Secure Access Control System 5.x 이상 FAQ

다운로드 옵션

PDF (162.2 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (85.4 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (72.6 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2012년 7월 10일

문서 ID:113495

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco ACS(Secure Access Control System) 5.x 이상과 관련된 가장 자주 묻는 질문(FAQ)에 대한 답변을 제공합니다.

인증 관련 문제

Q. ACS 5.x 내부 데이터베이스의 일부 사용자/그룹을 사용자 암호 정책(System Administration(시스템 관리) > Users(사용자) > Authentication Settings(인증 설정)에서 제외할 수 있습니까?

A. 기본적으로 모든 내부 데이터베이스 사용자는 사용자 비밀번호 정책을 준수해야 합니다.현재 ACS 5.x 내부 데이터베이스의 사용자/그룹은 제외할 수 없습니다.

Q. ACS 5.x의 몇몇 GUI 관리자를 관리 사용자 암호 정책(System Administration(시스템 관리) > Administrators(관리자) > Settings(설정) > Authentication(인증))에서 제외할 수 있습니까?

A. 기본적으로 모든 GUI 관리 사용자는 관리 사용자 비밀번호 정책을 준수해야 합니다.현재 ACS 5.x의 관리 사용자는 제외할 수 없습니다.

Q. ACS 5.x는 VMWare 툴을 지원합니까?

A. 아니요. 현재 VMWare 도구는 ACS 버전 5.x에서 지원되지 않습니다.자세한 내용은 Cisco 버그 ID CSCtg50048(등록된 고객만)을 참조하십시오.

Q. LDAP가 ID 저장소로 구성된 경우 ACS 5.x에 대해 지원되는 EAP 인증 프로토콜은 무엇입니까?

A. LDAP가 ID 저장소로 사용되는 경우 ACS 5.2는 PEAP-GTC, EAP-FAST-GTC 및 EAP-TLS 프로토콜만 지원합니다.EAP-FAST MSCHAPv2, PEAP EAP-MSCHAPv2 및 EAP-MD5를 지원하지 않습니다. 자세한 내용은 인증 프로토콜 및 사용자 데이터베이스 호환성을 참조하십시오.

Q. ACS에서 사용 RADIUS를 사용하는 WLC에 대한 인증이 실패한 이유는 무엇이며, ACS에서 실패한 시도를 표시하지 않은 이유는 무엇입니까?

A. 패치 4에 앞서 ACS 5.0 및 WLC 상호 운용성에 문제가 있습니다. 패치 8을 다운로드하고 CLI에 패치를 적용합니다.이 문제를 해결하려면 TFTP를 사용하지 마십시오.

Q. ACS 5.2에서 backup-log 명령으로 백업된 tar.gz 파일을 복원할 수 없는 이유는 무엇입니까?

A. backup-log 명령으로 백업된 로그 파일은 복원할 수 없습니다.ACS 컨피그레이션 및 ADE-OS에 대해 백업된 파일만 복원할 수 있습니다.자세한 내용은 Cisco Secure Access Control System 5.1에 대한 CLI Reference Guide의 CLI Reference Guide에서 backup 및 backup-logs 명령을 참조하십시오.

Q. ACS 5.2에서 실패한 비밀번호 시도 횟수를 제한할 수 있습니까?

A. 아니요. 이 기능은 ACS 5.2에서는 사용할 수 없지만 ACS 5.3에 통합될 것으로 예상됩니다. 자세한 내용은 Cisco Secure Access Control System 5.2 릴리스 정보의 지원되지 않는 기능 섹션을 참조하십시오.

Q. ACS 5.0의 내부 사용자에 대해 다음 로그인 시 비밀번호를 변경하는 옵션을 사용할 수 없습니다. 이 문제를 해결하려면 어떻게 해야 합니까?

A. 다음 로그인 시 비밀번호를 변경하는 옵션은 ACS 5.0에서 지원되지 않습니다. 이 기능에 대한 지원은 ACS 5.1 이상 버전에서 사용할 수 있습니다.

Q. ACS에 대한 이 경보는 무엇을 의미합니까?

Cisco Secure ACS - Alarm Notification 
Severity: Warning 
Alarm Name delete 20000 sessions 
Cause/Trigger active sessions are over limit 
Alarm Details session is over 250000

A. 이 오류는 ACS 보기가 세션 250,000개의 제한에 도달하면 경보를 실행하여 세션 20,000개를 삭제합니다.ACS 보기 데이터베이스는 모든 이전 인증 세션을 저장하며 250,000에 도달하면 캐시를 지우고 20,000개의 세션을 삭제하는 경보를 표시합니다.

Q. 이 오류 메시지를 해결하려면 어떻게 해야 합니까?`인증 실패:사용자가 암호를 변경해야 하므로 Active Directory에 대한 사용자 인증에 실패했습니까`?

A. 이 오류 메시지는 SDI 인증 중에 비밀번호 관리에 문제가 있을 때 나타납니다.ACS 5.x는 Radius 프록시로 사용되며 사용자는 RSA 서버에서 인증되어야 합니다.RSA에 대한 Radius 프록시는 비밀번호 관리 없이 작동됩니다.이유는 RSA 서버에 비밀번호 값을 프록시하려면 OTP 값을 Radius 서버에서 복구해야 하기 때문입니다.터널 그룹에서 비밀번호 관리가 활성화되면 MS-CHAPv2 특성과 함께 RADIUS 요청이 전송됩니다.RSA는 MS-0CHAPv2를 지원하지 않습니다.PAP만 지원합니다.

이 문제를 해결하려면 비밀번호 관리를 비활성화합니다.자세한 내용은 Cisco 버그 ID CSCsx47423을 참조하십시오(등록된 고객만 해당).

Q. ACS 관리자가 ACS 5.1 내의 특정 장치만 관리하도록 제한할 수 있습니까?

A. 아니요. ACS 관리자가 ACS 5.1 내의 특정 장치만 관리하도록 제한할 수 없습니다.

Q. ACS는 인증에서 QoS를 지원하여 TACACS보다 RADIUS에 우선 순위를 지정할 수 있습니까?

A. 아니요, ACS는 인증에서 QoS를 지원하지 않습니다.ACS는 RADIUS를 통한 TACACS 또는 TACACS 요청보다 RADIUS 인증 요청의 우선 순위를 지정하지 않습니다.

Q. ACS 5.x 프록시 TACACS 및 RADIUS를 다른 TACACS 또는 RADIUS 서버에 인증할 수 있습니까?

A. 예, 모든 ACS 5.x 버전은 RADIUS 인증을 다른 RADIUS 서버에 프록시할 수 있습니다.ACS 5.3 이상에서는 TACACS 인증을 다른 TACACS 서버에 프록시할 수 있습니다.

Q. ACS 5.x는 액세스 권한을 부여하기 위해 Active Directory 사용자의 다이얼 인 특성을 확인할 수 있습니까?

A. 예, ACS 5.3 이상에서는 사용자의 전화 접속 권한 액세스를 허용, 거부 및 제어할 수 있습니다.권한은 Active Directory에서 인증 또는 쿼리 하는 동안 확인 됩니다.Active Directory 전용 사전에 설정되어 있습니다.

Q. ACS 5.x는 TACACS+에 대해 CHAP 또는 MSCHAP 인증 유형을 지원합니까?

A. 예, TACACS+ CHAP 및 MSCHAP 인증 유형은 ACS 버전 5.3 이상에서 지원됩니다.

Q: ACS 내부 사용자의 비밀번호 유형을 외부 데이터베이스로 설정할 수 있습니까?

A. 예, ACS 5.3 이상에서는 ACS 내부 사용자의 비밀번호 유형을 설정할 수 있습니다.이 기능은 ACS 4.x에서 사용할 수 있습니다.

Q. ACS 내부 ID 저장소에서 사용자가 생성된 시간을 기준으로 인증을 통과/실패할 수 있습니까?

A. 예, ACS 5.3 이상에서는 사용자 생성 이후 시간 속성을 사용하여 정책을 생성할 수 있습니다.이 속성은 사용자가 내부 ID 저장소에서 생성된 이후 현재 인증 요청 시간까지 경과한 시간을 포함합니다.

Q. ACS 내부 데이터베이스에 새 호스트 항목을 추가하기 위해 와일드카드를 사용할 수 있습니까?

A. 예, ACS 5.3 이상에서는 내부 ID 저장소에 새 호스트를 추가할 때 와일드카드를 사용할 수 있습니다.또한 식별된 제조업체의 모든 장치를 지정하기 위해 와일드카드(처음 세 개의 8진수를 입력한 후)를 입력할 수도 있습니다.

Q. ACS 5.x에서 IP 주소 풀을 구성하고 ACS에서 할당할 수 있습니까?

A. 아니요. 현재 ACS 5.x에 IP 주소 풀을 생성할 수 없습니다.

Q. AAA 클라이언트의 IP 주소가 FAILED AUTHENTICATION(실패 인증) 보고서에 있는 요청을 볼 수 있습니까?

A. 아니요. 요청이 들어온 위치에서 AAA 클라이언트의 IP 주소를 볼 수 없습니다.

Q. ACS 5.3에서 로그 메시지 복구 보기란 무엇입니까?

A. ACS 5.3은 보기가 다운되었을 때 누락된 로그를 복구하는 새로운 기능을 제공합니다.ACS는 이러한 누락된 로그를 수집하여 데이터베이스에 저장합니다.이 기능을 사용하면 뷰를 백업한 후 ACS 데이터베이스에서 뷰 데이터베이스로 누락된 로그를 검색할 수 있습니다.이 기능을 사용하려면 로그 메시지 복구 구성을 설정으로 설정해야 합니다.로그 메시지 복구 보기 구성에 대한 자세한 내용은 모니터링 및 보고서 뷰어 시스템 작업 을 참조하십시오.

Q. Solution Engine CLI에서 database-compress 명령을 실행하여 ACS 5.x 데이터베이스를 압축할 수 있습니까?이 기능은 ACS 4.x에서 사용할 수 있습니다.

A. 예, ACS 5.3 이상에서 database-compress 명령은 ACS 트랜잭션 테이블을 삭제하는 옵션으로 ACS 데이터베이스 크기를 줄입니다.ACS 관리자는 데이터베이스 크기를 줄이기 위해 이 명령을 실행할 수 있습니다.따라서 데이터베이스 크기와 백업 및 전체 동기화에 소요되는 시간을 단축하고 유지 관리에 필요한 시간을 줄일 수 있습니다.

Q. IP 주소를 기반으로 AAA 클라이언트 항목을 검색할 수 있습니까?

A. 예, ACS 5.3 이상에서는 IP 주소를 사용하여 네트워크 디바이스를 검색할 수 있습니다.와일드카드 및 범위를 사용하여 특정 네트워크 디바이스 집합을 검색할 수도 있습니다.

Q: ACS 내부 ID 저장소에서 사용자가 생성된 시간을 기준으로 조건을 생성할 수 있습니까?

A. 예, ACS 5.3 이상에서는 사용자가 ACS 내부 ID 저장소에서 생성된 시간을 기준으로 정책 규칙 조건을 구성할 수 있는 사용자 생성 이후 시간 속성을 사용할 수 있습니다.예를 들면 다음과 같습니다.IF group=HelpDesk&NumberOfHoursSinceUserCreation>48이면 거부합니다.이 속성은 사용자가 내부 ID 저장소에서 생성된 이후 현재 인증 요청 시간까지의 시간을 포함합니다.

Q: 서비스 정책의 권한 부여 섹션에서 사용자를 인증한 ID 저장소를 체크 인할 수 있습니까?

A. 예, ACS 5.3 이상에서는 인증 ID 저장소 특성을 사용할 수 있습니다. 이 특성을 사용하면 인증 ID 저장소를 기반으로 정책 규칙 조건을 구성할 수 있습니다.예를 들면 다음과 같습니다.AuthenticationIdentityStore=LDAP_NY인 경우 거부합니다.이 속성은 사용된 ID 저장소의 이름을 포함하며 인증 성공 후 관련 ID 저장소 이름으로 업데이트됩니다.

Q. ACS는 언제 ID 저장소 시퀀스에 정의된 다음 ID 저장소로 이동합니까?

A. ACS는 다음 시나리오에서 ID 저장소 시퀀스에 정의된 다음 ID 저장소로 이동합니다.

첫 번째 ID 저장소에서 사용자를 찾을 수 없습니다.

시퀀스에서 ID 저장소를 사용할 수 없습니다.

Q. ACS 5.3의 계정 비활성화 정책이란 무엇입니까?

A. 계정 비활성화 정책을 사용하면 구성된 날짜가 허용 날짜를 초과하거나, 구성된 일 수가 허용 일수를 초과하거나, 연속 로그인 실패 횟수가 임계값을 초과할 때 내부 ID 저장소 사용자를 비활성화할 수 있습니다.날짜 기본값은 현재 날짜로부터 30일을 초과합니다.일 기본값은 현재 날짜로부터 60일을 초과할 수 없습니다.실패 시도의 기본값은 5입니다.

Q. 텔넷을 통해 ACS의 내부 데이터베이스 사용자의 비밀번호를 변경할 수 있습니까?

A. 예, 텔넷을 통해 TACACS+를 사용하여 내부 데이터베이스 사용자의 비밀번호를 변경할 수 있습니다.ACS 5.x의 Password Change Control 아래에서 Enable TELNET Change Password(TELNET 변경 비밀번호 활성화)를 선택해야 합니다.

Q. 기본 ACS 5.x 인스턴스는 정기적으로 백업 인스턴스를 자동으로 업데이트합니까, 아니면 컨피그레이션이 변경된 경우에만 발생합니까?

A. ACS 5.x는 Primary ACS에서 변경할 때마다 보조 ACS로 즉시 복제됩니다.또한 기본 ACS를 변경하지 않으면 15분마다 강제 복제를 수행합니다.이때 ACS가 특정 시간 후에 정보를 복제할 수 있도록 타이머를 제어하는 옵션이 없습니다.

Q. 현재 로그인되어 다른 NAS 클라이언트의 ACS에서 인증된 모든 사용자의 ACS 5.x에 대한 보고서를 보거나 내보낼 수 있습니까?

A. 네, 가능합니다.RADIUS와 TACACS+에 대한 두 가지 보고서가 있습니다.Monitoring & Reports(모니터링 및 보고서) > Reports(보고서) > Catalog(카탈로그) > Session Directory(세션 디렉토리) > RADIUS Active Sessions(RADIUS 활성 세션) 및 TACACS Active Sessions(TACACS 활성 세션)에서 찾을 수 있습니다.두 보고서 모두 NAS 클라이언트의 어카운팅 정보를 기반으로 합니다. 이 정보를 통해 사용자가 연결하고 로그아웃하는 시간을 추적할 수 있습니다.세션 기록을 사용하면 특정 날짜에 시작 및 중지 메시지를 통해 정보를 가져올 수도 있습니다.