Threat Grid裝置版本2.12.0.1 - 2.12.2 Radius錯誤解決方法

下載選項

  • PDF     (598.6 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (425.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (213.4 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2021 年 3 月 24 日
文件 ID:216923

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

在2.12.0.1版到2.12.2版之間的Threat Grid裝置上,引入了一個破壞Radius身份驗證支援的錯誤。 

下一個軟體版本提供永久修復。

本文將討論到下次重新啟動之前有效的短期解決方法。  如果使用者有權訪問Opadmin門戶(假設身份驗證配置為使用Radius或系統身份驗證),則可以應用此解決方法

如果使用者無法存取Opadmin,請建立TAC案例以進行疑難排解。

問題

升級到2.12.0.1 - 2.12.2之間後,Radius驗證不適用於Opadmin和Clean介面入口網站。 

解決方案

在裝置2.12.1中,新增了「簽名命令」 — JSON文檔的支援,這些文檔在傳送到opadmin(支援>執行命令)時,以root使用者身份運行特定命令。

使用已簽名的命令,我們可以針對此錯誤實施一個解決方法,直到下次重新啟動。[此錯誤已在2.12.3中修正]

程式

作為第一步,重新啟動裝置。 

然後遵循以下說明 —  

使用Opadmin門戶:

  1. 使用系統身份驗證方法登入Opadmin門戶,瀏覽至Support > Execute Command
  2. 複製以下命令並執行:
-----BEGIN PGP SIGNED MESSAGE-----
X-Padding: TG-Proprietary-v1

{"command":["/usr/bin/bash","-c","set -e\nmkdir -p -- /run/systemd/system/radialjacket.service.d\ncat >/run/systemd/system/radialjacket.service.d/fix-execstart.conf <<'EOF'\n[Service]\nExecStart=\nExecStart=/usr/bin/with-custom-resolver /etc/resolv.conf-integration.d /usr/bin/without-mounts --fs-type=nfs --fs-type=nfs4 --fs-type=fuse --fs-type=fuse.gocryptfs -- setpriv --reuid=integration --regid=integration --inh-caps=-all --clear-groups -- /usr/bin/radialjacket -c client.crt -k client.key -r server-ca.crt -e ${host}\nEOF\nsed -i -e s@authmode@auth_mode@ /opt/appliance-config/ansible/sandcastle.confdir.d/!pre-run/generate-face-json\ntouch /etc/conf.d/radialjacket.conf\nset +e\n\nretval=0\nsystemctl daemon-reload || (( retval |= $? ))\nsystemctl restart config-template@sandcastle || (( retval |= $? ))\nsystemctl reload --no-block opadmin || (( retval |= $? ))\nsystemctl restart tg-face radialjacket || (( retval |= $? ))\nexit \"$retval\""],"environment":{"PATH":"/bin:/usr/bin"},"restrictions":{"version-not-after":"2020.04.20210209T215219","version-not-before":"2020.04.20201023T235216.srchash.3b87775455e9.rel"}}
-----BEGIN PGP SIGNATURE-----

wsBcBAABCAAQBQJgR41LCRBGH+fCiPqfvgAArtQIAHCYjCwfBtZNA+pDAnlNqI5zHt8WO38jmlCL
gWFPnYkTZH/z8JbMMsxYOrLmV+cj8sc0SKlIGUP+i8DDXh01JQCmIhGLbXtGEFqHTeizEWt7Cjxx
XjnG2BOZxR2wBtS7xTxfV5v8hA5bVTf+dd0rJHy0zgmfKI4KDvAF1i0DBuOQj+qGPo324j+Lr7uB
7UfnP2mCYpgoqzalUmseCfip+F45CXZNkUKReH4nId7wnln+51cSj++i2bVued0juSOQIib+jId7
ZlfcgWbTkN2UbTclWjArPjdemZcG5Sbsg2k/lSzkf6ni2kfu2PKe0tJjd0zMjlMqSkeSTaVOQH7e
6Sk=
-----END PGP SIGNATURE-----

3.從tgsh新啟動「late-tmpfiles.service」(控制檯)

service restart late-tmpfiles.service

4.從tgsh(控制檯)重新啟動「tg-face.service」

service restart tg-face.service

使用控制檯:

如果使用者有權訪問Appliance Console(TGSH),則可以從控制檯執行上面簽名的命令 —

登入到裝置控制檯(opadmin interface),選擇「CONSOLE」 

Threat Grid裝置控制檯

運行命令「graphql」以啟動GraphQL介面

GraphQL介面

複製以下命令並貼上到graphql介面中。按Enter鍵 — 

mutation ExecuteCommand() {
  job: ExecuteCommand(execute: "-----BEGIN PGP SIGNED MESSAGE-----\nX-Padding: TG-Proprietary-v1\n\n{\"command\":[\"/usr/bin/bash\",\"-c\",\"set -e\\nmkdir -p -- /run/systemd/system/radialjacket.service.d\\ncat >/run/systemd/system/radialjacket.service.d/fix-execstart.conf <<'EOF'\\n[Service]\\nExecStart=\\nExecStart=/usr/bin/with-custom-resolver /etc/resolv.conf-integration.d /usr/bin/without-mounts --fs-type=nfs --fs-type=nfs4 --fs-type=fuse --fs-type=fuse.gocryptfs -- setpriv --reuid=integration --regid=integration --inh-caps=-all --clear-groups -- /usr/bin/radialjacket -c client.crt -k client.key -r server-ca.crt -e ${host}\\nEOF\\nsed -i -e s@authmode@auth_mode@ /opt/appliance-config/ansible/sandcastle.confdir.d/!pre-run/generate-face-json\\ntouch /etc/conf.d/radialjacket.conf\\nset +e\\n\\nretval=0\\nsystemctl daemon-reload || (( retval |= $? ))\\nsystemctl restart config-template@sandcastle || (( retval |= $? ))\\nsystemctl reload --no-block opadmin || (( retval |= $? ))\\nsystemctl restart tg-face radialjacket || (( retval |= $? ))\\nexit \\\"$retval\\\"\"],\"environment\":{\"PATH\":\"/bin:/usr/bin\"},\"restrictions\":{\"version-not-after\":\"2020.04.20210209T215219\",\"version-not-before\":\"2020.04.20201023T235216.srchash.3b87775455e9.rel\"}}\n-----BEGIN PGP SIGNATURE-----\n\nwsBcBAABCAAQBQJgR41LCRBGH+fCiPqfvgAArtQIAHCYjCwfBtZNA+pDAnlNqI5zHt8WO38jmlCL\ngWFPnYkTZH/z8JbMMsxYOrLmV+cj8sc0SKlIGUP+i8DDXh01JQCmIhGLbXtGEFqHTeizEWt7Cjxx\nXjnG2BOZxR2wBtS7xTxfV5v8hA5bVTf+dd0rJHy0zgmfKI4KDvAF1i0DBuOQj+qGPo324j+Lr7uB\n7UfnP2mCYpgoqzalUmseCfip+F45CXZNkUKReH4nId7wnln+51cSj++i2bVued0juSOQIib+jId7\nZlfcgWbTkN2UbTclWjArPjdemZcG5Sbsg2k/lSzkf6ni2kfu2PKe0tJjd0zMjlMqSkeSTaVOQH7e\n6Sk=\n-----END PGP SIGNATURE-----\n") {
    Type
    UUID
    Result {
      Errors {
        Field
        Message
        __typename
      }
      Warnings {
        Field
        Message
        __typename
      }
      __typename
    }
    __typename
  }
}

您將看到類似於以下輸出的輸出,UUID將不同 —  

{"data":{"job":{"Type":"signed_command","UUID":"65ACA0A4-524C-4DDA-99C5-F966E21E15EC","Result":null,"__typename":"ExecuteCommandResult"}}}

然後從tgsh(控制檯)重新啟動「late-tmpfiles.service」和「tg-face.service」

service restart late-tmpfiles.service
service restart tg-face.service

警告:這僅在下次重新啟動之前實施解決方法。

使用者可以升級到2.12.3(若有),永久修正此錯誤。

TAC Authored

由思科工程師貢獻

  • Fuad Ahsan
    GATE

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品