5.6版本说明
修订日期:715,2016这些版本说明涉及思科安全访问控制系统(ACS)版本5.6(以下简称ACS5.6)。
此版本说明介绍CiscoSecureACS的功能、限制和约束(警告)以及相关文档,是对产品硬件和软件版本附带的CiscoSecureACS文档的补充。
本文档包括以下内容: •简介(第2页)•系统要求(第3页)•ACS5.6版本的新功能(第6页)•升级CiscoSecureACS软件(第8页)•监控和报告数据导出兼容性(第8页)•安装和升级说明(第8页)•已解决的ACS问题(第15页)•累积型补丁ACS5.6.0.22.1中已解决的问题(第18页)•累积型补丁ACS5.6.0.22.2中已解决的问题(第18页)•累积型补丁ACS5.6.0.22.3中已解决的问题(第19页)•累积型补丁ACS5.6.0.22.4中已解决的问题(第19页)•ACS部署中的限制(第21页)•已知的ACS问题(第22页)•文档更新(第24页)•产品文档(第24页)•通知(第25页)•许可协议补充协议(第26页)•获取文档和提交服务请求(第27页) 思科系统公司 简介 简介 ACS是一款策略驱动型访问控制系统,是网络访问控制和身份管理的集成点。
ACS5.6软件可在专用的思科SNS-3495设备、思科SNS-3415设备、思科1121安全访问控制系统(CSACS-1121)或VMware服务器上运行。
思科SNS-3495和思科SNS-3415设备附带ACS5.6。
但是,ACS5.6仍支持CSACS-1121设备。
您可从在CSACS-1121设备上运行的任何较早的ACS版本升级到ACS5.6。
有关升级路径的更多信息,请参阅升级CiscoSecureACS软件(第8页)。
此ACS版本提供新增和增强的功能。
在本文档中,思科SNS-3495、思科SNS-3415和CSACS-1121是指设备硬件,而ACS服务器是指ACS软件。
注在每个主要版本中,思科都会对ACS应用运行安全扫描。
我们不建议您在ACS生产环境下运行漏洞扫描,因为这样操作可能会带来影响ACS应用的风险。
您可以在预生产环境下执行漏洞扫描操作。
思科安全访问控制系统5.6版本说明
2 OL-28607-01 系统要求 系统要求 •支持的硬件(第3页)•支持的虚拟环境(第4页)•支持的浏览器(第4页)•支持的设备和用户存储库(第5页) 注有关CiscoSecureACS硬件平台和安装的更多详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
支持的硬件 CiscoSecureACS封装在您的设备或映像中以便于安装。
以下平台附带CiscoSecureACS5.6: 表
1 支持的硬件平台 硬件平台思科SNS-3495-K9(大型UCS) 思科SNS-3415-K9(小型UCS) 思科1121安全访问控制系统硬件(CSACS-1121) CiscoSecureACS-VM-K9(VMware) 配置•思科UCSC220M3•双插槽IntelE5-26092.4GhzCPU,共8个内核,8个线程•32GBRAM •2个600-GB磁盘•RAID0+
1 •4GE网络接口•思科UCSC220M3•单插槽IntelE5-26092.4GhzCPU,共4个内核,4个线程•16GBRAM •1个600-GB磁盘•嵌入式软件RAID0•4GE网络接口•IntelCore2Duo2.4GHz处理器,带800MHz前端总线 (FSB)和2MB第2层缓存•4GBSDRAM •2个250GBSATA硬盘•4个1GB网络接口•2个CPU(双CPU、Xeon、Core2Duo或2个单CPU)•4GBRAM •NIC-需要1GBNIC接口(最多可以安装4个NIC。
)•有关支持的VMware版本,请参阅支持的虚拟环境有关VMware要求的信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
OL-28607-01 思科安全访问控制系统5.6版本说明
3 系统要求 支持的虚拟环境 ACS5.6支持以下VMware版本:•VMwareESXi5.0•VMwareESXi5.0更新2•VMwareESXi5.1•VMwareESXi5.1更新2•VMwareESXi5.5•VMwareESXi5.5更新1有关VMware计算机的要求和安装流程的信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》中“在VMware虚拟机中安装ACS”一章。
支持的浏览器 您可以使用以下浏览器访问ACS5.6管理员用户界面:•Mac操作系统 –MozillaFirefox版本28.x–MozillaFirefox版本29.x–MozillaFirefox版本24.4ESR•Windows732位和Windows764位–Explorer版本10.x–Explorer版本11.x–MozillaFirefox版本17.x–MozillaFirefox版本21.x–MozillaFirefox版本22.x–MozillaFirefox版本25.x–MozillaFirefox版本26.x–MozillaFirefox版本28.x–MozillaFirefox版本29.x–MozillaFirefox版本31.x–MozillaFirefox版本17.0.6ESR–MozillaFirefox版本24.1.1ESR–MozillaFirefox版本24.4ESR–MozillaFirefox版本24.5ESR–MozillaFirefox版本24.7.0ESR–MozillaFirefox版本31.0ESR 思科安全访问控制系统5.6版本说明
4 OL-28607-01 系统要求 •Windows8.x–Explorer版本11.x–MozillaFirefox版本31.x–MozillaFirefox版本24.7.0ESR–MozillaFirefox版本31.0ESR 仅以下密码套件支持上述浏览器:•TLS_DHE_DSS_WITH_AES_256_CBC_SHA•TLS_RSA_WITH_AES_256_CBC_SHA•TLS_RSA_WITH_AES_128_CBC_SHA 如果在WindowsXP操作系统中使用Explorer版本8x以兼容模式访问ACSWeb界面,则不支持上述密码套件。
必须在运行客户端浏览器的系统上安装AdobeFlashPlayer11.2.0.0或更高版本。
注 •当从ACS5.x导入或导出.csv文件时,必须关闭弹出窗口拦截器。
注 •仅可在Explorer7.x或更高版本以及MozillaFirefox3.x版本中使用IPv6地址启动ACS Web界面。
支持的设备和用户存储库 有关支持的设备、802.1X客户端和用户存储库的信息,请参阅《思科安全访问控制系统5.6支持的互操作设备和软件》。
OL-28607-01 思科安全访问控制系统5.6版本说明
5 ACS5.6版本的新功能 ACS5.6版本的新功能 以下部分简要介绍5.6版本的新功能:•增强的报告(第6页) 增强的报告 CiscoSecureACS版本5.6中的报告经过改进后,界面焕然一新,更加简洁且易于使用。
报告划分为不同的逻辑类别,提供有关身份验证、会话流量、设备管理、ACS服务器配置和管理以及故障排除的信息。
增强的动态导出选项可以将选定的报告以逗号分隔值(.csv)文件的形式导出到Excel电子表格。
增强的计划服务还允许您将报告加入队列并在报告可用时接收通知。
报告名称及其过滤器在左侧窗格上显示,而报告在“报告”(Reports)Web界面的右侧窗格上显示。
增强的Web界面可帮助您轻松导航报告并从左侧窗格更好地控制不同类型的报告。
ACS5.6报告可提供增强性能并且易于使用,但不支持全局交互式查看器功能;不过,支持“显示或隐藏列”(showorhidecolumns)和“固定列”(fixingcolumns)(交互式查看器功能的组成部分)。
您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格或任何其他支持的工具打开该文件,并使用Excel选项来执行操作。
ACS5.6中缺失的某些交互式查看器自定义选项将在未来的ACS版本或ACS5.6补丁中向客户提供。
注ACS5.6补丁2引入了两种新的交互式查看器功能:排序和过滤报告数据。
安装ACS5.6补丁2后,您可以从“报告”(Reports)Web界面生成报告,然后对数据项进行过滤和排序。
ACS5.6Flex报告的优点•根据观察,性能方面的一项重大改进表现在缩短了生成报告所需的时间。
•基于Flex的报告提高了应用开发人员控制代码库的能力。
这样,开发人员就可以缓解安全问 题,尤其是在基于Web服务器的应用中。
•如果您需要新的功能或修复Actuate报告当前版本中的任何现有问题,则需将Actuate升级到 最新版本。
将Actuate当前版本升级到最新版本需要耗费大量的精力和资本。
Flex报告极少出现这些问题,并且可以长期保持可持续性。
•Actuate需要可重新分发的许可证,而Flex仅需开发人员许可证。
•在不同类型的报告之间进行导航时,现在可以从左侧窗格更好地控制,而不必转至右侧窗格再选择报告及其过滤器值。
此左侧窗格导航改善了用户体验。
•Flex报告的外观和风格以及布局均远远优于Actuate报告。
•思科身份服务引擎(ISE)使用Flex框架生成报告,而且ISE报告与ACS5.6报告相似。
这种相似性将帮助您在今后更加顺利地执行从ACS到ISE的迁移。
思科安全访问控制系统5.6版本说明
6 OL-28607-01 OL-28607-01 ACS5.6版本的新功能 ACS5.6Flex报告的限制表2列出的是ACS5.5和5.6“报告”(Reports)Web界面的功能实施之间的限制和差异。
表
2 ACS5.6报告与ACS5.5报告相比所具有的限制 ACS5.5的功能在“查询及运行”(Query&Run)页面,您可以搜索用户、ACS节点和身份组并生成自定义报告,并可从所有用户或组列表中选择一个用户或组。
ACS5.4中的“计划”(Scheduled)报告和“收藏”(Favorite)报告可以在ACS5.5中重新使用。
但是,这些报告不可以在ACS5.6中重新使用,因为Flex框架无法识别存储在磁盘中的基于Actuate的“计划”(Scheduled)报告和“收藏”(Favorite)报告的格式。
列排序-在交互式查看器中,您可以对列进行升序或降序排列。
在交互式查看器中,您可以汇总数字列中的值。
例如,可以汇总已通过的身份验证的数量并查看已通过的身份验证的总数。
同样,您可以搜索并查找最小值、最大值、第一个值、最后一个值等等。
在交互式查看器中,您可以通过合并两列的值添加新的一列。
您还可以使用表达式合并列中的值。
在交互式查看器中,您可以根据等于、小于、大于、在...之间、非空值等条件来过滤列值。
在交互式查看器中,您可以通过应用分页符、更改对齐方式、更改字体、样式、颜色、大小写(大写/小写)等来编辑报告。
在交互式查看器中,您可以根据特定列的值重新整理报告或划分整个报告。
例如,按照失败尝试次数均超过三次的所有用户重新整理报告。
ACS5.6中实施的功能在ACS5.6中,此功能经过专门设计,因此您不必记住用户或组。
在输入字段中输入前三个字符时,系统会自动填充用户或组。
ACS5.4或5.5中生成的“计划”(Scheduled)报告和“收藏”(Favorite)报告可以在ACS5.6中重新使用。
ACS5.4或5.5的“计划”(Scheduled)报告和“收藏”(Favorite)报告存储在ACS5.6的“已保存”(Saved)报告下。
不可用 不可用 不可用 不可用 不可用 不可用 解决方法无 无 您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格打开该文件,并使用Excel选项对数据排序。
您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格或任何其他支持的工具打开该文件,并使用Excel选项来执行操作。
您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格或任何其他支持的工具打开该文件,并使用Excel选项来执行操作。
您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格或任何其他支持的工具打开该文件,并使用Excel选项来执行操作。
您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格或任何其他支持的工具打开该文件,并使用Excel选项来执行操作。
您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格或任何其他支持的工具打开该文件,并使用Excel选项来执行操作。
思科安全访问控制系统5.6版本说明
7 升级CiscoSecureACS软件 升级CiscoSecureACS软件 思科安全访问控制系统(ACS)支持从不同的ACS5.x版本升级至ACS5.6。
支持的升级路径包括: •CiscoSecureACS5.4版本,建议应用最新补丁•CiscoSecureACS5.5版本,建议应用最新补丁 请遵循《思科安全访问控制系统5.6安装和升级指南》中的升级说明升级到CiscoSecureACS5.6版本。
监控和报告数据导出兼容性 如果远程数据库为Oracle数据库且已在集群设置中配置,则不能将监控和故障排除记录导出至远程数据库。
安装和升级说明 本部分提供关于ACS5.6的安装任务和配置流程的信息。
此部分包含以下内容:•安装、设置和配置CSACS-1121(第8页)•安装、设置和配置思科SNS-3495或思科SNS-3415(第10页)•运行设置程序(第11页)•ACS5.6中的许可(第13页)•升级ACS服务器(第14页)•应用累积型补丁(第14页) 安装、设置和配置CSACS-1121 本部分介绍如何安装、设置和配置CSACS-1121系列设备。
CSACS-1121系列设备已预安装软件。
要设置和配置CSACS-1121,请执行以下步骤: 步骤
1 打开包含CSACS-1121系列设备的箱子并确认其包含以下各项:•CSACS-1121系列设备•电源线•机架安装套件•思科信息包•保修卡•思科安全访问控制系统5.6的合规性与安全信息 思科安全访问控制系统5.6版本说明
8 OL-28607-01 安装和升级说明 步骤2步骤3步骤
4 步骤
5 浏览CSACS-1121系列设备的规格。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
安装CSACS-1121系列设备之前,请阅读必须遵循的一般注意事项和安全说明。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》并特别注意所有安全警告。
将设备安装在4柱式机架中,并完成其余硬件安装步骤。
有关安装CSACS-1121系列设备的更多详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
将CSACS-1121系列设备连接至网络,然后将USB键盘和视频图形阵列(VGA)显示器或串行控制台连接至串行端口。
图1显示的是CSACS-1121系列设备的后面板以及各种电缆连接器。
注对于初始设置,您必须有USB键盘和VGA显示器或运行终端仿真软件的串行控制台。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
有关在VMware中安装ACS5.6的信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》中的“在VMware虚拟机中安装ACS”一章。
图11 CSACS1121系列设备后视图
2 197065 846 43 75 下表介绍的是图1中的标注。
. 1交流电源插座2千兆以太网3串行连接器4视频连接器 5千兆以太网16千兆以太网07USB3连接器8USB4连接器 步骤
6 完成硬件安装后,请启动设备。
首次启动设备后,您必须运行安装程序以配置设备。
有关详细信息,请参阅运行设置程序(第11页)。
OL-28607-01 思科安全访问控制系统5.6版本说明
9 安装和升级说明 安装、设置和配置思科SNS-3495或思科SNS-3415 思科SNS-3495和思科SNS-3415设备没有DVD驱动器。
您必须使用设备上的CIMC或可引导USB在此设备中安装、设置和配置ACS5.6。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
本部分介绍如何安装、设置和配置思科SNS-3495和思科SNS-3415设备。
思科SNS-3495和思科SNS-3415设备已预安装软件。
要设置和配置思科SNS-3495和思科SNS-3415,请执行以下步骤: 步骤
1 步骤2步骤3步骤4步骤
5 打开包含思科SNS-3495和思科SNS-3415设备的箱子并确认其包含以下各项:•思科SNS-3495和思科SNS-3415设备•电源线 •KVM电缆•思科信息包 •保修卡•思科安全访问控制系统5.6的合规性与安全信息浏览思科SNS-3495或思科SNS-3415设备的规格。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
安装思科SNS-3495或思科SNS-3415设备之前,请阅读必须遵循的一般注意事项和安全说明。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》并特别注意所有安全警告。
将设备安装在4柱式机架中,并完成其余硬件安装步骤。
有关安装思科SNS-3495或思科SNS-3415设备的更多详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
将思科SNS-3495或思科SNS-3415系列设备连接至网络,然后将USB键盘和视频图形阵列(VGA)显示器或串行控制台连接至串行端口。
有关思科SNS-3495和思科SNS-3415设备以及各种电缆连接器的说明,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
注对于初始设置,您必须有USB键盘和VGA显示器或运行终端仿真软件的串行控制台。
步骤
6 有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
有关在VMware中安装ACS5.6的信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》的“在VMware虚拟机中安装ACS”一章。
完成硬件安装后,请启动设备。
首次启动设备后,您必须运行安装程序以配置设备。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
思科安全访问控制系统5.6版本说明 10 OL-28607-01 安装和升级说明 运行设置程序 设置程序会运行交互式CLI,提示输入必需的参数。
管理员可以使用控制台或哑终端配置初始网络设置并输入使用该设置程序的ACS5.6服务器的初始管理员凭证。
设置流程是一种一次性配置任务。
要配置ACS服务器,请执行以下步骤: 步骤
1 启动设备。
系统将显示以下设置提示: Pleasetype‘setup’toconfiguretheappliancelocalhostlogin: 在登录提示符下,输入setup,然后按下Enter。
控制台会显示一组参数。
必须如表3中所述输入参数。
注您可以在输入最后一个设置值之前,键入Ctrl-C随时中断设置流程。
表
3 提示符主机名 网络配置提示符 默认localhost IPv4IP地址IPv4网络掩码IPV4网关域名 无,特定于网络无,特定于网络无,特定于网络无,特定于网络 IPv4主名称服务器地址 添加另一个名称服务器 无,特定于网络无,特定于网络 NTP服务器 time.nist.gov 条件 第一个字母必须为ASCII字符。
长度必须介于3到15个字符之间。
有效字符为字母数字(A-Z、a-z、0-9)和连字符(-),且第一个字符必须为字母。
注要使用ADID存储区并设置具有相同名称前缀的多个ACS实例时,请使用最多15个字符作为主机名以免影响AD功能。
必须是介于0.0.0.0和255.255.255.255之间的有效IPv4地址。
必须是介于0.0.0.0和255.255.255.255之间的有效IPv4网络掩码。
必须是介于0.0.0.0和255.255.255.255之间的有效IPv4地址。
不能是IP地址。
有效字符为ASCII字符、任意数字、连字符(-)和句点(.)。
必须是介于0.0.0.0和255.255.255.255之间的有效IPv4地址。
必须是介于0.0.0.0和255.255.255.255之间的有效IPv4地址。
注最多可以从ACSCLI配置三个名称服务器。
必须是介于0.0.0.0和255.255.255.255之间的有效IPv4地址或域名服务器。
注最多可以从ACSCLI配置三个NTP服务器。
说明输入主机名。
输入IP地址。
输入有效的网络掩码。
输入默认网关的有效IP地址。
输入域名。
输入一个有效名称服务器地址。
要配置多个名称服务器,请输入
Y。
输入一个有效域名服务器或IPv4地址。
OL-28607-01 思科安全访问控制系统5.6版本说明 11 安装和升级说明 表3提示符时区SSH服务用户名 管理员密码 网络配置提示符(续)默认UTC无,特定于网络admin 无 条件 必须是有效的当地时区。
无。
第一个管理员用户的名称。
您可以接受默认用户名或输入新的用户名。
必须介于3到8个字符之间,且必须是字母数字(A-Z、a-z、0-9)。
无默认密码。
输入密码。
密码长度必须至少为6个字符且包含至少一个小写字母、一个大写字母和一个数字。
此外: •保存初始配置时所设置帐户的用户和密码信息。
•这些信息允许对ACS硬件、CLI及应用执行完全的管理员控制,因此请记住并保护好这些凭证。
•如果丢失管理员凭证,可以使用ACS5.6安装光盘重置密码。
说明输入有效的系统时区。
要启用SSH服务,请输入
Y。
输入用户名。
输入密码。
输入参数后,控制台会显示: localhostlogin:setupEnterhostname[]:acs54-server-1EnterIPaddress[]:192.0.2.177EnterIPmask[]:255.255.255.0EnterIPdefaultgateway[]:192.0.2.1EnterdefaultDNSdomain[]:Enterprimarynameserver[]:192.0.2.6Addsecondarynameserver?
Y/N:nAddprimaryNTPserver[time.nist.gov]:192.0.2.2AddsecondaryNTPserver?
Y/N:nEntersystemtimezone[UTC]:EnableSSHService?
Y/N[N]:yEnterusername[admin]:adminEnterpassword:Enterpasswordagain:Bringingworkinterface...Pingingthegateway...Pingingtheprimarynameserver...Virtualmachinedetected,configuringVMwaretools...Filedescriptor4(/opt/system/etc/debugd-fifo)leakedonlvm.staticinvocationParentPID3036:/bin/bashDonotuse`Ctrl-C'fromthispointon...debugd[2455]:[2809]:work:main.c[252][setup]:Setupplete.ApplianceisconfiguredInstallingapplications...Installingacs...Generatingconfiguration...Rebooting... 安装ACS服务器后,系统会自动重启。
现在,您可以使用在设置流程中配置的CLI用户名和密码登录ACS。
思科安全访问控制系统5.6版本说明 12 OL-28607-01 安装和升级说明 仅可使用此用户名和密码通过CLI登录到ACS。
要登录到Web界面,必须使用默认的预定义用户名ACSAdmin和密码default。
首次访问Web界面时,系统会提示更改预定义的管理员密码。
您还可以定义要访问Web界面的其他管理员的访问权限。
ACS5.6中的许可 要运行ACS,必须安装有效的许可证。
首次访问Web界面时,ACS会提示您安装有效的许可证。
分布式部署中的每个ACS实例(无论是主实例还是辅助实例)均要求安装唯一基础许可证。
此部分包含以下内容:•许可证类型(第13页)•升级ACS服务器(第14页) 许可证类型 表4列出的是ACS5.6中可用的许可证类型。
表
4 ACS许可证支持 许可证基础许可证 附加许可证 说明所有已部署软件实例和所有设备均需要基础许可证。
基础许可证允许您使用许可证控制功能之外的所有ACS功能,并支持标准的集中报告功能。
基础许可证: •对于所有主辅ACS实例都是必需的。
•对于所有设备是必需的。
•支持最多500个NAD的部署。
以下是基础许可证的类型: •永久型-没有到期日期。
支持最多500个NAD的部署。
•评估型-自许可证发布之日起90天到期。
支持最多50个NAD的部署。
设备的数量由您所配置的唯一IP地址数量决定。
这包括您配置的子网掩码:例如,255.255.255.0子网掩码表示256个唯一IP地址;因此设备数量是256。
附加许可证只能安装在具有永久型基础许可证的ACS服务器中。
大型部署要求安装永久型基础许可证。
安全组访问功能许可证包括两种类型:永久型和NFR型。
但是,永久型安全组访问功能许可证仅可与永久型基础许可证配合使用。
ACS5.6不支持自动安装评估型许可证。
因此,如果需要ACS5.6评估版本,则必须从获取评估型许可证并手动安装ACS5.6。
如果您没有任何ACS产品的有效SAS服务合同,则无法从下载ISO映像。
在这种情况下,您需要联系当地的合作伙伴或思科代表获取ISO映像。
OL-28607-01 思科安全访问控制系统5.6版本说明 13 安装和升级说明 升级ACS服务器 如果已在计算机中安装ACS5.4或ACS5.5,可以使用以下方法之一升级到ACS5.6:•使用应用升级捆绑包升级ACS服务器•重新映像和升级ACS服务器只有在磁盘大于或等于500GB时,才可以在思科设备或虚拟机中执行应用升级。
如果磁盘小于500GB,则必须重新映像至ACS5.6,然后恢复在ACS5.4或ACS5.5中所执行的备份,从而迁移至ACS5.6版本。
有关升级ACS服务器的信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
注如果任何LDAP身份存储空间中未配置组或属性且未配置AD身份存储空间,则升级到ACS5.6可能会失败。
要避免此问题,在升级到ACS5.6之前,需要向LDAP身份存储空间添加组或属性,或配置AD身份存储空间。
注使用backup-stagging-url命令在ACS5.6中配置NFS位置时,必须提供完全的NFS目录权限才能成功执行按需备份。
应用累积型补丁 我们将在上定期发布补丁,为ACS5.6提供修复。
这些补丁为累积型。
每个补丁包括此版本之前补丁中所包含的所有修复。
您可以从以下位置下载ACS5.6累积型补丁:要下载和应用补丁,请执行以下步骤: 步骤1步骤2步骤
3 步骤
4 登录并依次导航到产品(Products)>安全(Security)>访问控制和策略(essControlandPolicy)>策略和访问管理(PolicyandessManagement)>思科安全访问控制系统(CiscoSecureessControlSystem)>思科安全访问控制系统5.6(CiscoSecureessControlSystem5.6)。
下载补丁。
安装ACS5.6累积型补丁。
安装操作如下所述:在EXEC模式下输入以下acspatch命令安装ACS补丁: acspatchinstallpatch-name.tar.gpgrepositoryrepository-nameACS会显示以下确认消息: InstallinganACSpatchrequiresarestartofACSservices. Wouldyouliketocontinue?
yes/no 输入yes。
ACS会显示以下消息: Generatingconfiguration... SavedtheADE-OSrunningconfigurationtostartupessfully Gettingbundletolocalmachine... md5:aa45b22e4c590cb84 思科安全访问控制系统5.6版本说明 14 OL-28607-01 已解决的ACS问题 步骤
5 步骤6步骤
7 sha256:eb62dc1419b03b1b7ca354feb8bbcfa %Pleaseconfirmabovecryptohashwithwhatispostedondownloadsite. %Continue?
Y/N[Y]?
ACS5.6升级捆绑包会显示md5和sha256校验和。
请将其与下载站点所显示的值进行比较。
执行以下其中一项操作:•如果加密散列匹配,请输入
Y。
如果输入
Y,ACS会继续执行安装步骤。
%InstallinganACSpatchrequiresarestartofACSservices. Wouldyouliketocontinue?
yes/no •如果加密散列不匹配,请输入
N。
如果输入
N,ACS会终止安装步骤。
输入yes。
ACS版本即已升级到所应用的补丁。
在EXEC模式下,使用showapplicationstatusacs命令,检查所有服务是否正常运行。
在EXEC模式下,输入showapplicationversionacs命令,验证补丁是否已正确安装。
ACS会显示类似于以下内容的消息: acs/admin#showapplicationversionacs CISCOACSVERSIONINFORMATION-----------------------------Version:5.6.0.22InternalBuildID:B.225acs/admin# 注安装补丁时,如果补丁大小超过允许的磁盘配额,则会在ACSCLI中显示警告消息,并在“ACS监控和报告”(ACSMonitoringandReports)页面显示警告。
已解决的ACS问题 表5列出ACS5.6中已解决的问题。
表
5 ACS5.6中已解决的问题 漏洞IDCSCuj91631CSCuj53935CSCuj80866CSCul09022CSCth35755CSCul29675CSCul32497CSCul64484CSCuh63873CSCum03625 说明如果主机名无法解析,则无法从主ACS实例启动辅助实例的Web界面。
证书授权编辑页面易受XSS的攻击。
如果ACS实例不是日志收集服务器,则无法从Web界面收集支持的捆绑包。
以分段数据包发送TACACS请求时,ACS无响应。
如果组名包含“/”字符,将无法在ActiveDirectory中进行组映射。
新创建的授权规则无法保留自定义状态。
ACS中的清除过滤器选项无法显示200个以上的授权规则。
ACSViewNBAPI不具有详细的调试日志。
ACSView应通过TLS或TCP协议实施系统日志消息。
ACS中存在脚本漏洞。
OL-28607-01 思科安全访问控制系统5.6版本说明 15 已解决的ACS问题 表
5 ACS5.6中已解决的问题(续) 漏洞IDCSCum13044CSCuj94585 CSCum26584 CSCuj01135CSCum68228CSCum86948CSCum86626CSCum51180CSCty13296CSCum67932CSCun37608CSCun85949CSCun71995 CSCun67769CSCun81726 CSCun92213CSCun98622CSCtx99385CSCun84823CSCuo54517CSCuo88797 CSCuj41395 CSCuo93378 CSCuo82841CSCuo60270CSCum60476CSCun05712CSCuo68704CSCuo78625CSCuo88163CSCuo63302 说明 ActiveDirectory会在更改密码后丢失与ACS的连接。
当同一用户位于两个不同的组织单位时,无法在ACS中执行ActiveDirectory身份验证。
升级到ACS5.5后,当ACS5.4中存在多个CLI管理员时,ACSWeb界面中的某些功能无法正常工作。
与LDAP服务器通信时,ActiveDirectory客户端在频繁重启,出现异常错误。
在ACS5.5中使用CSV文件导入用户详细信息时,无法更改内部用户密码。
在ACS5.5中,最小密码长度更改为
4。
升级到ACS5.5后,无法通过广域网向主ACS实例注册辅助ACS实例注册。
在ACS5.4中,当配置数据库大小超过1GB时不出现警告。
使用相同密码导入用户不显示错误消息。
由于未知的加密算法,ACS5.5在从ACS5.4升级后无法启动。
当原来的主实例恢复在线状态时,辅助ACS实例忽略新的主ACS实例。
配置RADIUS属性150、151和152后,ACS5.5无法启动其服务。
点击“NDG位置”(NDG:Location)选项时,ACSWeb界面无法显示网络设备组的位置。
属性长度较大时,无法创建或编辑“收藏”(Favorites)选项。
无法在ACS5.5中从ActiveDirectory检索用户属性“ountControl”。
ACS5.x一次打开过多与远程DB的TCP连接。
从终端站过滤器导出MAC地址会导致从ACSWeb界面注销用户。
ACS显示未配置增量备份的错误警告报告。
在ACS中,未经身份验证的用户可以看到输入验证码。
在ACS中,无法覆盖全局日志配置选项。
使用不支持的浏览器访问ACSWeb界面时,ACS5.x无法显示相应的错误信息。
重启ACS服务后,您会发现在ACSCLI中运行showrunningconfiguration命令时会添加两次计划备份。
使用Chrome和Safari浏览器通过ACSWeb界面更改配置时,会损坏ACS数据库。
添加AAA客户端进行TACACS+身份验证时,必须具有共享密钥。
由于具有大量的域控制器,ACS无法加入ActiveDirectory域。
ACS5.4无法获取内部组。
如果负载过大,ACS中的RSA代理会被耗尽。
需要在ACS5.x中改进检查状态监控的功能。
ACS5.5不允许TACACS+和RADIUS身份验证的共享密钥中包含特殊字符。
在ACS5.5中无法使用编程界面获取用户信息。
如果使用复制选项创建用户,则无法通过REST服务更改用户密码。
思科安全访问控制系统5.6版本说明 16 OL-28607-01 已解决的ACS问题 表
5 ACS5.6中已解决的问题(续) 漏洞IDCSCuo19733 CSCuo89864CSCuo89889CSCuo89946CSCuo93378CSCup00818CSCup10509CSCup32287CSCup34695 CSCup77077 CSCuq00890CSCtx65471 CSCup75144 CSCuq64564 CSCul06939 CSCum05372CSCum28910CSCum93359CSCun45555 CSCun89799CSCuo45648 CSCup40317CSCup79536CSCup79591CSCup90014 CSCuq36829CSCuq26876CSCul38172 说明 基于ACS5.5View开始和结束日期的自定义报告会显示结束日期之前的最后500页记录。
在ACS5.5中,URL的跨帧脚本和会话令牌中存在问题。
在ACS5.5中,会话相关的Cookie不使用HTTP-only或安全关键字。
在ACS5.5中,未经批准的散列算法被用于存储敏感数据。
使用Chrome和SafariWeb浏览器会导致数据库损坏。
执行showapplicationstatusacs命令时,ACS5.5CLI界面显示错误。
在ACS5.5.中安全管理员可将其角色更改为超级管理员。
在ACS5.5中,默认情况下系统日志消息的TCP端口6514处于打开状态。
在ACS5.5中,由于ACS服务器与远程数据库之间的数据类型不匹配,将数据导出至远程数据库时因出现错误而失败。
将ountControl作为授权规则中的条件时,ACS不会从ActiveDirectory检索ountControl属性。
在ACS命令行界面执行halt命令时,在部署中发现意外行为。
在部署中多次重启日志收集服务器时,ACS无法将系统日志消息发送至远程数据库。
使用Explorer11.x版本时,无法正确显示ACSWeb界面中的授权策略页。
使用Explorer11.x打开ACS5.5Web界面时,会发生配置问题。
这些问题现已解决。
在ACS5.x中使用DNS服务器名称时LDAP身份验证失败,且第一个DNS服务器会出现当机。
升级至ACS5.5后,ACS活动日志不显示任何信息。
在ActiveDirectory组中缺失条目时,无法启动ACS运行时服务。
将ACS5.x升级至ACS5.5版本后,SFTP服务器无法工作。
用于将ACS加入ActiveDirectory的ActiveDirectory用户密码在日志中以明文显示。
选择外部身份存储空间时,RESTAPI服务会提示输入密码。
ACS5.x将系统日志消息发送至远程日志目标位置时,在夏令时期间使用错误的时区条目。
ACSView工作管理器进程在磁盘空间计算过程中意外终止。
ACS在重新加载后会忽略日志记录配置。
ACS在重新加载后会忽略nocdprun命令。
系统会复制/CSCOacs/view/decap/data/中的条目并将其存储在/opt中,导致/opt中的磁盘使用量增加。
/var中的文件占用全部磁盘空间并使ACS不稳定。
无法在ACS5.5中将远程数据库导出至MicrosoftSQL。
在ACS5.x中配置NIC绑定后,SNMP无法正常工作。
OL-28607-01 思科安全访问控制系统5.6版本说明 17 累积型补丁ACS5.6.0.22.1中已解决的问题 累积型补丁ACS5.6.0.22.1中已解决的问题 表6列出ACS5.6.0.22.1累积型补丁中已解决的问题。
您可以从以下位置下载ACS5.6.0.22.1累积型补丁:?
a=a&i=rpm有关如何将补丁应用至系统的说明,请参考“应用累积型补丁”部分(第14页)。
表
6 累积型补丁ACS5.6.0.22.1中已解决的问题 漏洞IDCSCur00511 说明 CVE-2014-6271和CVE-2014-7169的ACS评估。
通过升级至要求的系统库,此修复解决了bashshell中已发现的漏洞。
此补丁修复包括安全修复,因此ACS服务器会提示重启。
为了成功安装补丁,强烈建议重启。
累积型补丁ACS5.6.0.22.2中已解决的问题 表7列出ACS5.6.0.22.2累积型补丁中已解决的问题。
您可以从以下位置下载ACS5.6.0.22.2累积型补丁:?
a=a&i=rpm有关如何将补丁应用至系统的说明,请参考“应用累积型补丁”部分(第14页)。
表
7 累积型补丁ACS5.6.0.22.2中已解决的问题 漏洞IDCSCur10264 CSCuq67241CSCuq13294 CSCuq35410CSCuq11378CSCuq06377 CSCuq21543CSCuq21559CSCuq22094CSCuq46862CSCuq56757CSCur30345CSCur27402 说明 ACS5.6已在“报告”(Reports)Web界面中引入“排序”(Sorting)功能和“过滤”(Filtering)功能。
“过期后禁用帐户”(Disableountifdateexceeds)功能在ACS5.6中不可用。
当在ACS5.6独立节点中检索已从ACS5.3部署执行的数据库备份时,会在ACS5.6独立节点中自动注册ACS5.3节点。
无法搜索包含“’”字符的用户名。
第
一、第二和第三八位组相同时,ACS5.6显示IP地址或IP范围重叠错误消息。
从“报告”(Reports)Web界面创建“已保存报告”(SavedReports)时,如果禁用某些过滤器,则在“已保存报告”(SavedReports)中会显示所有默认过滤器。
SGT分配报告中不显示“全天身份验证”(Day-wiseAuthentication)详细信息。
从“报告”(Reports)Web界面交叉运行报告时,无法显示选定的时间范围。
ACS“报告”(Reports)Web界面中的计划报告详细信息显示最后一次查看的报告。
ACS“报告”(Reports)Web界面中的计划报告无法显示自定义的时间范围。
生成会话目录报告时,无法正确显示开始时间和结束时间范围。
在ACS中发现SSLv3Poodle漏洞评估。
无法在ACS5.6“报告”(Reports)Web界面安排报告计划。
思科安全访问控制系统5.6版本说明 18 OL-28607-01 累积型补丁ACS5.6.0.22.3中已解决的问题 累积型补丁ACS5.6.0.22.3中已解决的问题 表8列出ACS5.6.0.22.3累积型补丁中已解决的问题。
您可以从以下位置下载5.6.0.22.3累积型补丁:?
a=a&i=rpm有关如何将补丁应用至系统的说明,请参考“应用累积型补丁”部分(第14页)。
表
8 累积型补丁ACS5.6.0.22.3中已解决的问题 漏洞IDCSCuq62466CSCur42721CSCur59417CSCur68196CSCur98716 CSCus17482CSCus38676CSCus42056CSCus42060CSCus55169CSCus68826CSCut55144CSCut05442CSCut20508CSCut01441CSCus52928CSCus80750 说明数据中含有垃圾字符时,无法将远程数据库导出至MicrosoftSQL数据库。
ACS5.xTACACS+线程需要改进。
ACS5.xWeb界面不允许出现单引号、省略号以及加号字符。
配置远程数据库一两天之后,ACS5.x工作自动停止运行。
ACS5.4显示“超过GC开销限制”(GCoverheadlimitexceeded)异常且无法加载“监控和报告”(MonitoringandReports)Web界面。
从主实例删除一个对象后,主实例向辅助实例发送不正确的参照。
提交AAA运行状况警告中的更改后,ACS5.6显示内部错误。
ACSView中存在增量备份问题。
日志不运行时,主动清除日志收集器漏洞。
由于加密问题,无法运行ACS5.4到5.6的应用升级。
ACS5.x容易遭受CVE-2015-0235攻击。
ACS5.x中存在特殊字符问题。
ACS不正确显示IP子网重叠错误消息。
在ACS中配置网络设备的排除IP范围可能导致与其他子网重叠。
如果ACS接收到SIGPIPE(损坏的管道)信号,则会出现运行时崩溃。
计划备份会同时在FTP服务器上创建许多相同名称的文件。
如果第一个TACACS+ASCII请求不含有用户名,则无法匹配服务选择规则。
累积型补丁ACS5.6.0.22.4中已解决的问题 表9列出ACS5.6.0.22.4累积型补丁中已解决的问题。
您可以从以下位置下载5.6.0.22.4累积型补丁:?
a=a&i=rpm有关如何将补丁应用至系统的说明,请参考“应用累积型补丁”部分(第14页)。
OL-28607-01 思科安全访问控制系统5.6版本说明 19 累积型补丁ACS5.6.0.22.4中已解决的问题 表
9 累积型补丁ACS5.6.0.22.4中已解决的问题 漏洞IDCSCuu94829CSCuu93287CSCuu57091CSCuu43343CSCuu30320CSCuu59807CSCus63338CSCuv88723CSCuu81221CSCuc16427CSCuv99693CSCuw09481CSCuv39328 CSCuw21552 CSCuw70238CSCuv95363CSCuv63197CSCuv42038CSCus42781CSCus43434CSCut94394CSCuu11002CSCuu11005CSCus64212CSCut87378CSCus97002CSCto56190CSCut75184CSCut46073CSCuu82493CSCuu67914CSCuu42929CSCuv20514CSCuv03303CSCuu75750 说明 ACS识别到重叠IP范围时,ACS5.x显示不正确的设备名称。
无法在ACS中打开邮件通知警告中提供的报告链接。
应用ACS5.6补丁3后,ACS运行时进程停滞且未处于监控状态。
ACS不允许网络设备的KEK和MACK密钥中包含特殊字符。
ACS服务器无法识别从ACSWeb界面配置的密码缓存超时选项。
由于ACS5.x中的管理员帐户密码变更,发现存在复制问题。
添加新布局时,ACSView控制面板显示错误。
在更改ACS管理员密码时,如果密码含有<字符或>字符,则会出现问题。
安装新的CA证书后,无法删除原来的从属CA。
使用时间戳选项将记录导出至.csv文件功能无法正常运行。
ACS5.6不允许命令集中包含特殊字符。
ACS5.x容易遭受CVE2015-5600攻击。
当存在大量AAA客户端时,如果您在ACS中搜索具有网络设备名称的报告,ACS管理流程将无法响应。
对于在配置“审计计划报告”(AuditScheduledReport)中所使用的所有过滤器,ACS5.x显示不正确的结果。
时钟时区设置为ETC/GMT+/-7时,无法在ACS5.x中保存计划报告。
重新加载ACS服务器后,无法在ACS5.x中运行计划报告。
最后一个EAP分段的长度大于EAP分段总长度时,发生ACS运行时崩溃。
高级丢弃选项未丢弃ACS5.x中的TACACS+请求。
2015年1月期间在ACS中发现了OpenSSL漏洞。
如果ACS在数据包处理过程中接收到重置请求,则会达到情景限制。
重启ACS服务时,无法启动临时数据库。
在ACS5.x中发现反射型XSS漏洞。
在ACS5.x中发现本地文件包含漏洞。
ACS5.6中的计划报告无法显示所有列。
身份验证过程中频繁发生ACS运行时崩溃。
ACS5.6中的收藏报告不显示任何数据。
如果ActiveDirectory未启用LDAPSSL,ActiveDirectory界面操作会需要很长时间。
ACS将括号视为无效字符。
2015年3月期间在ACS中发现了OpenSSL漏洞。
2015年6月期间在ACS中发现了OpenSSL漏洞。
安装ACS5.6补丁3后,在ACS中无法执行清除。
需要放宽ACS5.x中的终端站过滤器限制。
恢复ACS5.5View数据库时发现问题。
从ACSWeb界面导出报告时,ACS无法正确发送邮件。
无法在ACS中使用.csv文件更新终端站过滤器。
思科安全访问控制系统5.6版本说明 20 OL-28607-01 ACS部署中的限制 表10介绍ACS部署中的限制。
表10 ACS部署中的限制 对象类型ACS实例主机数用户身份组ActiveDirectory组检索网络设备网络设备组设备分层所有地点所有设备类型服务授权规则条件授权配置文件服务选择策略(SSP)网络条件(NAR)ACS管理员 dACL ACS系统限制22150,000300,0001,0001,500100,00012610,000350253208600503,000509个静态角色600个dACL,每个具有100个ACE ACS部署中的限制 OL-28607-01 思科安全访问控制系统5.6版本说明 21 已知的ACS问题 已知的ACS问题 表11列出ACS5.6中的已知问题。
您还可以在上使用漏洞搜索工具(BugToolkit)查找此表中未列出的任何公开漏洞。
表11 ACS5.6中的已知问题 漏洞IDCSCuo38291未删除ACS“报告”(Reports)Web界面错误消息中显示的额外信息。
CSCuq61449已保存报告中不显示开始时间和结束时间过滤器。
CSCuq24311将用户报告设置为收藏报告时,会自动更改收藏报告的过滤器选项。
CSCuq24409“已保存报告”(SavedReports)中显示的过滤器值不正确。
CSCuo87567ACS5.6“报告”(Reports)Web界面不支持某些交互式查看器功能。
CSCuq06377ACS会为已保存报告显示所有过滤器,即使保存报告时某些过滤器已禁用。
说明 在“报告”(Reports)Web界面中生成报告时,如果注销ACS会话,会显示错误消息。
应删除此错误消息中的额外信息。
当从主ACS窗口注销且在另一个窗口中打开报告查看器时,会发生此问题。
解决方法:
1.关闭“报告”(Reports)Web界面。
2.登录ACSWeb界面,然后点击运行监控和报告查看器(LaunchMonitoringandReport Viewer)。
“监控和报告”(MonitoringandReports)Web界面在新窗口中打开。
3.点击报告(Report),在新窗口中打开“报告”(Reports)Web界面。
运行任何已保存报告时,必须输入开始时间和结束时间过滤器值。
运行并保存具有开始时间和结束时间过滤器的报告时,会发生此问题。
解决方法: 手动输入开始时间和结束时间过滤器值。
在ACS5.6中,将用户报告设置为收藏报告时,无法正确显示在收藏报告中自定义的过滤器值。
使用自定义过滤器生成收藏报告,并在使用ACS“报告”(Reports)部分的默认过滤器生成同一报告后选择此收藏报告查看其详细信息,会发生此问题。
解决方法: 刷新“报告”(Reports)Web界面。
无法正确显示已保存报告、ACS报告和收藏报告的滤值。
运行具有自定义过滤器值的已保存报告、ACS报告和收藏报告时,会发生此问题。
解决方法: 关闭“报告”(Reports)Web界面,然后从ACSWeb界面重新打开。
“报告”(Reports)Web界面中的过滤器值显示不正确,但是,当ACS从数据库中获取过滤器数据时,生成的报告会显示正确的信息。
ACS5.6“报告”(Reports)Web界面不支持全局交互式查看器功能;但是支持“显示或隐藏列”(showorhidecolumns)和“固定列”(fixingcolumns)(交互式查看器功能的组成部分)。
将ACS升级到ACS5.6版本后,会发生此问题。
解决方法: 将生成的报告导出至CSV文件。
使用MicrosoftExcel电子表格打开此CSV文件,并使用Excel选项获取缺失的交互式查看器功能。
ACS会为已保存报告显示所有过滤器,即使在“报告”(Reports)Web界面中保存报告时某些过滤器已禁用。
而一般情况下,对于所有已保存报告,ACS仅显示自定义过滤器。
使用自定义过滤器保存报告,并在使用ACS报告部分的默认过滤器生成同一报告后选择此已保存报告查看其详细信息时,会发生此问题。
解决方法: 刷新“报告”(Reports)Web界面。
思科安全访问控制系统5.6版本说明 22 OL-28607-01 已知的ACS问题 表11 ACS5.6中的已知问题(续) 漏洞IDCSCuq21543 说明ACS无法为SGT分配报告显示全天身份验证信息。
SGT分配报告中不显示全天身份验证信息。
CSCuq21559 从ACS“报告”(Reports)Web界面交叉运行报告时,会显示不正确的时间范围。
生成SGT分配报告时,会发生此问题。
解决方法: 生成具有开始日期和结束日期过滤器的SGT分配报告。
在ACS“报告”(Reports)Web界面交叉运行RADIUS和TACACS+报告时,会显示不正确的时间范围。
从ACS“报告”(Reports)Web界面交叉运行RADIUS和TACACS报告时,会发生此问题。
解决方法: “报告”(Reports)Web界面中的时间范围显示不正确,但是,当ACS从数据库中获取过滤器数据时,生成的报告会显示正确的信息。
CSCuq22094 查看另一个计划报告的详细信息时,会显示之前生成的计划报告的过滤器。
从“保存和计划报告”(SavedandScheduledReport)部分选择任何计划报告并在右窗格中查看其详细信息时,会在右窗格显示之前生成的计划报告的过滤器。
当存在多个计划报告时,如果在生成另一个计划报告后立即选择一个计划报告并在右窗格中查看其详细信息,则会发生此问题。
解决方法: CSCuq46862 从“报告”(Reports)Web界面点击计划报告时,右窗格中不显示开始和结束日期。
刷新“报告”(Reports)Web界面。
从“保存和计划报告”(SavedandScheduledReport)部分选择一个计划报告并在右窗格中查看其详细信息时,右窗格中不显示开始和结束日期。
安排任何具有自定义时间范围的ACS报告计划时,会发生此问题。
解决方法: 无 此问题不会影响计划报告。
CSCuq51480 ACS会为已保存报告显示其他过滤器,即使保存报告时某些过滤器已禁用。
ACS会为已保存报告显示其他过滤器,即使在“报告”(Reports)Web界面中保存报告时某些过滤器已禁用。
而一般情况下,对于所有已保存报告,ACS仅显示自定义过滤器。
使用自定义过滤器保存报告,并在使用ACS报告部分的默认过滤器生成同一报告后选择此已保存报告查看其详细信息时,会发生此问题。
解决方法: CSCuq56757 在“报告”(Reports)Web界面中无法正确显示开始日期和结束日期。
刷新“报告”(Reports)Web界面,然后从已保存报告部分打开已保存的报告。
生成报告后,当使用时间范围过滤器时,在“报告”(Reports)Web界面中会显示开始日期和结束日期。
但是在ACS5.6中,生成具有时间范围过滤器的会话目录报告时,无法正确显示开始日期和结束日期值。
生成具有应用时间范围过滤器的会话目录报告时,会发生此问题。
解决方法: “报告”(Reports)Web界面中的时间范围显示不正确,但是,当ACS从数据库中获取过滤器数据时,生成的报告会显示正确的信息。
OL-28607-01 思科安全访问控制系统5.6版本说明 23 文档更新 文档更新表12列出《思科安全访问控制系统5.6版本说明》。
表12 思科安全访问控制系统5.6版本说明更新 日期2015年11月19日2015年4月27日2014年11月27日2014年10月8日2014年9月26日 说明添加累积型补丁ACS5.6.0.22.4中已解决的问题(第19页)添加累积型补丁ACS5.6.0.22.3中已解决的问题(第19页)添加累积型补丁ACS5.6.0.22.2中已解决的问题(第18页)添加累积型补丁ACS5.6.0.22.1中已解决的问题(第18页)思科安全访问控制系统版本5.6 产品文档 注原始出版物发布之后,思科可能会更新打印文档和电子文档。
因此,您应该从查看所有更新信息。
表13列出ACS5.6可用的产品文档。
要在上查找所有产品的最终用户文档,请转至:/go/techdocs。
依次选择产品(Products)>安全(Security)>访问控制和策略(essControlandPolicy)>策略和访问管理(PolicyandessManagement)>思科安全访问控制系统(CiscoSecureessControlSystem)。
表13 产品文档 文档标题思科安全访问控制系统设备内文档和中国RoHS指针卡思科安全访问控制系统5.6迁移指南 思科安全访问控制系统5.6用户指南 思科安全访问控制系统5.6CLI参考指南 思科安全访问控制系统5.6支持的互通设备和软件思科安全访问控制系统5.6安装和升级指南 思科安全访问控制系统5.6软件开发者指南 思科安全访问控制系统的合规性与安全信息 可用的格式 /c/en/us/support/security/ess-control-system/products-documentation-roadmaps-list.html /c/en/us/support/security/ess-control-system/products-installation-guides-list.html /c/en/us/support/security/ess-control-system/products-user-guide-list.html /c/en/us/support/security/ess-control-system/mand-reference-list.html /c/en/us/support/security/ess-control-system/products-device-support-tables-list.html /c/en/us/support/security/ess-control-system/products-installation-guides-list.html /c/en/us/support/security/ess-control-system/products-programming-reference-guides-list.html _mgmt/cisco_secure_ess_control_system/5-6/pliance/csacsrcsi.html 思科安全访问控制系统5.6版本说明 24 OL-28607-01 通知 通知 以下通知与此软件许可证有关。
OpenSSL/OpenSSL项目 此产品包括OpenSSL项目开发的、可在OpenSSL工具包中使用的软件(/)。
此产品包括EricYoung(eay@)编写的加密软件。
此产品包括TimHudson(tjh@)编写的软件。
许可问题 OpenSSL工具包使用双重许可模式,即OpenSSL许可证和原有的SSLeay许可证同时适用于该工具包。
实际许可证文本详见下文。
事实上,两个许可证都是BSD样式的开放源许可证。
有关OpenSSL的任何许可证问题,请联系openssl-core@。
OpenSSLLicense版权所有©1998-2007OpenSSLProject。
保留所有权利。
对源代码或二进制形式代码的重新发行和使用(包含或不含修改)需要符合下列条件:
1.源代码的再次分发必须保留版权通知、该条件列表和以下免责声明。
2.以二进制形式重新发行时,必须通过文档和/或在发行时一并提供的其它材料复制上述版权声明、此条件清单和下面的免责声明。
3.所有提及此软件的功能或用途的宣传材料必须显示以下声明“此产品包括OpenSSL项目开发的、可在OpenSSL工具包中使用的软件(/)”。
4.不经事先书面许可,不得将名称“OpenSSL工具包”和“OpenSSLProject”用于促销和宣传从该软件衍生的产品。
有关书面许可,请联系openssl-core@。
5.未经OpenSSLProject事先书面许可,从该软件衍生的产品不得称为“OpenSSL”,也不得在其名称中显示“OpenSSL”。
6.无论何种形式的再分发都必须保留以下内容: “此产品包括OpenSSL项目开发的、可在OpenSSL工具包中使用的软件(/)”。
该软件由OpenSSLPROJECT按“原样”提供,对于明示或暗含的担保,包括但不限于特定目的的适销性和适用性的暗含担保,均不负任何责任。
在任何情况下,OpenSSLPROJECT或其参与者对于由使用该软件造成的任何直接、间接、意外、特殊、惩罚性或后果性损失(包括但不限于获得替换的货物或服务;用途、数据或利益损失;或业务中断),无论其原因及理论上的责任,包括是否在合同中、严格赔偿责任或侵权行为(包括疏忽或其他),均不负有任何责任,即使已被告知此类损失的可能性也是如此。
此产品包括EricYoung(eay@)编写的加密软件。
此产品包括TimHudson(tjh@)编写的软件。
原有的SSLeay许可版权所有©1995-1998EricYoung(eay@)保留所有权利。
该数据包是由EricYoung(eay@)编写的SSL实施。
*该应用与NetscapesSSL兼容。
OL-28607-01 思科安全访问控制系统5.6版本说明 25 许可协议补充协议 只要符合以下条件,则该库可免费用于商业和非商业用途。
以下条件适用于在该分发中出现的所有代码,可以是RC4、RSA、lhash、DES等代码,而不仅是SSL代码。
包括在该分发中的SSL文档受相同版权条款限制,但其版权持有人是TimHudson(tjh@)。
版权仍然属于EricYoung,因此不会删除代码中的任何版权通知。
如果在产品中使用该数据包,则应在所用库的部分的作者中署名EricYoung。
此内容可以在程序启动时以文本消息的形式,也可以包括在随数据包提供的文档(在线或文本)中。
对源代码或二进制形式代码的重新发行和使用(包含或不含修改)需要符合下列条件:
1.源代码的再次分发必须保留版权通知、该条件列表和以下免责声明。
2.以二进制形式重新发行时,必须通过文档和/或在发行时一并提供的其它材料复制上述版权声 明、此条件清单和下面的免责声明。
3.所有提及该软件功能或使用的广告资料都必须显示以下内容:“该产品包括由EricYoung(eay@)编写的密码软件”如果使用的库的惯例不与密码相关,则可省去“密码”一词。
4.如果您包括来自任何Windows专用代码(或其衍生目录(应用程序代码)必须包含以下声明“本产品包括由TimHudson(tjh@)编写的软件”。
该软件由ERICYOUNG按“原样”提供,对于明示或暗含的担保,包括但不限于特定目的的适销性和适用性的暗含担保,均不负任何责任。
在任何情况下,作者或参与者对于由使用该软件造成的任何直接、间接、意外、特殊、惩罚性或后果性损失(包括[但不限于]获得替换的货物或服务;用途、数据或利益损失;或业务中断),无论其原因及理论上的责任,包括是否在合同中、严格赔偿责任或侵权行为(包括疏忽或其他),均不负有任何责任,即使已被告知此类损失的可能性也是如此。
此代码的任何公开发行版本或衍生代码的许可和分发条款不可更改,即,此代码不能复制并置于其他分发许可[包含GNU公共许可证]下。
许可协议补充协议 思科系统访问控制系统软件的最终用户许可协议补充协议: 重要信息:请仔细阅读 本最终用户许可协议补充协议(“补充协议”)包含您与思科之间的最终用户许可协议(“EULA”,统称为“协议”)下许可的软件产品的其他条款和条件。
本补充协议中使用但未定义的加粗术语采用EULA中规定的含义。
如果EULA和本补充协议的条款和条件冲突,以本补充协议的条款和条件为准。
除遵守EULA中有关访问和使用本软件的其他限制之外,您还同意始终遵循本补充协议的条款和条件。
下载、安装或使用本软件即表示接受本协议,并且您同意您本人和您代表的业务实体(统称为“客户”)受本协议的约束。
若您不同意本协议全部条款,则思科不愿意授予您本软件许可,因此(a)您不得下载、安装或使用本软件;和(b)您可退还本软件(包括未启封的CD包和所有书面资料)并获得全额退款。
或者,如果本软件与书面材料构成其他产品的组成部分,您可退还全部产品并获得全额退款。
只有原始最终用户购买者才享有退货与退款权利,该等权利自从思科或授权的思科的经销商购买产品30天后失效。
1.产品名称对于本补充协议,可作为访问控制系统软件组成部分订购的产品名称和产品说明如下:
A.高级报告和故障排除许可证支持自定义报告、警告以及其他监控和故障排除功能。
思科安全访问控制系统5.6版本说明 26 OL-28607-01 获取文档和提交服务请求
B.大型部署许可证允许部署支持500台以上的网络设备(AAA客户端以所配置的IP地址数量计算)也就是说,大型部署许可证允许在企业ACS部署中支持无限数量的网络设备。
C.高级访问许可证(不适用于访问控制系统软件5.0,将与未来的访问控制系统软件版本一起发行)支持安全组访问策略控制功能以及其他高级访问功能。
2.其他许可证限制•安装和使用。
思科SNS3495、SNS3415和CSACS1121硬件平台已预安装思科安全访问控制 系统(ACS)软件组件。
包含用于为SNS3495、SNS3415和CSACS1121硬件恢复此软件的工具的光盘仅限客户用于重新安装用途。
客户仅可在思科SNS3495、SNS3415和CSACS1121硬件平台上运行支持的专用思科安全访问控制系统软件产品。
请勿在思科SNS3495、SNS3415和CSACS1121硬件平台上安装任何不支持的软件产品或组件。
•软件升级、主要和次要版本。
思科可能将思科SNS3495、SNS3415和CSACS1121硬件平台的思科安全访问控制系统软件升级作为主要升级或次要升级提供。
如果可通过思科或其认可的合作伙伴或经销商进行购买软件主要升级或次要升级,客户应为每个SNS3495、SNS3415和CSACS1121硬件平台购买一个主要升级或次要升级。
如果客户有资格通过思科扩展服务计划接收软件版本,每个有效服务合同仅限申请接收一个软件升级或新发行版本。
•复制和分发。
客户不得复制或分发软件。
3.定义主要升级指提供附加软件功能的软件版本。
思科通过更改软件版本号的个位数字[(x).x.x]来对主要升级进行命名。
次要升级指提供维护修复和附加软件功能的增量软件版本。
思科通过更改软件版本号的十分位数字[x.(x).x]来对次要升级进行命名。
4.其他权利和限制说明。
请参阅思科系统公司的最终用户许可协议。
获取文档和提交服务请求 关于如何获取文档、提交服务请求和收集详情,请参阅每月的What'sNewinCiscoProductDocumentation(其中还含有所有最新及修订的思科技术文档)要查看文档,请前往:通过ReallySimpleSyndication(RSS)源的方式订阅思科产品文档更新,相关内容将通过阅读器应用程序直接发送至您的桌面。
RSS源是一项免费服务,思科目前支持RSS2.0版本。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请转至此URL:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R) 本文档中使用的任何协议(IP)地址都不是有意使用的真实地址。
本文档中所含的任何示例、命令显示输出和图形仅供说明之用。
说明内容中用到的所有真实IP地址都纯属巧合,并非有意使用。
思科安全访问控制系统5.6版本说明©2014年思科系统公司。
保留所有权利。
OL-28607-01 思科安全访问控制系统5.6版本说明 27 获取文档和提交服务请求 思科安全访问控制系统5.6版本说明 28 OL-28607-01
此版本说明介绍CiscoSecureACS的功能、限制和约束(警告)以及相关文档,是对产品硬件和软件版本附带的CiscoSecureACS文档的补充。
本文档包括以下内容: •简介(第2页)•系统要求(第3页)•ACS5.6版本的新功能(第6页)•升级CiscoSecureACS软件(第8页)•监控和报告数据导出兼容性(第8页)•安装和升级说明(第8页)•已解决的ACS问题(第15页)•累积型补丁ACS5.6.0.22.1中已解决的问题(第18页)•累积型补丁ACS5.6.0.22.2中已解决的问题(第18页)•累积型补丁ACS5.6.0.22.3中已解决的问题(第19页)•累积型补丁ACS5.6.0.22.4中已解决的问题(第19页)•ACS部署中的限制(第21页)•已知的ACS问题(第22页)•文档更新(第24页)•产品文档(第24页)•通知(第25页)•许可协议补充协议(第26页)•获取文档和提交服务请求(第27页) 思科系统公司 简介 简介 ACS是一款策略驱动型访问控制系统,是网络访问控制和身份管理的集成点。
ACS5.6软件可在专用的思科SNS-3495设备、思科SNS-3415设备、思科1121安全访问控制系统(CSACS-1121)或VMware服务器上运行。
思科SNS-3495和思科SNS-3415设备附带ACS5.6。
但是,ACS5.6仍支持CSACS-1121设备。
您可从在CSACS-1121设备上运行的任何较早的ACS版本升级到ACS5.6。
有关升级路径的更多信息,请参阅升级CiscoSecureACS软件(第8页)。
此ACS版本提供新增和增强的功能。
在本文档中,思科SNS-3495、思科SNS-3415和CSACS-1121是指设备硬件,而ACS服务器是指ACS软件。
注在每个主要版本中,思科都会对ACS应用运行安全扫描。
我们不建议您在ACS生产环境下运行漏洞扫描,因为这样操作可能会带来影响ACS应用的风险。
您可以在预生产环境下执行漏洞扫描操作。
思科安全访问控制系统5.6版本说明
2 OL-28607-01 系统要求 系统要求 •支持的硬件(第3页)•支持的虚拟环境(第4页)•支持的浏览器(第4页)•支持的设备和用户存储库(第5页) 注有关CiscoSecureACS硬件平台和安装的更多详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
支持的硬件 CiscoSecureACS封装在您的设备或映像中以便于安装。
以下平台附带CiscoSecureACS5.6: 表
1 支持的硬件平台 硬件平台思科SNS-3495-K9(大型UCS) 思科SNS-3415-K9(小型UCS) 思科1121安全访问控制系统硬件(CSACS-1121) CiscoSecureACS-VM-K9(VMware) 配置•思科UCSC220M3•双插槽IntelE5-26092.4GhzCPU,共8个内核,8个线程•32GBRAM •2个600-GB磁盘•RAID0+
1 •4GE网络接口•思科UCSC220M3•单插槽IntelE5-26092.4GhzCPU,共4个内核,4个线程•16GBRAM •1个600-GB磁盘•嵌入式软件RAID0•4GE网络接口•IntelCore2Duo2.4GHz处理器,带800MHz前端总线 (FSB)和2MB第2层缓存•4GBSDRAM •2个250GBSATA硬盘•4个1GB网络接口•2个CPU(双CPU、Xeon、Core2Duo或2个单CPU)•4GBRAM •NIC-需要1GBNIC接口(最多可以安装4个NIC。
)•有关支持的VMware版本,请参阅支持的虚拟环境有关VMware要求的信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
OL-28607-01 思科安全访问控制系统5.6版本说明
3 系统要求 支持的虚拟环境 ACS5.6支持以下VMware版本:•VMwareESXi5.0•VMwareESXi5.0更新2•VMwareESXi5.1•VMwareESXi5.1更新2•VMwareESXi5.5•VMwareESXi5.5更新1有关VMware计算机的要求和安装流程的信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》中“在VMware虚拟机中安装ACS”一章。
支持的浏览器 您可以使用以下浏览器访问ACS5.6管理员用户界面:•Mac操作系统 –MozillaFirefox版本28.x–MozillaFirefox版本29.x–MozillaFirefox版本24.4ESR•Windows732位和Windows764位–Explorer版本10.x–Explorer版本11.x–MozillaFirefox版本17.x–MozillaFirefox版本21.x–MozillaFirefox版本22.x–MozillaFirefox版本25.x–MozillaFirefox版本26.x–MozillaFirefox版本28.x–MozillaFirefox版本29.x–MozillaFirefox版本31.x–MozillaFirefox版本17.0.6ESR–MozillaFirefox版本24.1.1ESR–MozillaFirefox版本24.4ESR–MozillaFirefox版本24.5ESR–MozillaFirefox版本24.7.0ESR–MozillaFirefox版本31.0ESR 思科安全访问控制系统5.6版本说明
4 OL-28607-01 系统要求 •Windows8.x–Explorer版本11.x–MozillaFirefox版本31.x–MozillaFirefox版本24.7.0ESR–MozillaFirefox版本31.0ESR 仅以下密码套件支持上述浏览器:•TLS_DHE_DSS_WITH_AES_256_CBC_SHA•TLS_RSA_WITH_AES_256_CBC_SHA•TLS_RSA_WITH_AES_128_CBC_SHA 如果在WindowsXP操作系统中使用Explorer版本8x以兼容模式访问ACSWeb界面,则不支持上述密码套件。
必须在运行客户端浏览器的系统上安装AdobeFlashPlayer11.2.0.0或更高版本。
注 •当从ACS5.x导入或导出.csv文件时,必须关闭弹出窗口拦截器。
注 •仅可在Explorer7.x或更高版本以及MozillaFirefox3.x版本中使用IPv6地址启动ACS Web界面。
支持的设备和用户存储库 有关支持的设备、802.1X客户端和用户存储库的信息,请参阅《思科安全访问控制系统5.6支持的互操作设备和软件》。
OL-28607-01 思科安全访问控制系统5.6版本说明
5 ACS5.6版本的新功能 ACS5.6版本的新功能 以下部分简要介绍5.6版本的新功能:•增强的报告(第6页) 增强的报告 CiscoSecureACS版本5.6中的报告经过改进后,界面焕然一新,更加简洁且易于使用。
报告划分为不同的逻辑类别,提供有关身份验证、会话流量、设备管理、ACS服务器配置和管理以及故障排除的信息。
增强的动态导出选项可以将选定的报告以逗号分隔值(.csv)文件的形式导出到Excel电子表格。
增强的计划服务还允许您将报告加入队列并在报告可用时接收通知。
报告名称及其过滤器在左侧窗格上显示,而报告在“报告”(Reports)Web界面的右侧窗格上显示。
增强的Web界面可帮助您轻松导航报告并从左侧窗格更好地控制不同类型的报告。
ACS5.6报告可提供增强性能并且易于使用,但不支持全局交互式查看器功能;不过,支持“显示或隐藏列”(showorhidecolumns)和“固定列”(fixingcolumns)(交互式查看器功能的组成部分)。
您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格或任何其他支持的工具打开该文件,并使用Excel选项来执行操作。
ACS5.6中缺失的某些交互式查看器自定义选项将在未来的ACS版本或ACS5.6补丁中向客户提供。
注ACS5.6补丁2引入了两种新的交互式查看器功能:排序和过滤报告数据。
安装ACS5.6补丁2后,您可以从“报告”(Reports)Web界面生成报告,然后对数据项进行过滤和排序。
ACS5.6Flex报告的优点•根据观察,性能方面的一项重大改进表现在缩短了生成报告所需的时间。
•基于Flex的报告提高了应用开发人员控制代码库的能力。
这样,开发人员就可以缓解安全问 题,尤其是在基于Web服务器的应用中。
•如果您需要新的功能或修复Actuate报告当前版本中的任何现有问题,则需将Actuate升级到 最新版本。
将Actuate当前版本升级到最新版本需要耗费大量的精力和资本。
Flex报告极少出现这些问题,并且可以长期保持可持续性。
•Actuate需要可重新分发的许可证,而Flex仅需开发人员许可证。
•在不同类型的报告之间进行导航时,现在可以从左侧窗格更好地控制,而不必转至右侧窗格再选择报告及其过滤器值。
此左侧窗格导航改善了用户体验。
•Flex报告的外观和风格以及布局均远远优于Actuate报告。
•思科身份服务引擎(ISE)使用Flex框架生成报告,而且ISE报告与ACS5.6报告相似。
这种相似性将帮助您在今后更加顺利地执行从ACS到ISE的迁移。
思科安全访问控制系统5.6版本说明
6 OL-28607-01 OL-28607-01 ACS5.6版本的新功能 ACS5.6Flex报告的限制表2列出的是ACS5.5和5.6“报告”(Reports)Web界面的功能实施之间的限制和差异。
表
2 ACS5.6报告与ACS5.5报告相比所具有的限制 ACS5.5的功能在“查询及运行”(Query&Run)页面,您可以搜索用户、ACS节点和身份组并生成自定义报告,并可从所有用户或组列表中选择一个用户或组。
ACS5.4中的“计划”(Scheduled)报告和“收藏”(Favorite)报告可以在ACS5.5中重新使用。
但是,这些报告不可以在ACS5.6中重新使用,因为Flex框架无法识别存储在磁盘中的基于Actuate的“计划”(Scheduled)报告和“收藏”(Favorite)报告的格式。
列排序-在交互式查看器中,您可以对列进行升序或降序排列。
在交互式查看器中,您可以汇总数字列中的值。
例如,可以汇总已通过的身份验证的数量并查看已通过的身份验证的总数。
同样,您可以搜索并查找最小值、最大值、第一个值、最后一个值等等。
在交互式查看器中,您可以通过合并两列的值添加新的一列。
您还可以使用表达式合并列中的值。
在交互式查看器中,您可以根据等于、小于、大于、在...之间、非空值等条件来过滤列值。
在交互式查看器中,您可以通过应用分页符、更改对齐方式、更改字体、样式、颜色、大小写(大写/小写)等来编辑报告。
在交互式查看器中,您可以根据特定列的值重新整理报告或划分整个报告。
例如,按照失败尝试次数均超过三次的所有用户重新整理报告。
ACS5.6中实施的功能在ACS5.6中,此功能经过专门设计,因此您不必记住用户或组。
在输入字段中输入前三个字符时,系统会自动填充用户或组。
ACS5.4或5.5中生成的“计划”(Scheduled)报告和“收藏”(Favorite)报告可以在ACS5.6中重新使用。
ACS5.4或5.5的“计划”(Scheduled)报告和“收藏”(Favorite)报告存储在ACS5.6的“已保存”(Saved)报告下。
不可用 不可用 不可用 不可用 不可用 不可用 解决方法无 无 您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格打开该文件,并使用Excel选项对数据排序。
您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格或任何其他支持的工具打开该文件,并使用Excel选项来执行操作。
您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格或任何其他支持的工具打开该文件,并使用Excel选项来执行操作。
您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格或任何其他支持的工具打开该文件,并使用Excel选项来执行操作。
您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格或任何其他支持的工具打开该文件,并使用Excel选项来执行操作。
您可以将报告导出至CSV文件,使用MicrosoftExcel电子表格或任何其他支持的工具打开该文件,并使用Excel选项来执行操作。
思科安全访问控制系统5.6版本说明
7 升级CiscoSecureACS软件 升级CiscoSecureACS软件 思科安全访问控制系统(ACS)支持从不同的ACS5.x版本升级至ACS5.6。
支持的升级路径包括: •CiscoSecureACS5.4版本,建议应用最新补丁•CiscoSecureACS5.5版本,建议应用最新补丁 请遵循《思科安全访问控制系统5.6安装和升级指南》中的升级说明升级到CiscoSecureACS5.6版本。
监控和报告数据导出兼容性 如果远程数据库为Oracle数据库且已在集群设置中配置,则不能将监控和故障排除记录导出至远程数据库。
安装和升级说明 本部分提供关于ACS5.6的安装任务和配置流程的信息。
此部分包含以下内容:•安装、设置和配置CSACS-1121(第8页)•安装、设置和配置思科SNS-3495或思科SNS-3415(第10页)•运行设置程序(第11页)•ACS5.6中的许可(第13页)•升级ACS服务器(第14页)•应用累积型补丁(第14页) 安装、设置和配置CSACS-1121 本部分介绍如何安装、设置和配置CSACS-1121系列设备。
CSACS-1121系列设备已预安装软件。
要设置和配置CSACS-1121,请执行以下步骤: 步骤
1 打开包含CSACS-1121系列设备的箱子并确认其包含以下各项:•CSACS-1121系列设备•电源线•机架安装套件•思科信息包•保修卡•思科安全访问控制系统5.6的合规性与安全信息 思科安全访问控制系统5.6版本说明
8 OL-28607-01 安装和升级说明 步骤2步骤3步骤
4 步骤
5 浏览CSACS-1121系列设备的规格。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
安装CSACS-1121系列设备之前,请阅读必须遵循的一般注意事项和安全说明。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》并特别注意所有安全警告。
将设备安装在4柱式机架中,并完成其余硬件安装步骤。
有关安装CSACS-1121系列设备的更多详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
将CSACS-1121系列设备连接至网络,然后将USB键盘和视频图形阵列(VGA)显示器或串行控制台连接至串行端口。
图1显示的是CSACS-1121系列设备的后面板以及各种电缆连接器。
注对于初始设置,您必须有USB键盘和VGA显示器或运行终端仿真软件的串行控制台。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
有关在VMware中安装ACS5.6的信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》中的“在VMware虚拟机中安装ACS”一章。
图11 CSACS1121系列设备后视图
2 197065 846 43 75 下表介绍的是图1中的标注。
. 1交流电源插座2千兆以太网3串行连接器4视频连接器 5千兆以太网16千兆以太网07USB3连接器8USB4连接器 步骤
6 完成硬件安装后,请启动设备。
首次启动设备后,您必须运行安装程序以配置设备。
有关详细信息,请参阅运行设置程序(第11页)。
OL-28607-01 思科安全访问控制系统5.6版本说明
9 安装和升级说明 安装、设置和配置思科SNS-3495或思科SNS-3415 思科SNS-3495和思科SNS-3415设备没有DVD驱动器。
您必须使用设备上的CIMC或可引导USB在此设备中安装、设置和配置ACS5.6。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
本部分介绍如何安装、设置和配置思科SNS-3495和思科SNS-3415设备。
思科SNS-3495和思科SNS-3415设备已预安装软件。
要设置和配置思科SNS-3495和思科SNS-3415,请执行以下步骤: 步骤
1 步骤2步骤3步骤4步骤
5 打开包含思科SNS-3495和思科SNS-3415设备的箱子并确认其包含以下各项:•思科SNS-3495和思科SNS-3415设备•电源线 •KVM电缆•思科信息包 •保修卡•思科安全访问控制系统5.6的合规性与安全信息浏览思科SNS-3495或思科SNS-3415设备的规格。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
安装思科SNS-3495或思科SNS-3415设备之前,请阅读必须遵循的一般注意事项和安全说明。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》并特别注意所有安全警告。
将设备安装在4柱式机架中,并完成其余硬件安装步骤。
有关安装思科SNS-3495或思科SNS-3415设备的更多详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
将思科SNS-3495或思科SNS-3415系列设备连接至网络,然后将USB键盘和视频图形阵列(VGA)显示器或串行控制台连接至串行端口。
有关思科SNS-3495和思科SNS-3415设备以及各种电缆连接器的说明,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
注对于初始设置,您必须有USB键盘和VGA显示器或运行终端仿真软件的串行控制台。
步骤
6 有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
有关在VMware中安装ACS5.6的信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》的“在VMware虚拟机中安装ACS”一章。
完成硬件安装后,请启动设备。
首次启动设备后,您必须运行安装程序以配置设备。
有关详细信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
思科安全访问控制系统5.6版本说明 10 OL-28607-01 安装和升级说明 运行设置程序 设置程序会运行交互式CLI,提示输入必需的参数。
管理员可以使用控制台或哑终端配置初始网络设置并输入使用该设置程序的ACS5.6服务器的初始管理员凭证。
设置流程是一种一次性配置任务。
要配置ACS服务器,请执行以下步骤: 步骤
1 启动设备。
系统将显示以下设置提示: Pleasetype‘setup’toconfiguretheappliancelocalhostlogin: 在登录提示符下,输入setup,然后按下Enter。
控制台会显示一组参数。
必须如表3中所述输入参数。
注您可以在输入最后一个设置值之前,键入Ctrl-C随时中断设置流程。
表
3 提示符主机名 网络配置提示符 默认localhost IPv4IP地址IPv4网络掩码IPV4网关域名 无,特定于网络无,特定于网络无,特定于网络无,特定于网络 IPv4主名称服务器地址 添加另一个名称服务器 无,特定于网络无,特定于网络 NTP服务器 time.nist.gov 条件 第一个字母必须为ASCII字符。
长度必须介于3到15个字符之间。
有效字符为字母数字(A-Z、a-z、0-9)和连字符(-),且第一个字符必须为字母。
注要使用ADID存储区并设置具有相同名称前缀的多个ACS实例时,请使用最多15个字符作为主机名以免影响AD功能。
必须是介于0.0.0.0和255.255.255.255之间的有效IPv4地址。
必须是介于0.0.0.0和255.255.255.255之间的有效IPv4网络掩码。
必须是介于0.0.0.0和255.255.255.255之间的有效IPv4地址。
不能是IP地址。
有效字符为ASCII字符、任意数字、连字符(-)和句点(.)。
必须是介于0.0.0.0和255.255.255.255之间的有效IPv4地址。
必须是介于0.0.0.0和255.255.255.255之间的有效IPv4地址。
注最多可以从ACSCLI配置三个名称服务器。
必须是介于0.0.0.0和255.255.255.255之间的有效IPv4地址或域名服务器。
注最多可以从ACSCLI配置三个NTP服务器。
说明输入主机名。
输入IP地址。
输入有效的网络掩码。
输入默认网关的有效IP地址。
输入域名。
输入一个有效名称服务器地址。
要配置多个名称服务器,请输入
Y。
输入一个有效域名服务器或IPv4地址。
OL-28607-01 思科安全访问控制系统5.6版本说明 11 安装和升级说明 表3提示符时区SSH服务用户名 管理员密码 网络配置提示符(续)默认UTC无,特定于网络admin 无 条件 必须是有效的当地时区。
无。
第一个管理员用户的名称。
您可以接受默认用户名或输入新的用户名。
必须介于3到8个字符之间,且必须是字母数字(A-Z、a-z、0-9)。
无默认密码。
输入密码。
密码长度必须至少为6个字符且包含至少一个小写字母、一个大写字母和一个数字。
此外: •保存初始配置时所设置帐户的用户和密码信息。
•这些信息允许对ACS硬件、CLI及应用执行完全的管理员控制,因此请记住并保护好这些凭证。
•如果丢失管理员凭证,可以使用ACS5.6安装光盘重置密码。
说明输入有效的系统时区。
要启用SSH服务,请输入
Y。
输入用户名。
输入密码。
输入参数后,控制台会显示: localhostlogin:setupEnterhostname[]:acs54-server-1EnterIPaddress[]:192.0.2.177EnterIPmask[]:255.255.255.0EnterIPdefaultgateway[]:192.0.2.1EnterdefaultDNSdomain[]:Enterprimarynameserver[]:192.0.2.6Addsecondarynameserver?
Y/N:nAddprimaryNTPserver[time.nist.gov]:192.0.2.2AddsecondaryNTPserver?
Y/N:nEntersystemtimezone[UTC]:EnableSSHService?
Y/N[N]:yEnterusername[admin]:adminEnterpassword:Enterpasswordagain:Bringingworkinterface...Pingingthegateway...Pingingtheprimarynameserver...Virtualmachinedetected,configuringVMwaretools...Filedescriptor4(/opt/system/etc/debugd-fifo)leakedonlvm.staticinvocationParentPID3036:/bin/bashDonotuse`Ctrl-C'fromthispointon...debugd[2455]:[2809]:work:main.c[252][setup]:Setupplete.ApplianceisconfiguredInstallingapplications...Installingacs...Generatingconfiguration...Rebooting... 安装ACS服务器后,系统会自动重启。
现在,您可以使用在设置流程中配置的CLI用户名和密码登录ACS。
思科安全访问控制系统5.6版本说明 12 OL-28607-01 安装和升级说明 仅可使用此用户名和密码通过CLI登录到ACS。
要登录到Web界面,必须使用默认的预定义用户名ACSAdmin和密码default。
首次访问Web界面时,系统会提示更改预定义的管理员密码。
您还可以定义要访问Web界面的其他管理员的访问权限。
ACS5.6中的许可 要运行ACS,必须安装有效的许可证。
首次访问Web界面时,ACS会提示您安装有效的许可证。
分布式部署中的每个ACS实例(无论是主实例还是辅助实例)均要求安装唯一基础许可证。
此部分包含以下内容:•许可证类型(第13页)•升级ACS服务器(第14页) 许可证类型 表4列出的是ACS5.6中可用的许可证类型。
表
4 ACS许可证支持 许可证基础许可证 附加许可证 说明所有已部署软件实例和所有设备均需要基础许可证。
基础许可证允许您使用许可证控制功能之外的所有ACS功能,并支持标准的集中报告功能。
基础许可证: •对于所有主辅ACS实例都是必需的。
•对于所有设备是必需的。
•支持最多500个NAD的部署。
以下是基础许可证的类型: •永久型-没有到期日期。
支持最多500个NAD的部署。
•评估型-自许可证发布之日起90天到期。
支持最多50个NAD的部署。
设备的数量由您所配置的唯一IP地址数量决定。
这包括您配置的子网掩码:例如,255.255.255.0子网掩码表示256个唯一IP地址;因此设备数量是256。
附加许可证只能安装在具有永久型基础许可证的ACS服务器中。
大型部署要求安装永久型基础许可证。
安全组访问功能许可证包括两种类型:永久型和NFR型。
但是,永久型安全组访问功能许可证仅可与永久型基础许可证配合使用。
ACS5.6不支持自动安装评估型许可证。
因此,如果需要ACS5.6评估版本,则必须从获取评估型许可证并手动安装ACS5.6。
如果您没有任何ACS产品的有效SAS服务合同,则无法从下载ISO映像。
在这种情况下,您需要联系当地的合作伙伴或思科代表获取ISO映像。
OL-28607-01 思科安全访问控制系统5.6版本说明 13 安装和升级说明 升级ACS服务器 如果已在计算机中安装ACS5.4或ACS5.5,可以使用以下方法之一升级到ACS5.6:•使用应用升级捆绑包升级ACS服务器•重新映像和升级ACS服务器只有在磁盘大于或等于500GB时,才可以在思科设备或虚拟机中执行应用升级。
如果磁盘小于500GB,则必须重新映像至ACS5.6,然后恢复在ACS5.4或ACS5.5中所执行的备份,从而迁移至ACS5.6版本。
有关升级ACS服务器的信息,请参阅《思科安全访问控制系统5.6的安装和升级指南》。
注如果任何LDAP身份存储空间中未配置组或属性且未配置AD身份存储空间,则升级到ACS5.6可能会失败。
要避免此问题,在升级到ACS5.6之前,需要向LDAP身份存储空间添加组或属性,或配置AD身份存储空间。
注使用backup-stagging-url命令在ACS5.6中配置NFS位置时,必须提供完全的NFS目录权限才能成功执行按需备份。
应用累积型补丁 我们将在上定期发布补丁,为ACS5.6提供修复。
这些补丁为累积型。
每个补丁包括此版本之前补丁中所包含的所有修复。
您可以从以下位置下载ACS5.6累积型补丁:要下载和应用补丁,请执行以下步骤: 步骤1步骤2步骤
3 步骤
4 登录并依次导航到产品(Products)>安全(Security)>访问控制和策略(essControlandPolicy)>策略和访问管理(PolicyandessManagement)>思科安全访问控制系统(CiscoSecureessControlSystem)>思科安全访问控制系统5.6(CiscoSecureessControlSystem5.6)。
下载补丁。
安装ACS5.6累积型补丁。
安装操作如下所述:在EXEC模式下输入以下acspatch命令安装ACS补丁: acspatchinstallpatch-name.tar.gpgrepositoryrepository-nameACS会显示以下确认消息: InstallinganACSpatchrequiresarestartofACSservices. Wouldyouliketocontinue?
yes/no 输入yes。
ACS会显示以下消息: Generatingconfiguration... SavedtheADE-OSrunningconfigurationtostartupessfully Gettingbundletolocalmachine... md5:aa45b22e4c590cb84 思科安全访问控制系统5.6版本说明 14 OL-28607-01 已解决的ACS问题 步骤
5 步骤6步骤
7 sha256:eb62dc1419b03b1b7ca354feb8bbcfa %Pleaseconfirmabovecryptohashwithwhatispostedondownloadsite. %Continue?
Y/N[Y]?
ACS5.6升级捆绑包会显示md5和sha256校验和。
请将其与下载站点所显示的值进行比较。
执行以下其中一项操作:•如果加密散列匹配,请输入
Y。
如果输入
Y,ACS会继续执行安装步骤。
%InstallinganACSpatchrequiresarestartofACSservices. Wouldyouliketocontinue?
yes/no •如果加密散列不匹配,请输入
N。
如果输入
N,ACS会终止安装步骤。
输入yes。
ACS版本即已升级到所应用的补丁。
在EXEC模式下,使用showapplicationstatusacs命令,检查所有服务是否正常运行。
在EXEC模式下,输入showapplicationversionacs命令,验证补丁是否已正确安装。
ACS会显示类似于以下内容的消息: acs/admin#showapplicationversionacs CISCOACSVERSIONINFORMATION-----------------------------Version:5.6.0.22InternalBuildID:B.225acs/admin# 注安装补丁时,如果补丁大小超过允许的磁盘配额,则会在ACSCLI中显示警告消息,并在“ACS监控和报告”(ACSMonitoringandReports)页面显示警告。
已解决的ACS问题 表5列出ACS5.6中已解决的问题。
表
5 ACS5.6中已解决的问题 漏洞IDCSCuj91631CSCuj53935CSCuj80866CSCul09022CSCth35755CSCul29675CSCul32497CSCul64484CSCuh63873CSCum03625 说明如果主机名无法解析,则无法从主ACS实例启动辅助实例的Web界面。
证书授权编辑页面易受XSS的攻击。
如果ACS实例不是日志收集服务器,则无法从Web界面收集支持的捆绑包。
以分段数据包发送TACACS请求时,ACS无响应。
如果组名包含“/”字符,将无法在ActiveDirectory中进行组映射。
新创建的授权规则无法保留自定义状态。
ACS中的清除过滤器选项无法显示200个以上的授权规则。
ACSViewNBAPI不具有详细的调试日志。
ACSView应通过TLS或TCP协议实施系统日志消息。
ACS中存在脚本漏洞。
OL-28607-01 思科安全访问控制系统5.6版本说明 15 已解决的ACS问题 表
5 ACS5.6中已解决的问题(续) 漏洞IDCSCum13044CSCuj94585 CSCum26584 CSCuj01135CSCum68228CSCum86948CSCum86626CSCum51180CSCty13296CSCum67932CSCun37608CSCun85949CSCun71995 CSCun67769CSCun81726 CSCun92213CSCun98622CSCtx99385CSCun84823CSCuo54517CSCuo88797 CSCuj41395 CSCuo93378 CSCuo82841CSCuo60270CSCum60476CSCun05712CSCuo68704CSCuo78625CSCuo88163CSCuo63302 说明 ActiveDirectory会在更改密码后丢失与ACS的连接。
当同一用户位于两个不同的组织单位时,无法在ACS中执行ActiveDirectory身份验证。
升级到ACS5.5后,当ACS5.4中存在多个CLI管理员时,ACSWeb界面中的某些功能无法正常工作。
与LDAP服务器通信时,ActiveDirectory客户端在频繁重启,出现异常错误。
在ACS5.5中使用CSV文件导入用户详细信息时,无法更改内部用户密码。
在ACS5.5中,最小密码长度更改为
4。
升级到ACS5.5后,无法通过广域网向主ACS实例注册辅助ACS实例注册。
在ACS5.4中,当配置数据库大小超过1GB时不出现警告。
使用相同密码导入用户不显示错误消息。
由于未知的加密算法,ACS5.5在从ACS5.4升级后无法启动。
当原来的主实例恢复在线状态时,辅助ACS实例忽略新的主ACS实例。
配置RADIUS属性150、151和152后,ACS5.5无法启动其服务。
点击“NDG位置”(NDG:Location)选项时,ACSWeb界面无法显示网络设备组的位置。
属性长度较大时,无法创建或编辑“收藏”(Favorites)选项。
无法在ACS5.5中从ActiveDirectory检索用户属性“ountControl”。
ACS5.x一次打开过多与远程DB的TCP连接。
从终端站过滤器导出MAC地址会导致从ACSWeb界面注销用户。
ACS显示未配置增量备份的错误警告报告。
在ACS中,未经身份验证的用户可以看到输入验证码。
在ACS中,无法覆盖全局日志配置选项。
使用不支持的浏览器访问ACSWeb界面时,ACS5.x无法显示相应的错误信息。
重启ACS服务后,您会发现在ACSCLI中运行showrunningconfiguration命令时会添加两次计划备份。
使用Chrome和Safari浏览器通过ACSWeb界面更改配置时,会损坏ACS数据库。
添加AAA客户端进行TACACS+身份验证时,必须具有共享密钥。
由于具有大量的域控制器,ACS无法加入ActiveDirectory域。
ACS5.4无法获取内部组。
如果负载过大,ACS中的RSA代理会被耗尽。
需要在ACS5.x中改进检查状态监控的功能。
ACS5.5不允许TACACS+和RADIUS身份验证的共享密钥中包含特殊字符。
在ACS5.5中无法使用编程界面获取用户信息。
如果使用复制选项创建用户,则无法通过REST服务更改用户密码。
思科安全访问控制系统5.6版本说明 16 OL-28607-01 已解决的ACS问题 表
5 ACS5.6中已解决的问题(续) 漏洞IDCSCuo19733 CSCuo89864CSCuo89889CSCuo89946CSCuo93378CSCup00818CSCup10509CSCup32287CSCup34695 CSCup77077 CSCuq00890CSCtx65471 CSCup75144 CSCuq64564 CSCul06939 CSCum05372CSCum28910CSCum93359CSCun45555 CSCun89799CSCuo45648 CSCup40317CSCup79536CSCup79591CSCup90014 CSCuq36829CSCuq26876CSCul38172 说明 基于ACS5.5View开始和结束日期的自定义报告会显示结束日期之前的最后500页记录。
在ACS5.5中,URL的跨帧脚本和会话令牌中存在问题。
在ACS5.5中,会话相关的Cookie不使用HTTP-only或安全关键字。
在ACS5.5中,未经批准的散列算法被用于存储敏感数据。
使用Chrome和SafariWeb浏览器会导致数据库损坏。
执行showapplicationstatusacs命令时,ACS5.5CLI界面显示错误。
在ACS5.5.中安全管理员可将其角色更改为超级管理员。
在ACS5.5中,默认情况下系统日志消息的TCP端口6514处于打开状态。
在ACS5.5中,由于ACS服务器与远程数据库之间的数据类型不匹配,将数据导出至远程数据库时因出现错误而失败。
将ountControl作为授权规则中的条件时,ACS不会从ActiveDirectory检索ountControl属性。
在ACS命令行界面执行halt命令时,在部署中发现意外行为。
在部署中多次重启日志收集服务器时,ACS无法将系统日志消息发送至远程数据库。
使用Explorer11.x版本时,无法正确显示ACSWeb界面中的授权策略页。
使用Explorer11.x打开ACS5.5Web界面时,会发生配置问题。
这些问题现已解决。
在ACS5.x中使用DNS服务器名称时LDAP身份验证失败,且第一个DNS服务器会出现当机。
升级至ACS5.5后,ACS活动日志不显示任何信息。
在ActiveDirectory组中缺失条目时,无法启动ACS运行时服务。
将ACS5.x升级至ACS5.5版本后,SFTP服务器无法工作。
用于将ACS加入ActiveDirectory的ActiveDirectory用户密码在日志中以明文显示。
选择外部身份存储空间时,RESTAPI服务会提示输入密码。
ACS5.x将系统日志消息发送至远程日志目标位置时,在夏令时期间使用错误的时区条目。
ACSView工作管理器进程在磁盘空间计算过程中意外终止。
ACS在重新加载后会忽略日志记录配置。
ACS在重新加载后会忽略nocdprun命令。
系统会复制/CSCOacs/view/decap/data/中的条目并将其存储在/opt中,导致/opt中的磁盘使用量增加。
/var中的文件占用全部磁盘空间并使ACS不稳定。
无法在ACS5.5中将远程数据库导出至MicrosoftSQL。
在ACS5.x中配置NIC绑定后,SNMP无法正常工作。
OL-28607-01 思科安全访问控制系统5.6版本说明 17 累积型补丁ACS5.6.0.22.1中已解决的问题 累积型补丁ACS5.6.0.22.1中已解决的问题 表6列出ACS5.6.0.22.1累积型补丁中已解决的问题。
您可以从以下位置下载ACS5.6.0.22.1累积型补丁:?
a=a&i=rpm有关如何将补丁应用至系统的说明,请参考“应用累积型补丁”部分(第14页)。
表
6 累积型补丁ACS5.6.0.22.1中已解决的问题 漏洞IDCSCur00511 说明 CVE-2014-6271和CVE-2014-7169的ACS评估。
通过升级至要求的系统库,此修复解决了bashshell中已发现的漏洞。
此补丁修复包括安全修复,因此ACS服务器会提示重启。
为了成功安装补丁,强烈建议重启。
累积型补丁ACS5.6.0.22.2中已解决的问题 表7列出ACS5.6.0.22.2累积型补丁中已解决的问题。
您可以从以下位置下载ACS5.6.0.22.2累积型补丁:?
a=a&i=rpm有关如何将补丁应用至系统的说明,请参考“应用累积型补丁”部分(第14页)。
表
7 累积型补丁ACS5.6.0.22.2中已解决的问题 漏洞IDCSCur10264 CSCuq67241CSCuq13294 CSCuq35410CSCuq11378CSCuq06377 CSCuq21543CSCuq21559CSCuq22094CSCuq46862CSCuq56757CSCur30345CSCur27402 说明 ACS5.6已在“报告”(Reports)Web界面中引入“排序”(Sorting)功能和“过滤”(Filtering)功能。
“过期后禁用帐户”(Disableountifdateexceeds)功能在ACS5.6中不可用。
当在ACS5.6独立节点中检索已从ACS5.3部署执行的数据库备份时,会在ACS5.6独立节点中自动注册ACS5.3节点。
无法搜索包含“’”字符的用户名。
第
一、第二和第三八位组相同时,ACS5.6显示IP地址或IP范围重叠错误消息。
从“报告”(Reports)Web界面创建“已保存报告”(SavedReports)时,如果禁用某些过滤器,则在“已保存报告”(SavedReports)中会显示所有默认过滤器。
SGT分配报告中不显示“全天身份验证”(Day-wiseAuthentication)详细信息。
从“报告”(Reports)Web界面交叉运行报告时,无法显示选定的时间范围。
ACS“报告”(Reports)Web界面中的计划报告详细信息显示最后一次查看的报告。
ACS“报告”(Reports)Web界面中的计划报告无法显示自定义的时间范围。
生成会话目录报告时,无法正确显示开始时间和结束时间范围。
在ACS中发现SSLv3Poodle漏洞评估。
无法在ACS5.6“报告”(Reports)Web界面安排报告计划。
思科安全访问控制系统5.6版本说明 18 OL-28607-01 累积型补丁ACS5.6.0.22.3中已解决的问题 累积型补丁ACS5.6.0.22.3中已解决的问题 表8列出ACS5.6.0.22.3累积型补丁中已解决的问题。
您可以从以下位置下载5.6.0.22.3累积型补丁:?
a=a&i=rpm有关如何将补丁应用至系统的说明,请参考“应用累积型补丁”部分(第14页)。
表
8 累积型补丁ACS5.6.0.22.3中已解决的问题 漏洞IDCSCuq62466CSCur42721CSCur59417CSCur68196CSCur98716 CSCus17482CSCus38676CSCus42056CSCus42060CSCus55169CSCus68826CSCut55144CSCut05442CSCut20508CSCut01441CSCus52928CSCus80750 说明数据中含有垃圾字符时,无法将远程数据库导出至MicrosoftSQL数据库。
ACS5.xTACACS+线程需要改进。
ACS5.xWeb界面不允许出现单引号、省略号以及加号字符。
配置远程数据库一两天之后,ACS5.x工作自动停止运行。
ACS5.4显示“超过GC开销限制”(GCoverheadlimitexceeded)异常且无法加载“监控和报告”(MonitoringandReports)Web界面。
从主实例删除一个对象后,主实例向辅助实例发送不正确的参照。
提交AAA运行状况警告中的更改后,ACS5.6显示内部错误。
ACSView中存在增量备份问题。
日志不运行时,主动清除日志收集器漏洞。
由于加密问题,无法运行ACS5.4到5.6的应用升级。
ACS5.x容易遭受CVE-2015-0235攻击。
ACS5.x中存在特殊字符问题。
ACS不正确显示IP子网重叠错误消息。
在ACS中配置网络设备的排除IP范围可能导致与其他子网重叠。
如果ACS接收到SIGPIPE(损坏的管道)信号,则会出现运行时崩溃。
计划备份会同时在FTP服务器上创建许多相同名称的文件。
如果第一个TACACS+ASCII请求不含有用户名,则无法匹配服务选择规则。
累积型补丁ACS5.6.0.22.4中已解决的问题 表9列出ACS5.6.0.22.4累积型补丁中已解决的问题。
您可以从以下位置下载5.6.0.22.4累积型补丁:?
a=a&i=rpm有关如何将补丁应用至系统的说明,请参考“应用累积型补丁”部分(第14页)。
OL-28607-01 思科安全访问控制系统5.6版本说明 19 累积型补丁ACS5.6.0.22.4中已解决的问题 表
9 累积型补丁ACS5.6.0.22.4中已解决的问题 漏洞IDCSCuu94829CSCuu93287CSCuu57091CSCuu43343CSCuu30320CSCuu59807CSCus63338CSCuv88723CSCuu81221CSCuc16427CSCuv99693CSCuw09481CSCuv39328 CSCuw21552 CSCuw70238CSCuv95363CSCuv63197CSCuv42038CSCus42781CSCus43434CSCut94394CSCuu11002CSCuu11005CSCus64212CSCut87378CSCus97002CSCto56190CSCut75184CSCut46073CSCuu82493CSCuu67914CSCuu42929CSCuv20514CSCuv03303CSCuu75750 说明 ACS识别到重叠IP范围时,ACS5.x显示不正确的设备名称。
无法在ACS中打开邮件通知警告中提供的报告链接。
应用ACS5.6补丁3后,ACS运行时进程停滞且未处于监控状态。
ACS不允许网络设备的KEK和MACK密钥中包含特殊字符。
ACS服务器无法识别从ACSWeb界面配置的密码缓存超时选项。
由于ACS5.x中的管理员帐户密码变更,发现存在复制问题。
添加新布局时,ACSView控制面板显示错误。
在更改ACS管理员密码时,如果密码含有<字符或>字符,则会出现问题。
安装新的CA证书后,无法删除原来的从属CA。
使用时间戳选项将记录导出至.csv文件功能无法正常运行。
ACS5.6不允许命令集中包含特殊字符。
ACS5.x容易遭受CVE2015-5600攻击。
当存在大量AAA客户端时,如果您在ACS中搜索具有网络设备名称的报告,ACS管理流程将无法响应。
对于在配置“审计计划报告”(AuditScheduledReport)中所使用的所有过滤器,ACS5.x显示不正确的结果。
时钟时区设置为ETC/GMT+/-7时,无法在ACS5.x中保存计划报告。
重新加载ACS服务器后,无法在ACS5.x中运行计划报告。
最后一个EAP分段的长度大于EAP分段总长度时,发生ACS运行时崩溃。
高级丢弃选项未丢弃ACS5.x中的TACACS+请求。
2015年1月期间在ACS中发现了OpenSSL漏洞。
如果ACS在数据包处理过程中接收到重置请求,则会达到情景限制。
重启ACS服务时,无法启动临时数据库。
在ACS5.x中发现反射型XSS漏洞。
在ACS5.x中发现本地文件包含漏洞。
ACS5.6中的计划报告无法显示所有列。
身份验证过程中频繁发生ACS运行时崩溃。
ACS5.6中的收藏报告不显示任何数据。
如果ActiveDirectory未启用LDAPSSL,ActiveDirectory界面操作会需要很长时间。
ACS将括号视为无效字符。
2015年3月期间在ACS中发现了OpenSSL漏洞。
2015年6月期间在ACS中发现了OpenSSL漏洞。
安装ACS5.6补丁3后,在ACS中无法执行清除。
需要放宽ACS5.x中的终端站过滤器限制。
恢复ACS5.5View数据库时发现问题。
从ACSWeb界面导出报告时,ACS无法正确发送邮件。
无法在ACS中使用.csv文件更新终端站过滤器。
思科安全访问控制系统5.6版本说明 20 OL-28607-01 ACS部署中的限制 表10介绍ACS部署中的限制。
表10 ACS部署中的限制 对象类型ACS实例主机数用户身份组ActiveDirectory组检索网络设备网络设备组设备分层所有地点所有设备类型服务授权规则条件授权配置文件服务选择策略(SSP)网络条件(NAR)ACS管理员 dACL ACS系统限制22150,000300,0001,0001,500100,00012610,000350253208600503,000509个静态角色600个dACL,每个具有100个ACE ACS部署中的限制 OL-28607-01 思科安全访问控制系统5.6版本说明 21 已知的ACS问题 已知的ACS问题 表11列出ACS5.6中的已知问题。
您还可以在上使用漏洞搜索工具(BugToolkit)查找此表中未列出的任何公开漏洞。
表11 ACS5.6中的已知问题 漏洞IDCSCuo38291未删除ACS“报告”(Reports)Web界面错误消息中显示的额外信息。
CSCuq61449已保存报告中不显示开始时间和结束时间过滤器。
CSCuq24311将用户报告设置为收藏报告时,会自动更改收藏报告的过滤器选项。
CSCuq24409“已保存报告”(SavedReports)中显示的过滤器值不正确。
CSCuo87567ACS5.6“报告”(Reports)Web界面不支持某些交互式查看器功能。
CSCuq06377ACS会为已保存报告显示所有过滤器,即使保存报告时某些过滤器已禁用。
说明 在“报告”(Reports)Web界面中生成报告时,如果注销ACS会话,会显示错误消息。
应删除此错误消息中的额外信息。
当从主ACS窗口注销且在另一个窗口中打开报告查看器时,会发生此问题。
解决方法:
1.关闭“报告”(Reports)Web界面。
2.登录ACSWeb界面,然后点击运行监控和报告查看器(LaunchMonitoringandReport Viewer)。
“监控和报告”(MonitoringandReports)Web界面在新窗口中打开。
3.点击报告(Report),在新窗口中打开“报告”(Reports)Web界面。
运行任何已保存报告时,必须输入开始时间和结束时间过滤器值。
运行并保存具有开始时间和结束时间过滤器的报告时,会发生此问题。
解决方法: 手动输入开始时间和结束时间过滤器值。
在ACS5.6中,将用户报告设置为收藏报告时,无法正确显示在收藏报告中自定义的过滤器值。
使用自定义过滤器生成收藏报告,并在使用ACS“报告”(Reports)部分的默认过滤器生成同一报告后选择此收藏报告查看其详细信息,会发生此问题。
解决方法: 刷新“报告”(Reports)Web界面。
无法正确显示已保存报告、ACS报告和收藏报告的滤值。
运行具有自定义过滤器值的已保存报告、ACS报告和收藏报告时,会发生此问题。
解决方法: 关闭“报告”(Reports)Web界面,然后从ACSWeb界面重新打开。
“报告”(Reports)Web界面中的过滤器值显示不正确,但是,当ACS从数据库中获取过滤器数据时,生成的报告会显示正确的信息。
ACS5.6“报告”(Reports)Web界面不支持全局交互式查看器功能;但是支持“显示或隐藏列”(showorhidecolumns)和“固定列”(fixingcolumns)(交互式查看器功能的组成部分)。
将ACS升级到ACS5.6版本后,会发生此问题。
解决方法: 将生成的报告导出至CSV文件。
使用MicrosoftExcel电子表格打开此CSV文件,并使用Excel选项获取缺失的交互式查看器功能。
ACS会为已保存报告显示所有过滤器,即使在“报告”(Reports)Web界面中保存报告时某些过滤器已禁用。
而一般情况下,对于所有已保存报告,ACS仅显示自定义过滤器。
使用自定义过滤器保存报告,并在使用ACS报告部分的默认过滤器生成同一报告后选择此已保存报告查看其详细信息时,会发生此问题。
解决方法: 刷新“报告”(Reports)Web界面。
思科安全访问控制系统5.6版本说明 22 OL-28607-01 已知的ACS问题 表11 ACS5.6中的已知问题(续) 漏洞IDCSCuq21543 说明ACS无法为SGT分配报告显示全天身份验证信息。
SGT分配报告中不显示全天身份验证信息。
CSCuq21559 从ACS“报告”(Reports)Web界面交叉运行报告时,会显示不正确的时间范围。
生成SGT分配报告时,会发生此问题。
解决方法: 生成具有开始日期和结束日期过滤器的SGT分配报告。
在ACS“报告”(Reports)Web界面交叉运行RADIUS和TACACS+报告时,会显示不正确的时间范围。
从ACS“报告”(Reports)Web界面交叉运行RADIUS和TACACS报告时,会发生此问题。
解决方法: “报告”(Reports)Web界面中的时间范围显示不正确,但是,当ACS从数据库中获取过滤器数据时,生成的报告会显示正确的信息。
CSCuq22094 查看另一个计划报告的详细信息时,会显示之前生成的计划报告的过滤器。
从“保存和计划报告”(SavedandScheduledReport)部分选择任何计划报告并在右窗格中查看其详细信息时,会在右窗格显示之前生成的计划报告的过滤器。
当存在多个计划报告时,如果在生成另一个计划报告后立即选择一个计划报告并在右窗格中查看其详细信息,则会发生此问题。
解决方法: CSCuq46862 从“报告”(Reports)Web界面点击计划报告时,右窗格中不显示开始和结束日期。
刷新“报告”(Reports)Web界面。
从“保存和计划报告”(SavedandScheduledReport)部分选择一个计划报告并在右窗格中查看其详细信息时,右窗格中不显示开始和结束日期。
安排任何具有自定义时间范围的ACS报告计划时,会发生此问题。
解决方法: 无 此问题不会影响计划报告。
CSCuq51480 ACS会为已保存报告显示其他过滤器,即使保存报告时某些过滤器已禁用。
ACS会为已保存报告显示其他过滤器,即使在“报告”(Reports)Web界面中保存报告时某些过滤器已禁用。
而一般情况下,对于所有已保存报告,ACS仅显示自定义过滤器。
使用自定义过滤器保存报告,并在使用ACS报告部分的默认过滤器生成同一报告后选择此已保存报告查看其详细信息时,会发生此问题。
解决方法: CSCuq56757 在“报告”(Reports)Web界面中无法正确显示开始日期和结束日期。
刷新“报告”(Reports)Web界面,然后从已保存报告部分打开已保存的报告。
生成报告后,当使用时间范围过滤器时,在“报告”(Reports)Web界面中会显示开始日期和结束日期。
但是在ACS5.6中,生成具有时间范围过滤器的会话目录报告时,无法正确显示开始日期和结束日期值。
生成具有应用时间范围过滤器的会话目录报告时,会发生此问题。
解决方法: “报告”(Reports)Web界面中的时间范围显示不正确,但是,当ACS从数据库中获取过滤器数据时,生成的报告会显示正确的信息。
OL-28607-01 思科安全访问控制系统5.6版本说明 23 文档更新 文档更新表12列出《思科安全访问控制系统5.6版本说明》。
表12 思科安全访问控制系统5.6版本说明更新 日期2015年11月19日2015年4月27日2014年11月27日2014年10月8日2014年9月26日 说明添加累积型补丁ACS5.6.0.22.4中已解决的问题(第19页)添加累积型补丁ACS5.6.0.22.3中已解决的问题(第19页)添加累积型补丁ACS5.6.0.22.2中已解决的问题(第18页)添加累积型补丁ACS5.6.0.22.1中已解决的问题(第18页)思科安全访问控制系统版本5.6 产品文档 注原始出版物发布之后,思科可能会更新打印文档和电子文档。
因此,您应该从查看所有更新信息。
表13列出ACS5.6可用的产品文档。
要在上查找所有产品的最终用户文档,请转至:/go/techdocs。
依次选择产品(Products)>安全(Security)>访问控制和策略(essControlandPolicy)>策略和访问管理(PolicyandessManagement)>思科安全访问控制系统(CiscoSecureessControlSystem)。
表13 产品文档 文档标题思科安全访问控制系统设备内文档和中国RoHS指针卡思科安全访问控制系统5.6迁移指南 思科安全访问控制系统5.6用户指南 思科安全访问控制系统5.6CLI参考指南 思科安全访问控制系统5.6支持的互通设备和软件思科安全访问控制系统5.6安装和升级指南 思科安全访问控制系统5.6软件开发者指南 思科安全访问控制系统的合规性与安全信息 可用的格式 /c/en/us/support/security/ess-control-system/products-documentation-roadmaps-list.html /c/en/us/support/security/ess-control-system/products-installation-guides-list.html /c/en/us/support/security/ess-control-system/products-user-guide-list.html /c/en/us/support/security/ess-control-system/mand-reference-list.html /c/en/us/support/security/ess-control-system/products-device-support-tables-list.html /c/en/us/support/security/ess-control-system/products-installation-guides-list.html /c/en/us/support/security/ess-control-system/products-programming-reference-guides-list.html _mgmt/cisco_secure_ess_control_system/5-6/pliance/csacsrcsi.html 思科安全访问控制系统5.6版本说明 24 OL-28607-01 通知 通知 以下通知与此软件许可证有关。
OpenSSL/OpenSSL项目 此产品包括OpenSSL项目开发的、可在OpenSSL工具包中使用的软件(/)。
此产品包括EricYoung(eay@)编写的加密软件。
此产品包括TimHudson(tjh@)编写的软件。
许可问题 OpenSSL工具包使用双重许可模式,即OpenSSL许可证和原有的SSLeay许可证同时适用于该工具包。
实际许可证文本详见下文。
事实上,两个许可证都是BSD样式的开放源许可证。
有关OpenSSL的任何许可证问题,请联系openssl-core@。
OpenSSLLicense版权所有©1998-2007OpenSSLProject。
保留所有权利。
对源代码或二进制形式代码的重新发行和使用(包含或不含修改)需要符合下列条件:
1.源代码的再次分发必须保留版权通知、该条件列表和以下免责声明。
2.以二进制形式重新发行时,必须通过文档和/或在发行时一并提供的其它材料复制上述版权声明、此条件清单和下面的免责声明。
3.所有提及此软件的功能或用途的宣传材料必须显示以下声明“此产品包括OpenSSL项目开发的、可在OpenSSL工具包中使用的软件(/)”。
4.不经事先书面许可,不得将名称“OpenSSL工具包”和“OpenSSLProject”用于促销和宣传从该软件衍生的产品。
有关书面许可,请联系openssl-core@。
5.未经OpenSSLProject事先书面许可,从该软件衍生的产品不得称为“OpenSSL”,也不得在其名称中显示“OpenSSL”。
6.无论何种形式的再分发都必须保留以下内容: “此产品包括OpenSSL项目开发的、可在OpenSSL工具包中使用的软件(/)”。
该软件由OpenSSLPROJECT按“原样”提供,对于明示或暗含的担保,包括但不限于特定目的的适销性和适用性的暗含担保,均不负任何责任。
在任何情况下,OpenSSLPROJECT或其参与者对于由使用该软件造成的任何直接、间接、意外、特殊、惩罚性或后果性损失(包括但不限于获得替换的货物或服务;用途、数据或利益损失;或业务中断),无论其原因及理论上的责任,包括是否在合同中、严格赔偿责任或侵权行为(包括疏忽或其他),均不负有任何责任,即使已被告知此类损失的可能性也是如此。
此产品包括EricYoung(eay@)编写的加密软件。
此产品包括TimHudson(tjh@)编写的软件。
原有的SSLeay许可版权所有©1995-1998EricYoung(eay@)保留所有权利。
该数据包是由EricYoung(eay@)编写的SSL实施。
*该应用与NetscapesSSL兼容。
OL-28607-01 思科安全访问控制系统5.6版本说明 25 许可协议补充协议 只要符合以下条件,则该库可免费用于商业和非商业用途。
以下条件适用于在该分发中出现的所有代码,可以是RC4、RSA、lhash、DES等代码,而不仅是SSL代码。
包括在该分发中的SSL文档受相同版权条款限制,但其版权持有人是TimHudson(tjh@)。
版权仍然属于EricYoung,因此不会删除代码中的任何版权通知。
如果在产品中使用该数据包,则应在所用库的部分的作者中署名EricYoung。
此内容可以在程序启动时以文本消息的形式,也可以包括在随数据包提供的文档(在线或文本)中。
对源代码或二进制形式代码的重新发行和使用(包含或不含修改)需要符合下列条件:
1.源代码的再次分发必须保留版权通知、该条件列表和以下免责声明。
2.以二进制形式重新发行时,必须通过文档和/或在发行时一并提供的其它材料复制上述版权声 明、此条件清单和下面的免责声明。
3.所有提及该软件功能或使用的广告资料都必须显示以下内容:“该产品包括由EricYoung(eay@)编写的密码软件”如果使用的库的惯例不与密码相关,则可省去“密码”一词。
4.如果您包括来自任何Windows专用代码(或其衍生目录(应用程序代码)必须包含以下声明“本产品包括由TimHudson(tjh@)编写的软件”。
该软件由ERICYOUNG按“原样”提供,对于明示或暗含的担保,包括但不限于特定目的的适销性和适用性的暗含担保,均不负任何责任。
在任何情况下,作者或参与者对于由使用该软件造成的任何直接、间接、意外、特殊、惩罚性或后果性损失(包括[但不限于]获得替换的货物或服务;用途、数据或利益损失;或业务中断),无论其原因及理论上的责任,包括是否在合同中、严格赔偿责任或侵权行为(包括疏忽或其他),均不负有任何责任,即使已被告知此类损失的可能性也是如此。
此代码的任何公开发行版本或衍生代码的许可和分发条款不可更改,即,此代码不能复制并置于其他分发许可[包含GNU公共许可证]下。
许可协议补充协议 思科系统访问控制系统软件的最终用户许可协议补充协议: 重要信息:请仔细阅读 本最终用户许可协议补充协议(“补充协议”)包含您与思科之间的最终用户许可协议(“EULA”,统称为“协议”)下许可的软件产品的其他条款和条件。
本补充协议中使用但未定义的加粗术语采用EULA中规定的含义。
如果EULA和本补充协议的条款和条件冲突,以本补充协议的条款和条件为准。
除遵守EULA中有关访问和使用本软件的其他限制之外,您还同意始终遵循本补充协议的条款和条件。
下载、安装或使用本软件即表示接受本协议,并且您同意您本人和您代表的业务实体(统称为“客户”)受本协议的约束。
若您不同意本协议全部条款,则思科不愿意授予您本软件许可,因此(a)您不得下载、安装或使用本软件;和(b)您可退还本软件(包括未启封的CD包和所有书面资料)并获得全额退款。
或者,如果本软件与书面材料构成其他产品的组成部分,您可退还全部产品并获得全额退款。
只有原始最终用户购买者才享有退货与退款权利,该等权利自从思科或授权的思科的经销商购买产品30天后失效。
1.产品名称对于本补充协议,可作为访问控制系统软件组成部分订购的产品名称和产品说明如下:
A.高级报告和故障排除许可证支持自定义报告、警告以及其他监控和故障排除功能。
思科安全访问控制系统5.6版本说明 26 OL-28607-01 获取文档和提交服务请求
B.大型部署许可证允许部署支持500台以上的网络设备(AAA客户端以所配置的IP地址数量计算)也就是说,大型部署许可证允许在企业ACS部署中支持无限数量的网络设备。
C.高级访问许可证(不适用于访问控制系统软件5.0,将与未来的访问控制系统软件版本一起发行)支持安全组访问策略控制功能以及其他高级访问功能。
2.其他许可证限制•安装和使用。
思科SNS3495、SNS3415和CSACS1121硬件平台已预安装思科安全访问控制 系统(ACS)软件组件。
包含用于为SNS3495、SNS3415和CSACS1121硬件恢复此软件的工具的光盘仅限客户用于重新安装用途。
客户仅可在思科SNS3495、SNS3415和CSACS1121硬件平台上运行支持的专用思科安全访问控制系统软件产品。
请勿在思科SNS3495、SNS3415和CSACS1121硬件平台上安装任何不支持的软件产品或组件。
•软件升级、主要和次要版本。
思科可能将思科SNS3495、SNS3415和CSACS1121硬件平台的思科安全访问控制系统软件升级作为主要升级或次要升级提供。
如果可通过思科或其认可的合作伙伴或经销商进行购买软件主要升级或次要升级,客户应为每个SNS3495、SNS3415和CSACS1121硬件平台购买一个主要升级或次要升级。
如果客户有资格通过思科扩展服务计划接收软件版本,每个有效服务合同仅限申请接收一个软件升级或新发行版本。
•复制和分发。
客户不得复制或分发软件。
3.定义主要升级指提供附加软件功能的软件版本。
思科通过更改软件版本号的个位数字[(x).x.x]来对主要升级进行命名。
次要升级指提供维护修复和附加软件功能的增量软件版本。
思科通过更改软件版本号的十分位数字[x.(x).x]来对次要升级进行命名。
4.其他权利和限制说明。
请参阅思科系统公司的最终用户许可协议。
获取文档和提交服务请求 关于如何获取文档、提交服务请求和收集详情,请参阅每月的What'sNewinCiscoProductDocumentation(其中还含有所有最新及修订的思科技术文档)要查看文档,请前往:通过ReallySimpleSyndication(RSS)源的方式订阅思科产品文档更新,相关内容将通过阅读器应用程序直接发送至您的桌面。
RSS源是一项免费服务,思科目前支持RSS2.0版本。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请转至此URL:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R) 本文档中使用的任何协议(IP)地址都不是有意使用的真实地址。
本文档中所含的任何示例、命令显示输出和图形仅供说明之用。
说明内容中用到的所有真实IP地址都纯属巧合,并非有意使用。
思科安全访问控制系统5.6版本说明©2014年思科系统公司。
保留所有权利。
OL-28607-01 思科安全访问控制系统5.6版本说明 27 获取文档和提交服务请求 思科安全访问控制系统5.6版本说明 28 OL-28607-01
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
相关文章
