Ce document donne les réponses aux questions fréquemment posées (FAQ) au sujet du système de contrôle d'accès sécurisé Cisco (ACS) versions 5.x et ultérieures.
A. Par défaut, chaque utilisateur de base de données interne doit respecter la politique de mot de passe utilisateur. Actuellement, aucun utilisateur/groupe de la base de données interne ACS 5.x ne peut être exclu.
A. Par défaut, chaque utilisateur administratif de l'interface utilisateur graphique doit respecter la politique de mot de passe de l'utilisateur administratif. Actuellement, aucun utilisateur administratif d'ACS 5.x ne peut être exclu.
A. Non. Actuellement, les outils VMWare ne sont pas pris en charge avec ACS version 5.x. Référez-vous à l'ID de bogue Cisco CSCtg50048 (clients enregistrés uniquement) pour plus d'informations.
A. Lorsque LDAP est utilisé comme magasin d'identité, ACS 5.2 prend en charge les protocoles PEAP-GTC, EAP-FAST-GTC et EAP-TLS uniquement. Il ne prend pas en charge EAP-FAST MSCHAPv2, PEAP EAP-MSCHAPv2 et EAP-MD5. Pour plus d'informations, référez-vous à Protocole d'authentification et compatibilité de la base de données utilisateur.
A. Il existe un problème avec l'interopérabilité ACS 5.0 et WLC avant le correctif 4. Téléchargez le patch 8 et appliquez-le sur l'interface de ligne de commande. N'utilisez pas TFTP pour résoudre ce problème.
A. Vous ne pouvez pas restaurer les fichiers journaux sauvegardés à l'aide de la commande backup-log. Vous ne pouvez restaurer que les fichiers sauvegardés pour la configuration ACS et ADE-OS. Reportez-vous aux commandes backup et backup-logs du Guide de référence CLI pour Cisco Secure Access Control System 5.1 pour plus d'informations.
A. Non. Cette fonctionnalité n'est pas disponible sur ACS 5.2, mais elle devrait être intégrée dans ACS 5.3. Reportez-vous à la section Fonctionnalités non prises en charge des Notes de version de Cisco Secure Access Control System 5.2 pour plus d'informations.
A. L'option permettant de modifier le mot de passe lors de la prochaine connexion n'est pas prise en charge dans ACS 5.0. La prise en charge de cette fonctionnalité est disponible dans ACS 5.1 et versions ultérieures.
Cisco Secure ACS - Alarm Notification Severity: Warning Alarm Name delete 20000 sessions Cause/Trigger active sessions are over limit Alarm Details session is over 250000
A. Cette erreur signifie que lorsque la vue ACS atteint une limite de 250 000 sessions, elle émet une alarme pour supprimer 20 000 sessions. La base de données d'affichage ACS stocke toutes les sessions d'authentification précédentes et lorsqu'elle atteint 250 000, elle émet une alarme pour effacer le cache et supprimer 20 000 sessions.
A. Ce message d'erreur apparaît en cas de problème avec la gestion des mots de passe lors de l'authentification SDI. ACS 5.x est utilisé comme proxy Radius et les utilisateurs doivent être authentifiés par un serveur RSA. Le proxy Radius vers RSA ne fonctionnera que sans gestion de mot de passe. La raison est que la valeur OTP doit être récupérable par le serveur Radius afin de proxy de la valeur de mot de passe vers le serveur RSA. Lorsque la gestion des mots de passe est activée dans le groupe de tunnels, la requête Radius est envoyée avec les attributs MS-CHAPv2. RSA ne prend pas en charge MS-0CHAPv2 ; il prend uniquement en charge le protocole PAP.
Afin de résoudre ce problème, désactivez la gestion des mots de passe. Pour plus d'informations, référez-vous à l'ID de bogue Cisco CSCsx47423 (clients enregistrés uniquement).
A. Non, il n'est pas possible de limiter l'administration ACS à la gestion de certains périphériques dans ACS 5.1.
A. Non, ACS ne prend pas en charge la qualité de service dans l'authentification. ACS ne hiérarchise pas les demandes d'authentification RADIUS par rapport aux demandes TACACS ou TACACS par rapport aux demandes RADIUS.
A. Oui, toutes les versions ACS 5.x peuvent proxy les authentifications RADIUS vers d'autres serveurs RADIUS. ACS 5.3 et versions ultérieures peuvent proxy les authentifications TACACS vers d'autres serveurs TACACS.
A. Oui, dans ACS 5.3 et versions ultérieures, vous pouvez autoriser, refuser et contrôler l'accès aux autorisations d'accès à distance d'un utilisateur. Les autorisations sont vérifiées lors d'authentifications ou de requêtes à partir d'Active Directory. Il est défini sur le dictionnaire dédié Active Directory.
A. Oui, les types d'authentification TACACS+ CHAP et MSCHAP sont pris en charge dans ACS versions 5.3 et ultérieures.
A. Oui, dans ACS 5.3 et versions ultérieures, vous pouvez définir le type de mot de passe d'un utilisateur interne ACS. Cette fonctionnalité était disponible dans ACS 4.x.
A. Oui, dans ACS 5.3 et versions ultérieures, vous pouvez utiliser l'attribut Nombre d'heures depuis la création d'utilisateurs afin de créer vos stratégies. Cet attribut contient le nombre d'heures écoulées depuis la création de l'utilisateur dans la banque d'identités internes jusqu'à l'heure de la demande d'authentification actuelle.
A. Oui, ACS 5.3 et versions ultérieures vous permet d'utiliser des caractères génériques lorsque vous ajoutez de nouveaux hôtes dans la banque d'identités internes. Il vous permet également d'entrer des caractères génériques (après avoir saisi les trois premiers octets) afin de spécifier tous les périphériques du fabricant identifié.
A. Non, il est actuellement impossible de créer des pools d'adresses IP sur ACS 5.x.
A. Non, il n'est pas possible de voir l'adresse IP du client AAA à partir de laquelle la demande est arrivée.
A. ACS 5.3 fournit une nouvelle fonctionnalité permettant de récupérer tous les journaux manqués lorsque la vue est désactivée. ACS collecte ces journaux manqués et les stocke dans sa base de données. À l'aide de cette fonctionnalité, vous pouvez récupérer les journaux manqués de la base de données ACS dans la base de données d'affichage après la sauvegarde de la vue. Afin d'utiliser cette fonctionnalité, vous devez définir la configuration de récupération des messages du journal sur. Pour plus d'informations sur la configuration de View Log Message Recovery, reportez-vous à Monitoring & Report Viewer System Operations.
A. Oui, dans ACS 5.3 et versions ultérieures, la commande database-compress réduit la taille de la base de données ACS avec une option permettant de supprimer la table des transactions ACS.Les administrateurs ACS peuvent émettre cette commande afin de réduire la taille de la base de données. Cela permet de réduire la taille de la base de données et le temps nécessaire aux sauvegardes et à la synchronisation complète pour la maintenance.
A. Oui, ACS 5.3 et versions ultérieures vous permet de rechercher un périphérique réseau à l'aide de son adresse IP. Vous pouvez également utiliser des caractères génériques et la plage afin de rechercher un ensemble spécifique de périphériques réseau.
A. Oui, dans ACS 5.3 et versions ultérieures, vous pouvez utiliser l'attribut Nombre d'heures depuis la création d'utilisateurs qui vous permet de configurer les conditions de règle de stratégie, en fonction de l'heure à laquelle l'utilisateur a été créé dans ACS Internal Identity Store. Exemple : IF group=HelpDesk&NumberofHoursDepuisUserCreation>48 puis rejeter. Cet attribut contient le nombre d'heures écoulées depuis la création de l'utilisateur dans la banque d'identités internes jusqu'à l'heure de la demande d'authentification actuelle.
A. Oui, dans ACS 5.3 et versions ultérieures, vous pouvez utiliser l'attribut Authentication Identity Store, qui vous permet de configurer les conditions de règle de stratégie en fonction de Authentication Identity Store. Exemple : IF AuthenticationIdentityStore=LDAP_NY puis rejeter. Cet attribut contient le nom du magasin d'identités utilisé et il est mis à jour avec le nom du magasin d'identités approprié après une authentification réussie.
A. L'ACS va au prochain magasin d'identités défini dans la séquence de magasin d'identités dans les scénarios suivants :
Un utilisateur est introuvable dans le premier magasin d'identités
Un magasin d'identités n'est pas disponible dans la séquence
A. La stratégie de désactivation de compte vous permet de désactiver les utilisateurs de la banque d'identités internes lorsque la date configurée dépasse la date autorisée, que le nombre de jours configuré dépasse les jours autorisés ou que le nombre de tentatives de connexion consécutives infructueuses dépasse le seuil. La valeur par défaut de la date dépasse 30 jours à partir de la date actuelle. La valeur par défaut pour les jours ne doit pas être supérieure à 60 jours à partir du jour actuel. La valeur par défaut pour les tentatives échouées est 5.
A. Oui, vous pouvez modifier le mot de passe d'un utilisateur de base de données interne à l'aide de TACACS+ sur telnet. Vous devez sélectionner Enable TELNET Change Password sous Password Change Control sur ACS 5.x.
A. ACS 5.x se répliquera immédiatement sur l'ACS secondaire lorsque vous apportez des modifications à l'ACS principal. En outre, si vous n'apportez aucune modification à l'ACS principal, il effectue une réplication forcée toutes les 15 minutes. À ce stade, il n'y a pas d'option permettant de contrôler le minuteur de sorte qu'ACS puisse répliquer les informations après une heure spécifique.
A. Oui, c'est possible. Il existe deux rapports distincts pour RADIUS et TACACS+. Vous pouvez les trouver sous Surveillance & Rapports > Rapports > Catalogue > Répertoire de session > Sessions actives RADIUS et Sessions actives TACACS. Ces deux rapports sont basés sur les informations de comptabilité des clients NAS, car ils vous permettent de suivre le moment où l'utilisateur se connecte et se déconnecte. L'historique des sessions vous permet même d'obtenir des informations à partir des messages de début et d'arrêt au cours d'une journée spécifique.