トラブルシューティング

(1)

A P P E N D I X

A

トラブルシューティング

この付録では、基本的な障害に関する情報を提供し、その解決方法について説明します。左側のカラムを調べて、解決すべき状態を特定します。次に、対応する回復処置を右側のカラムで読み、慎重に実行します。この付録は、次の項で構成されています。 • 管理上の問題（P.A-2） • ブラウザの問題（P.A-3）

• Cisco NAC の問題（P.A-4）

• データベースの問題（P.A-6） • ダイヤルイン接続の問題（P.A-7） • プロキシの問題（P.A-10） • インストールおよびアップグレードの問題（P.A-10） • MaxSessions の問題（P.A-10） • レポートの問題（P.A-11） • サードパーティ製サーバの問題（P.A-12） • ユーザ認証の問題（P.A-13）

(2)

付録A トラブルシューティング 管理上の問題

管理上の問題

状態回復処置リモート管理者が、ブラウザで ACS の Web インターフェイスにアクセスできない、またはアクセスが許可されないという警告を受信する。この問題を解決するには、次の手順を実行します。 1. サポートされているブラウザを使用していることを確認します。サポートされて いるブラウザのリストについては、『Release Notes for Cisco Secure Access Control Server for Windows』を参照してください。

2. ACS に PING を実行し、接続を確認してください。 3. リモート管理者が Administration Control に登録済みの有効な管理者名およびパス ワードを使用しているかどうかを確認してください。 4. Java 機能がブラウザで有効になっているかどうかを確認してください。 5. リモート管理者が ACS を管理するときに、ファイアウォール経由、ネットワーク アドレス変換を行うデバイス経由、または HTTP プロキシサーバを使用するように設定されたブラウザ経由のいずれを使用するかを決めてください。リモート管理者がログインできない。

Allow only listed IP addresses to connect オプションが選択されていますが、開始 IP ア ドレスと終了 IP アドレスがリストに入力されていません。Administrator Control > Access Policy を選択し、Start IP Address と End IP Address を指定してください。 権限のないユーザがログインで

きる。

Reject listed IP addresses オプションが選択されていますが、開始 IP アドレスまたは終 了 IP アドレスがリストに入力されていません。Administrator Control > Access Policy を選択し、Start IP Address と Stop IP Address を指定してください。

Restart Services 機能が動作しない。

この障害は、システムが応答していない場合に発生します。手動でサービスを再起動するには、次の手順に従います。

1. Windows の Start メニューから Settings > Control Panel > Administrative Tools > Services を選択します。

2. CSAdmin > Stop > Start をクリックします。

手動で再起動してもサービスが応答しない場合は、サーバをリブートしてください。イベント通知対象に設定されている Administrator に電子メールが送信されない。 SMTP サーバ名が正しいかどうか確認してください。サーバ名が正しいときは、ACS を実行しているコンピュータで、SMTP サーバに対して PING を実行できるか、サードパーティ製の電子メールソフトウェアパッケージを使って電子メールを送信できるかどうかを確認してください。電子メールアドレスでアンダースコア（_）を使用していないかどうかを確認します。リモート管理者が、ブラウズ中に Logon failed . . . protocol error というメッセージを受信

する。

CSADMIN サービスを再起動します。CSADMIN サービスを再起動するには、次の手順を実行します。

1. Windows の Start メニューから Control Panel > Services を選択します。 2. CSAdmin > Stop > Start をクリックします。

必要に応じて、サーバを再起動します。リモートの管理者が、ブラウザ

から ACS にアクセスできない、またはアクセスが許可されないという警告を受信する。

PIX Firewall 上で Network Address Translation が有効である場合、ファイアウォール経由の管理は動作しません。

ACS をファイアウォール経由で管理するには、HTTP ポート範囲を設定する必要があります。Administrator Control > Access Policy を選択します。ACS で指定された範囲にあるすべてのポートで、PIX Firewall が HTTP トラフィックを許可するように設定する必要があります。詳細については、P.12-9 の「アクセスポリシー」を参照してくだ

(3)

付録A トラブルシューティング ブラウザの問題

ブラウザの問題

状態回復処置ブラウザで、ACS の Web インターフェイスにアクセスできない。

Internet Explorer または Netscape Navigator を開きます。Help > About を選択して、ブラ ウザのバージョンを確認してください。ACS がサポートしているブラウザのリストについては、『Installation Guide for Cisco Secure ACS for Windows』を参照してください。

ブラウザの特定バージョンに関する既知の問題については、そのバージョンのリリースノートを参照してください。

ブラウザに、セッション接続が切断されたという Java メッセージが表示される。

リモート管理者の Session idle timeout の値を調べてください。この値は、

Administration Control セクションの Session Policy Setup ページに表示されます。必要 に応じて、この値を大きくしてください。 Administrator データべースが破損していると考えられる。リモート Netscape クライアントがパスワードをキャッシングしています。間違ったパスワードを入力した場合、そのパスワードがキャッシュされます。正しいパスワードで再認証を試みるときに間違ったパスワードが送信されます。キャッシュを消去してから再認証を行うか、いったんブラウザを閉じてから新しいセッションを開始してください。リモート管理者が ACS の Web インターフェイスをブラウズできないことがある。クライアントブラウザでプロキシサーバが設定されていないことを確認します。ACS は、リモート管理セッション用として HTTP プロキシをサポートしていません。プロキシサーバの設定を無効にします。

(4)

付録A トラブルシューティング Cisco NAC の問題

Cisco NAC の問題

状態回復処置

show eou all または show eou ip address の結果、実際のポス

チャ確認の結果と一致しないポスチャが表示される、またはポスチャの代わりに「---」が表示される。

「---」が表示される場合、AAA クライアントは、Cisco IOS/PIX RADIUS cisco-av-pair Vendor-Specific Attribute（VSA; ベンダー固有アトリビュート）内の posture-token アトリビュート値（AV）を受信していません。表示されるポスチャが実際のポスチャ確認の結果に対応していない場合、AAA クライアントは posture-token AV ペアの間違った値を受信しています。

Network Admission Control（NAC; ネットワークアドミッションコントロール）データベースのグループマッピングをチェックし、正しいユーザグループが各 System Posture Token（SPT; システムポスチャトークン）に関連付けられていることを確認します。NAC 用に設定されたユーザグループで、Cisco IOS/PIX cisco-av-pair VSA が正しく設定されていることを確認します。たとえば、Healthy SPT を受信する NAC クライアントを認可するように設定されたグループで、[009\001] cisco-av-pair チェックボックスがオンになっていること、および [009\001] cisco-av-pair テキストボックスに次の 文字列が表示されることを確認します。 posture-token=Healthy 注意 posture-token AV ペアは、ポスチャ確認によって戻される SPT について ACS が AAA クライアントに通知する唯一の方法です。posture-token AV ペアの設定は手動で行うため、posture-token の設定に誤りがあると、誤った SPT が AAA クライアントに送信され、AV ペアの名前に入力ミスがあると、AAA クライアントが SPT をまったく受信できなくなることがあります。（注） AV ペアの名前は、大文字小文字が区別されます。

Cisco IOS/PIX cisco-av-pair VSA の詳細については、P.C-6 の「cisco-av-pair RADIUS ア

トリビュートについて」を参照してください。

EXEC コマンドでは、Cisco IOS コマンドがチェックのときに拒否されない。

AAA クライアントでの Cisco IOS の設定を確認してください。次の Cisco IOS コマンドが存在しない場合は、AAA クライアントの設定に追加します。

aaa authorization command <0-15> default group TACACS+

テキスト ボックスの引数の正しい構文は、permit argument または deny argument です。 EAP 要求に無効な署名がある。ログにエラーメッセージが記録される。 ACS が無効な共有秘密情報を持つ EAP 対応デバイスからトラフィックを受信すると、このエラーメッセージがログに記録されます。このエラーが発生するのは、次の 3 つの条件のうち、いずれかに該当する場合です。 • 無効な署名が使用されている。 • RADIUS パケットが転送中に破損した。 • ACS が攻撃を受けている。 EAP 対応デバイスを確認して、必要に応じて変更します。

(5)

付録A トラブルシューティング Cisco NAC の問題 AAA クライアントの設定が誤っているため、Administrator が AAA クライアントからロックアウトされている。 AAA クライアントでフォールバックメソッドを設定している場合は、AAA サーバへの接続を無効にし、ローカルまたはラインのユーザ名とパスワードを使用してログインします。 AAA クライアントへの直接接続をコンソールポートで試みてください。この方法で問題が解決しない場合は、AAA クライアントのマニュアルを調べるか、Cisco.com の

Password Recovery Procedures ページにアクセスして、特定の AAA クライアントに関する情報を確認してください。

aaa authentication enable

default tacacs+ の実行後、イ

ネーブルモードに入ることができない。エラーメッセージ

Error in authentication on

the router が表示される。

ACS へのログインの失敗を確認してください。ログに CS password invalid と記され

ている場合は、ユーザがイネーブルパスワードを設定していない可能性があります。 Advanced TACACS+ Settings セクションで TACACS+ Enable Password を設定します。 ユーザ設定オプションに Advanced TACACS+ Settings セクションが表示されない場合は、Interface Configuration > Advanced Configuration Options > Advanced TACACS+ Features を選択し、そのオプションを選択して、TACACS+ 設定をユーザ設定に表示 させます。次に、Max privilege for any AAA Client（通常は 15）を選択し、ユーザが使用する TACACS+ イネーブルパスワードを入力します。

100 エンドポイントの NAC NRE とゲストアクセスの制限。

EAPoUDP 状態テーブルには、RADIUS 要求を削減することで、ACS サーバでの DoS 攻撃（サービス拒絶攻撃）を防ぐ機能があります。

NAD ごとに不正な応答のないエンドポイントが最大値である 100 に達すると、次のメッセージがルータコンソールに表示されます。

*Jan 19 09:51:04.855: %AP-4-POSTURE_EXCEED_MAX_INIT: Exceeded maximum limit (100)

ルータは、NAC の RADIUS 要求の処理を停止します。このメカニズムは、CTA の有無にかかわらず、正規のユーザにデフォルトのネットワークアクセス（ルータのインターフェイス ACL が許可するものすべて）を残します。

このメッセージは、100 以上の EAPoUDP セッションが INIT 状態の場合に表示されます。通常、ACS から RADIUS Accept-Accept を受信すると、セッションはこの状態から移行します。ただし、次のいずれかの状態の間は、EAPoUDP セッションはこの状態に留まります。 • NAD に 100 を超える不正なエンドポイントが存在する。 • ルータが ACS から Access-Reject を受信する。 • ルータが ACS から応答を受信できない。 この動作を基に、次の推奨事項に注意してください。

• ACS を NAC 用に正しく設定することで、予期しない Access-Reject を最小限にす る。

• NAC をパッシブ（モニタだけのモード）に展開する場合、ACS で Network Access Restriction（NAR; ネットワークアクセス制限）付きの MAC アドレスまたは IP アドレスワイルドカードを使用することにより、NonResponsive Endpoint（NRE; 応答しないエンドポイント）をすべて受け入れるように ACS を設定する。 • 単一の NAC 対応ルータの背後に 100 を超える不正なエンドポイントを持つこと はできない。100 を超えると、CTA 対応エンドポイントにアクセスできなくなります。 • デフォルトの保持期間に低い値を設定する。 新しいコマンドが IOS に追加されます。このコマンドにより、所定の展開の必要に応じてこの制限を増やしたり、減らしたりすることが可能になります。状態回復処置

(6)

付録A トラブルシューティング データベースの問題

データベースの問題

状態回復処置 RDBMS Synchronization が正常に動作しない。正しいサーバが Partners リストに表示されることを確認してください。 Database Replication が正常に動作しない。 • サーバが Send または Receive に正しく設定されているかどうかを確認してくださ い。 • 送信側のサーバで、Replication リストの中に受信サーバがあるかどうか確認して ください。

• 受信側のサーバで、送信サーバが Accept Replication from リストで選択されている かどうかを確認してください。また、送信側のサーバが複製パートナーリストの中にないことを確認してください。

• 送信側の ACS の複製スケジュールと、受信側の ACS の複製スケジュールに矛盾 がないか確認してください。

• 受信側のサーバにデュアルネットワークカードが使用されている場合、送信側の サーバで、Network Configuration セクションの AAA Servers テーブルに AAA サーバを追加します。AAA サーバは受信サーバの IP アドレスごとに追加します。送信側のサーバにデュアルネットワークカードが使用されている場合、受信側のサーバで、ネットワーク設定の AAA Servers テーブルに AAA サーバを追加します。AAA サーバは送信サーバの IP アドレスごとに追加します。

外部ユーザデータベースが Group Mapping セクションで使用できない。

External User Databases セクションで外部データベースが設定されていないか、ユーザ名やパスワードが正しく入力されていません。該当する外部データベースをクリックして設定します。ユーザ名とパスワードが正しく入力されているかどうかを確認してください。 Windows 外部データベースが正常に動作しない。 ACS ドメインと他のドメインとの間に、双方向の信頼性（ダイヤルインチェック用）が確立されているかどうかを確認してください。 ACS がメンバーサーバにインストールされ、ドメインコントローラに対する認証を行っている場合は、次の URL で『Authentication Failures When ACS/NT 4.0 Is

Authenticating to Active Directory』Field Notice を参照してください。

http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_field_notice09186a00800 b1583.shtml

未知ユーザが認証されない。この問題を解決するには、次の手順を実行します。

1. External User Databases > Unknown User Policy を選択します。 2. Check the following external user databases オプションを選択します。

3. External Databases リストから、未知ユーザの認証時に照合するデータベースを選 択します。 4. -->（右矢印ボタン）をクリックして、そのデータベースを Selected Databases リス トに追加します。 5. Up または Down をクリックし、選択したデータベースを認証階層の必要な位置に 移動します。 ACS の未知ユーザ機能を使用している場合、外部データベースは PAP だけを使用して認証可能です。

(7)

付録A トラブルシューティング ダイヤルイン接続の問題

ダイヤルイン接続の問題

複数のグループに同じユーザが表示されるか、ACS データベースでユーザが重複している。データベースからユーザを削除できない。コマンドラインから次のコマンドを入力して、データベースをクリーンアップします。 csutil -q -d -n -l dump.txt このコマンドを使用すると、カウンタをクリーンアップするために、データベースがアンロードされ、リロードされます。ヒント ACS をデフォルトの場所にインストールした場合、CSUtil.exe は

C:\Program Files\CiscoSecure ACS vX.X\Utils ディレクトリにあります。 CSUtil.exe コマンドの使用方法の詳細については、付録 D「CSUtil データベースユーティリティ」を参照してください。状態回復処置ダイヤルインユーザが AAA クライアントに接続できない。試行のレコードが TACACS+ Accounting Report または RADIUS Accounting Report に表示されない（Reports & Activity セクションで、TACACS+ Accounting、RADIUS Accounting、または Failed Attempts をクリック）。

ACS Reports または AAA クライアント Debug の出力を調べて、問題がシステムエラーにあるか、またはユーザエラーにあるかを特定します。次の事項を確認してください。

• ACS をインストールする前に、ダイヤルインユーザが接続を確立し、コンピュータに対して PING を実行できたこと。ダイヤルインユーザがこれらを実行できなかった場合、問題は ACS ではなく、AAA クライアントまたはモデムの設定にあります。

• ACS を実行しているコンピュータと AAA クライアントの両方の LAN 接続が物理 的に接続されていること。

• ACS 設定の AAA クライアントの IP アドレスが正しいこと。 • AAA クライアント設定の ACS の IP アドレスが正しいこと。

• TACACS+ キーまたは RADIUS キーが、AAA クライアントおよび ACS の両方で 同一であること（大文字と小文字は区別されます）。

• Windows ユーザデータベースを使用する場合は、ppp authentication pap コマンド が各インターフェイスに対して入力されていること。

• ACS データベースを使用する場合は、ppp authentication chap pap コマンドが各イ ンターフェイスに対して入力されていること。

• AAA コマンドおよび TACACS+、または RADIUS のコマンドが、AAA クライア ントに正しく設定されていること。必要なコマンドは、次のディレクトリに存在します。

Program Files\CiscoSecure ACS vx.x\TacConfig.txt Program Files\CiscoSecure ACS vx.x\RadConfig.txt

• ACS サービス（CSAdmin、CSAuth、CSDBSync、CSLog、CSRadius、CSTacacs）が、 ACS を実行しているコンピュータ上で実行されていること。

(8)

付録A トラブルシューティング ダイヤルイン接続の問題ダイヤルインユーザが AAA クライアントに接続できない。 Windows ユーザデータベースが認証に使用されている。失敗した試行のレコードが Failed Attempts レポートに表示される（Reports & Activity セクションで Failed Attempts をク リック）。

ACS 内部データベースでローカルユーザを作成し、認証が成功するかどうかをテストします。成功した場合、問題は、Windows または ACS の認証に対してユーザ情報が正しく設定されていないことにあります。

Windows User Manager または Active Directory Users and Computers から、次の項目を確認します。

• Windows User Manager または Active Directory Users and Computers で、ユーザ名と パスワードが設定されていること。

• ワークステーションを介した認証で、ユーザがドメインにログインできること。 • User Properties ウィンドウで User Must Change Password at Login が有効になってい

ること。

• User Properties ウィンドウで Account Disabled がオフになっていること。

• ACS が認証に Grant dial-in permission to user オプションを使用している場合、ダイ ヤルインウィンドウの User Properties ウィンドウでこのオプションが有効になっていること。

ACS から、次の項目を確認します。

• ユーザ名がすでに ACS に入力されている場合、ユーザの User Setup ページにある Password Authentication リストで Windows ユーザデータベース設定が選択されていること。 • ユーザ名がすでに ACS に入力されている場合、そのユーザが割り当てられた ACS のグループで正しい認可（IP/PPP、IPX/PPP、Exec/Telnet など）が有効になっていること。設定を変更したときは、Submit + Restart をクリックしてください。 • Windows ユーザデータベース内のユーザ期限満了情報による認証の失敗が起きて いないこと。トラブルシューティングのため、Windows ユーザデータベースのユーザについてパスワードの有効期限を無効にします。

External User Databases をクリックし、次に List All Databases Configured をクリック して、Windows のデータベース設定が一覧表示されることを確認します。

External User Databases セクションの Configure Unknown User Policy テーブルで、Fail the Attempt オプションがオフになっていることを確認します。また、Selected Databases リストに必要なデータベースが反映されていることを確認します。ユーザが属している Windows グループに No Access が適用されていないか確認します。ダイヤルインユーザが AAA クライアントに接続できない。 ACS 内部データベースが認証に使用されている。失敗した試行のレコードが Failed Attempts レポートに表示される（Reports & Activity セクションで Failed Attempts をクリック）。

ACS から、次の項目を確認します。

• ACS にユーザ名が入力されていること。

• Password Authentication リストで ACS 内部データベースが選択され、ユーザの User Setup にパスワードが入力されていること。 • ユーザを割り当てた ACS のグループで正しい認可（IP/PPP、IPX/PPP、Exec/Telnet など）が有効になっていること。設定を変更したときは、Submit + Restart をク リックしてください。 • 失効情報によって認証の失敗が起きていないこと。トラブルシューティングのた めに、Expiration を Never に設定します。 状態回復処置

(9)

付録A トラブルシューティング ダイヤルイン接続の問題ダイヤルインユーザが AAA クライアントに接続できない。ただし、Telnet 接続は LAN の全体にわたって認証される。この場合、問題は次の 3 つのうちのいずれかに分類されます。 • 回線またはモデムの設定に問題があります。モデムのマニュアルを参照して、モ デムが正しく設定されているかどうかを確認してください。 • ユーザが、正しい認可権限のあるグループに割り当てられていない。認可権限は Group Setup で修正できます。ユーザ設定を行うと、グループ設定が無効になります。

• ACS か TACACS+、または RADIUS の設定が AAA クライアントで正しく行われ ていません。さらに、LAN に接続されているワークステーションからアクセスサーバへの Telnet を試行することによって、ACS の接続を検証できます。Telnet が正常に認証された場合は、ACS が AAA クライアントで正しく動作していることが確認されます。ダイヤルインユーザが AAA クライアントに接続できない。 Telnet 接続も LAN 全体にわたって認証されない。 ACS レポートを表示することで、ACS が要求を受信しているかどうかを調べます。レポートに書かれていない事項および使用データベースに基づいて、次に示す問題のトラブルシューティングを行います。 • 回線またはモデムの設定に問題があります。モデムのマニュアルを参照して、モ デムが正しく設定されているかどうかを確認してください。 • Windows ユーザデータベース、または ACS 内部データベースにユーザが存在せ ず、パスワードが正しくない可能性があります。認証パラメータは、User Setup で修正できます。

• ACS か TACACS+、または RADIUS の設定が AAA クライアントで正しく行われ ていません。

コールバックが動作しない。ローカルの認証を使用しているときに、AAA クライアント上でコールバックが動作することを確認します。その後で、AAA 認証を追加します。

PAP の使用時、ユーザ認証が失敗する。

送信 PAP がイネーブルになっていません。Failed Attempts レポートに送信 PAP を使用していると示された場合は、Interface Configuration セクションに移動し、Per-User Advanced TACACS+ Features チェックボックスをオンにします。次に、User Setup ペー ジの Advanced TACACS+ Settings テーブルの TACACS+ Outbound Password セクションを選択し、指定されたボックスにパスワードを入力して確認します。

(10)

付録A トラブルシューティング プロキシの問題

プロキシの問題

インストールおよびアップグレードの問題

MaxSessions の問題

状態回復処置別のサーバへのプロキシ要求が失敗する。次の条件が満たされていることを確認します。 • リモートサーバの方向が Incoming/Outgoing または Incoming に設定され、認証転 送サーバの方向が Incoming/Outgoing または Outgoing に設定されていること。 • 共有秘密（キー）が、片方あるいは両方の ACS の共有秘密（キー）と一致してい ること。 • 文字列とデリミタが、Proxy Distribution テーブルで設定されているストリップ情 報と一致し、その位置が正しく Prefix または Suffix に設定されていること。上記の条件が満たされている場合は、サーバがダウンしているか、フォールバックサーバが設定されていない可能性があります。Network Configuration セクションを選択し、フォールバックサーバを設定します。フォールバックサーバが使用されるのは、次の場合だけです。 • リモート ACS がダウンしている。 • サービス（CSTacacs、CSRadius、または CSAuth）がダウンしている。 • 秘密キーが間違って設定されている。 • Inbound または Outbound メッセージ通信が間違って設定されている。 状態回復処置 ACS をアップグレードまたはアンインストールしようとすると、次のエラーメッセージが表示される。

The following file is

invalid or the data is corrupted

"DelsL1.isu" Windows レジストリから、次のレジストリキーを削除します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Uninstall\CiscoSecure 以前のアカウンティングログがすべて見当たらない。 ACS ソフトウェアの再インストールまたはアップグレード時にはこれらのファイルが削除されるため、これらのファイルは事前に別のディレクトリに移動しておく必要があります。状態回復処置

MaxSessions over VPDN が動作しない。 MaxSessions over VPDN の使用は、サポートされていません。 User MaxSessions が不安定、または信頼

できない。

ACS と AAA クライアントとの接続が不安定なためにサービスが再開されている可能性があります。Single Connect TACACS+ AAA Client チェックボックス

(11)

付録A トラブルシューティング レポートの問題

レポートの問題

状態回復処置 lognameactive.csv レポートがブランクである。プロトコルの設定が、最近変更されました。プロトコルの設定を変更すると、既存の lognameactive.csv レポートファイルは

lognameyyyy-mm-dd.csv にリネームされ、ブランクの新規 lognameactive.csv レポー

トが生成されます。

レポートがブランクである。 System Configuration の Logging にある Log Target の reportname で、Log to reportname Report が選択されていることを確認してください。さらに、Network Configuration の

servername で Access Server Type を ACS for Windows NT に設定する必要があります。

Unknown User 情報がレポートに含まれない。

Unknown User データベースが変更されています。Accounting レポートには、今までどおり未知のユーザ情報が含まれています。

エントリが、1 ユーザセッションに対して 2 つ記録される。

リモートロギング機能の設定で、アカウンティングパケットの送信先が、Proxy Distribution Table の Send Accounting Information フィールドと同じ場所に設定されていないことを確認します。日付フォーマットを変更しても、Logged-In User リストと CSAdmin ログの日付が変更前のフォーマットで表示される。変更を確認するには、CSAdmin サービスを再起動して、再びログインします。ログ機能が使用できない場合の認証機能への影響。ローカルロギングまたはリモートロギングの通常動作が停止すると、すべてのワーカースレッドがロギングの割り当てでビジーになるため、認証機能がすぐに停止します。ロギング機能が修正されると、認証が復元します。したがって、ロギングサービスログのトラブルシューティングが必要です。一部のデバイスで Logged in Users レポートが機能しない。 Logged in Users レポートを機能させるには、少なくとも次のフィールドがパケットに含まれている必要があります（これは、このレポートだけでなく、セッションを持つほとんどの機能に当てはまります）。 • 認証要求パケット － nas-ip-address － nas-port • アカウンティング開始パケット － nas-ip-address － nas-port － session-id － framed-ip-address • アカウンティング停止パケット － nas-ip-address － nas-port － session-id － framed-ip-address また、接続が短く、開始パケットと停止パケットの間にほとんど時間がない場合（たとえば、PIX Firewall を介した HTTP など）、Logged in Users レポートは失敗する可

(12)

付録A トラブルシューティング サード パーティ製サーバの問題

サード

パーティ製サーバの問題

状態回復処置 RSA トークンサーバを正しく設定できない。この問題を解決するには、次の手順を実行します。 1. ACS を実行しているコンピュータにログインします（ログインアカウントに管理 者特権があることを確認してください）。 2. RSA クライアントソフトウェアが ACS と同一のコンピュータにインストールさ れていることを確認します。 3. セットアップの指示にしたがって実行します。インストール終了時に再起動しな いでください。

4. sdconf.rec という名前のファイルを RSA ACE サーバの /data ディレクトリで検索

します。

5. sdconf.rec を %SystemRoot%\system32 ディレクトリに置きます。

6. ACE サーバを実行しているマシンに対して、ホスト名で PING を実行できること を確認します（このマシンを lmhosts ファイルに追加する必要があります）。 7. RSA のサポートが、ACS の External User Database の Database Configuration で有効

になっていることを確認します。

8. Windows の Control Panel から ACE/Client アプリケーションに対して Test Authentication を実行します。

9. ACS から、トークンサーバをインストールします。 認証要求で外部データベースが

ヒットしない。

ロギングをフルに設定します。System Configuration > Service Control を選択します。

auth.log を調べて、認証要求がサードパーティ製サーバに転送されていることを確認 します。転送されていない場合は、外部データベースの設定と未知ユーザポリシーの設定が正しいことを確認します。 RSA/agent 認証は機能しているが、ACE/SDI サーバで ACS からの着信要求が表示されない。

ダイヤルアップユーザの場合は、MS-CHAP や CHAP ではなく PAP を使用していることを確認してください。RSA/SDI は CHAP をサポートしていないので、ACS は RSA サーバに要求を送信せず、外部データベースの障害としてエラーを記録します。

(13)

付録A トラブルシューティング ユーザ認証の問題

ユーザ認証の問題

状態回復処置管理者が Dialin Permission 設定を無効にしても、Windows データベースユーザはダイヤルインが可能で、Windows ユーザデータベースで設定されたコールバック文字列を使用できる（Dialin Permission チェックボックスを表示するには、External User Databases > Database Configuration > Windows Database > Configure を選択します）。 ACS サービスを再起動してください。手順については、P.8-2 の「サービスの停止、開始、再開」を参照してください。ユーザが新しいグループから設定を継承しない。新しいグループに移動したユーザは新しいグループの設定を継承しますが、既存のユーザ設定も保持しています。手動で User Setup セクションの設定を変更します。認証に失敗する。 Failed Attempts レポートを調べます。リトライ間隔が短すぎる可能性があります（デフォルトは 5 秒です）。 AAA クライアントのリトライ間隔（tacacs-server timeout 20）を 20 以 上に増やしてください。 Windows ユーザデータベースに対する認証中に AAA クライアントがタイムアウトする。 TACACS+/RADIUS タイムアウト間隔を、デフォルトの 5 から 20 に増やしてください。Cisco IOS コマンドを次のように設定します。 tacacs-server timeout 20 radius-server timeout 20 認証に失敗し、Unknown NAS というエラーが Failed Attempts ログに記録される。次の事項を確認してください。

• AAA クライアントが Network Configuration セクションの下に設定 されていること。

• AAA クライアントで RADIUS/TACACS source-interface コマンドを 設定してある場合は、指定されたインターフェイスの IP アドレスを使用して ACS 上のクライアントが設定されていること。認証に失敗し、key mismatch というエラーが

Failed Attempts ログに記録される。

TACACS+ キーまたは RADIUS キーが、AAA クライアントおよび ACS で同一であることを確認してください（大文字と小文字は区別されます）。両方のキーが同一であることを確認するため、キーを再入力します。ユーザの認証はできるが、認可が予期したものと異なる。ベンダーが違えば、使用する AV ペアも異なります。あるベンダープロトコルで使用されている AV ペアが、別のベンダープロトコルでは無視されることがあります。ユーザの設定に、正しいベンダープロトコル、たとえば、RADIUS（Cisco IOS/PIX）が反映されているかどうかを確認してください。

LEAP 認証に失敗し、Radius extension DLL rejected user というエラーが Failed Attempts

ログに記録される。 Access Point で正しい認証タイプが設定されていることを確認します。少なくとも Network-EAP チェックボックスがオンになっていることは確認します。認証に外部ユーザデータベースを使用している場合は、それがサポートされていることを確認します。詳細については、P.1-8 の「認証プロトコルとデータベースの互換性」を参照してください。

(14)

付録A トラブルシューティング TACACS+ および RADIUS のアトリビュートの問題

TACACS+ および RADIUS のアトリビュートの問題

状態回復処置 TACACS+ および RADIUS のアトリビュートが Group Setup ページに表示されない。

Network Configuration セクションで RADIUS または TACACS+ の AAA クライアントを少なくとも 1 つ設定するようにし、さらに Interface Configuration セクションで、設定の必要なアトリビュートを有効にしてください。

（注）一部のアトリビュートは、ACS ではユーザによる設定はできませんが、これらのアトリビュートの値は ACS によって設定されます。