概要
ACS が連携する Active Directory でアップグレード作業、機能レベルの変更の発生に伴い、ACS での対処が必要かどうかというお問い合わせを多くいただきます。以下では一般的にご案内する留意点、問題発生時の対処方法について整理して、簡潔に紹介します。
ACS がサポートする AD の OSバージョン
対象の OS や機能レベルが、ACS でサポートされている必要があります。 ACS の各バージョンがサポートする Windows Active Directory は、Compatibility Information で紹介されています。まとめると以下のようになります。
※ Windows Server OS、機能レベルの OS で区別は設けられていません。
Kerberos の暗号化タイプ
機能レベルに 2003 が含まれる混在モード環境である場合にはご注意ください。ACS が 2003 と連携している環境では Kerberos の暗号化オプションとして DES が使用されている可能性が高いです。アップグレードや機能レベル昇格後に DES がオプションとして有効でなかったり、サポートされていない場合があります。
問題発生時の兆候
暗号化タイプの不一致により認証サービスに影響が出るのは PAP を使ったケースが挙げられます。ACS の Users and Identity Stores > External Identity Stores > Active Directory のステータスは "Joined and Connected" となっており、連携に関する問題の発生は示していないにも関わらず、実際には AD のデータストアを使用した認証ができなくなります。
実際にエラーとなったトランザクションを Report から確認すると、以下のログが記録されます。
| 24430 Authenticating user against Active Directory 24444 Active Directory operation has failed because of an unspecified error in the ACS |
詳細確認方法
24444 のログが突然出力されるようになった場合には、ACS の調査に先行または並行して、AD サーバの管理者にトリガとなる作業有無を確認することを推奨します。アップグレードや機能レベルの変更があった場合は、後述の対処方法により復旧するかご確認ください。
ACS のログから、本事象の発生をさらに裏付けるためには、Support Bundle または、CLI から show acs-logs filename ACSADAgent.log を実行して、問題となる認証が発生した時間帯の出力をご確認ください。
| adclient[4254]: WARN <fd:34 CAPIAuthValidatePlainTextUser> audit User 'shkono12347' not authenticated: while getting service credentials: No credentials found with supported encryption types |
対処方法
アップグレード後の AD で、認証対象となるアカウントで DES を有効にする方法が考えられます。しかし DES の安全性を考えると、アップグレード後の AD 標準の暗号化タイプをご利用になるほうが望ましいです。
ACS が連携対象となる Active Directory と新しい暗号化タイプを使用するためには、ACS からサービスの再起動を実施するか、一旦ドメインから Leave して、再度 Join をやり直す必要があります。
参考資料
Network security: Configure encryption types allowed for Kerberos
https://msdn.microsoft.com/en-us//library/jj852180
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
