cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Comunicados

Optimisez vos alertes

2672
Apresentações
30
Útil
12
Respostas
Cisco Moderador
Community Manager

ACS 4.2 e 5.x Access Control - AAA and Policy Management

com Bruno Botta

     Leia a biografia

Bem vindo à discussão na CSC em Português. Esta é sua oportunidade de aprender e fazer todas as perguntas que queira sobre ACS 4.2 e 5.x Access Control - AAA and Policy Management.

Bruno Botta é engenheiro de suporte da Cisco, o centro de suporte técnico do Brasil, do time de LATAM-TAC, especializado em tecnologias Cisco de Segurança. Ele resolve problemas dos clientes que fazem parte da América Latina e tem mais de 5 anos de experiência. Bruno possui as certificações CCNA, CCDA e CCNP Security

Por favor use as estrelas para qualificar as respostas e assim informar ao especialista que ele já respondeu adequada e satisfatoriamente sua pergunta.

Relembramos que se houver qualquer pergunta que não esteja dentro do tema proposto, por favor a coloque no fórum adequado à ela.

As perguntas devem ser enviadas entre os dias 3 e 14 de junho de 2013.

Clique no botão "Responder" localizado na parte inferior à direita para fazer a sua pergunta.

12 RESPOSTAS 12

Oi Bruno,

Eu tenho uma dúvida: Como podemor configurar policies para restrições de comandos no ACS  5.x?

Obrigada,

Chris

Olá Christopher,

Respondendo a sua pergunta se estas restrições de commandos for para IOS, você precisará utilizar as opções no seu ACS 5.x:

- Users and Identity Stores

- Access Policies

E também será necessário configurar os commandos de AAA no seu device com IOS, conforme exemplo abaixo:

aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa authorization commands 0 default group tacacs+ local
aaa authorization commands 1 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa authorization config-commands

Segue abaixo um link com o Passo-a-Passo para entender e também configurar esta feature no ACS 5.x:

http://www.cisco.com/en/US/products/ps9911/products_configuration_example09186a0080bc8514.shtml

Por favor, deixe me saber se estas informações são suficientes para o seu entendimento.

Obrigado pela sua pergunta!

Abraços,

Bruno Botta.

24061964jl
Beginner

ola,

tenho um spa3102 e spa112,fis um ponto a ponto mas recebe bem as ligações e nao faz ligação.

vces pode me ajudar?

obrigado.

Olá João,

Creio que a sua pergunta veio para o tópico errado. Por favor, envie sua pergunta para o tópico de Voice no link abaixo e com certeza eles poderão te auxiliar no seu questionamento.

https://supportforums.cisco.com/community/portuguese/colaboracao_voz_e_video

Abraços,

Bruno Botta.

gustavo.sousa
Beginner

Bruno, haverá integração/substituição do ACS com/pelo ISE? Existe previsão para isso?

Olá Gustavo,

Obrigado pela sua pergunta, ele é muito interessante!

Então vamos lá!

Primeiro, nós ainda não recebemos nenhuma informação oficial da Cisco ou do nosso time de desenvolvimento que o ACS 5.x será totalmente substituído pelo ISE. No caso do ACS 4.2 já existe o EOL (End of Life) conforme pode ser visto no link abaixo, e com isso nós entendemos que os nossos clientes farão a migração para o ACS 5.x.

End-of-Sale and End-of-Life Announcement for the Cisco Secure Access Control:

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps2086/end_of_life_notice_c51-664639.html

Segundo, já existe atualmente a opção de migração do ACS 5.x para o ISE, ou seja, uma outra opção que fica a disposição de nossos clientes, e que também pode ser visto no procedimento abaixo:

Migrating to Cisco ISE from Cisco Secure ACS:

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5712/ps11637/ps11195/ACS-Migration-AAG.pdf

Por favor, deixe me saber se estas informações foram suficientes para você.

Atenciosamente,

Bruno Botta.

ecamposvr
Beginner

Bruno, bom dia.

Estou com um problema de autenticação de alguns usuários de rede sem-fio. Utilizo o ACS 4.2 integrado com o AD. Pelos reports de tentativas com falha, o problema é que o DC não foi encontrado (Authen-Failure-Code: Windows domain controller not found).

O mais estranho é que o User-Name recebido pelo ACS está correto, DOMINIO\Usuário, inclusive outros usuários conseguem autenticar normalmente.

Esse problema acontece com solicitação de vários WLC.

Já verifiquei o mapeamento dos grupos, configuração dos clientes... aparentemente está tudo ok.

Na tentativa de conexão do usuário, o windows fica alternando entre "Obtendo endereço de rede" e "Validando Identidade".

Você pode me ajudar?

Obrigado,

Eduardo Campos

Olá Eduardo,

Obrigado por sua pergunta!

Aparentemente pode ser um problema entre o ACS e o AD. Lembrando que o ACS 4.x não suporta o AD 2008 R2, e isso pode causar algumas instabilidades em seu ambiente. Houve alguma upgrade, ou atualização no servidor de AD?

Uma forma muito interessante analisar os log's do ACS 4.2 e tentar se chegar a um real problema é capturando o arquivo "package.cab" onde é possível verificar todos os log's e informações geradas internamente pelo ACS.

ACS 4.2 - System Configuration Basic - Support Page

https://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.2/user/guide/SCBasic.html#wp288149

Atenciosamente,

Bruno Botta.

Bruno,

O problema estava no AD, devido a uma atualização que foi aplicada recentemente nele.

Muito obrigado pela ajuda.

Abraços,

Eduardo Campos

csco10371624
Beginner

Prezado Bruno,

onde encontro o video  da sua apresentaçao?

no aguardo

Jacson

Prezado Jacson,

Não houve apresentação de video, este post foi somente para tirar dúvidas do tema abordado.

Caso tenha alguma dúvida, ou necessite de algum documento sobre este assunto, basta somente nos informar.

Atenciosamente,

Bruno Botta.

diego.ccna2009
Beginner

Olá Bruno!

Estou iniciando no assunto sobre segurança e consequentemente no ACS, gostaria de aproveitar esta oportunidade para aprender mais sobre este assunto, e já começar com uma de várias dúvidas  rsrs

Consegui realizar a integração entre o ACS 5.4 e meu AD, e com isso, validar os usúarios que fecham o túnel vpn no ASA que por sua vez direciona a authenticação para o ACS.

Porém, quando tento authenticar um usuário local do ACS via IP Phone 7920(Wireless), a seguinte falha é registrada

"22056 Subject not found in the applicable identity store(s)." .

Apenas com estas infos você consegue identificar onde estou falhando?

Abs

Não foi possível apresentar este widget.