Threat Gridアプライアンスバージョン2.12.0.1 - 2.12.2 RADIUSバグの回避策

ダウンロード オプション

  • PDF     (580.8 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (426.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (215.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2021 年 3 月 24 日
Document ID:216923

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

バージョン2.12.0.1 ~ 2.12.2のThreat Gridアプライアンスでは、Radius認証のサポートを中断するバグが導入されました。 

永続的な修正は、次のソフトウェアリリースで利用可能になります。

この記事では、次回のリブートまで有効な短時間の回避策について説明します。  この回避策は、ユーザがOpadminポータルにアクセスできる場合に適用できます(認証がRadiusまたはシステム認証を使用するように設定されていると仮定)

ユーザがOpadminにアクセスできない場合は、TACケースを作成して問題をトラブルシューティングしてください。

問題

2.12.0.1 ~ 2.12.2の間にアップグレードした後は、OpadminとCleanインターフェイスポータルの両方でRadius認証が機能しません。 

解決方法

アプライアンス2.12.1では、「署名付きコマンド」のサポートが追加されています。JSONドキュメントは、opadmin([サポート(Support)] > [コマンドの実行(Execute Command)])に入力された場合、rootとして特定のコマンドを実行します。

signedコマンドを使用して、次回リブートまでこのバグの回避策を実装できます。[このバグは2.12.3で修正されています]

手順

最初のステップとして、アプライアンスをリブートします。 

次の手順に従います。 

Opadminポータルの使用:

  1. システム認証方法を使用してOpadminポータルにログインし、[Support] > [Execute Command]を参照します
  2. 次のコマンドをコピーして実行します。
-----BEGIN PGP SIGNED MESSAGE-----
X-Padding: TG-Proprietary-v1

{"command":["/usr/bin/bash","-c","set -e\nmkdir -p -- /run/systemd/system/radialjacket.service.d\ncat >/run/systemd/system/radialjacket.service.d/fix-execstart.conf <<'EOF'\n[Service]\nExecStart=\nExecStart=/usr/bin/with-custom-resolver /etc/resolv.conf-integration.d /usr/bin/without-mounts --fs-type=nfs --fs-type=nfs4 --fs-type=fuse --fs-type=fuse.gocryptfs -- setpriv --reuid=integration --regid=integration --inh-caps=-all --clear-groups -- /usr/bin/radialjacket -c client.crt -k client.key -r server-ca.crt -e ${host}\nEOF\nsed -i -e s@authmode@auth_mode@ /opt/appliance-config/ansible/sandcastle.confdir.d/!pre-run/generate-face-json\ntouch /etc/conf.d/radialjacket.conf\nset +e\n\nretval=0\nsystemctl daemon-reload || (( retval |= $? ))\nsystemctl restart config-template@sandcastle || (( retval |= $? ))\nsystemctl reload --no-block opadmin || (( retval |= $? ))\nsystemctl restart tg-face radialjacket || (( retval |= $? ))\nexit \"$retval\""],"environment":{"PATH":"/bin:/usr/bin"},"restrictions":{"version-not-after":"2020.04.20210209T215219","version-not-before":"2020.04.20201023T235216.srchash.3b87775455e9.rel"}}
-----BEGIN PGP SIGNATURE-----

wsBcBAABCAAQBQJgR41LCRBGH+fCiPqfvgAArtQIAHCYjCwfBtZNA+pDAnlNqI5zHt8WO38jmlCL
gWFPnYkTZH/z8JbMMsxYOrLmV+cj8sc0SKlIGUP+i8DDXh01JQCmIhGLbXtGEFqHTeizEWt7Cjxx
XjnG2BOZxR2wBtS7xTxfV5v8hA5bVTf+dd0rJHy0zgmfKI4KDvAF1i0DBuOQj+qGPo324j+Lr7uB
7UfnP2mCYpgoqzalUmseCfip+F45CXZNkUKReH4nId7wnln+51cSj++i2bVued0juSOQIib+jId7
ZlfcgWbTkN2UbTclWjArPjdemZcG5Sbsg2k/lSzkf6ni2kfu2PKe0tJjd0zMjlMqSkeSTaVOQH7e
6Sk=
-----END PGP SIGNATURE-----

3. tgshから「late-tmpfiles.service」を再起動します(コンソール)

service restart late-tmpfiles.service

4. tgshから'tg-face.service'を再起動します(コンソール)

service restart tg-face.service

コンソールの使用:

ユーザがApplinace Console(TGSH)にアクセスできる場合は、コンソールから上記の署名付きコマンドを実行できます。

アプライアンスコンソール(opadminインターフェイス)にログインし、[CONSOLE]を選択します 

Threat Gridアプライアンスコンソール

コマンド'graphql'を実行してGraphQLインターフェイスを起動する

GraphQLインターフェイス

次のコマンドをコピーし、graphqlインターフェイスに貼り付けます。Enterを押して下さい-

mutation ExecuteCommand() {
  job: ExecuteCommand(execute: "-----BEGIN PGP SIGNED MESSAGE-----\nX-Padding: TG-Proprietary-v1\n\n{\"command\":[\"/usr/bin/bash\",\"-c\",\"set -e\\nmkdir -p -- /run/systemd/system/radialjacket.service.d\\ncat >/run/systemd/system/radialjacket.service.d/fix-execstart.conf <<'EOF'\\n[Service]\\nExecStart=\\nExecStart=/usr/bin/with-custom-resolver /etc/resolv.conf-integration.d /usr/bin/without-mounts --fs-type=nfs --fs-type=nfs4 --fs-type=fuse --fs-type=fuse.gocryptfs -- setpriv --reuid=integration --regid=integration --inh-caps=-all --clear-groups -- /usr/bin/radialjacket -c client.crt -k client.key -r server-ca.crt -e ${host}\\nEOF\\nsed -i -e s@authmode@auth_mode@ /opt/appliance-config/ansible/sandcastle.confdir.d/!pre-run/generate-face-json\\ntouch /etc/conf.d/radialjacket.conf\\nset +e\\n\\nretval=0\\nsystemctl daemon-reload || (( retval |= $? ))\\nsystemctl restart config-template@sandcastle || (( retval |= $? ))\\nsystemctl reload --no-block opadmin || (( retval |= $? ))\\nsystemctl restart tg-face radialjacket || (( retval |= $? ))\\nexit \\\"$retval\\\"\"],\"environment\":{\"PATH\":\"/bin:/usr/bin\"},\"restrictions\":{\"version-not-after\":\"2020.04.20210209T215219\",\"version-not-before\":\"2020.04.20201023T235216.srchash.3b87775455e9.rel\"}}\n-----BEGIN PGP SIGNATURE-----\n\nwsBcBAABCAAQBQJgR41LCRBGH+fCiPqfvgAArtQIAHCYjCwfBtZNA+pDAnlNqI5zHt8WO38jmlCL\ngWFPnYkTZH/z8JbMMsxYOrLmV+cj8sc0SKlIGUP+i8DDXh01JQCmIhGLbXtGEFqHTeizEWt7Cjxx\nXjnG2BOZxR2wBtS7xTxfV5v8hA5bVTf+dd0rJHy0zgmfKI4KDvAF1i0DBuOQj+qGPo324j+Lr7uB\n7UfnP2mCYpgoqzalUmseCfip+F45CXZNkUKReH4nId7wnln+51cSj++i2bVued0juSOQIib+jId7\nZlfcgWbTkN2UbTclWjArPjdemZcG5Sbsg2k/lSzkf6ni2kfu2PKe0tJjd0zMjlMqSkeSTaVOQH7e\n6Sk=\n-----END PGP SIGNATURE-----\n") {
    Type
    UUID
    Result {
      Errors {
        Field
        Message
        __typename
      }
      Warnings {
        Field
        Message
        __typename
      }
      __typename
    }
    __typename
  }
}

次のような出力が表示されます。UUIDは異なります。 

{"data":{"job":{"Type":"signed_command","UUID":"65ACA0A4-524C-4DDA-99C5-F966E21E15EC","Result":null,"__typename":"ExecuteCommandResult"}}}

その後、tgshから'late-tmpfiles.service'と'tg-face.service'を再起動します(コンソール)

service restart late-tmpfiles.service
service restart tg-face.service

警告:これにより、次のリブートまで回避策が実装されます。

このバグを永久に修正するには、2.12.3(入手可能な場合)にアップグレードします。

TAC Authored

シスコ エンジニア提供

  • Fuad Ahsan
    GATE

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています