Secure Access Control System 5.x et versions ultérieures - FAQ

Options de téléchargement

  • PDF     (135.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (88.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (75.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:10 juillet 2012
ID du document:113495

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document donne les réponses aux questions fréquemment posées (FAQ) au sujet du système de contrôle d'accès sécurisé Cisco (ACS) versions 5.x et ultérieures.

Problèmes liés à l'authentification

Q. Quelques utilisateurs/groupes de la base de données interne ACS 5.x peuvent-ils être exclus de la stratégie de mot de passe utilisateur (Administration système > Utilisateurs > Paramètres d'authentification) ?

A. Par défaut, chaque utilisateur de base de données interne doit respecter la politique de mot de passe utilisateur. Actuellement, aucun utilisateur/groupe de la base de données interne ACS 5.x ne peut être exclu.

Q. Quelques administrateurs d'interface utilisateur graphique d'ACS 5.x peuvent-ils être exclus de la stratégie de mot de passe utilisateur administratif (Administration système > Administrateurs > Paramètres > Authentification) ?

A. Par défaut, chaque utilisateur administratif de l'interface utilisateur graphique doit respecter la politique de mot de passe de l'utilisateur administratif. Actuellement, aucun utilisateur administratif d'ACS 5.x ne peut être exclu.

Q. ACS 5.x prend-il en charge les outils VMWare ?

A. Non. Actuellement, les outils VMWare ne sont pas pris en charge avec ACS version 5.x. Référez-vous à l'ID de bogue Cisco CSCtg50048 (clients enregistrés uniquement) pour plus d'informations.

Q. Quels sont les protocoles d'authentification EAP pris en charge pour ACS 5.x lorsque LDAP est configuré comme magasin d'identité ?

A. Lorsque LDAP est utilisé comme magasin d'identité, ACS 5.2 prend en charge les protocoles PEAP-GTC, EAP-FAST-GTC et EAP-TLS uniquement. Il ne prend pas en charge EAP-FAST MSCHAPv2, PEAP EAP-MSCHAPv2 et EAP-MD5. Pour plus d'informations, référez-vous à Protocole d'authentification et compatibilité de la base de données utilisateur.

Q. Pourquoi l'authentification pour le WLC avec le rayon d'utilisation sur ACS a-t-elle échoué et pourquoi ACS n'a-t-il pas montré d'échec de tentatives ?

A. Il existe un problème avec l'interopérabilité ACS 5.0 et WLC avant le correctif 4. Téléchargez le patch 8 et appliquez-le sur l'interface de ligne de commande. N'utilisez pas TFTP pour résoudre ce problème.

Q. Pourquoi ne puis-je pas restaurer les fichiers tar.gz qui ont été sauvegardés avec la commande backup-log dans ACS 5.2 ?

A. Vous ne pouvez pas restaurer les fichiers journaux sauvegardés à l'aide de la commande backup-log. Vous ne pouvez restaurer que les fichiers sauvegardés pour la configuration ACS et ADE-OS. Reportez-vous aux commandes backup et backup-logs du Guide de référence CLI pour Cisco Secure Access Control System 5.1 pour plus d'informations.

Q. Puis-je limiter le nombre de tentatives de mot de passe infructueuses sur ACS 5.2 ?

A. Non. Cette fonctionnalité n'est pas disponible sur ACS 5.2, mais elle devrait être intégrée dans ACS 5.3. Reportez-vous à la section Fonctionnalités non prises en charge des Notes de version de Cisco Secure Access Control System 5.2 pour plus d'informations.

Q. Je ne peux pas utiliser cette option pour modifier le mot de passe lors de la prochaine connexion pour les utilisateurs internes dans ACS 5.0. Comment faire pour résoudre ce problème ?

A. L'option permettant de modifier le mot de passe lors de la prochaine connexion n'est pas prise en charge dans ACS 5.0. La prise en charge de cette fonctionnalité est disponible dans ACS 5.1 et versions ultérieures.

Q. Que signifie cette alarme sur ACS ? 
Cisco Secure ACS - Alarm Notification 
Severity: Warning 
Alarm Name delete 20000 sessions 
Cause/Trigger active sessions are over limit 
Alarm Details session is over 250000

A. Cette erreur signifie que lorsque la vue ACS atteint une limite de 250 000 sessions, elle émet une alarme pour supprimer 20 000 sessions. La base de données d'affichage ACS stocke toutes les sessions d'authentification précédentes et lorsqu'elle atteint 250 000, elle émet une alarme pour effacer le cache et supprimer 20 000 sessions.

Q. Comment résoudre ce message d'erreur : Échec de l'authentification : 24407 Échec de l'authentification de l'utilisateur par rapport à Active Directory, car l'utilisateur doit modifier son mot de passe ?

A. Ce message d'erreur apparaît en cas de problème avec la gestion des mots de passe lors de l'authentification SDI. ACS 5.x est utilisé comme proxy Radius et les utilisateurs doivent être authentifiés par un serveur RSA. Le proxy Radius vers RSA ne fonctionnera que sans gestion de mot de passe. La raison est que la valeur OTP doit être récupérable par le serveur Radius afin de proxy de la valeur de mot de passe vers le serveur RSA. Lorsque la gestion des mots de passe est activée dans le groupe de tunnels, la requête Radius est envoyée avec les attributs MS-CHAPv2. RSA ne prend pas en charge MS-0CHAPv2 ; il prend uniquement en charge le protocole PAP.

Afin de résoudre ce problème, désactivez la gestion des mots de passe. Pour plus d'informations, référez-vous à l'ID de bogue Cisco CSCsx47423 (clients enregistrés uniquement).

Q. Est-il possible de limiter l'administration ACS à la gestion de certains périphériques uniquement dans ACS 5.1 ?

A. Non, il n'est pas possible de limiter l'administration ACS à la gestion de certains périphériques dans ACS 5.1.

Q. ACS prend-il en charge la QoS dans l'authentification afin que RADIUS puisse être prioritaire sur TACACS ?

A. Non, ACS ne prend pas en charge la qualité de service dans l'authentification. ACS ne hiérarchise pas les demandes d'authentification RADIUS par rapport aux demandes TACACS ou TACACS par rapport aux demandes RADIUS.

Q. Les authentifications TACACS et RADIUS par proxy ACS 5.x sont-elles compatibles avec d'autres serveurs TACACS ou RADIUS ?

A. Oui, toutes les versions ACS 5.x peuvent proxy les authentifications RADIUS vers d'autres serveurs RADIUS. ACS 5.3 et versions ultérieures peuvent proxy les authentifications TACACS vers d'autres serveurs TACACS.

Q. ACS 5.x peut-il vérifier les attributs de numérotation d'un utilisateur Active Directory afin d'accorder l'accès ?

A. Oui, dans ACS 5.3 et versions ultérieures, vous pouvez autoriser, refuser et contrôler l'accès aux autorisations d'accès à distance d'un utilisateur. Les autorisations sont vérifiées lors d'authentifications ou de requêtes à partir d'Active Directory. Il est défini sur le dictionnaire dédié Active Directory.

Q. ACS 5.x prend-il en charge les types d'authentification CHAP ou MSCHAP pour TACACS+ ?

A. Oui, les types d'authentification TACACS+ CHAP et MSCHAP sont pris en charge dans ACS versions 5.3 et ultérieures.

Q. Puis-je définir le type de mot de passe d'un utilisateur interne ACS sur une base de données externe ?

A. Oui, dans ACS 5.3 et versions ultérieures, vous pouvez définir le type de mot de passe d'un utilisateur interne ACS. Cette fonctionnalité était disponible dans ACS 4.x.

Q. Puis-je passer/échouer une authentification en fonction de l'heure à laquelle l'utilisateur a été créé dans la banque d'identités internes ACS ?

A. Oui, dans ACS 5.3 et versions ultérieures, vous pouvez utiliser l'attribut Nombre d'heures depuis la création d'utilisateurs afin de créer vos stratégies. Cet attribut contient le nombre d'heures écoulées depuis la création de l'utilisateur dans la banque d'identités internes jusqu'à l'heure de la demande d'authentification actuelle.

Q. Puis-je utiliser des caractères génériques pour ajouter une nouvelle entrée d'hôte dans la base de données interne ACS ?

A. Oui, ACS 5.3 et versions ultérieures vous permet d'utiliser des caractères génériques lorsque vous ajoutez de nouveaux hôtes dans la banque d'identités internes. Il vous permet également d'entrer des caractères génériques (après avoir saisi les trois premiers octets) afin de spécifier tous les périphériques du fabricant identifié.

Q. Puis-je configurer des pools d'adresses IP sur ACS 5.x et les affecter à partir d'ACS ?

A. Non, il est actuellement impossible de créer des pools d'adresses IP sur ACS 5.x.

Q. Puis-je voir l'adresse IP du client AAA où la demande est venue dans le rapport FAILED AUTHENTICATION ?

A. Non, il n'est pas possible de voir l'adresse IP du client AAA à partir de laquelle la demande est arrivée.

Q. Qu'est-ce que la récupération des messages du journal dans ACS 5.3 ?

A. ACS 5.3 fournit une nouvelle fonctionnalité permettant de récupérer tous les journaux manqués lorsque la vue est désactivée. ACS collecte ces journaux manqués et les stocke dans sa base de données. À l'aide de cette fonctionnalité, vous pouvez récupérer les journaux manqués de la base de données ACS dans la base de données d'affichage après la sauvegarde de la vue. Afin d'utiliser cette fonctionnalité, vous devez définir la configuration de récupération des messages du journal sur. Pour plus d'informations sur la configuration de View Log Message Recovery, reportez-vous à Monitoring & Report Viewer System Operations.

Q. Puis-je compresser la base de données ACS 5.x en exécutant la commande database-compress à partir de l'interface de ligne de commande du moteur de solution ? Cette fonctionnalité était disponible dans ACS 4.x.

A. Oui, dans ACS 5.3 et versions ultérieures, la commande database-compress réduit la taille de la base de données ACS avec une option permettant de supprimer la table des transactions ACS.Les administrateurs ACS peuvent émettre cette commande afin de réduire la taille de la base de données. Cela permet de réduire la taille de la base de données et le temps nécessaire aux sauvegardes et à la synchronisation complète pour la maintenance.

Q. Puis-je rechercher une entrée de client AAA en fonction de son adresse IP ?

A. Oui, ACS 5.3 et versions ultérieures vous permet de rechercher un périphérique réseau à l'aide de son adresse IP. Vous pouvez également utiliser des caractères génériques et la plage afin de rechercher un ensemble spécifique de périphériques réseau.

Q. Puis-je créer une condition en fonction de l'heure à laquelle l'utilisateur a été créé dans la banque d'identités internes ACS ?

A. Oui, dans ACS 5.3 et versions ultérieures, vous pouvez utiliser l'attribut Nombre d'heures depuis la création d'utilisateurs qui vous permet de configurer les conditions de règle de stratégie, en fonction de l'heure à laquelle l'utilisateur a été créé dans ACS Internal Identity Store. Exemple : IF group=HelpDesk&NumberofHoursDepuisUserCreation>48 puis rejeter. Cet attribut contient le nombre d'heures écoulées depuis la création de l'utilisateur dans la banque d'identités internes jusqu'à l'heure de la demande d'authentification actuelle.

Q. Puis-je archiver quel magasin d'identités l'utilisateur a été authentifié dans la section Autorisation d'une stratégie de service ?

A. Oui, dans ACS 5.3 et versions ultérieures, vous pouvez utiliser l'attribut Authentication Identity Store, qui vous permet de configurer les conditions de règle de stratégie en fonction de Authentication Identity Store. Exemple : IF AuthenticationIdentityStore=LDAP_NY puis rejeter. Cet attribut contient le nom du magasin d'identités utilisé et il est mis à jour avec le nom du magasin d'identités approprié après une authentification réussie.

Q. Quand ACS va-t-il vers le prochain magasin d'identité défini dans la séquence de magasin d'identités ?

A. L'ACS va au prochain magasin d'identités défini dans la séquence de magasin d'identités dans les scénarios suivants :

  • Un utilisateur est introuvable dans le premier magasin d'identités

  • Un magasin d'identités n'est pas disponible dans la séquence

Q. Quelle est la stratégie Account Disablement dans ACS 5.3 ?

A. La stratégie de désactivation de compte vous permet de désactiver les utilisateurs de la banque d'identités internes lorsque la date configurée dépasse la date autorisée, que le nombre de jours configuré dépasse les jours autorisés ou que le nombre de tentatives de connexion consécutives infructueuses dépasse le seuil. La valeur par défaut de la date dépasse 30 jours à partir de la date actuelle. La valeur par défaut pour les jours ne doit pas être supérieure à 60 jours à partir du jour actuel. La valeur par défaut pour les tentatives échouées est 5.

Q. Puis-je modifier le mot de passe d'un utilisateur de base de données interne d'ACS sur telnet ?

A. Oui, vous pouvez modifier le mot de passe d'un utilisateur de base de données interne à l'aide de TACACS+ sur telnet. Vous devez sélectionner Enable TELNET Change Password sous Password Change Control sur ACS 5.x.

Q. L'instance ACS 5.x principale met-elle automatiquement à jour les instances de sauvegarde régulièrement, ou ne doit-elle se produire que lorsqu'une configuration a été modifiée ?

A. ACS 5.x se répliquera immédiatement sur l'ACS secondaire lorsque vous apportez des modifications à l'ACS principal. En outre, si vous n'apportez aucune modification à l'ACS principal, il effectue une réplication forcée toutes les 15 minutes. À ce stade, il n'y a pas d'option permettant de contrôler le minuteur de sorte qu'ACS puisse répliquer les informations après une heure spécifique.

Q. Puis-je afficher/exporter un rapport sur ACS 5.x de tous les utilisateurs actuellement connectés et authentifiés à partir d'ACS sur différents clients NAS ?

A. Oui, c'est possible. Il existe deux rapports distincts pour RADIUS et TACACS+. Vous pouvez les trouver sous Surveillance & Rapports > Rapports > Catalogue > Répertoire de session > Sessions actives RADIUS et Sessions actives TACACS. Ces deux rapports sont basés sur les informations de comptabilité des clients NAS, car ils vous permettent de suivre le moment où l'utilisateur se connecte et se déconnecte. L'historique des sessions vous permet même d'obtenir des informations à partir des messages de début et d'arrêt au cours d'une journée spécifique.

Informations connexes

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits