このドキュメントでは、Cisco Secure Access Control System(ACS)5.x 以降に関するよくある質問(FAQ)に回答しています。
A.デフォルトでは、すべての内部データベースユーザがユーザパスワードポリシーに準拠する必要があります。現時点では、ACS 5.x 内部データベースのユーザ、グループは除外できません。
A.デフォルトでは、すべてのGUI管理ユーザが管理ユーザパスワードポリシーに準拠している必要があります。現時点では、ACS 5.x の管理ユーザは除外できません。
A.いいえ。現在、VMWareツールはACSバージョン5.xではサポートされていません。詳細については、Cisco Bug ID CSCtg50048(登録ユーザ専用)を参照してください。
A. LDAPをアイデンティティストアとして使用する場合、ACS 5.2はPEAP-GTC、EAP-FAST-GTC、およびEAP-TLSプロトコルのみをサポートします。EAP-FAST MSCHAPv2、PEAP EAP-MSCHAPv2、およびEAP-MD5はサポートされていません。詳細については、『認証プロトコルとユーザデータベースの互換性』を参照してください。
A.パッチ4の前にACS 5.0とWLCの相互運用性に問題があります。パッチ8をダウンロードし、CLIにパッチを適用してください。この問題を修正するために TFTP を使用しないでください。
A. backup-logコマンドでバックアップされたログファイルは復元できません。復元できるのは ACS 設定と ADE-OS のバックアップ ファイルだけです。詳細については、Cisco Secure Access Control System 5.1 の CLI リファレンス ガイドの backup および backup-logs コマンドを参照してください。
A.いいえ。この機能はACS 5.2では使用できませんが、ACS 5.3で統合される予定です。詳細については、『Cisco Secure Access Control System 5.2リリースノート』の「サポートされない機能」セクションを参照してください。
A. ACS 5.0では、次回ログイン時にパスワードを変更するオプションはサポートされていません。この機能のサポートは、ACS 5.1以降のバージョンで利用可能です。
Cisco Secure ACS - Alarm Notification Severity: Warning Alarm Name delete 20000 sessions Cause/Trigger active sessions are over limit Alarm Details session is over 250000
A.このエラーは、ACS Viewが250,000セッションの制限に達すると、20,000セッションを削除するアラームをスローすることを意味します。ACS View データベースはそれまでの認証セッションをすべて保存しており、セッション数が 250,000 に到達すると、キャッシュをクリアして 20,000 セッションを削除するよう促すアラームが発生します。
A.このエラーメッセージは、SDI認証中にパスワード管理に問題がある場合に表示されます。ACS 5.x を RADIUS プロキシとして使用し、ユーザを RSA サーバで認証する必要があります。RSA への RADIUS プロキシは、パスワードを管理しない場合にだけ機能します。パスワードの値を RSA サーバにプロキシするために、RADIUS サーバが OTP 値を復元できる必要があるためです。パスワード管理がトンネル グループで有効になっていると RADIUS 要求が MS-CHAPv2 属性で送信されます。RSA は MS-0CHAPv2 をサポートしていません。サポートしているのは PAP のみです。
この問題を解決するには、パスワード管理を無効にします。詳細については、Cisco Bug ID CSCsx47423(登録ユーザ専用)を参照してください。
A.いいえ。ACS 5.1内の特定のデバイスだけを管理するようにACS管理者を制限することはできません。
A.いいえ。ACSは認証でQoSをサポートしていません。ACS では TACACS より RADIUS 認証要求を優先させることも、RADIUS より TACACS 要求を優先させることもありません。
A.あります。すべてのACS 5.xバージョンで、RADIUS認証を他のRADIUSサーバにプロキシできます。ACS 5.3 以降では、TACACS 認証を他の TACACS サーバにプロキシできます。
A.はい。ACS 5.3以降では、ユーザのダイヤルイン権限のアクセスを許可、拒否、および制御できます。ダイヤルイン アクセス権は、認証中、または Active Directory からのクエリでチェックされます。これは Active Directory 専用のディクショナリに設定されます。
A.あります。TACACS+ CHAPおよびMSCHAP認証タイプは、ACSバージョン5.3以降でサポートされています。
A.はい。ACS 5.3以降では、ACS内部ユーザのパスワードタイプを設定できます。この機能は ACS 4.x で使用できました。
A.はい。ACS 5.3以降では、[Number of Hours Since User Creation]属性を使用してポリシーを作成できます。この属性には、ユーザが内部 ID ストア内で作成されてから、現在の認証要求までの時間数が含まれます。
A.はい。ACS 5.3以降では、内部IDストアに新しいホストを追加するときにワイルドカードを使用できます。また、製造元が特定されたすべてのデバイスを指定するため、最初の 3 オクテットの後にワイルドカードを入力できるようになっています。
A.いいえ。現在、ACS 5.xでIPアドレスプールを作成することはできません。
A.いいえ。要求の送信元であるAAAクライアントのIPアドレスを確認することはできません。
A. ACS 5.3には、ビューがダウンしたときに失われたログを回復する新機能が搭載されています。ACS は失われたログを収集し、データベース内に保存します。この機能を使用すると、失われたログを ACS データベースから取得して、ビューが稼動を再開した後にビュー データベースに戻すことができます。この機能を使用するには、Log Message Recovery Configuration を on に設定する必要があります。View Log Message Recovery の設定の詳細については、モニタリング、レポート ビューア システムの運用を参照してください。
A.はい。ACS 5.3以降では、database-compressコマンドでACSトランザクションテーブルを削除するオプションを使用してACSデータベースのサイズを縮小できます。ACS管理者は、このコマンドを発行してデータベースのサイズを縮小できます。このコマンドは、データベース サイズを削減し、保守に必要なバックアップや完全同期にかかる時間を短縮するのに役立ちます。
A.はい、ACS 5.3以降では、IPアドレスを使用してネットワークデバイスを検索できます。また、特定のネットワーク デバイスのセットを検索するためにワイルドカードや範囲指定を使用することも可能です。
A.はい。ACS 5.3以降では、[Number of Hours Since User Creation]属性を使用できます。この属性を使用すると、ACS内部IDストアでユーザが作成された時刻に基づいてポリシールール条件を設定できます。以下に、いくつかの例を示します。IF group=HelpDesk&NumberofHoursSinceUserCreation>48 then reject.この属性には、ユーザが内部 ID ストアで作成されてから、現在の認証要求までの時間数が含まれます。
A. Yes, in ACS 5.3以降ではAuthentication Identity Store属性を使用できます。これにより、認証IDストアに基づいてポリシールール条件を設定できます。以下に、いくつかの例を示します。IF AuthenticationIdentityStore=LDAP_NY then reject.この属性には使用される ID ストアの名前が含まれ、認証が成功した後に、関連する ID ストア名で更新されます。
A. ACSは、次のシナリオでIDストアシーケンスで定義されている次のIDストアに移動します。
最初の ID ストアでユーザが検出されない
ID ストアがシーケンスで使用できない
A. Account Disablement Policyを使用すると、設定した日付が許可された日付を超えている、設定した日数が許可された日数を超えている、または連続して失敗したログイン試行の数がしきい値を超えている場合に、内部IDストアをを無効できます。日付超過のデフォルト値は、現在の日付から 30 日です。日数のデフォルト値は現在の日付から 60 日以下です。失敗した回数のデフォルト値は 5 です。
A.はい。Telnet経由でTACACS+を使用して、内部データベースユーザのパスワードを変更できます。ACS 5.x で [Password Change Control] の [Enable TELNET Change Password] を選択する必要があります。
A. ACS 5.xは、プライマリACSで変更を行うと、ただちにセカンダリACSに複製されます。また、プライマリ ACS に変更がない場合、15 分ごとに強制的に複製します。現時点では、タイマーを制御して ACS が特定の時間の後に情報を複製できるようなオプションはありません。
A.はい、可能です。RADIUS 用と TACACS+ 用の 2 つの別々のレポートがあります。[Monitoring & Reports] > [Reports] > [Catalog] > [Session Directory] の [RADIUS Active Sessions] および [TACACS Active Sessions] で確認できます。いずれのレポートも NAS クライアントからのアカウンティング情報に基づいており、ユーザがいつ接続し、ログアウトしたかをトラッキングできます。セッションの履歴を使用すると、最初から情報を取得し、特定の日にメッセージを停止することもできます。