이 문서에서는 Cisco ACS(Secure Access Control System) 5.x 이상과 관련된 가장 자주 묻는 질문(FAQ)에 대한 답변을 제공합니다.
A. 기본적으로 모든 내부 데이터베이스 사용자는 사용자 비밀번호 정책을 준수해야 합니다.현재 ACS 5.x 내부 데이터베이스의 사용자/그룹은 제외할 수 없습니다.
A. 기본적으로 모든 GUI 관리 사용자는 관리 사용자 비밀번호 정책을 준수해야 합니다.현재 ACS 5.x의 관리 사용자는 제외할 수 없습니다.
A. 아니요. 현재 VMWare 도구는 ACS 버전 5.x에서 지원되지 않습니다.자세한 내용은 Cisco 버그 ID CSCtg50048(등록된 고객만)을 참조하십시오.
A. LDAP가 ID 저장소로 사용되는 경우 ACS 5.2는 PEAP-GTC, EAP-FAST-GTC 및 EAP-TLS 프로토콜만 지원합니다.EAP-FAST MSCHAPv2, PEAP EAP-MSCHAPv2 및 EAP-MD5를 지원하지 않습니다. 자세한 내용은 인증 프로토콜 및 사용자 데이터베이스 호환성을 참조하십시오.
A. 패치 4에 앞서 ACS 5.0 및 WLC 상호 운용성에 문제가 있습니다. 패치 8을 다운로드하고 CLI에 패치를 적용합니다.이 문제를 해결하려면 TFTP를 사용하지 마십시오.
A. backup-log 명령으로 백업된 로그 파일은 복원할 수 없습니다.ACS 컨피그레이션 및 ADE-OS에 대해 백업된 파일만 복원할 수 있습니다.자세한 내용은 Cisco Secure Access Control System 5.1에 대한 CLI Reference Guide의 CLI Reference Guide에서 backup 및 backup-logs 명령을 참조하십시오.
A. 아니요. 이 기능은 ACS 5.2에서는 사용할 수 없지만 ACS 5.3에 통합될 것으로 예상됩니다. 자세한 내용은 Cisco Secure Access Control System 5.2 릴리스 정보의 지원되지 않는 기능 섹션을 참조하십시오.
A. 다음 로그인 시 비밀번호를 변경하는 옵션은 ACS 5.0에서 지원되지 않습니다. 이 기능에 대한 지원은 ACS 5.1 이상 버전에서 사용할 수 있습니다.
Cisco Secure ACS - Alarm Notification Severity: Warning Alarm Name delete 20000 sessions Cause/Trigger active sessions are over limit Alarm Details session is over 250000
A. 이 오류는 ACS 보기가 세션 250,000개의 제한에 도달하면 경보를 실행하여 세션 20,000개를 삭제합니다.ACS 보기 데이터베이스는 모든 이전 인증 세션을 저장하며 250,000에 도달하면 캐시를 지우고 20,000개의 세션을 삭제하는 경보를 표시합니다.
A. 이 오류 메시지는 SDI 인증 중에 비밀번호 관리에 문제가 있을 때 나타납니다.ACS 5.x는 Radius 프록시로 사용되며 사용자는 RSA 서버에서 인증되어야 합니다.RSA에 대한 Radius 프록시는 비밀번호 관리 없이 작동됩니다.이유는 RSA 서버에 비밀번호 값을 프록시하려면 OTP 값을 Radius 서버에서 복구해야 하기 때문입니다.터널 그룹에서 비밀번호 관리가 활성화되면 MS-CHAPv2 특성과 함께 RADIUS 요청이 전송됩니다.RSA는 MS-0CHAPv2를 지원하지 않습니다.PAP만 지원합니다.
이 문제를 해결하려면 비밀번호 관리를 비활성화합니다.자세한 내용은 Cisco 버그 ID CSCsx47423을 참조하십시오(등록된 고객만 해당).
A. 아니요. ACS 관리자가 ACS 5.1 내의 특정 장치만 관리하도록 제한할 수 없습니다.
A. 아니요, ACS는 인증에서 QoS를 지원하지 않습니다.ACS는 RADIUS를 통한 TACACS 또는 TACACS 요청보다 RADIUS 인증 요청의 우선 순위를 지정하지 않습니다.
A. 예, 모든 ACS 5.x 버전은 RADIUS 인증을 다른 RADIUS 서버에 프록시할 수 있습니다.ACS 5.3 이상에서는 TACACS 인증을 다른 TACACS 서버에 프록시할 수 있습니다.
A. 예, ACS 5.3 이상에서는 사용자의 전화 접속 권한 액세스를 허용, 거부 및 제어할 수 있습니다.권한은 Active Directory에서 인증 또는 쿼리 하는 동안 확인 됩니다.Active Directory 전용 사전에 설정되어 있습니다.
A. 예, TACACS+ CHAP 및 MSCHAP 인증 유형은 ACS 버전 5.3 이상에서 지원됩니다.
A. 예, ACS 5.3 이상에서는 ACS 내부 사용자의 비밀번호 유형을 설정할 수 있습니다.이 기능은 ACS 4.x에서 사용할 수 있습니다.
A. 예, ACS 5.3 이상에서는 사용자 생성 이후 시간 속성을 사용하여 정책을 생성할 수 있습니다.이 속성은 사용자가 내부 ID 저장소에서 생성된 이후 현재 인증 요청 시간까지 경과한 시간을 포함합니다.
A. 예, ACS 5.3 이상에서는 내부 ID 저장소에 새 호스트를 추가할 때 와일드카드를 사용할 수 있습니다.또한 식별된 제조업체의 모든 장치를 지정하기 위해 와일드카드(처음 세 개의 8진수를 입력한 후)를 입력할 수도 있습니다.
A. 아니요. 현재 ACS 5.x에 IP 주소 풀을 생성할 수 없습니다.
A. 아니요. 요청이 들어온 위치에서 AAA 클라이언트의 IP 주소를 볼 수 없습니다.
A. ACS 5.3은 보기가 다운되었을 때 누락된 로그를 복구하는 새로운 기능을 제공합니다.ACS는 이러한 누락된 로그를 수집하여 데이터베이스에 저장합니다.이 기능을 사용하면 뷰를 백업한 후 ACS 데이터베이스에서 뷰 데이터베이스로 누락된 로그를 검색할 수 있습니다.이 기능을 사용하려면 로그 메시지 복구 구성을 설정으로 설정해야 합니다.로그 메시지 복구 보기 구성에 대한 자세한 내용은 모니터링 및 보고서 뷰어 시스템 작업 을 참조하십시오.
A. 예, ACS 5.3 이상에서 database-compress 명령은 ACS 트랜잭션 테이블을 삭제하는 옵션으로 ACS 데이터베이스 크기를 줄입니다.ACS 관리자는 데이터베이스 크기를 줄이기 위해 이 명령을 실행할 수 있습니다.따라서 데이터베이스 크기와 백업 및 전체 동기화에 소요되는 시간을 단축하고 유지 관리에 필요한 시간을 줄일 수 있습니다.
A. 예, ACS 5.3 이상에서는 IP 주소를 사용하여 네트워크 디바이스를 검색할 수 있습니다.와일드카드 및 범위를 사용하여 특정 네트워크 디바이스 집합을 검색할 수도 있습니다.
A. 예, ACS 5.3 이상에서는 사용자가 ACS 내부 ID 저장소에서 생성된 시간을 기준으로 정책 규칙 조건을 구성할 수 있는 사용자 생성 이후 시간 속성을 사용할 수 있습니다.예를 들면 다음과 같습니다.IF group=HelpDesk&NumberOfHoursSinceUserCreation>48이면 거부합니다.이 속성은 사용자가 내부 ID 저장소에서 생성된 이후 현재 인증 요청 시간까지의 시간을 포함합니다.
A. 예, ACS 5.3 이상에서는 인증 ID 저장소 특성을 사용할 수 있습니다. 이 특성을 사용하면 인증 ID 저장소를 기반으로 정책 규칙 조건을 구성할 수 있습니다.예를 들면 다음과 같습니다.AuthenticationIdentityStore=LDAP_NY인 경우 거부합니다.이 속성은 사용된 ID 저장소의 이름을 포함하며 인증 성공 후 관련 ID 저장소 이름으로 업데이트됩니다.
A. ACS는 다음 시나리오에서 ID 저장소 시퀀스에 정의된 다음 ID 저장소로 이동합니다.
첫 번째 ID 저장소에서 사용자를 찾을 수 없습니다.
시퀀스에서 ID 저장소를 사용할 수 없습니다.
A. 계정 비활성화 정책을 사용하면 구성된 날짜가 허용 날짜를 초과하거나, 구성된 일 수가 허용 일수를 초과하거나, 연속 로그인 실패 횟수가 임계값을 초과할 때 내부 ID 저장소 사용자를 비활성화할 수 있습니다.날짜 기본값은 현재 날짜로부터 30일을 초과합니다.일 기본값은 현재 날짜로부터 60일을 초과할 수 없습니다.실패 시도의 기본값은 5입니다.
A. 예, 텔넷을 통해 TACACS+를 사용하여 내부 데이터베이스 사용자의 비밀번호를 변경할 수 있습니다.ACS 5.x의 Password Change Control 아래에서 Enable TELNET Change Password(TELNET 변경 비밀번호 활성화)를 선택해야 합니다.
A. ACS 5.x는 Primary ACS에서 변경할 때마다 보조 ACS로 즉시 복제됩니다.또한 기본 ACS를 변경하지 않으면 15분마다 강제 복제를 수행합니다.이때 ACS가 특정 시간 후에 정보를 복제할 수 있도록 타이머를 제어하는 옵션이 없습니다.
A. 네, 가능합니다.RADIUS와 TACACS+에 대한 두 가지 보고서가 있습니다.Monitoring & Reports(모니터링 및 보고서) > Reports(보고서) > Catalog(카탈로그) > Session Directory(세션 디렉토리) > RADIUS Active Sessions(RADIUS 활성 세션) 및 TACACS Active Sessions(TACACS 활성 세션)에서 찾을 수 있습니다.두 보고서 모두 NAS 클라이언트의 어카운팅 정보를 기반으로 합니다. 이 정보를 통해 사용자가 연결하고 로그아웃하는 시간을 추적할 수 있습니다.세션 기록을 사용하면 특정 날짜에 시작 및 중지 메시지를 통해 정보를 가져올 수도 있습니다.