Dit document bevat antwoorden op de meest frequent gestelde vragen (FAQ) met betrekking tot Cisco Secure Access Control System (ACS) 5.x en hoger.
A. Standaard moet elke interne gebruiker van een database voldoen aan het wachtwoordbeleid van de gebruiker. Momenteel kunnen geen gebruikers/groepen van de interne ACS 5.x-gegevensbank worden uitgesloten.
A. Standaard moet elke GUI-beheergebruiker voldoen aan het wachtwoordbeleid van de administratieve gebruiker. Momenteel kan geen enkel administratief gebruik van ACS 5.x worden uitgesloten.
A. Nee. Op dit moment worden VMWare-gereedschappen niet ondersteund met ACS versie 5.x. Raadpleeg Cisco bug-ID CSCtg50048 (alleen geregistreerde klanten) voor meer informatie.
A. Wanneer LDAP als identiteitswinkel wordt gebruikt, steunt ACS 5.2 alleen PEAP-GTC-, EAP-FAST-GTC- en EAP-TLS-protocollen. Het ondersteunt EAP-FAST MSCHAPv2, PEAP-MSCHAPv2 en EAP-MD5 niet. Raadpleeg voor meer informatie het verificatieprotocol en de compatibiliteit van de gebruikersdatabase.
A. Er is een probleem met ACS 5.0- en WLC-interoperabiliteit vóór pleister 4. Download de pleister 8 en breng de pleister aan op de CLI. Gebruik TFTP niet om dit probleem op te lossen.
A. U kunt logbestanden die van een back-up zijn gemaakt, niet herstellen met de opdracht reservekopie. U kunt alleen de bestanden herstellen waarvan een back-up is gemaakt voor de ACS-configuratie en ADE-OS. Raadpleeg de opdrachten back-up en back--bestanden in de CLI Referentiegids voor het Cisco Secure Access Control System 5.1 voor meer informatie.
A. Nee. Deze optie is niet beschikbaar voor ACS 5.2, maar wordt verwacht te worden geïntegreerd in ACS 5.3. Raadpleeg het gedeelte Functies Niet ondersteund in de Releaseopmerkingen voor Cisco Secure Access Control System 5.2 voor meer informatie.
A. De optie om het wachtwoord te wijzigen bij volgende inloggen wordt niet ondersteund in ACS 5.0. Ondersteuning voor deze optie is beschikbaar in ACS 5.1 en latere versies.
Cisco Secure ACS - Alarm Notification Severity: Warning Alarm Name delete 20000 sessions Cause/Trigger active sessions are over limit Alarm Details session is over 250000
A. Deze fout betekent dat wanneer de ACS-weergave een limiet van 250.000 sessies bereikt, het alarm gooit om 20.000 sessies te verwijderen. De ACS-Viewgegevensbank slaat alle vorige authenticatiesessies op en wanneer het 250.000 bereikt, geeft het een alarm om de cache op te ruimen en 20.000 sessies te verwijderen.
A. Deze foutmelding wordt weergegeven wanneer er een probleem is met het wachtwoordbeheer tijdens de SDI-verificatie. ACS 5.x wordt gebruikt als een Radius-proxy en de gebruikers moeten zijn gewaarmerkt door een RSA-server. De Radius-proxy naar RSA zal alleen werken zonder wachtwoordbeheer. De reden is dat de OTP-waarde moet worden hersteld door de Radius-server om de wachtwoordwaarde aan de RSA-server te bepalen. Wanneer het wachtwoordbeheer in de tunnelgroep is ingeschakeld, wordt het verzoek om Radius verstuurd met de eigenschappen MS-CHAPv2. RSA ondersteunt MS-0CHAPv2 niet; zij ondersteunt alleen PAP.
Schakel wachtwoordbeheer uit om dit probleem op te lossen. Raadpleeg voor meer informatie Cisco bug-ID CSCsx47423 (alleen geregistreerde klanten).
A. Neen, het is niet mogelijk ACS-admin te beperken om alleen bepaalde hulpmiddelen binnen ACS 5.1 te beheren.
A. Neen, ACS ondersteunt QoS niet op het gebied van authenticatie. ACS geeft geen prioriteit aan RADIUS-verificatieverzoeken boven TACACS- of TACACS-verzoeken boven RADIUS.
A. Ja, alle ACS 5.x versies kunnen de RADIUS-authenticaties aan andere RADIUS-servers proxy uitvoeren. ACS 5.3 en later kunnen de TACACS-authenticaties aan andere TACACS-servers volstaan.
A. Ja, in ACS 5.3 en later kunt u de toegang tot de inbelrechten van een gebruiker toestaan, ontkennen en controleren. De permissies worden gecontroleerd tijdens authenticaties of vragen van Actieve Map. Het wordt ingesteld in het woordenboekje Active Directory.
A. Ja, de verificatietypen TACACS+ CHAP en MSCHAP worden ondersteund in ACS versies 5.3 en later.
A. Ja, in ACS 5.3 en later kunt u het wachtwoordtype van een ACS interne gebruiker instellen. Deze optie was beschikbaar in ACS 4.x.
A. Ja, in ACS 5.3 en later kunt u het aantal uren gebruiken sinds de Creatie van de Gebruiker om uw beleid te creëren. Deze eigenschap bevat het aantal uren sinds de gebruiker in de Interne Identity Store werd aangemaakt tot het tijdstip van de huidige verificatieaanvraag.
A. Ja, ACS 5.3 en laat u later toe om wildcards te gebruiken wanneer u nieuwe hosts in de interne identiteitswinkel toevoegt. Het stelt u ook in staat om alle kaarten in te voeren (nadat u de eerste drie octetten hebt ingevoerd) om alle apparaten van de geïdentificeerde fabrikant te specificeren.
A. Nee, het is momenteel niet mogelijk IP-adresgroepen te maken op ACS 5.x.
A. Nee, het is niet mogelijk om het IP-adres van de AAA-cliënt te zien vanaf waar het verzoek binnenkwam.
A. ACS 5.3 biedt een nieuwe functie om alle logbestanden te herstellen die gemist worden wanneer de weergave omlaag is. ACS verzamelt deze gemiste loggen en slaat ze op in zijn database. Met deze functie kunt u de gemiste logbestanden uit de ACS-database terughalen naar de weergave-database nadat er een back-up is gemaakt van de weergave. Om deze functie te kunnen gebruiken, moet u de configuratie van het logbericht voor het herstellen van het wachtwoord instellen. Raadpleeg voor meer informatie over het configureren van het logberichtherstel, systeembewerkingen van het monitorvenster en het melden van meldingen.
A. Ja, in ACS 5.3 en later, vermindert de database-compress opdracht de ACS-databases met een optie om de ACS-transactietabel te verwijderen. De beheerders van ACS kunnen deze opdracht uitgeven om de omvang van de database te beperken. Dit helpt de grootte van de database en de tijd die nodig is voor back-ups en volledige synchronisatie te beperken.
A. Ja, ACS 5.3 en staat u later toe om een netwerkapparaat te zoeken met zijn IP adres. U kunt ook kaarten en het bereik gebruiken om een specifieke set netwerkapparaten te doorzoeken.
A. Ja, in ACS 5.3 en later kunt u het aantal uren gebruiken sinds de attributie van de Creatie van de Gebruiker die u in staat stelt om de voorwaarden van de beleidsregel te configureren, gebaseerd op het tijdstip waarop de gebruiker in ACS Interne Identity Store werd gemaakt. Bijvoorbeeld: ALS groep=HelpDesk&numberUrenByUserCreation>48 dan afwijzen. Deze eigenschap bevat het aantal uren sinds de gebruiker in de Interne Identity Store werd gemaakt tot het tijdstip van de huidige authenticatieaanvraag.
A. Ja, in ACS 5.3 en later kunt u de eigenschap Verificatie Identity Store gebruiken, die u in staat stelt om de beleidsregelvoorwaarden te configureren op basis van de Verificatiewinkel. Bijvoorbeeld: ALS VerificatieIdentityStore=LDAP_NY dan afwijzen. Deze eigenschap bevat de naam van de gebruikte Identity Store en wordt met de naam van de betrokken Identity Store bijgewerkt na een geslaagde verificatie.
A. Het ACS gaat naar de volgende Identity Store die in deze scenario's is gedefinieerd:
Een gebruiker is niet in de eerste Identity Store gevonden
Er is geen Identity Store beschikbaar in de volgorde
A. Met het beleid voor accountbeperking kunt u de gebruikers van Interne Identity Store uitschakelen wanneer de ingestelde datum niet langer is dan de toegestane datum, het ingestelde aantal dagen groter is dan de toegestane dagen of het aantal opeenvolgende onsuccesvolle inlogpogingen de drempel overschrijdt. De standaardwaarde voor date is meer dan 30 dagen vanaf de huidige datum. De standaardwaarde voor dagen mag niet meer dan 60 dagen vanaf de huidige dag zijn. De standaardwaarde voor mislukte pogingen is 5.
A. Ja, u mag het wachtwoord van een interne gebruiker van de gegevensbank wijzigen met behulp van TACACS+ via telnet. U moet het Wachtwoord voor wijziging inschakelen voor TELNET inschakelen bij Wachtwoordwijziging op ACS 5.x.
A. ACS 5.x zal onmiddellijk worden herhaald in de Secundaire ACS wanneer u wijzigingen aanbrengt op het Primaire ACS. Als u bovendien geen wijzigingen in het Primaire ACS aanbrengt, zal het elke 15 minuten een kracht-replicatie uitvoeren. Op dit punt is er geen optie om de timer te controleren zodat ACS de informatie na een specifieke tijd kan repliceren.
A. Ja, het is mogelijk. Er zijn twee afzonderlijke rapporten voor RADIUS en TACACS+. U kunt ze vinden onder Monitoring & Reports > Rapporten > Catalyst > Session Directory > RADIUS actieve sessies en TACACS actieve sessies. Beide rapporten zijn gebaseerd op de boekhoudkundige informatie van de NAS-klanten aangezien deze u in staat stelt te volgen wanneer de gebruiker zich aansluit en uitlogt. De sessiegeschiedenis stelt u zelfs in staat om informatie van het begin te krijgen en tijdens een bepaalde dag te stoppen.