请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 323|回复: 2

【原创故障案例分享】如何取消ACS服务器恢复时ACS账号激活时间

[复制链接]
发表于 2018-6-28 15:41:02 | 显示全部楼层 |阅读模式
本帖最后由 xiaocqu 于 2018-6-29 09:15 编辑

如何取消ACS服务器恢复时ACS账号激活时间


1/ 平台和版本说明:

(1)ASA硬件型号:ASA5555

(2)ASA软件版本:9.4.4

(3)ACS版本: 5.8.1.4

2/ ASA配置:

ciscoasa# sh run aaa
aaa authentication ssh console ACS LOCAL
aaa authentication http console ACS LOCAL
aaa authentication telnet console ACS LOCAL
aaa authentication enable console ACS LOCAL
aaa authorization command ACS LOCAL
aaa accounting ssh console ACS
aaa accounting telnet console ACS
aaa accounting command ACS
aaa authentication secure-http-client
aaa authorization exec authentication-server auto-enable

ciscoasa# sho run aaa-server
aaa-server ACS protocol tacacs+
aaa-server ACS (inside) host X.X.X.X

3/ 场景再现:

(1)通过测试,使用ACS账户可以正常访问ASA。

(2)现在模拟ACS服务器down,手动切断ACS服务器网络(即shutdown 交换机对应端口),然后再恢复ACS服务器网络(即no shutdown交换机对应端口)。

(3)再次使用ACS账户访问ASA,由于已经设置了线下保护,发现10分钟内只能使用本地账户的信息,10分钟之后才可以使用ACS的账户。

4/ 问题:

当ACS服务器恢复后,是否可以取消等待时间?

5/ 解决方案:

通过查看aaa-server状态如下:

ciscoasa# show run all aaa-server
aaa-server ACS protocol tacacs+
accounting-mode single
reactivation-mode depletion deadtime 10
max-failed-attempts 3
aaa-server ACS (inside) host X.X.X.X
timeout 10
server-port 49
proxy-auth_map sdi next-code "Enter Next PASSCODE"
proxy-auth_map sdi new-pin-sup "Please remember your new PIN"
proxy-auth_map sdi new-pin-meth "Do you want to enter your own pin"
proxy-auth_map sdi new-pin-req "Enter your new"
proxy-auth_map sdi new-pin-reenter "Reenter PIN:"
proxy-auth_map sdi new-pin-sys-ok "New PIN Accepted"
proxy-auth_map sdi next-ccode-and-reauth "new PIN with the next card code"
proxy-auth_map sdi ready-for-sys-pin "ACCEPT A SYSTEM GENERATED PIN"

通过修改‘reactivation-mode depletion deadtime 10’ 值设置为1

注:

1)deadtime 默认是 10mins

2)该deadtime设置为0的时候,使用本地账户就有问题了,使用本地账户的时候,每次操作一条命令,都必须要等待30s时间,建议设置为1

参考连接:
https://www.cisco.com/c/en/us/td ... ml#ID-2115-000000a9
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-7-4 17:23:43 | 显示全部楼层
可以学习掌握。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-7-5 09:40:12 | 显示全部楼层
谢谢 学习了,有个问题请教下 就是 用ACS做8021.1X 认证的时候 认证失败后 怎么没有跳转到我所设置的另一个VLAN呢?有这方面的配置案例吗麻烦你给我指点一下。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-7-21 12:13 , Processed in 0.085441 second(s), 34 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表