CiscoSecureACSforWindows常见问题
Cisco Secure ACS for Windows 常见问题
问题
前⾔
如何更正“User Access Filtered”错误?
64位操作系统(OS)与ACS产品⼀起使⽤?
我不能⽤⼀个外部Windows数据库连接ACS解决⽅案引擎(SE)。为什么?
ACS Express 中是否⽀持授权命令?
如何在 Cisco Secure ACS 上启⽤ IETF 对 # 80 - 成帧池?
如何确定“Authen failed”消息类型的含义?
为什么在 ACS 上使⽤ RADIUS 对 WLC 进⾏⾝份验证会失败,以及为什么 ACS 不显⽰任何失败的尝试?
⽤户⽆法使⽤ ACS Express 对⼦域进⾏⾝份验证。为什么会发⽣这种情况?
VMWare ESX 服务器是否⽀持 Windows ACS 4.1 和 4.2?
在设置⾝份验证后尝试执⾏⾝份验证时,我收到 Chpass is currently disabled. 错误。如何修复此问题?
当我尝试使⽤ -d 命令下载数据库时,命令⽣成错误消息“Failed to initialize crypto API”。这是什么意思?
当我尝试从 Cisco Secure ACS for Windows 3.0.3 升级到 3.2 时,我收到“ACS FOLDER IS LOCKED BY ANOTHER APPLICATION”错误消息。我需要采取什么⾏动?
⽇志是否以本地 ACS 格式进⾏转换,或是否转换为 syslog?
如何在 Cisco Secure ACS SE 上每天⽣成⼀个⽇志⽂件?
有没有可⽤于访问和/或整理⽂件的任何⼯具?
什么时候是与Microsoft点对点加密(MPPE)的点对点隧道协议(PPTP)加密⽀持已添加对Cisco Secure ACS for Windows ?
ACS 是否⽀持 Microsoft 质询握⼿⾝份验证协议 (MS-CHAP)?
ACS记帐信息是否(任何更改发⽣)解析到监听、分析和答复系统(MARS) ?
ACS 已进⾏重新配置,本地登录需要提供⽤户名和⼝令。现在锁定所有⼈。如何解决此问题?
ACS ⽂档中关于 Cisco Secure ACS 命令⾏数据库实⽤程序的⼀章介绍了如何使⽤ csutil -i 命令向 ACS 中批量导⼊⼤量⽤户。如何⼤容量导⼊⽹络访问服务器 (NASes)?
我不想因为不得不列出⽹络中的所有⽹络访问服务器 (NASes) ⽽产⽣任何管理开销,它们都具有相同的 tacacs-server 密钥。如何设置对我的 NASes 使⽤的默认密钥?
我需要⼀台对 ACS 使⽤ TACACS+ 和 RADIUS 的设备进⾏⾝份验证。我想让其中的⼀个⽤于拨号,另⼀个⽤于路由器管理。如何才能执⾏此操作?
密码认证协议(PAP)和质询握⼿验证协议(CHAP)有何区别?为什么 CHAP ⽆法与 NT 数据库配合使⽤?
ACS 是否充当其他服务器的代理服务器?
ACS 中的⽤户信息存储在哪⾥?
如何备份 ACS?radius软件
我能否在⼀个 ACS 上使⽤备份实⽤程序,然后在另⼀个服务器上恢复该信息?
如何知道 ACS 软件的确切版本?
Security Dynamics International (SDI)和ACS能安装在同⼀个系统?
我是否可以将记账信息发送到另⼀个系统并在本地系统上保留⼀个副本?
ACS 是否⽀持域剥离?
什么是关系数据库管理系统 (RDBMS) 同步?
当我尝试启动 GUI 时,我看到 Invalid administration control 错误。安装成功了,⽽且服务正在运⾏。问题出在哪⾥?
当⽤户⽆法对照 NT 数据库进⾏⾝份验证时,我需要检查什么?
如何配置Novell⽬录服务器(NDS)数据库?
需要检查什么,当⽤户⽆法验证Novell⽬录服务器(NDS)时数据库?
如何能故障排除Security Dynamics International (SDI)认证问题?
我的 ACS ⾝份验证对多链路服务不起作⽤。我需要采取什么⾏动?
ACS 是否为 RADIUS 提供任何⽀持?
对于 ACS ⽀持的⽹络访问服务器 (NASes) 的数量是否有限制?
使⽤ Cisco Secure,您可以强制⽤户在给定时间段后更改其⼝令。当您使⽤ Windows NT 数据库进⾏⾝份验证时,您是否能执⾏此操作?
⽤户如何更改其⾃⼰的⼝令?
如果复制失败,我需要查看哪些事项?
我的 ACS 登录⽤户报告对某些设备起作⽤,但对另⼀些设备不起作⽤。问题出在哪⾥?
在 ACS 3.0 及以上版本中如何处理 CRYPTOCard 软件?
Cisco ⽤户的 CRYPTOAdmin ⾝份验证服务器许可证策略是什么?
ACS 记账显⽰ NAS reset 消息。哪些原因可导致出现此消息?
使⽤什么加密算法来存储 ACS ⼝令?
Cisco 是否推荐了可⽤于报告 ACS 中可⽤的记账⽇志的软件应⽤程序?
ACS 是否能够在 RADIUS 和 TACACS+ 之间执⾏转换代理以及反向操作?
如何为从ACS的PPP连接分配域名命名系统(DNS)使⽤TACACS+,和Windows Internet Naming Service (WINS)服务器IP地
址?
如何为从ACS的PPP连接分配域名命名系统(DNS)使⽤RADIUS,和Windows Internet Naming Service (WINS)服务器IP地址?
如何在注册表设置中更改 RADIUS 服务器侦听的端⼝?
是否可以将 TACACS+ 的默认端⼝更改为 TCP 49 以外的值?
我在 ACS GUI 中看到奇怪的事。例如,同⼀些⽤户出现在多个组中,并且我⽆法从数据库删除⽤户。
如何修复这种损坏?
在我重新安装软件⼏次后,我⽆法启动 RADIUS 的服务。事件错误显⽰服务终⽌,并出现特定于服务的错误 11。
ACS 安装失败,我看到关于 NSLDAPSSL32V30.dll 的错误,显⽰⽆法覆盖该⽂件。出现这种情况的原因是什么?我如何修正这个错误?
当我通过防⽕墙访问 ACS GUI 时,URL 字段中的服务器地址从全局 IP 地址变成本地地址。为什么会发⽣这种情况?
我对地理位置分散的服务器使⽤ ACS,当我复制时,服务中断。如何处理此问题?
我如何获取 ACS 3.2 以便升级到早期版本?
⽤户是否可以同时在多个组中?
当我在交换机或路由器上使⽤命令(如 aaa authentication enable default tacacs+ 或 set authentication login tacacs enable telnet primary)打开启⽤⾝份验证时,我被锁定,⽆法使⽤启⽤模式,并在路由器上收到 Error in authentication 错误消息。我需要采取什么⾏动?
默认设置允许⽤户通过 Telnet 连接到路由器来更改⾃⼰的⼝令。如何禁⽤此选项?
当请运⽤密码更改规则设置时, TACACS+密码过期规则不与SSH⼀起使⽤。如何处理此问题?
在尝试与远程代理通信的过程中有时会发⽣超时。为什么?
如何恢复 Cisco Secure ACS 服务器的⼝令?
如何删除 ACS 中的远程代理?
ACS 是否⽀持 DHCP 中继?
在向 ACS 添加远程代理时出现此错误: Failed to commit all Fields。如何解决此问题?
是否可以更改 Windows 上运⾏的 ACS 服务器的主机名?
Windows 2008 服务器平台是否⽀持 ACS?
我尝试在 ACS 上备份数据时收到 CSBackupRestore(OUT) cannot save reg key 错误消息。为什么会出现此错误?
相关信息
前⾔
本⽂档提供关于 Cisco Secure ACS for Windows (ACS) 常见问题的解答。
问。如何更正“User Access Filtered”错误?
A. 请禁⽤⽹络访问限制(NAR)或完全配置它为使⽤。
Q. 64位操作系统(OS)与ACS产品⼀起使⽤?
A. 是。 ACS 4.2.1 为 ACS Windows 和 ACS 远程代理提供 64 位 Windows ⽀持。 4.2.1 之前的 ACS 版本不⽀持 64
位操作系统。
问。我不能⽤⼀个外部Windows数据库连接ACS解决⽅案引擎(SE)。为什么?
A. 此问题的原因是外部 Windows 数据库是 64 位操作系统。使⽤ ACS 4.2.1 之前版本的 ACS 产品不能与 64 位操作
系统⼀起使⽤。在ACS版本4.2.1以上64个位OS⽀持的并且您能⽤⼀个外部Windows数据库连接ACS解
决⽅案引擎(SE)。
问。 ACS Express 中是否⽀持授权命令?
A. 否,此命令只能在 ACS 中使⽤,不能在 ACS Express 中使⽤。
问。如何在 Cisco Secure ACS 上启⽤ IETF 对 # 80 - 成帧池?
A. 您不能直接编辑此属性,因为 ACS GUI 已经有关于如何设置此值的选项。
在组编辑的“IP address assignment”部分中,有三个选项可供使⽤: “no ip address assignment”、“assigned by dialup client”和“Assigned from AAA client pool”。如果已分配池,则还有第四个选项“Assigned from AAA server pool”。
您需要使⽤第三个选项(“Assigned from AAA client pool”)。设置此选项后设置池的名称将使此值恢复为属性 88。
如果您需要在每⽤户级别配置此值,则⽤户端设置中将包含这些选项。您还需要将 AAA 客户端设置为使⽤ RADIUS (IETF)进⾏⾝份验证。
问。如何确定“Authen failed”消息类型的含义?
A. 记下消息的⽇期和时间,转到 CSAuth ⽇志⽂件并搜索此⽇期和时间。之后会显⽰该消息的更多详细说明。
问。为什么在 ACS 上使⽤ RADIUS 对 WLC 进⾏⾝份验证会失败,以及为什么 ACS 不显⽰任何失败的尝试?
A. 请注意,这是在修补程序 4 之前 ACS 5.0 和 WLC 所具有的互操作性问题。请尝试下载修补程序 8 并在 CLI 上应⽤
此修补程序,⽽不使⽤ tftp 修复此问题。
问。⽤户⽆法使⽤ ACS Express 对⼦域进⾏⾝份验证。为什么会发⽣这种情况?
A. 当⽤户未提供域名时就会出现此问题。如果未提供域名,ACS Express 将尝试追加 ACS Express 所加⼊的域的域
名。如果⽤户位于⼦域,⽽ ACS Express 加⼊了⽗域,则⽤户需要在⽤户名⾝份验证中提供完全限定的域名。
问:VMWare ESX 服务器是否⽀持 Windows ACS 4.1 和 4.2?
答:已使⽤以下配置在 VMWare ESX 服务器上对 ACS 4.1 和 4.2 进⾏了测试:
VMWare ESX 服务器 3.0.0
16 GB RAM
AMD Opteron 双核处理器
300 GB 硬盘驱动器
四台虚拟机
Windows 2003 Standard Edition
⽤于来宾操作系统的 3 GB RAM
问。在设置⾝份验证后尝试执⾏⾝份验证时,我收到 Chpass is currently disabled. 错误。如何修复此问题?
A. 必须将⽤户帐户⼝令设置为 change on login。要更改⼝令,请选择 System Configuration > Local Password Management > Disable TELNET Change Password against this ACS and return the followin
g message to the users Telnet session "Chpass is currently disabled." 并取消选中此框。这样操作后,您就可以更改⼝令了。
问。当我尝试使⽤ -d 命令下载数据库时,命令⽣成错误消息“Failed to initialize crypto API”。这是什么意思?
A. 当您使⽤本地管理员帐户以外的帐户登录到 Cisco Secure ACS 服务器时,就会收到此错误消息。这会导致 csutils
命令⽆法运⾏。
发⽣此错误的另⼀个原因是 ACS 数据库中的⼝令和 AAA 密钥通过 Microsoft Crypto API 进⾏了加密。只有本地管理员和实际系统能够访问所需的重要信息,以便对这些⼝令和密钥解密。
问。当我尝试从 Cisco Secure ACS for Windows 3.0.3 升级到 3.2 时,我收到“ACS FOLDER IS LOCKED BY ANOTHER APPLICATION”错误消息。我需要采取什么⾏动?
答:完成下⾯这些步骤。
当您尝试安装时,请运⾏ Filemon 实⽤程序以检查是否发⽣任何“共享冲突”。
1.
注意:不要使⽤终端服务来升级和临时禁⽤此服务。
请将 System Configuration > Service Control > Manage Directory 更改为只保留最后七个⽂件。
2.
问。⽇志是否以本地 ACS 格式进⾏转换,或是否转换为 syslog?
A. 否,它们是本地 syslog。
问。如何在 Cisco Secure ACS SE 上每天⽣成⼀个⽇志⽂件?
A. 对于每个 CSV ⽇志,Cisco Secure ACS 会将其写⼊单独的⽇志⽂件。当⽇志⽂件达到 10 MB ⼤⼩时,Cisco
Secure ACS 将开始写⼊新的⽇志⽂件。对于每个 CSV ⽇志,Cisco Secure ACS 保留最近的 7 个⽇志⽂件。关于⽣成⽇志的更多信息,请参阅启⽤或禁⽤ CSV ⽇志。
问。有没有可⽤于访问和/或整理⽂件的任何⼯具?
A. 未随 ACS ⼀起提供⼯具。有关更多信息,请参阅 Cisco 是否推荐了可⽤于报告 ACS 中可⽤的记账⽇志的软件应⽤
程序?
问。什么时候是与Microsoft点对点加密(MPPE)的点对点隧道协议(PPTP)加密⽀持已添加对Cisco Secure ACS for Windows
答:如果要进⾏ MPPE 密钥设置(加密),则 PPTP 2.6 版本要求使⽤ Microsoft 质询握⼿⾝份验证协议(MS-CHAP)⾝份验证。在早期版本中,可以进⾏ PPTP ⾝份验证。不过,只有在 ACS 2.6 版本之后才添加了对 MPPE 密钥设置的⽀持。
问:ACS 是否⽀持 Microsoft 质询握⼿⾝份验证协议 (MS-CHAP)?
答:ACS ⽬前⽀持 MS-CHAP 版本 1。ACS 3.0 及以上版本⽀持 MS-CHAP 版本 1 和版本 2。
Q. ACS记帐信息是否(任何更改发⽣)解析到监听、分析和答复系统(MARS) ?
A. 遗憾的是,MARS 中的当前技术⽀持只能够解析“失败的尝试”、“通过的认证”和“RADIUS 记账”⽇志。
在 ACS 5.0 中,ACS 视图将是 ACS 监控和报告的载体,⽽不仅仅包含 MARS。
问。 ACS 已进⾏重新配置,本地登录需要提供⽤户名和⼝令。现在锁定所有⼈。如何解决此问题?
A. 此问题的解决⽅案取决于现⽤软件的版本。不管您的软件是什么版本,请务必先备份 NT 注册表。
在 ACS 的早期版本中,本地登录时的⽤户名和⼝令要求可在注册表中进⾏修改。发出 regedit 命令并搜索 allow AutoLocalLogin。将注册表值更改为 1 以便允许本地登录,然后回收服务。
在 ACS 2.6 及更⾼版本中,请发出 regedit 命令并删除此位置的⽤户:
HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAA##\CSAdmin\Administrators
在 Administrators 项下,查看您创建的所有管理员。删除⽤户并退出注册表。当您访问 ACS 时,系统将不再提⽰您输⼊⽤户名和⼝令。在进⼊ GUI 后请添加管理员。
问。 ACS ⽂档中关于 Cisco Secure ACS 命令⾏数据库实⽤程序的⼀章介绍了如何使⽤ csutil -i 命令向ACS 中批量导⼊⼤量⽤户。如何⼤容量导⼊⽹络访问服务器 (NASes)?
A. ⽤于⼤容量导⼊ NASes 的过程类似于导⼊⽤户。例如下⾯的这个平⾯⽂件:
ONLINE
ADD_NAS:sam_i_am:IP:10.31.1.51:KEY:cisco:VENDOR:CISCO_T+
ADD_NAS:son_of_sam:IP:10.31.1.52:KEY:cisco:VENDOR:CISCO_R
也可以将 NASes 导⼊到特定的⽹络设备组。例如下⾯的这个平⾯⽂件:
ADD_NAS:koala:IP:10.31.1.53:KEY:cisco:VENDOR:CISCO_R:NDG:my_ndg
问。我不想因为不得不列出⽹络中的所有⽹络访问服务器 (NASes) ⽽产⽣任何管理开销,它们都具有相同的tacacs-server 密钥。如何设置对我的 NASes 使⽤的默认密钥?
答:在 NAS 配置区域通过保留主机名和 IP 地址为空⽩,添加⼀个将默认的 NAS。仅输⼊密钥。单击 Submit。然后您可以看到 NAS others 和 *.*.*.*。
注意:此过程仅适⽤于 TACACS+,不适⽤于 RADIUS。
问。我需要⼀台对 ACS 使⽤ TACACS+ 和 RADIUS 的设备进⾏⾝份验证。我想让其中的⼀个⽤于拨号,另⼀个⽤于路由器管理。如何才能执⾏此操作?
A.配置默认⽹络接⼊服务器(NAS)正如TACACS+的上⼀个问题所描述,然后列举RADIUS的NAS。如果
发出 aaa authentication ppp default if-needed RADIUS 命令,NAS 将在 RADIUS 端⼝上向 ACS 发送 RADIUS 拨号请求。
如果发出 aaa authentication login default TACACS+ 命令,NAS 将在 TACACS+ 端⼝上向 ACS 发送 TACACS+ 路由器管理请求。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论