Dieses Dokument enthält Antworten auf die am häufigsten gestellten Fragen (FAQs) zum Cisco Secure Access Control System (ACS) 5.x und höher.
Antwort: Standardmäßig muss jeder interne Datenbankbenutzer die Kennwortrichtlinie für den Benutzer einhalten. Derzeit können keine Benutzer/Gruppen der internen ACS 5.x-Datenbank ausgeschlossen werden.
Antwort: Standardmäßig muss jeder GUI-Administrator-Benutzer die Richtlinien für Administratorkennwörter erfüllen. Derzeit kann kein administrativer Benutzer von ACS 5.x ausgeschlossen werden.
Antwort: Nein. Derzeit werden die VMWare-Tools nicht von ACS Version 5.x unterstützt. Weitere Informationen finden Sie unter Cisco Bug ID CSCtg50048 (nur registrierte Kunden).
Antwort: Wenn LDAP als Identitätsspeicher verwendet wird, unterstützt ACS 5.2 nur die Protokolle PEAP-GTC, EAP-FAST-GTC und EAP-TLS. EAP-FAST MSCHAPv2, PEAP EAP-MSCHAPv2 und EAP-MD5 werden nicht unterstützt. Weitere Informationen finden Sie unter Authentifizierungsprotokoll und Benutzerdatenbankkompatibilität.
Antwort: Es besteht ein Problem mit der ACS 5.0- und WLC-Interoperabilität vor Patch 4. Laden Sie Patch 8 herunter, und wenden Sie den Patch auf die CLI an. Verwenden Sie TFTP nicht, um dieses Problem zu beheben.
Antwort: Protokolldateien, die mit dem Befehl backup-log gesichert werden, können nicht wiederhergestellt werden. Sie können nur die für die ACS-Konfiguration und ADE-OS gesicherten Dateien wiederherstellen. Weitere Informationen finden Sie in den Befehlen für Backups und Backupprotokolle im CLI-Referenzhandbuch für das Cisco Secure Access Control System 5.1.
Antwort: Nein. Diese Funktion ist für ACS 5.2 nicht verfügbar, soll aber in ACS 5.3 integriert werden. Weitere Informationen finden Sie im Abschnitt Funktionen, die nicht unterstützt werden, der Versionshinweise für das Cisco Secure Access Control System 5.2.
Antwort: Die Option zum Ändern des Kennworts bei der nächsten Anmeldung wird in ACS 5.0 nicht unterstützt. Diese Funktion wird ab ACS 5.1 unterstützt.
Cisco Secure ACS - Alarm Notification Severity: Warning Alarm Name delete 20000 sessions Cause/Trigger active sessions are over limit Alarm Details session is over 250000
Antwort: Dieser Fehler bedeutet, dass die ACS-Ansicht, wenn sie eine Grenze von 250.000 Sitzungen erreicht, einen Alarm auslöst, um 20.000 Sitzungen zu löschen. In der ACS View-Datenbank werden alle vorherigen Authentifizierungssitzungen gespeichert. Wenn sie 250.000 erreicht haben, wird ein Alarm ausgegeben, um den Cache zu löschen und 20.000 Sitzungen zu löschen.
Antwort: Diese Fehlermeldung wird angezeigt, wenn bei der SDI-Authentifizierung ein Problem mit der Kennwortverwaltung auftritt. ACS 5.x wird als Radius-Proxy verwendet und die Benutzer müssen von einem RSA-Server authentifiziert werden. Der Radius-Proxy zu RSA funktioniert nur ohne Kennwortverwaltung. Der Grund hierfür ist, dass der OTP-Wert vom Radius-Server wiederhergestellt werden kann, um den Kennwortwert auf den RSA-Server zu verteilen. Wenn die Kennwortverwaltung in der Tunnelgruppe aktiviert ist, wird die Radius-Anforderung mit MS-CHAPv2-Attributen gesendet. RSA unterstützt MS-0CHAPv2 nicht. Es unterstützt nur PAP.
Um dieses Problem zu beheben, deaktivieren Sie die Kennwortverwaltung. Weitere Informationen finden Sie unter Cisco Bug ID CSCsx47423 (nur registrierte Kunden).
Antwort: Nein, es ist nicht möglich, den ACS-Administrator zu beschränken, nur bestimmte Geräte innerhalb von ACS 5.1 zu verwalten.
Antwort: Nein, der ACS unterstützt QoS bei der Authentifizierung nicht. ACS priorisiert RADIUS-Authentifizierungsanforderungen nicht gegenüber TACACS- oder TACACS-Anfragen gegenüber RADIUS.
Antwort: Ja, alle ACS 5.x-Versionen können die RADIUS-Authentifizierungen auf andere RADIUS-Server verweisen. ACS 5.3 und höher können die TACACS-Authentifizierungen auf andere TACACS-Server verweisen.
Antwort: Ja, in ACS 5.3 und höher können Sie den Zugriff auf die Einwahlberechtigungen eines Benutzers zulassen, verweigern und steuern. Die Berechtigungen werden bei Authentifizierungen oder Abfragen von Active Directory überprüft. Es wird auf dem dedizierten Active Directory-Wörterbuch festgelegt.
Antwort: Ja, die Authentifizierungstypen TACACS+ CHAP und MSCHAP werden in ACS 5.3 und höher unterstützt.
Antwort: Ja, in ACS 5.3 und höher können Sie den Kennworttyp eines internen ACS-Benutzers festlegen. Diese Funktion war in ACS 4.x verfügbar.
Antwort: Ja, in ACS 5.3 und höher können Sie das Attribut Number of Hours Since User Creation (Anzahl der Stunden seit Benutzererstellung) verwenden, um Ihre Richtlinien zu erstellen. Dieses Attribut enthält die Anzahl der Stunden, die seit der Erstellung des Benutzers im internen Identitätsspeicher zum Zeitpunkt der aktuellen Authentifizierungsanforderung vergangen sind.
Antwort: Ja, mit ACS 5.3 und höher können Sie Platzhalter verwenden, wenn Sie dem internen Identity Store neue Hosts hinzufügen. Außerdem können Sie Platzhalter eingeben (nachdem Sie die ersten drei Oktette eingegeben haben), um alle Geräte des angegebenen Herstellers anzugeben.
Antwort: Nein, derzeit ist es nicht möglich, IP-Adresspools auf ACS 5.x zu erstellen.
Antwort: Nein, es ist nicht möglich, die IP-Adresse des AAA-Clients anzuzeigen, von der aus die Anfrage einging.
Antwort: ACS 5.3 bietet eine neue Funktion zum Wiederherstellen von Protokollen, die bei einem Ausfall der Ansicht verpasst wurden. ACS sammelt diese verpassten Protokolle und speichert sie in seiner Datenbank. Mit dieser Funktion können Sie die verpassten Protokolle aus der ACS-Datenbank in die Ansichtsdatenbank abrufen, nachdem die Ansicht gesichert wurde. Um diese Funktion verwenden zu können, müssen Sie die Konfiguration zur Wiederherstellung von Protokollnachrichten auf ein setzen. Weitere Informationen zum Konfigurieren der Wiederherstellung von Protokollnachrichten finden Sie unter Überwachung und Berichtsanzeige-Systemvorgänge.
Antwort: Ja, in ACS 5.3 und höher reduziert der Befehl database-compress die ACS-Datenbankgröße mit der Option, die ACS-Transaktionstabelle zu löschen.ACS-Administratoren können diesen Befehl ausführen, um die Datenbankgröße zu reduzieren. Dies trägt dazu bei, die Datenbankgröße und den Zeitaufwand für Backups sowie die vollständige Synchronisierung zu reduzieren, die für die Wartung erforderlich ist.
Antwort: Ja, mit ACS 5.3 und höher können Sie ein Netzwerkgerät mit seiner IP-Adresse suchen. Sie können auch Platzhalter und den Bereich verwenden, um eine bestimmte Gruppe von Netzwerkgeräten zu durchsuchen.
Antwort: Ja, in ACS 5.3 und höher können Sie das Attribut Number of Hours Since User Creation (Anzahl der Stunden seit Benutzererstellung) verwenden, mit dem Sie die Bedingungen für Richtlinienregeln konfigurieren können, basierend auf dem Zeitpunkt, zu dem der Benutzer im internen ACS-Identitätsspeicher erstellt wurde. Beispiel: IF group=HelpDesk&NumberofHoursSinceUserCreation>48 dann Ablehnen. Dieses Attribut enthält die Anzahl der Stunden, die seit der Erstellung des Benutzers im internen Identity Store zum Zeitpunkt der aktuellen Authentifizierungsanforderung vergangen sind.
Antwort: Ja, in ACS 5.3 und höher können Sie das Authentication Identity Store-Attribut verwenden, mit dem Sie die Richtlinienregelbedingungen auf Basis des Authentifizierungs-Identity-Store konfigurieren können. Beispiel: IF AuthenticationIdentityStore=LDAP_NY dann ablehnen. Dieses Attribut enthält den Namen des verwendeten Identity Store und wird nach erfolgreicher Authentifizierung mit dem entsprechenden Identity Store-Namen aktualisiert.
Antwort: Der ACS wird zum nächsten in der Identity Store-Sequenz definierten Identitätsspeicher in den folgenden Szenarien:
Ein Benutzer wird im ersten Identitätsspeicher nicht gefunden.
Ein Identity Store ist in der Sequenz nicht verfügbar.
Antwort: Mit der Richtlinie zur Kontodeaktivierung können Sie die Benutzer des internen Identitätsspeichers deaktivieren, wenn das konfigurierte Datum das zulässige Datum überschreitet, die konfigurierte Anzahl von Tagen die zulässigen Tage überschreitet oder die Anzahl aufeinander folgender fehlgeschlagener Anmeldeversuche den Schwellenwert überschreitet. Der Standardwert für das Datum überschreitet 30 Tage ab dem aktuellen Datum. Der Standardwert für Tage sollte nicht mehr als 60 Tage ab dem aktuellen Tag betragen. Der Standardwert für fehlgeschlagene Versuche ist 5.
Antwort: Ja, Sie können das Kennwort eines internen Datenbankbenutzers mithilfe von TACACS+ über Telnet ändern. Sie müssen TELNET Change Password unter Password Change Control (Kennwortänderungskontrolle) auf ACS 5.x aktivieren.
Antwort: ACS 5.x repliziert sofort auf den sekundären ACS, wenn Sie Änderungen am primären ACS vornehmen. Wenn Sie anschließend keine Änderungen am primären ACS vornehmen, wird alle 15 Minuten eine Replikation durchgeführt. Zu diesem Zeitpunkt gibt es keine Möglichkeit, den Timer zu steuern, sodass ACS die Informationen nach einer bestimmten Zeit replizieren kann.
Antwort: Ja, es ist möglich. Es gibt zwei separate Berichte für RADIUS und TACACS+. Sie finden sie unter Monitoring & Reports > Reports > Catalog > Session Directory > RADIUS Active Sessions and TACACS Active Sessions. Beide Berichte basieren auf den Accounting-Informationen der NAS-Clients, da Sie nachverfolgen können, wann der Benutzer eine Verbindung herstellt und sich abmeldet. Der Sitzungsverlauf ermöglicht es Ihnen sogar, Informationen von Anfang an und von Ende der Nachrichten an einem bestimmten Tag abzurufen.