忆龙2009

      这是ACS的一个BUG，该BUG出现在3.3.1及3.3.2版本中。      当将最大会话数设为1时，ACS只允许1个用户登陆，但将其设为大于1的任何值时，登陆的用户数由于BUG而不受限制。      要解决这个问题，请将版本升级到3.3.3及之后的版本。

      ACS上对下载IP ACLs的配置数量进行了限制，如果需要配置更多数量的downloadable access control lists (ACLs) ，可以使用 object-group 命令，具体的设置方法如下描述： 在 PIX/ASA 上的配置:name 192.6.x.x HOST_SERVER object-group service SVC_GROUP t

       在一个存在多个森林的AD环境中，如果使用PEAP协议进行机器认证，会出现认证失败现象，原因是机器名称是以DNS格式发送的。这种格式在ACS 4.1.1.23之前是不被支持的。      例如：如果ACS处于 Forest1，而 host/machine.com 处于 Forest2，会出现类似下面的错误信息： CSWinAgent 03/05/2007 09:26:2

       在采用ACS+Windows Vista的环境中，虽然ACS的日志显示用户已经认证成功了，但实际上Vista客户端并没有认证成功。       一旦出现这种问题，请确认在WLC/AP上没有开启Cisco Centralized Key Management (CCKM) 功能。如果开启了该功能，将会导致Vista用户认证失败。

      当XP客户端通过IP Phone连接到CISCO交换机，其802.1x认证为何无法成功？而当XP客户端直接连接到交换机上时，认证是可以正常完成的。            如果802.1x客户端通过IP Phone连接到交换机，交换机就无法感知到端口的UP事件。这样，交换机就无法知道PC什么时候连上来，也就无法初始化一个认证过程。       如果交换机上配置了GUEST

      代理访问规则（ACS）可以由管理员来决定用户是否能够停止代理安全访问。要停止某个访问，在Windows下是通过 net stop 命令来完成的；在UNIX下是通过 /etc/init.d/ciscosec stop来完成。另外，用户还可以通过代理软件的UI界面来关闭这个功能。如果你关闭了代理安全功能，你只能手工恢复，或者下次系统启动后自动恢复。     如果你不想让用户自己停止或卸

      在ASA上，认证完成后，AAA客户端无法登陆到enable模式。这种问题产生的原因是ASA无法理解cisco-avpair = "shell:priv-lvl=15"属性。       从8.0(2)版本开始，ASA开始支持AAA命令行授权功能，使用 aaa authorization exec authentication-server 命令可以对这个特性进行配置。 

      下面我们将介绍在ASA上如何利用配置Cisco ACS TACACS 服务器以对TELNET管理用户的密码进行修改。      注意：以下方法对SSH及ASDM管理用户的密码修改无效。   ASA上的配置：1. 定义 TACACS aaa-server5580-20-1(config)# show runn aaa-server TACACS17aaa-serv

      ACS的WEB访问页面其默认监听端口号为2002，能否将其修改为其他值？答案是否定的。       当你连接到2002端口时，系统会随机地将其改变为1024~65535中的一个端口。但是ACS总是使用2002作为监听端口。每个管理会话都会分配到一个不同的端口号。