CSCwn09816 — Маскировка общего секретного ключа RADIUS
-
Здравствуйте, у нас установлена версия
3.3.0.430 с патчами 3, 4, 6, 7, и мы по-прежнему сталкиваемся с этой ошибкой. Известная исправленная версия — 3.3.0.430 с патчем 5. Разве патчи 6 и 7 не содержат исправление из патча 5? Кроме того: мы сталкиваемся с этой проблемой при изменении устройства на странице «Администрирование» -> «Сетевые устройства» (например, добавление нового IP-адреса приводит к изменению пароля Radius на ******** ). Я могу легко воспроизвести эту проблему с помощью тестового устройства. -
Приносим извинения за недоразумение. Патчи ISE всегда являются кумулятивными. CSCwn09816
(Маскировка общего секрета RADIUS после перезагрузки коммутатора приводит к сбоям аутентификации) побудила команду ISE добавить всплывающее сообщение, когда опция «Показать пароль в виде обычного текста» не отмечена. Это всплывающее сообщение содержит следующий текст, когда опция «Показать пароль в виде обычного текста» не отмечена: «
Отключение этой опции скрывает кнопку «Показать» для секретных ключей RADIUS сетевых устройств и предварительно разделенных ключей IPsec. Секретный ключ RADIUS останется скрытым при доступе к сетевым устройствам с помощью ERS API и во время их экспорта. Предварительно общий ключ IPsec также останется скрытым при доступе с помощью Open API. Если Cisco ISE интегрирован с Cisco Catalyst Center, не отключайте эту опцию. Ее отключение приведет к неверной настройке общих секретных ключей RADIUS для сетевых устройств». Фактическое исправление этой проблемы находится в Catalyst Center. Эта запись DDTS имеет номер CSCwn51980 (DNAC для использования операции PATCH вместо PUT), задокументированные интегрированные выпуски —
2.3.7.10
, 3.1.5 и 3.2.1. До тех пор, пока не будет реализовано постоянное исправление, обходной путь для восстановления пароля заключается в том, чтобы вручную повторно ввести общий секретный ключ в ISE и включить опцию «Показать пароль в виде обычного текста». -
Патчи
должны быть
кумулятивными, но, возможно, в данном случае дефект
CSCwn09816
не был включен? Трудно сказать — я попрошу TAC разобраться в этом вопросе. У вас в разделе «Администрирование» > «Настройки безопасности системы» установлен флажок «Показать пароль в виде обычного текста» или снят? -
«Показать пароль в виде обычного текста» отмечено Я установлю патч 5 вручную и посмотрю, решит ли это проблему. Если нет, я открою заявку в службу технической поддержки. Спасибо за ответ, скоро свяжусь с вами с дополнительной информацией.
-
@Arne Bier
Некоторый прогресс, но не в лучшую сторону: Поскольку у нас были установлены патчи 6 и 7, патч 5 не был разрешен. Поэтому мне пришлось удалить 6 и 7, а затем установить патч 5. Проблема по-прежнему присутствует. Простой способ воспроизвести ее: открыть страницу устройства, изменить что-нибудь и НЕ раскрывать пароль, чтобы он остался скрытым. В этом случае пароль будет перезаписан значением «*******» — это безумная ошибка для ISE... Обходной путь — раскрыть любой пароль перед сохранением изменений. Может ли кто-нибудь проверить это в версии 3.4, происходит ли это по-прежнему или нет? -
Я не могу воспроизвести эту ошибку в ISE 3.4. Однако, я думаю, что сталкивался с этой ошибкой в ISE 3.3 один или два раза, и просто подумал, что это была ошибка пользователя. В то время я не знал об этой ошибке. Но это не хроническая проблема, она возникала только один или два раза. Возможно, это также связано с тем, как браузер взаимодействует со страницей.
-
Я также подозреваю браузер, но все же это может иметь серьезные последствия для пользователей. В версии 3.3 это хроническая проблема, но мы использовали ее в течение довольно долгого времени, и она появилась совсем недавно. В любом случае, я установил версию 3.4 в нашей лаборатории, затем установил патч 1, и это все сломало. Приложение ISE больше не запускается. Подозреваю, что потребуется полная переустановка, или, возможно, я попробую установить патч 2 поверх него.
-
Привет,
у меня эта проблема возникала несколько раз, даже при работе с версиями от 3.3 Patch 3 до 7. Я никогда не снимал галочку с опции «Показать пароль в виде обычного текста» в настройках безопасности, и это привело к сбою аутентификации нескольких коммутаторов. Я подозреваю, что эта проблема появилась с патчем 3.3 patch 2 с функцией «Показать пароль», которая, возможно, могла быть активирована по умолчанию и «отключена» при «синхронизации» текущей конфигурации ise. В некоторых развертываниях это затронуло только один коммутатор, в других я видел, что это затронуло больше коммутаторов. Я надеюсь, что версия 3.4 решит эту проблему, но у меня есть ощущение, что только новые версии 3.4 не будут затронуты, а обновление с ошибочной версии 3.3 может сохранить эту проблему... -
Я только что переустановил наше устройство LAB с патчем 3.4 patch 3 и могу подтвердить, что проблема по-прежнему существует. Я открою заявку в службу технической поддержки TAC по этому поводу. Я провел отладку в браузере (Edge) и ясно, что скрытый пароль отправляется обратно на сервер приложения ISE (к сожалению, не могу приложить скриншот). Вероятно, это проблема браузера.
-
У меня есть тестовая версия 3.4, которую я могу сломать по своему усмотрению. Какой браузер вы используете для тестирования? Я не могу воспроизвести эту ошибку в Chrome или Firefox.
-
Заранее спасибо, Дастин! Я использую Edge, не могу использовать ничего другого из-за политики компании. Чтобы проверить: перейдите в «Администрирование» -> «Сетевые устройства» -> выберите устройство -> добавьте новый IP-адрес (
не
раскрывайте пароль radius) -> сохраните Вернитесь в Сетевые устройства -> выберите то же устройство -> отобразите пароль -> для меня это будет набор символов * вместо фактического пароля. Протестировал с помощью «Администрирование» -> «Система» -> «Настройки» -> «Настройки безопасности» -> «Показать пароль в виде обычного текста» отключено, но результат был тот же. -
Извините, на прошлой неделе меня не было. Попробовал с Edge, но не смог воспроизвести проблему. Похоже, это странная проблема, которая, возможно, перешла из обновлений? Определенно похоже на заявку в службу технической поддержки. Слишком много переменных. Моя тестовая установка запускалась на версии 3.2, была обновлена до 3.3, а затем до 3.4. В настоящее время используется патч 3.
-
Возможно, но я переустановил наше устройство LAB, и проблема осталась. Я сейчас занимаюсь открытием заявки в службу технической поддержки, но столкнулся с проблемами с нашими контрактами... В любом случае, я свяжусь с вами, когда дело продвинется.
-
Эта ошибка все еще существует. Cisco ISE 3.4 patch3, Chrome на MacOS.
-
@Network Diver
Поделитесь своими наблюдениями с
TAC
Cisco , M. -- Пусть все происходит с вами
Красота и ужас
Просто продолжайте идти
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899)
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти