Problema: raggiunto numero max autenticazioni ?
Inviato: mar 25 mar , 2008 3:05 pm
Salve a tutti, il problema in oggetto si manifesta con l'impossibilità di navigare per gli utenti sottoposti ad autenticazione. Riassumo:
la navigazione dalla mia Inside e l'autenticazione dall'esterno avvengono (da anni ormai) tramite Pix 525 integrato con server Cisco ACS.
Da qualche tempo, ogni tanto succede che gli utenti mi avvisano con un generico "non si va in Intenet", riavvio il servizio CSTacacs e tutto riparte.
Sui Log del server ACS pero' non c'é traccia del minimo errore, sul Pix ... bé dovrei "beccare" il momento cruciale... mi sto attrezzando con un Syslog da attivare. Intanto aumentando il valore aaa-proxy-limit a 64 anziché 16 (default) sembra migliorato ma non risolto.
Puo' essere un Pc con un virus che si autentica e apre troppe connessioni con lo stesso user ? Quella del proxy-limit puo' essere la strada giusta oppure limita ma non risolve il problema ?
Grazie, come sempre, dei consigli....
Versioni: Pix 525 IOS 6-3.5; Server Windows 2000 SP4 con ACS 3.2.2
Configurazione (AAA) sul firewall:
********
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa-server AuthInbound protocol tacacs+
aaa-server AuthInbound max-failed-attempts 3
aaa-server AuthInbound deadtime 10
aaa-server AuthInbound (inside) host CiscoSecure etc_Secure timeout 10
aaa-server AuthInbound (inside) host CiscoSecure2nd etc_Secure timeout 10
aaa-server AuthOutbound protocol tacacs+
aaa-server AuthOutbound max-failed-attempts 3
aaa-server AuthOutbound deadtime 10
aaa-server AuthOutbound (inside) host CiscoSecure etc_Secure timeout 10
aaa-server AuthOutbound (inside) host CiscoSecure2nd etc_Secure timeout 10
aaa proxy-limit 64
aaa authentication match Authenti-People inside AuthOutbound
aaa authorization match Authoriza-People inside AuthOutbound
******
la navigazione dalla mia Inside e l'autenticazione dall'esterno avvengono (da anni ormai) tramite Pix 525 integrato con server Cisco ACS.
Da qualche tempo, ogni tanto succede che gli utenti mi avvisano con un generico "non si va in Intenet", riavvio il servizio CSTacacs e tutto riparte.
Sui Log del server ACS pero' non c'é traccia del minimo errore, sul Pix ... bé dovrei "beccare" il momento cruciale... mi sto attrezzando con un Syslog da attivare. Intanto aumentando il valore aaa-proxy-limit a 64 anziché 16 (default) sembra migliorato ma non risolto.
Puo' essere un Pc con un virus che si autentica e apre troppe connessioni con lo stesso user ? Quella del proxy-limit puo' essere la strada giusta oppure limita ma non risolve il problema ?
Grazie, come sempre, dei consigli....
Versioni: Pix 525 IOS 6-3.5; Server Windows 2000 SP4 con ACS 3.2.2
Configurazione (AAA) sul firewall:
********
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa-server AuthInbound protocol tacacs+
aaa-server AuthInbound max-failed-attempts 3
aaa-server AuthInbound deadtime 10
aaa-server AuthInbound (inside) host CiscoSecure etc_Secure timeout 10
aaa-server AuthInbound (inside) host CiscoSecure2nd etc_Secure timeout 10
aaa-server AuthOutbound protocol tacacs+
aaa-server AuthOutbound max-failed-attempts 3
aaa-server AuthOutbound deadtime 10
aaa-server AuthOutbound (inside) host CiscoSecure etc_Secure timeout 10
aaa-server AuthOutbound (inside) host CiscoSecure2nd etc_Secure timeout 10
aaa proxy-limit 64
aaa authentication match Authenti-People inside AuthOutbound
aaa authorization match Authoriza-People inside AuthOutbound
******