
• Tous les fichiers jar téléchargés à Javas cachent en allant par l'ASA. C'est un exemple de la console Java :
  
  

  Reading Signers from 8412 
   https://rtpvpnoutbound6.cisco.com/+CSCO+00756767633A2F2F7A2D73767972662E6
      E7067727A76687A2E6179++/mffta.jar
  C:\Users\wvoosteren\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\
     6a0665e9-1f510559.idx

  Dans cet exemple, 6a0665e9-1f510559.idx est la version cachée de mffta.jar 7. Si vous n'avez pas accès à ces fichiers, vous pouvez les collecter du cache de Javas en utilisant la liaison directe.

Une installation de test peut accélérer la résolution.

Fonctionnalités de sécurité à Javas 7 U51 et comment ce affecte des utilisateurs WebVPN

Les modifications récemment annoncées ont programmé pour la mise à jour 51 de Javas 7 (janvier 2014) ont établi que le curseur par défaut de Sécurité exige des signatures de code et les autorisations manifestent l'attribut. En résumé, tous les applet Java exigent :

• pour être signé (applet et applications de début de Web).
• pour placer l'attribut de « autorisations » dans le manifeste.

Les applications sont affectées s'il utilise Javas commencées par un navigateur Web. Les applications en fonctionnent de où en dehors d'un navigateur Web sont bien. Ce que ce le moyen pour WevVPN est tout les modules d'extension de client qui sont distribués par Cisco pourraient être affectés. Puisque ces modules d'extension ne sont pas mis à jour ou sont pris en charge par Cisco, Cisco ne peut pas apporter des modifications au certificat de signature de code ou à l'applet afin de l'assurer se conforme à ces restrictions. La solution appropriée pour ceci est d'utiliser le certificat de signature de code provisoire sur l'ASA. Les ASA fournissent un certificat provisoire de signature de code pour signer des applet Java (pour le rewriter et les modules d'extension de Javas). Le certificat provisoire permet des applet Java de remplir leurs fonctions destinées sans message d'avertissement. Les administrateurs ASA devraient remplacer le certificat provisoire avant qu'il expire avec leur propre certificat de signature de code délivré par un Autorité de certification (CA) de confiance. Si ce n'est pas une alternative viable, le contournement est de se terminer ces étapes :

1. Vous pouvez employer la caractéristique de liste de site d'exception sur les configurations de Javas de la machine cliente d'extrémité afin d'exécuter les applications bloquées par des paramètres de sécurité. Les étapes pour faire ceci sont décrites dans les questions avec le safari avec WebLaunch sur le MAC 10.9.
2. Vous pouvez également diminuer les paramètres de sécurité de Javas. Cette configuration est également placée dans les configurations de Javas de la machine cliente comme affiché ici :
   

Avertissement : L'utilisation des ces contournements te donne toujours quelques erreurs, mais Java ne bloque pas l'application car elle aurait fait sans contournements en place.

Windows

Des applications qui lancent des applet Java ont été signalées pour basculer le webvpn après une mise à jour à Javas 7. Ce problème est provoqué par par le manque du Secure Hash Algorithm (soutien SHA)-256 du rewriter de Javas. L'ID de bogue Cisco CSCud54080, le soutien "SHA-256 du rewriter de Javas de webvpn, » a été classé pour cette question.

Les applications qui commencent des applet Java par le portail avec le tunnel intelligent pourraient échouer quand JRE7 est utilisé ; c'est le plus commun avec les systèmes 64-bit. Dans les captures, notez que la VM de Javas envoie les paquets en texte clair, pas par la connexion en tunnel intelligente à l'ASA. Ceci a été adressé par l'ID de bogue Cisco CSCue17876, « des Java applets quelques ne se connectera pas par l'intermédiaire du tunnel intelligent sur des fenêtres à jre1.7."