トラブルシューティング

Size: px

Start display at page:

Download "トラブルシューティング"

きみのしんたかにし
4 years ago
Views:

APPENDIX A この付録では基本的な障害に関する情報を提供しその解決方法について説明します左側のカラムを調べて解決すべき状態を特定します次に対応するを右側のカラムで読み慎重に実行しますこの付録は次の項で構成されています管理上の問題 (P.A-2) ブラウザの問題 (P.A-3) Cisco NAC の問題 (P.A-4) データベースの問題 (P.

1 APPENDIX A この付録では基本的な障害に関する情報を提供しその解決方法について説明します左側のカラムを調べて解決すべき状態を特定します次に対応するを右側のカラムで読み慎重に実行しますこの付録は次の項で構成されています管理上の問題 (P.A-2) ブラウザの問題 (P.A-3) Cisco NAC の問題 (P.A-4) データベースの問題 (P.A-6) ダイヤルイン接続の問題 (P.A-7) プロキシの問題 (P.A-10) インストールおよびアップグレードの問題 (P.A-10) MaxSessions の問題 (P.A-10) レポートの問題 (P.A-11) サードパーティ製サーバの問題 (P.A-12) ユーザ認証の問題 (P.A-13) TACACS+ および RADIUS のアトリビュートの問題 (P.A-14) A-1

2 管理上の問題管理上の問題状態リモート管理者がブラウザで ACS の Web インターフェイスにアクセスできないまたはアクセスが許可されないという警告を受信するこの問題を解決するには次の手順を実行します 1. サポートされているブラウザを使用していることを確認しますサポートされているブラウザのリストについては Release Notes for Cisco Secure Access Control Server for Windows を参照してください 2. ACS に PING を実行し接続を確認してください 3. リモート管理者が Administration Control に登録済みの有効な管理者名およびパスワードを使用しているかどうかを確認してください 4. Java 機能がブラウザで有効になっているかどうかを確認してください 5. リモート管理者が ACS を管理するときにファイアウォール経由ネットワークアドレス変換を行うデバイス経由または HTTP プロキシサーバを使用するように設定されたブラウザ経由のいずれを使用するかを決めてくださいリモート管理者がログインできない権限のないユーザがログインできる Restart Services 機能が動作しない Allow only listed IP addresses to connect オプションが選択されていますが開始 IP アドレスと終了 IP アドレスがリストに入力されていません Administrator Control > Access Policy を選択し Start IP Address と End IP Address を指定してください Reject listed IP addresses オプションが選択されていますが開始 IP アドレスまたは終了 IP アドレスがリストに入力されていません Administrator Control > Access Policy を選択し Start IP Address と Stop IP Address を指定してくださいこの障害はシステムが応答していない場合に発生します手動でサービスを再起動するには次の手順に従いますイベント通知対象に設定されている Administrator に電子メールが送信されない 1. Windows の Start メニューから Settings > Control Panel > Administrative Tools > Services を選択します 2. CSAdmin > Stop > Start をクリックします手動で再起動してもサービスが応答しない場合はサーバをリブートしてください SMTP サーバ名が正しいかどうか確認してくださいサーバ名が正しいときは ACS を実行しているコンピュータで SMTP サーバに対して PING を実行できるかサードパーティ製の電子メールソフトウェアパッケージを使って電子メールを送信できるかどうかを確認してください電子メールアドレスでアンダースコア (_) を使用していないかどうかを確認しますリモート管理者がブラウズ中に Logon failed... protocol error というメッセージを受信する CSADMIN サービスを再起動します CSADMIN サービスを再起動するには次の手順を実行します 1. Windows の Start メニューから Control Panel > Services を選択します 2. CSAdmin > Stop > Start をクリックしますリモートの管理者がブラウザから ACS にアクセスできないまたはアクセスが許可されないという警告を受信する必要に応じてサーバを再起動します PIX Firewall 上で Network Address Translation が有効である場合ファイアウォール経由の管理は動作しません ACS をファイアウォール経由で管理するには HTTP ポート範囲を設定する必要があります Administrator Control > Access Policy を選択します ACS で指定された範囲にあるすべてのポートで PIX Firewall が HTTP トラフィックを許可するように設定する必要があります詳細については P.12-9 のアクセスポリシーを参照してください A-2

3 ブラウザの問題ブラウザの問題状態ブラウザで ACS の Web イン Internet Explorer または Netscape Navigator を開きます Help > About を選択してブラターフェイスにアクセスできなウザのバージョンを確認してください ACS がサポートしているブラウザのリストにいついては Installation Guide for Cisco Secure ACS for Windows を参照してくださいブラウザの特定バージョンに関する既知の問題についてはそのバージョンのリリースノートを参照してくださいブラウザにセッション接続が切断されたという Java メッセージが表示される Administrator データべースが破損していると考えられるリモート管理者が ACS の Web インターフェイスをブラウズできないことがあるリモート管理者の Session idle timeout の値を調べてくださいこの値は Administration Control セクションの Session Policy Setup ページに表示されます必要に応じてこの値を大きくしてくださいリモート Netscape クライアントがパスワードをキャッシングしています間違ったパスワードを入力した場合そのパスワードがキャッシュされます正しいパスワードで再認証を試みるときに間違ったパスワードが送信されますキャッシュを消去してから再認証を行うかいったんブラウザを閉じてから新しいセッションを開始してくださいクライアントブラウザでプロキシサーバが設定されていないことを確認します ACS はリモート管理セッション用として HTTP プロキシをサポートしていませんプロキシサーバの設定を無効にします A-3

4 Cisco NAC の問題 Cisco NAC の問題状態 show eou all または show eou ip address の結果実際のポスチャ確認の結果と一致しないポスチャが表示されるまたはポスチャの代わりにが表示されるが表示される場合 AAA クライアントは Cisco IOS/PIX RADIUS cisco-av-pair Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート ) 内の posture-token アトリビュート値 (AV) を受信していません表示されるポスチャが実際のポスチャ確認の結果に対応していない場合 AAA クライアントは posture-token AV ペアの間違った値を受信しています Network Admission Control(NAC; ネットワークアドミッションコントロール ) データベースのグループマッピングをチェックし正しいユーザグループが各 System Posture Token(SPT; システムポスチャトークン ) に関連付けられていることを確認します NAC 用に設定されたユーザグループで Cisco IOS/PIX cisco-av-pair VSA が正しく設定されていることを確認しますたとえば Healthy SPT を受信する NAC クライアントを認可するように設定されたグループで [009\001] cisco-av-pair チェックボックスがオンになっていることおよび [009\001] cisco-av-pair テキストボックスに次の文字列が表示されることを確認します posture-token=healthy 注意 posture-token AV ペアはポスチャ確認によって戻される SPT について ACS が AAA クライアントに通知する唯一の方法です posture-token AV ペアの設定は手動で行うため posture-token の設定に誤りがあると誤った SPT が AAA クライアントに送信され AV ペアの名前に入力ミスがあると AAA クライアントが SPT をまったく受信できなくなることがあります ( 注 ) AV ペアの名前は大文字小文字が区別されます EXEC コマンドでは Cisco IOS コマンドがチェックのときに拒否されない Cisco IOS/PIX cisco-av-pair VSA の詳細については P.C-6 の cisco-av-pair RADIUS アトリビュートについてを参照してください AAA クライアントでの Cisco IOS の設定を確認してください次の Cisco IOS コマンドが存在しない場合は AAA クライアントの設定に追加します aaa authorization command <0-15> default group TACACS+ EAP 要求に無効な署名があるログにエラーメッセージが記録されるテキストボックスの引数の正しい構文は permit argument または deny argument です ACS が無効な共有秘密情報を持つ EAP 対応デバイスからトラフィックを受信するとこのエラーメッセージがログに記録されますこのエラーが発生するのは次の 3 つの条件のうちいずれかに該当する場合です無効な署名が使用されている RADIUS パケットが転送中に破損した ACS が攻撃を受けている EAP 対応デバイスを確認して必要に応じて変更します A-4

5 Cisco NAC の問題状態 AAA クライアントの設定が誤っているため Administrator が AAA クライアントからロックアウトされている aaa authentication enable default tacacs+ の実行後イネーブルモードに入ることができないエラーメッセージ Error in authentication on the router が表示される AAA クライアントでフォールバックメソッドを設定している場合は AAA サーバへの接続を無効にしローカルまたはラインのユーザ名とパスワードを使用してログインします AAA クライアントへの直接接続をコンソールポートで試みてくださいこの方法で問題が解決しない場合は AAA クライアントのマニュアルを調べるか Cisco.com の Password Recovery Procedures ページにアクセスして特定の AAA クライアントに関する情報を確認してください ACS へのログインの失敗を確認してくださいログに CS password invalid と記されている場合はユーザがイネーブルパスワードを設定していない可能性があります Advanced TACACS+ Settings セクションで TACACS+ Enable Password を設定しますユーザ設定オプションに Advanced TACACS+ Settings セクションが表示されない場合は Interface Configuration > Advanced Configuration Options > Advanced TACACS+ Features を選択しそのオプションを選択して TACACS+ 設定をユーザ設定に表示させます次に Max privilege for any AAA Client( 通常は 15) を選択しユーザが使用する TACACS+ イネーブルパスワードを入力します 100 エンドポイントの NAC NRE とゲストアクセスの制限 EAPoUDP 状態テーブルには RADIUS 要求を削減することで ACS サーバでの DoS 攻撃 ( サービス拒絶攻撃 ) を防ぐ機能があります NAD ごとに不正な応答のないエンドポイントが最大値である 100 に達すると次のメッセージがルータコンソールに表示されます *Jan 19 09:51:04.855: %AP-4-POSTURE_EXCEED_MAX_INIT: Exceeded maximum limit (100) ルータは NAC の RADIUS 要求の処理を停止しますこのメカニズムは CTA の有無にかかわらず正規のユーザにデフォルトのネットワークアクセス ( ルータのインターフェイス ACL が許可するものすべて ) を残しますこのメッセージは 100 以上の EAPoUDP セッションが INIT 状態の場合に表示されます通常 ACS から RADIUS Accept-Accept を受信するとセッションはこの状態から移行しますただし次のいずれかの状態の間は EAPoUDP セッションはこの状態に留まります NAD に 100 を超える不正なエンドポイントが存在するルータが ACS から Access-Reject を受信するルータが ACS から応答を受信できないこの動作を基に次の推奨事項に注意してください ACS を NAC 用に正しく設定することで予期しない Access-Reject を最小限にする NAC をパッシブ ( モニタだけのモード ) に展開する場合 ACS で Network Access Restriction(NAR; ネットワークアクセス制限 ) 付きの MAC アドレスまたは IP アドレスワイルドカードを使用することにより NonResponsive Endpoint(NRE; 応答しないエンドポイント ) をすべて受け入れるように ACS を設定する単一の NAC 対応ルータの背後に 100 を超える不正なエンドポイントを持つことはできない 100 を超えると CTA 対応エンドポイントにアクセスできなくなりますデフォルトの保持期間に低い値を設定する新しいコマンドが IOS に追加されますこのコマンドにより所定の展開の必要に応じてこの制限を増やしたり減らしたりすることが可能になります A-5

6 データベースの問題データベースの問題状態 RDBMS Synchronization が正常に動作しない Database Replication が正常に動作しない外部ユーザデータベースが Group Mapping セクションで使用できない Windows 外部データベースが正常に動作しない正しいサーバが Partners リストに表示されることを確認してくださいサーバが Send または Receive に正しく設定されているかどうかを確認してください送信側のサーバで Replication リストの中に受信サーバがあるかどうか確認してください受信側のサーバで送信サーバが Accept Replication from リストで選択されているかどうかを確認してくださいまた送信側のサーバが複製パートナーリストの中にないことを確認してください送信側の ACS の複製スケジュールと受信側の ACS の複製スケジュールに矛盾がないか確認してください受信側のサーバにデュアルネットワークカードが使用されている場合送信側のサーバで Network Configuration セクションの AAA Servers テーブルに AAA サーバを追加します AAA サーバは受信サーバの IP アドレスごとに追加します送信側のサーバにデュアルネットワークカードが使用されている場合受信側のサーバでネットワーク設定の AAA Servers テーブルに AAA サーバを追加します AAA サーバは送信サーバの IP アドレスごとに追加します External User Databases セクションで外部データベースが設定されていないかユーザ名やパスワードが正しく入力されていません該当する外部データベースをクリックして設定しますユーザ名とパスワードが正しく入力されているかどうかを確認してください ACS ドメインと他のドメインとの間に双方向の信頼性 ( ダイヤルインチェック用 ) が確立されているかどうかを確認してください ACS がメンバーサーバにインストールされドメインコントローラに対する認証を行っている場合は次の URL で Authentication Failures When ACS/NT 4.0 Is Authenticating to Active Directory Field Notice を参照してください未知ユーザが認証されない b1583.shtml この問題を解決するには次の手順を実行します 1. External User Databases > Unknown User Policy を選択します 2. Check the following external user databases オプションを選択します 3. External Databases リストから未知ユーザの認証時に照合するデータベースを選択します 4. -->( 右矢印ボタン ) をクリックしてそのデータベースを Selected Databases リストに追加します 5. Up または Down をクリックし選択したデータベースを認証階層の必要な位置に移動します ACS の未知ユーザ機能を使用している場合外部データベースは PAP だけを使用して認証可能です A-6

7 ダイヤルイン接続の問題状態複数のグループに同じユーザが表示されるか ACS データベースでユーザが重複しているデータベースからユーザを削除できないコマンドラインから次のコマンドを入力してデータベースをクリーンアップします csutil -q -d -n -l dump.txt このコマンドを使用するとカウンタをクリーンアップするためにデータベースがアンロードされリロードされますヒント ACS をデフォルトの場所にインストールした場合 CSUtil.exe は C:\Program Files\CiscoSecure ACS vx.x\utils ディレクトリにあります CSUtil.exe コマンドの使用方法の詳細については付録 D CSUtil データベースユーティリティを参照してくださいダイヤルイン接続の問題状態ダイヤルインユーザが AAA クライアントに接続できない試行のレコードが TACACS+ Accounting Report または RADIUS Accounting Report に表示されない (Reports & Activity セクションで TACACS+ Accounting RADIUS Accounting または Failed Attempts をクリック ) ACS Reports または AAA クライアント Debug の出力を調べて問題がシステムエラーにあるかまたはユーザエラーにあるかを特定します次の事項を確認してください ACS をインストールする前にダイヤルインユーザが接続を確立しコンピュータに対して PING を実行できたことダイヤルインユーザがこれらを実行できなかった場合問題は ACS ではなく AAA クライアントまたはモデムの設定にあります ACS を実行しているコンピュータと AAA クライアントの両方の LAN 接続が物理的に接続されていること ACS 設定の AAA クライアントの IP アドレスが正しいこと AAA クライアント設定の ACS の IP アドレスが正しいこと TACACS+ キーまたは RADIUS キーが AAA クライアントおよび ACS の両方で同一であること ( 大文字と小文字は区別されます ) Windows ユーザデータベースを使用する場合は ppp authentication pap コマンドが各インターフェイスに対して入力されていること ACS データベースを使用する場合は ppp authentication chap pap コマンドが各インターフェイスに対して入力されていること AAA コマンドおよび TACACS+ または RADIUS のコマンドが AAA クライアントに正しく設定されていること必要なコマンドは次のディレクトリに存在します Program Files\CiscoSecure ACS vx.x\tacconfig.txt Program Files\CiscoSecure ACS vx.x\radconfig.txt ACS サービス (CSAdmin CSAuth CSDBSync CSLog CSRadius CSTacacs) が ACS を実行しているコンピュータ上で実行されていること A-7

8 ダイヤルイン接続の問題状態ダイヤルインユーザが AAA クライアントに接続できない Windows ユーザデータベースが認証に使用されている失敗した試行のレコードが Failed Attempts レポートに表示される (Reports & Activity セクションで Failed Attempts をクリック ) ダイヤルインユーザが AAA クライアントに接続できない ACS 内部データベースが認証に使用されている失敗した試行のレコードが Failed Attempts レポートに表示される (Reports & Activity セクションで Failed Attempts をクリック ) ACS 内部データベースでローカルユーザを作成し認証が成功するかどうかをテストします成功した場合問題は Windows または ACS の認証に対してユーザ情報が正しく設定されていないことにあります Windows User Manager または Active Directory Users and Computers から次の項目を確認します Windows User Manager または Active Directory Users and Computers でユーザ名とパスワードが設定されていることワークステーションを介した認証でユーザがドメインにログインできること User Properties ウィンドウで User Must Change Password at Login が有効になっていること User Properties ウィンドウで Account Disabled がオフになっていること ACS が認証に Grant dial-in permission to user オプションを使用している場合ダイヤルインウィンドウの User Properties ウィンドウでこのオプションが有効になっていること ACS から次の項目を確認しますユーザ名がすでに ACS に入力されている場合ユーザの User Setup ページにある Password Authentication リストで Windows ユーザデータベース設定が選択されていることユーザ名がすでに ACS に入力されている場合そのユーザが割り当てられた ACS のグループで正しい認可 (IP/PPP IPX/PPP Exec/Telnet など ) が有効になっていること設定を変更したときは Submit + Restart をクリックしてください Windows ユーザデータベース内のユーザ期限満了情報による認証の失敗が起きていないことのため Windows ユーザデータベースのユーザについてパスワードの有効期限を無効にします External User Databases をクリックし次に List All Databases Configured をクリックして Windows のデータベース設定が一覧表示されることを確認します External User Databases セクションの Configure Unknown User Policy テーブルで Fail the Attempt オプションがオフになっていることを確認しますまた Selected Databases リストに必要なデータベースが反映されていることを確認しますユーザが属している Windows グループに No Access が適用されていないか確認します ACS から次の項目を確認します ACS にユーザ名が入力されていること Password Authentication リストで ACS 内部データベースが選択されユーザの User Setup にパスワードが入力されていることユーザを割り当てた ACS のグループで正しい認可 (IP/PPP IPX/PPP Exec/Telnet など ) が有効になっていること設定を変更したときは Submit + Restart をクリックしてください失効情報によって認証の失敗が起きていないことのために Expiration を Never に設定します A-8

9 ダイヤルイン接続の問題状態ダイヤルインユーザが AAA クライアントに接続できないただし Telnet 接続は LAN の全体にわたって認証されるこの場合問題は次の 3 つのうちのいずれかに分類されます回線またはモデムの設定に問題がありますモデムのマニュアルを参照してモデムが正しく設定されているかどうかを確認してくださいユーザが正しい認可権限のあるグループに割り当てられていない認可権限は Group Setup で修正できますユーザ設定を行うとグループ設定が無効になりますダイヤルインユーザが AAA クライアントに接続できない Telnet 接続も LAN 全体にわたって認証されない ACS か TACACS+ または RADIUS の設定が AAA クライアントで正しく行われていませんさらに LAN に接続されているワークステーションからアクセスサーバへの Telnet を試行することによって ACS の接続を検証できます Telnet が正常に認証された場合は ACS が AAA クライアントで正しく動作していることが確認されます ACS レポートを表示することで ACS が要求を受信しているかどうかを調べますレポートに書かれていない事項および使用データベースに基づいて次に示す問題のを行います回線またはモデムの設定に問題がありますモデムのマニュアルを参照してモデムが正しく設定されているかどうかを確認してください Windows ユーザデータベースまたは ACS 内部データベースにユーザが存在せずパスワードが正しくない可能性があります認証パラメータは User Setup で修正できます ACS か TACACS+ または RADIUS の設定が AAA クライアントで正しく行われていませんコールバックが動作しない PAP の使用時ユーザ認証が失敗するローカルの認証を使用しているときに AAA クライアント上でコールバックが動作することを確認しますその後で AAA 認証を追加します送信 PAP がイネーブルになっていません Failed Attempts レポートに送信 PAP を使用していると示された場合は Interface Configuration セクションに移動し Per-User Advanced TACACS+ Features チェックボックスをオンにします次に User Setup ページの Advanced TACACS+ Settings テーブルの TACACS+ Outbound Password セクションを選択し指定されたボックスにパスワードを入力して確認します A-9

10 プロキシの問題プロキシの問題状態別のサーバへのプロキシ要求が失敗する次の条件が満たされていることを確認しますリモートサーバの方向が Incoming/Outgoing または Incoming に設定され認証転送サーバの方向が Incoming/Outgoing または Outgoing に設定されていること共有秘密 ( キー ) が片方あるいは両方の ACS の共有秘密 ( キー ) と一致していること文字列とデリミタが Proxy Distribution テーブルで設定されているストリップ情報と一致しその位置が正しく Prefix または Suffix に設定されていること上記の条件が満たされている場合はサーバがダウンしているかフォールバックサーバが設定されていない可能性があります Network Configuration セクションを選択しフォールバックサーバを設定しますフォールバックサーバが使用されるのは次の場合だけですリモート ACS がダウンしているサービス (CSTacacs CSRadius または CSAuth) がダウンしている秘密キーが間違って設定されている Inbound または Outbound メッセージ通信が間違って設定されているインストールおよびアップグレードの問題状態 ACS をアップグレードまたはアンイン Windows レジストリから次のレジストリキーを削除しますストールしようとすると次のエラー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ メッセージが表示される CurrentVersion\Uninstall\CiscoSecure The following file is invalid or the data is corrupted "DelsL1.isu" 以前のアカウンティングログがすべて見当たらない ACS ソフトウェアの再インストールまたはアップグレード時にはこれらのファイルが削除されるためこれらのファイルは事前に別のディレクトリに移動しておく必要があります MaxSessions の問題状態 MaxSessions over VPDN が動作しない MaxSessions over VPDN の使用はサポートされていません User MaxSessions が不安定または信頼できない User MaxSessions が反映されない ACS と AAA クライアントとの接続が不安定なためにサービスが再開されている可能性があります Single Connect TACACS+ AAA Client チェックボックスをオフにします AAA クライアントでアカウンティングを設定してあることとアカウンティングの開始レコードと停止レコードを受信していることを確認してください A-10

11 レポートの問題レポートの問題状態 lognameactive.csv レポートがブランクであるレポートがブランクである Unknown User 情報がレポートに含まれないエントリが 1 ユーザセッションに対して 2 つ記録される日付フォーマットを変更しても Logged-In User リストと CSAdmin ログの日付が変更前のフォーマットで表示されるログ機能が使用できない場合の認証機能への影響一部のデバイスで Logged in Users レポートが機能しないプロトコルの設定が最近変更されましたプロトコルの設定を変更すると既存の lognameactive.csv レポートファイルは lognameyyyy-mm-dd.csv にリネームされブランクの新規 lognameactive.csv レポートが生成されます System Configuration の Logging にある Log Target の reportname で Log to reportname Report が選択されていることを確認してくださいさらに Network Configuration の servername で Access Server Type を ACS for Windows NT に設定する必要があります Unknown User データベースが変更されています Accounting レポートには今までどおり未知のユーザ情報が含まれていますリモートロギング機能の設定でアカウンティングパケットの送信先が Proxy Distribution Table の Send Accounting Information フィールドと同じ場所に設定されていないことを確認します変更を確認するには CSAdmin サービスを再起動して再びログインしますローカルロギングまたはリモートロギングの通常動作が停止するとすべてのワーカースレッドがロギングの割り当てでビジーになるため認証機能がすぐに停止しますロギング機能が修正されると認証が復元しますしたがってロギングサービスログのが必要です Logged in Users レポートを機能させるには少なくとも次のフィールドがパケットに含まれている必要があります ( これはこのレポートだけでなくセッションを持つほとんどの機能に当てはまります ) 認証要求パケット - nas-ip-address - nas-port アカウンティング開始パケット - nas-ip-address - nas-port - session-id - framed-ip-address アカウンティング停止パケット - nas-ip-address - nas-port - session-id - framed-ip-address また接続が短く開始パケットと停止パケットの間にほとんど時間がない場合 ( たとえば PIX Firewall を介した HTTP など ) Logged in Users レポートは失敗する可能性があります A-11

12 サードパーティ製サーバの問題サードパーティ製サーバの問題状態 RSA トークンサーバを正しく設定できない認証要求で外部データベースがヒットしない RSA/agent 認証は機能しているが ACE/SDI サーバで ACS からの着信要求が表示されないこの問題を解決するには次の手順を実行します 1. ACS を実行しているコンピュータにログインします ( ログインアカウントに管理者特権があることを確認してください ) 2. RSA クライアントソフトウェアが ACS と同一のコンピュータにインストールされていることを確認します 3. セットアップの指示にしたがって実行しますインストール終了時に再起動しないでください 4. sdconf.rec という名前のファイルを RSA ACE サーバの /data ディレクトリで検索します 5. sdconf.rec を %SystemRoot%\system32 ディレクトリに置きます 6. ACE サーバを実行しているマシンに対してホスト名で PING を実行できることを確認します ( このマシンを lmhosts ファイルに追加する必要があります ) 7. RSA のサポートが ACS の External User Database の Database Configuration で有効になっていることを確認します 8. Windows の Control Panel から ACE/Client アプリケーションに対して Test Authentication を実行します 9. ACS からトークンサーバをインストールしますロギングをフルに設定します System Configuration > Service Control を選択します auth.log を調べて認証要求がサードパーティ製サーバに転送されていることを確認します転送されていない場合は外部データベースの設定と未知ユーザポリシーの設定が正しいことを確認しますダイヤルアップユーザの場合は MS-CHAP や CHAP ではなく PAP を使用していることを確認してください RSA/SDI は CHAP をサポートしていないので ACS は RSA サーバに要求を送信せず外部データベースの障害としてエラーを記録します A-12

13 ユーザ認証の問題ユーザ認証の問題状態管理者が Dialin Permission 設定を無効にしても Windows データベースユーザはダイヤルインが可能で Windows ユーザデータベースで設定されたコールバック文字列を使用できる (Dialin Permission チェックボックスを表示するには External User Databases > Database Configuration > Windows Database > Configure を選択します ) ACS サービスを再起動してください手順については P.8-2 のサービスの停止開始再開を参照してくださいユーザが新しいグループから設定を継承しない認証に失敗する新しいグループに移動したユーザは新しいグループの設定を継承しますが既存のユーザ設定も保持しています手動で User Setup セクションの設定を変更します Failed Attempts レポートを調べますリトライ間隔が短すぎる可能性があります ( デフォルトは 5 秒です ) AAA クライアントのリトライ間隔 (tacacs-server timeout 20) を 20 以上に増やしてください Windows ユーザデータベースに対する認証中に AAA クライアントがタイムアウトする認証に失敗し Unknown NAS というエラーが Failed Attempts ログに記録される TACACS+/RADIUS タイムアウト間隔をデフォルトの 5 から 20 に増やしてください Cisco IOS コマンドを次のように設定します tacacs-server timeout 20 radius-server timeout 20 次の事項を確認してください AAA クライアントが Network Configuration セクションの下に設定されていること AAA クライアントで RADIUS/TACACS source-interface コマンドを設定してある場合は指定されたインターフェイスの IP アドレスを使用して ACS 上のクライアントが設定されていること認証に失敗し key mismatch というエラーが Failed Attempts ログに記録される TACACS+ キーまたは RADIUS キーが AAA クライアントおよび ACS で同一であることを確認してください ( 大文字と小文字は区別されます ) 両方のキーが同一であることを確認するためキーを再入力しますユーザの認証はできるが認可が予期したものと異なる LEAP 認証に失敗し Radius extension DLL rejected user というエラーが Failed Attempts ログに記録されるベンダーが違えば使用する AV ペアも異なりますあるベンダープロトコルで使用されている AV ペアが別のベンダープロトコルでは無視されることがありますユーザの設定に正しいベンダープロトコルたとえば RADIUS(Cisco IOS/PIX) が反映されているかどうかを確認してください Access Point で正しい認証タイプが設定されていることを確認します少なくとも Network-EAP チェックボックスがオンになっていることは確認します認証に外部ユーザデータベースを使用している場合はそれがサポートされていることを確認します詳細については P.1-8 の認証プロトコルとデータベースの互換性を参照してください A-13

14 TACACS+ および RADIUS のアトリビュートの問題 TACACS+ および RADIUS のアトリビュートの問題状態 TACACS+ および RADIUS のアトリ Network Configuration セクションで RADIUS または TACACS+ の AAA クライアビュートが Group Setup ページに表示ントを少なくとも 1 つ設定するようにしさらに Interface Configuration セクショされないンで設定の必要なアトリビュートを有効にしてください ( 注 ) 一部のアトリビュートは ACS ではユーザによる設定はできませんがこれらのアトリビュートの値は ACS によって設定されます A-14

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズコンセントレータの設定

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズコンセントレータの設定目次概要前提条件要件使用するコンポーネントネットワーク図 VPN 3000 コンセントレータの設定グループの設定 RADIUS の設定 Cisco Secure NT RADIUS サーバの設定 VPN 3000 コンセントレータ用のエントリの設定 NT