Skip to content

Urp ssu gov: Sorry, this page can’t be found.

Содержание

Как самому проверить наличие пропуска в зону АТО по базе СБУ?

На сайте «112.UA» опубликована статья журналиста и блогера Ларисы Лисняк, которая разобралась в проблеме бумажных пропусков и подготовила перечень полезных советов для их обладателей. Ниже приводим полный текст статьи.

Новый год – новые проблемы. Главной напастью со 2-3 января 2016 года при пересечении линии разграничения стало отсутствие данных в электронном реестре СБУ. Прежде всего это касается тех, кто имел на руках бумажные пропуска (не всех, но многих). И об этом люди узнают на самом контрольно-пропускном пункте: проехав несколько часов до самого КПП, простояв 3-4 часа при морозе в -15 градусов до и потом час на самом КПП для проверки своих паспортов. Все для того, чтобы многим из них сказали грозное: «Нет, вас в базе нет…» А ведь это «нет» не в будний период, а в новогодние праздники. И кто знал, что в ночь на 1 января произойдет не только обнуление времени, но и частичное обнуление реестра СБУ?

К истории вопроса

Официально пропусками начали пугать в декабре 2014 года.

Призывали оформлять, но люди не реагировали и продолжали ездить по старинке, понимающе кивая на предупреждения пограничников на КПП: вы с этим не шутите, оформляйте документы, с января ситуация ужесточится.

И вот с 21 января 2015 года в один день резко прекратили пропускать через линию разграничения даже по справкам внутренних переселенцев. И тогда народ подался оперативно регистрировать пропуска. На тот момент еще бумажные. Бумажная форма документов породила волну коррупции и допзаработка: на неподконтрольных территориях возникла масса фирмочек, предлагающих подобные услуги без выезда в координационный центр (от 350 до 800 грн за пропуск с ожиданием в месяц-два, когда «нужно срочно», цена доходила до 1000-1200 грн), услуги подешевле предлагали частники с авто – они по городу собирали у жителей документы и сами отвозили их через блокпосты в центр.

Уже весной бум о небывалых объемах коррупции и теневом обороте по оформлению пропусков захлестнул соцсети и медиа. Делать было нечего – СБУ объявила о создании к 25 марта электронной «антикоррупционной» системы, но на деле запустить сайтurp. ssu.gov.ua удалось лишь 7 июля.

Электронный «Реєстр дозволів для переміщення осіб в районі проведення АТО» существенно облегчил оформление пропуска рядовому украинцу, обладающему базовыми компьютерными навыками. Те, кто не имели доступа к интернету и компьютеру, продолжали обращаться к посредникам. Введение электронной системы снизило цену их услуг – теперь за оформление пропуска на неподконтрольных территориях уже просили 100-150 грн.

При этом у 300 тысяч граждан (по данным СБУ) на руках оставались ранее оформленные бумажные пропуска. Чтобы облегчить жизнь себе и страждущим, СБУ сообщила, что эти данные автоматически занесены в электронный реестр. И так действительно было. Люди с бумажными пропусками спокойно перемещались вплоть до конца декабря, с осени предъявляя на КПП только паспорта. «Пробивался» паспорт по электронной базе – человек проезжал, не «пробивался» – хоть три бумажных пропуска в наличии не помогут.

У бумажных пропусков изначально был один нюанс – срок их действия заканчивался 31 декабря 2015 года. И, идя навстречу гражданам, 10 декабря СБУ официально сообщила, что «усі громадяни, які вже мають дозволи та не порушували порядок в’їзду на неконтрольовану територію і виїзду з неї, матимуть можливість без додаткового переоформлення та подачі заявок перетинати лінію зіткнення і наступного року». Граждане поверили. И поехали…

С Новым годом, с новыми проблемами

До 31 декабря проблем с пересечением линии разграничения особо не возникало. Как ездили до этого, так и продолжали. Поэтому до наступления Нового года многие выехали «из» и многие въехали «в»…

1 января 2016 года поток через КПП был минимален, проблема с базой не проявлялась. Первые сообщения о «непонятках» начали поступать 2 января, а 3 января это уже переросло в массовую проблему. Мои друзья (обладатели бумажных пропусков) 3 января так и не смогли проехать КПП «Зайцево» и, промерзнув с детьми в очереди на КПП, а потом в очереди на проверку паспортов в реестре, вынуждены были вернуться обратно в Славянск (их в базе данных не оказалось). Другие друзья до Нового года пересекли линию разграничения и теперь гадают, смогут ли вернуться обратно после праздников. Аналогичными сообщениями «кишат» соцсети.

Нужно отметить, что с проблемами столкнулись именно те, кто долгое время не пересекал линию разграничения, тем самым не проверил свою личную «пропускную способность». Это преимущественно внутренние переселенцы, которые весь год мечтали поцеловать стены родного дома, обнять родных и близких в период новогодних каникул. Те же, кто регулярно ездил по маршруту «из – в», особых проблем не заметили.

Решение вопроса

Судя по пабликам соцсетей и опыту моих знакомых, основные трудности ожидали на КПП «Зайцево» (бахмутское направление, сектор «С»). Вот уже несколько месяцев это самый проблемный пропускной пункт, т.к. через него, помимо «ДНР», едут из/в «ЛНР». Тех, кто пытался проехать на неподконтрольную территорию, но его не оказалось в базе, пограничники отправляли в Бахмут (бывший Артемовск), на улицу Советскую, д. 60 – здесь расположен координационный центр сектора «С». Гражданам предлагалось заполнить бумажные заявления на добавление в электронную базу, с ожиданием результата до нескольких суток. Поэтому тут же сориентировались проворные частники, которые из Бахмута до Донецка провозят по полям, минуя КПП, за 450-500 гривен с человека. Тут же активизировались фирмы-посредники, предлагающие ускорение процесса добавления в базу.

На КПП «Новотроицкое» (мариупольское направление, сектор «С») и КПП «Марьинка» (кураховское направление, сектор «Б») ситуация оказалась проще, и пограничники более сговорчивые (кто по-человечески, кто на материальной основе).

Как бы там ни было, доступ к базе данных простые смертные не имеют, ехать на свой страх и риск на КПП в мороз не хочется, поэтому предлагаем ряд способов проверки наличия себя в «Реєстрі дозволів для переміщення осіб в районі проведення АТО».

Способ № 1: можно позвонить в координационный центр по телефонам (092) 318-05-08, (067) 334-07-95 и уточнить информацию о наличии в базе по номеру паспорта и фамилии. Но номера чаще всего заняты или недоступны.

Поэтому способ № 2: попробуйте подать новую электронную заявку. Для облегчения процесса продемонстрируем базовые положения инструкции с учетом изменений по состоянию на 3 января 2016 года.

Шаг № 1 «Регистрация»

Если вы впервые на сайте urp.ssu.gov.ua, то предварительно вам нужно зарегистрироваться. Жмем кнопку «Реєстрація» и заполняем на украинском языке предложенную форму.

Указываем адрес действующей электронной почты, вводим указанный цифровой код безопасности, нажимаем «Зареєструватися» и проверяем указанный ящик электронной почты. Практически мгновенно на него приходит письмо с адреса [email protected]. В нем находится присвоенный вам от имени СБУ логин (бессмысленный шестизначный набор букв и цифр) и придуманный вами пароль.

Если вдруг потеряли письмо с входными данными, на главной странице сайта предусмотрена функция «Забули логін чи пароль?»

Шаг № 2 «Авторизация»

Возвращаемся на главную страницу.

Вводим логин и пароль, указанный на странице цифровой код, жмем «Увійти». (В случае пяти неудачных попыток ввода пароля или логина ваш IP-адрес будет заблокирован, для его разблокировки необходимо обратиться к администрации сайта по адресу [email protected]). Переходим на страницу с приветствием и вашим ФИО в правом верхнем углу. Жмем «Подати заяву».

Шаг № 3 «Подача заявки»

Выбираем сектор, пропуск в который желаете получить. Если вы намерены проезжать через несколько секторов – выбирайте несколько, удерживая клавишу «Ctrl». (По собственному опыту пересечения контрольно-пропускных пунктов, электронное разрешение дает право проезда по всем секторам. Но раз при подаче заявки есть функция выбора секторов – лучше выбирать.)

Переходим к появившейся расширенной форме для заполнения заявки. Внешне все понятно. Но есть свои особенности.

Перед первым заполнением полей удобнее собрать базовую информация в word-файле: в нем проще проверить ошибки, к тому же при «сбое» системы достаточно будет скопировать информацию.

Все поля, отмеченные звездочкой (*), обязательны для заполнения. Подавать заявку нужно на украинском языке.

Сканверсии документов (паспорта, фото и пр.) можно не добавлять – разрешение на проезд будет дано и без них. Сервер перегружен, изображения прикрепляются трудно и лишь приводят к «зависанию» системы.

Что касается позиций «Місце фактичного проживання» (МФП) и «Місце реєстрації» (МР):

  • если вы – переселенец: в МФП указываете адрес из справки ВПЛ, а в МР – адрес прописки из паспорта;
  • если МФП и МР совпадают (живете там же, где и прописаны), то ставите соответствующую «галочку» и заполняете только поля в МФП;
  • если прописаны по одному адресу, а живете по иному, то в МФП указываете первый адрес, в МР – адрес прописки из паспорта.

«Мета та маршрут переміщення осіб в районі проведення АТО». Раньше этой позиции нужно было уделять особое внимание, т.к. СБУ «пугала», что на основании целей в основном и принимается решение – дать вам разрешение на въезд/выезд или нет. Но со временем (с увеличением потока заявок, нехватки человеческих ресурсов на проверку указанных вами целей и пр.) к этой позиции стали относиться проще. Многие указывают даже вымышленные мотивы и тоже получают разрешения (но цель указать все равно нужно, т.к. поле должно быть заполнено).

Что касается вида пропуска: многоразовый выдается сроком на 1 год, одноразовый действует в течение 14 дней с выездом/въездом в обе стороны линии соприкосновения.

Жмете «Далі». И тут вы получаете ответ на вопрос – есть вы в базе или нет.

  • Если вы (или человек, данные которого проверяете) зарегистрированы, то появится уведомление, что «эта серия и номер паспорта уже есть в базе». Дело в том, что сейчас идет привязка к паспортным данным, и подать заявку на одного человека (на одни паспортные данные) можно только один раз.
  • Если вас нет в электронной базе, система пропустит далее – то есть предложит завершить процесс подачи заявки. И здесь уже выбор за вами – если есть бумажный пропуск, можете выйти из системы и ждать, а вдруг СБУ в ближайшие дни все-таки исправит ситуацию и довнесет данные.

Более разумный вариант – нажать кнопку «Подати» и завершить оформление новой заявки. Предварительно проверьте, не допустили ли ошибки, в этом случае воспользуйтесь кнопкой «Корегувати».

Функция корректировки сохраняется, пока ваша заявка находится в обработке. Вы можете ею воспользоваться через раздел «Історія подачі заявок».

В разделе «Історія подачі заяв» вы также следите за дальнейшими пертурбациями со своей заявкой. Сначала будет указано, что она находится «В обробці», примерно через неделю появится «Оформлено» и уточнение: ваше разрешение будет зарегистрировано в течение трех дней. Эта фраза будет висеть все время.

Чтобы узнать окончательный вердикт – нажмите на сам номер заявки, перейдите к расширенным данным. Если в конце значится только «Оформлено», значит, путь получения электронного разрешения завершен.

Что же касается обладателей бумажных пропусков, то будем надеяться, что СБУ все-таки пересмотрит базу и завершит обещанный процесс автоматической перерегистрации разрешений на пересечение линии разграничения. И долгий путь домой будет облегчен за счет решения хотя бы одной из массы проблем.

 

В СБУ напомнили об особенностях оформления пропуска АТО/ООС

11:17 / 29 Мар. 2019 / 0


При оформлении электронных пропусков для пересечения линии разграничения в полях ФИО апостроф не используется. Об этом сообщил дежурный сотрудник Координационной группы ОТУ «Луганск» при Старобельском отделе полиции ГУНП в Луганской области.

Отметим, что проблема с апострофом существовала изначально с момента создания «Реестра разрешений для перемещения лиц в районе проведения АТО» (https://urp.ssu.gov.ua), и сохраняется по сей день.

Например, нужно внести данные «Мар’їн Дем’ян В’ячеславович». Раньше их можно было набрать в текстовом редакторе, скопировать и вставить в соответствующие поля. При вставке система апострофы не отображала, но была надежда, что она их сохраняет «внутри себя».

После последнего обновления «Реестра разрешений..» уже нельзя применить принцип «скопировать – вставить» при заполнении основных полей. При попытке – система сообщает о запрете.

Теперь те же ФИО нужно набирать вручную. Но при попытке набрать апостроф – ни один из способов его ввода не срабатывает. Система сообщает, что «в цьому полі доступні лише українські літери та знак «-«».

«Если при написании в украинском языке в фамилии, имени или отчестве используется апостроф, то при оформлении данных в пропуске вы его не ставите. Апостроф просто не ставите», – пояснили нюансы системы в Координационной группе ОТУ «Луганск»

В итоге, «Мар’їн Дем’ян В’ячеславович» нужно вводить как «Марїн Демян Вячеславович».

Как сообщалось ранее, пропуска, заявки на которые поданы с 28 марта 2019 года, становятся бессрочными, т.е. их теперь не нужно будет продлевать.

По материалам: «Донецкие новости»

Сайт restoring-donbass.com — интерактивная платформа, созданная общественной инициативой Александра Клименко «Восстановление Донбасса». На сайте доступны актуальные новости, блоги и аналитика, полезная справочная информация и объявления для переселенцев и жителей Донбасса.


Заработал новый реестр пропусков в зону АТО |

В Украине заработал Реестр разрешений для перемещения лиц в районе проведения АТО.

Как пишет dialog.ua, воспользоваться этим реестром можно по ссылке https://urp.ssu.gov.ua/.

Для начала использования ресурса необходимо зарегистрироваться.

После этого необходимо выбрать координационный пункт, через который планируется проезд. Перечень координационных пунктов указан на сайте.

Далее желающим попасть в районы проведения АТО необходимо заполнить поля, указав имя, дату рождения, паспортные данные, место жительства и регистрации.

Все документы можно добавить в электронной форме.

Обязательным условием заполнения формы является прикрепление фотографии.

Кроме того, среди обязательных для заполнения полей – поле «Цель и маршрут перемещения лиц в районе проведения АТО».

В связи с этим, напомним, что перечень причин, по которым лицу, желающему пересечь границу АТО, могут отказать в получении пропуска, был расширен СБУ.

В частности среди возможных причин отказа появился такой пункт, как неспособность лица подтвердить цель своего въезда на контролируемую Украиной территорию.

По словам главы МОО «Луганское землячество» спорность этого пункта состоит в том, что методов сбора и предоставления СБУ таких доказательств само ведомство не предлагает.

«И по каким критериям будет оцениваться реальность намерений потенциального переселенца покинуть зону АТО — на сегодня никому не известно», — сказал он.

Кроме того, В. Горан высказал убеждение, что переселенцы не должны в очередной раз страдать от каких-либо ограничений их передвижения.

«На фоне общего социального резонанса с коррупционным шлейфом, который возник по причине проблем с пропусками на границе зоны АТО, СБУ не должно злоупотреблять этой причиной отказа. В противном случае, переселенцы снова будут ощущать на себе несправедливые ограничения, чего допускать нельзя», — добавил он.

Вобщем, как пояснил В. Горан, делать выводы по поводу работы нового Реестра разрешений для перемещения лиц в районе проведения АТО еще рано.

«Пусть заработает. Минусы и плюсы его создания станут понятны уже в ближайшее время», — сказал В. Горан.

Важно отметить, что в СБУ предупредили о том, что пока Реестр работает в тестовом режиме, и не исключили возможных временных технических проблем.

Часто задаваемые вопросы по ADFS

| Министерство внутренних дел США

Общие вопросы по ADFS

Безопасность и конфиденциальность

Вопросы по настройке

Определения терминов

Специальные вопросы формы ADFS

Ресурсы для получения дополнительной информации


 

Почему я должен рассматривать ADFS для своего решения?

Службы федерации Active Directory (ADFS) — это решение для доступа к удостоверениям от Microsoft, которое предоставляет веб-клиентам (внутренним или внешним) однократный доступ к одному или нескольким приложениям с выходом в Интернет, когда учетные записи пользователей существуют в разных организациях и в Интернете. приложения находятся в совершенно другой организации.ADFS упрощает управление паролями и подготовку гостевых учетных записей. Он также может сыграть важную роль для организаций, использующих программное обеспечение как услугу (SaaS) и веб-приложения.

Все внутренние стороны, запрашивающие DOI, должны сначала рассмотреть возможность проверки подлинности Microsoft Windows или Kerberos, прежде чем запрашивать RPT ADFS, поскольку для этих платформ существуют дополнительные преимущества. Только в том случае, если они определены как менее идеальные, следует подавать запрос RPT.


 

Какие вопросы безопасности необходимо учитывать перед созданием RPT с DOI/OCIO через ADFS?

См. раздел Соответствие стандартам и рекомендациям NIST.NIST разрабатывает и выпускает стандарты, руководства и другие публикации, чтобы помочь федеральным агентствам в реализации Федерального закона об управлении информационной безопасностью (FISMA) и в управлении экономически эффективными программами по защите их информации и информационных систем.

См. страницу проекта внедрения FISMA на сайте NIST.gov

Источник: Соответствие стандартам и рекомендациям NIST


 

Где я могу найти справку по настройке ADFS 3.0 для взаимодействия с SAML 2.0?

Пожалуйста, перейдите по этой ссылке для получения подробных инструкций:

Источник:
Интеграция ADFS с SAML 2.0


 

Где я могу найти помощь по настройке ADFS 3.0 для связи с Esri ArcGIS Online?

Пожалуйста, перейдите по этой ссылке для получения подробных инструкций:

Источник:
Настройка служб федерации Active Directory


 

Где я могу найти помощь в настройке SAML для WordPress?

Пожалуйста, перейдите по этой ссылке для получения подробных инструкций:
Справочный центр onelogin

Источник:
Справочный центр onelogin


 

Как осуществляется управление изменениями ADFS?

Изменения ADFS управляются и регулируются через CAB DOI Systems.


 

Что такое DOI Приобретение облачных ИТ-услуг / обязательное использование предварительно утвержденных контрактов?

В этой политике, опубликованной 27 сентября 2016 г., говорится, что все бюро и офисы DOI обязаны использовать текущие утвержденные контракты Департамента на облачные услуги при закупке облачных услуг или получать отказ. Просмотрите служебную записку.


 

Кто может отправить форму запроса ADFS? Нужно ли мне иметь учетную запись DOI?

Запрашивающая сторона должна иметь учетную запись Active Directory.Таким образом, если внешний поставщик запрашивает доверие проверяющей стороны (RPT) в Министерстве внутренних дел, он должен иметь спонсора DOI.

 

 

Что такое проверка подлинности Microsoft Windows?

Интегрированная проверка подлинности Windows (IWA) — это термин, связанный с продуктами Microsoft, который относится к протоколам проверки подлинности SPNEGO, Kerberos и NTLMSSP в отношении функций SSPI, представленных в Microsoft Windows 2000 и включенных в более поздние операционные системы на базе Windows NT. Этот термин чаще используется для автоматически аутентифицируемых подключений между Microsoft Internet Information Services, Internet Explorer и другими приложениями, поддерживающими Active Directory.

Встроенная проверка подлинности Windows работает с большинством современных веб-браузеров, но не работает с некоторыми прокси-серверами HTTP. Поэтому его лучше всего использовать в интрасетях, где все клиенты находятся в одном домене. Он может работать с другими веб-браузерами, если они настроены на передачу учетных данных пользователя для входа на сервер, запрашивающий аутентификацию.Если сам прокси-сервер требует проверки подлинности NTLM, некоторые приложения, такие как Java, могут не работать, поскольку протокол не описан в RFC-2069 для проверки подлинности прокси-сервера.

Источник : Запись в Википедии о встроенной аутентификации Windows


 

Какие типы информации будут запрошены в шаблоне/анкете оценки рисков ADFS?

Вам будет предложено предоставить следующие типы информации в Анкете оценки рисков ADFS.

Контактная информация отправителя (имя, номер телефона и Бюро/офис, подающее запрос от имени), Имя системы, Владелец системы, Уполномоченное должностное лицо, Дата полномочий, Атрибуты, которые необходимо передать из AD, Если система/приложение включена в отдельную системную границу в CSAM, Идентификация любых рисков, связанных с разрешением этого подключения ADFS, CN атрибутов, Отображаемые имена LDAP, Объяснение для каждого CN атрибута/отображаемого имени LDAP, Разглашение информации, позволяющей установить личность (PII) или DOI/ Конфиденциальная информация [Бюро/Офиса], Действия по снижению рисков, которые были предприняты или осуществляются в связи с обменом информационными атрибутами, Определите любые шаги по снижению рисков, которые были предприняты для устранения рисков, Определите любые оставшиеся элементы риска, Определите риски и любые шаги по смягчению последствий, которые были предприняты для снижения риска возникновения, если была проведена оценка воздействия на конфиденциальность (PIA), если PIA была завершена, что имя системы и расположение CSAM UII для PIA

.
 

Что такое Kerberos?

Kerberos /ˈkərbərɒs/ — это протокол аутентификации компьютерной сети, который работает на основе «билетов», позволяя узлам, взаимодействующим через незащищенную сеть, подтверждать свою личность друг другу безопасным способом.Протокол был назван в честь персонажа Кербероса (или Цербера) из греческой мифологии, свирепого трехголового сторожевого пса Аида (адская гончая). Его разработчики ориентировали его в первую очередь на модель клиент-сервер, и он обеспечивает взаимную аутентификацию — и пользователь, и сервер проверяют личность друг друга. Сообщения протокола Kerberos защищены от подслушивания и повторных атак.

Kerberos основан на криптографии с симметричным ключом и требует доверенной третьей стороны, а также может использовать криптографию с открытым ключом на определенных этапах аутентификации.По умолчанию используется UDP-порт 88.

Kerberos используется в качестве предпочтительного метода проверки подлинности: в общем случае присоединение клиента к домену Windows означает включение Kerberos в качестве протокола по умолчанию для проверки подлинности от этого клиента к службам в домене Windows и во всех доменах с доверительными отношениями с этим доменом. Напротив, когда клиент или сервер или оба не присоединены к домену (или не являются частью одной и той же среды доверенного домена), вместо этого Windows будет использовать NTLM для проверки подлинности между клиентом и сервером.

Веб-приложения интрасети могут применять Kerberos в качестве метода проверки подлинности для клиентов, присоединенных к домену, с помощью API, предоставляемых в рамках SSPI.

Многие UNIX и UNIX-подобные операционные системы, включая FreeBSD, Mac OS X от Apple, Red Hat Enterprise Linux, Solaris от Oracle, AIX и Z/OS от IBM, HP-UX и OpenVMS от HP и другие, включают программное обеспечение для аутентификации пользователей или Сервисы. Встроенная реализация протокола аутентификации Kerberos V для клиентских агентов и сетевых служб, работающих на встроенных платформах, также доступна в компаниях.

Источник: Статья Википедии о Kerberos

 

Что такое RPT (доверие с проверяющей стороной)?

Доверительные отношения с проверяющей стороной — это объекты доверия, которые обычно создаются в: 

  •  Организации-партнеры по учетным записям для представления организации в доверительных отношениях, чьи учетные записи будут получать доступ к ресурсам в организации-партнере по ресурсам.
  • Организации-партнеры по ресурсам для представления доверия между службой федерации и одним веб-приложением.

Объект доверия проверяющей стороны состоит из множества идентификаторов, имен и правил, которые идентифицируют этого партнера или веб-приложение для локальной службы федерации.

Источник : Microsoft — Technet: Основные понятия AD FS

 

Что такое SAML?

Язык разметки утверждений безопасности (SAML, произносится как sam-el[1]) — это основанный на XML формат данных открытого стандарта для обмена данными аутентификации и авторизации между сторонами, в частности, между поставщиком удостоверений и поставщиком услуг.

Единственным наиболее важным требованием, которое учитывает SAML, является единый вход в веб-браузер (SSO). Единый вход распространен на уровне интрасети (например, с использованием файлов cookie), но его распространение за пределы интрасети было проблематичным и привело к распространению несовместимых проприетарных технологий.

Источник: статья Википедии о SAML

.

 

Что такое требование SAML 2.0?

Памятка DOI от 1 декабря 2015 года под названием «Обязательное использование языка разметки подтверждения безопасности (SAML) 2.0 Standard for Cloud-Based, Web Application Authentication Information Exchange» описывает это требование.

 

Что такое претензия?

Утверждения — это утверждения (например, имя, удостоверение, ключ, группа, привилегия или возможность), сделанные о пользователях и понятные обоим партнерам в федерации службы федерации Active Directory (AD FS), которые используются для целей авторизации в заявление. Для получения более подробной информации о претензиях см. эту статью о том, как понимать претензии, на сайте Microsoft TechNet.
 

 

Что такое безопасный алгоритм хеширования (SHA 256)?

SHA (Secure Hash Algorithm) — это одна из нескольких криптографических хеш-функций. Криптографический хеш похож на подпись для текста или файла данных. Алгоритм SHA-256 генерирует почти уникальный 256-битный (32-байтовый) хэш фиксированного размера. Хэш — это односторонняя функция — его нельзя расшифровать обратно. Это делает его подходящим для проверки пароля, проверки подлинности по хэшу, защиты от несанкционированного доступа и цифровых подписей.

Источник: статья Xorbin о калькуляторе хэшей SHA-256


В чем разница между «запрашивающей стороной» и «федеративным партнером»?

«Запрашивающая сторона» относится к организации-заказчику, обращающейся к DOI за доверием проверяющей стороны. После утверждения заявки запрашивающей стороны и создания траста она становится «федеративным партнером». Служба федерации доверяет федеративному партнеру предоставлять токены безопасности своим конечным пользователям (то есть пользователям в организации-партнере по учетным записям), чтобы они могли получать доступ к веб-приложениям в партнере по ресурсам.


 

Аккаунт-партнер

Партнер федерации, которому служба федерации доверяет предоставление маркеров безопасности своим конечным пользователям (то есть пользователям в организации-партнере по учетным записям), чтобы они могли получать доступ к веб-приложениям в партнере по ресурсам.


 

АДФС

Службы федерации Active Directory


 

г. н.э.

г.

Active Directory


 

Атрибут

Заявление о названном качестве или характеристике, присущей или приписываемой кому-либо или чему-либо.


 

Утверждение

Заявление от верификатора проверяющей стороне (RP), содержащее идентификационную информацию о подписчике. Утверждения также могут содержать проверенные атрибуты.


 

Аутентификация

Определенная последовательность сообщений между заявителем и верификатором, которая демонстрирует, что заявитель владеет и контролирует один или несколько действительных аутентификаторов для установления своей личности. Безопасные протоколы аутентификации также демонстрируют заявителю, что он общается с предполагаемым верификатором.


 

Протокол аутентификации

Определенная последовательность сообщений между заявителем и верификатором, которая демонстрирует, что заявитель владеет и контролирует один или несколько действительных аутентификаторов для установления своей личности. Безопасные протоколы аутентификации также демонстрируют заявителю, что он общается с предполагаемым верификатором.


 

Претензия

Заявление, которое делает сервер (например, имя, идентификатор, ключ, группа, привилегия или возможность) о клиенте.


 

Что такое пользовательское правило утверждения?

Правило утверждений, которое вы создаете с помощью языка правил утверждений для выражения ряда сложных логических условий. Вы можете создать настраиваемые правила, введя синтаксис языка правил утверждений в шаблоне «Отправить утверждения с помощью настраиваемого правила».

Источник:
Терминология AD FS 2.0


 

Тип заявки

Тип заявления в сделанном утверждении. Примеры типов утверждений включают имя и роль.Тип утверждения обеспечивает контекст для значения утверждения и обычно выражается в виде универсального идентификатора ресурса (URI).


 

Претензионная стоимость

Значение утверждения в сделанном утверждении. Например, если тип утверждения — Роль, значением может быть Участник.


 

Если у меня есть условный ATO, что мне делать?

Вы ответите «да» на вопрос, есть ли у вас ATO. Если требуется дополнительная информация, которой нет в условном ATO, группа безопасности свяжется с дополнительными требованиями

.
 

CSP

Поставщик услуг учетных данных


 

Конечный пользователь

Пользователь, чья учетная запись находится в организации-партнере по учетным записям, который может получить доступ к федеративным приложениям, которые находятся в организации-партнере по ресурсам.


 

Федерация

Процесс, позволяющий передавать идентификационную и аутентификационную информацию через набор сетевых систем. Эти системы часто управляются и контролируются разрозненными сторонами в разных сетях и доменах безопасности.


 

Федеративный партнер

Доверенный деловой партнер, которому разрешено обеспечивать обмен идентификационной информацией с DOI OCIO через ADFS


 

Поставщик удостоверений (IdP)

Сторона (DOI), которая управляет первичными учетными данными аутентификации подписчика и выдает утверждения, полученные на основе этих учетных данных.Обычно это поставщик службы учетных данных (CSP), как описано в этом наборе документов.


 

Как указать, какие атрибуты LDAP требуются для исходящих заявок?

Экран сопоставления атрибутов LDAP с исходящими заявками должен выглядеть следующим образом:

Чтобы отобразить атрибут LDAP, который вы хотите сопоставить, введите:
(атрибут LDAP) ——> (исходящая претензия)
Пример: User-Principal-Name ——-> Name ID
Given -Name ———> Имя
Адреса электронной почты ————> Адреса электронной почты

 


 

Проверяющая сторона (RP)

Сторона, которая получает и обрабатывает утверждение, идентифицирующее подписчика.


 

Запрашивающая сторона

Клиент ищет федеративное доверительное партнерство с DOI OCIO.


 

Метаданные

Метаданные определяются как данные, предоставляющие информацию об одном или нескольких аспектах данных; он используется для обобщения основной информации о данных, которая может упростить отслеживание и работу с конкретными данными. Метаданные вашего приложения можно получить у поставщика.


 

Что означает RPid?

RPid находится в метаданных: это то, как приложение идентифицирует себя в ADFS.Часто это URL-адрес, используемый для доступа к приложению.

RPid может быть предоставлен кем угодно, кто настроил приложение на SAML (часто, но не всегда поставщик).


 

РПТ

Доверие к проверяющей стороне


 

Абонент

Федеративный партнер


 

Кого я должен указать в качестве контактного лица по техническим вопросам (POC) при подаче моего запроса?

Специалист по техническим вопросам — это человек, который лучше всех сможет ответить на технические вопросы, касающиеся приложения.Это может быть человек, отправляющий форму, или другой человек, который знает о требованиях к приложению/службе и может предоставить сведения группе разработчиков ADFS, если это необходимо для выполнения запроса.


 

Что такое АТО?

ATO (разрешение на эксплуатацию) относится к разрешению на использование продукта в существующей системе. ATO включает следующие утвержденные документы: PIA, SORN, План конфиденциальности и SSP для A&A.


 

В чем разница между «новым» запросом RPT и «существующим» запросом RPT?

Новое доверие проверяющей стороны относится к запросу, который никогда не развертывался в производственной среде с Министерством внутренних дел организацией запрашивающей стороны.Существующий RPT относится к текущему доверию с проверяющей стороной, которое требует некоторой модификации (например, дополнительных утверждений, изменения правил аутентификации и т. д.).


 

Что такое спонсор DOI для запросов ADFS?

Спонсор DOI является внутренним федеральным контактным лицом DOI, представляющим запрашивающую сторону. Спонсор DOI должен быть заполнен именем лица, которое является либо владельцем приложения/системы, либо лицом, ответственным за приложение/систему.Эта роль специально используется, если внешней запрашивающей стороне требуется доступ к среде DOI ADFS, но у нее нет учетной записи DOI Active Directory.


 

Какую ответственность я должен предоставить для тестовой и производственной реализации ADFS?

См. Роли и обязанности для запроса доверия проверяющей стороне ADFS.


 

Какие дополнительные элементы потребуются от меня перед выполнением теста?

Будет запрошен тест шаблона подключения федеративного приложения.


 

Какие дополнительные позиции потребуются от меня перед внедрением в производство?

Будет запрошен продукт шаблона интеграции федеративного приложения.


 

Где я могу получить более подробные технические сведения об удаленной аутентификации?

См. Руководство по цифровой аутентификации NIST.


 

Где я могу найти дополнительную информацию об услугах облачного хостинга DOI Foundation?

Посетите клиентский портал DOI Cloud.


 

Есть ли номер подтверждения, связанный с отправкой формы запроса ADFS?

Да. В строке темы электронного письма, которое вы получили от группы поддержки ADFS сразу после отправки формы приема ADFS, указан «номер запроса на отправку», распознаваемый ADFS, за которым следует числовое значение, представляющее ваш запрос. Пример: ADFS17


 

Что такое АТО?

ATO (разрешение на эксплуатацию) относится к разрешению на использование продукта в существующей системе.ATO включает следующие утвержденные документы: PIA, SORN, план конфиденциальности и SSP для A&A. Эту информацию обычно можно получить в бюро/офисе запрашивающей стороны.


 

Почему в форме запрашивается мой DOI Bureau/Office?

Указанное вами бюро/офис должно представлять бюро/офис, от имени которого подается этот запрос.


 

Где я могу узнать больше о «Контракте на облачное хранилище DOI: Документы об основных службах облачного хостинга (FCHS)»?

Посетите читальный зал служб облачного хостинга DOI Foundation.


 

В чем разница между тестовой средой и производственной средой?

Тестовая среда — это среда, в которой все требования проверяются перед запуском в эксплуатацию, чтобы убедиться, что все требования выполнены, в коде нет ошибок и т. д. После того, как все тестирование завершено, приложение может быть запущено, будучи помещенным в производственную среду. .


Где я могу узнать больше о соображениях конфиденциальности, которые необходимо интегрировать в процесс разработки системы?

Деятельность по управлению информационными ресурсами всех агентств требует, чтобы информационная безопасность и конфиденциальность были полностью интегрированы в процесс разработки системы.Для получения дополнительной информации перейдите по ссылкам ниже:


Где я могу найти информацию о том, что потребуется в форме запроса ADFS RPT и как ее заполнить?

Всю информацию, необходимую для заполнения формы запроса ADFS, можно найти в руководстве пользователя ADFS.


 

Дополнительные полезные термины, отсутствующие в этом списке, см. по адресу:

.

Терминология AD FS 2.0

Единый вход в Раджастхан (92)

Как включить JavaScript в веб-браузере?

Чтобы разрешить всем веб-сайтам в зоне Интернета выполнять сценарии, выполните действия, применимые к вашему браузеру:

Windows Internet Explorer

(все версии, кроме Pocket Internet Explorer )

Примечание Чтобы разрешить выполнение сценариев только на этом веб-сайте и оставить сценарии отключенными в зоне Интернета, добавьте этот веб-сайт в зону Надежные узлы .

  1. В меню Инструменты щелкните Свойства обозревателя , а затем щелкните вкладку Безопасность .
  2. Щелкните зону Интернет .
  3. Если вам не нужно настраивать параметры безопасности в Интернете, щелкните Уровень по умолчанию . Затем выполните шаг 4
  4. Если вам нужно настроить параметры безопасности в Интернете, выполните следующие действия:
    а. Щелкните Пользовательский уровень .
    б. в Параметры безопасности — диалоговое окно Зона Интернета щелкните Включить для Active Scripting в разделе Scripting .
  5. Щелкните Кнопка «Назад» для возврата на предыдущую страницу, а затем нажмите кнопку «Обновить» для запуска сценариев.

Firefox корпорации Mozilla

По умолчанию Firefox разрешает использование JavaScript и не требует дополнительной установки.
Примечание Чтобы разрешить и заблокировать JavaScript на определенных доменах, вы можете установить расширения конфиденциальности, такие как:

    NoScript: Разрешает запуск JavaScript и другого контента только на выбранных вами веб-сайтах.
    Ghostery: Позволяет блокировать сценарии от компаний, которым вы не доверяете.

Для получения дополнительной информации см. поддержка мозиллы страница интернета.

Гугл Хром

  1. Выберите Настройка и управление Google Chrome (значок с тремя горизонтальными линиями) справа от адресной строки.
  2. В раскрывающемся меню выберите Настройки .
  3. В нижней части страницы нажмите Показать дополнительные настройки… .
  4. В разделе «Конфиденциальность» нажмите кнопку Настройки содержимого… .
  5. Наконец, под заголовком JavaScript выберите переключатель Разрешить всем сайтам запускать JavaScript .

Браузеры Safari

  1. В раскрывающемся меню Edit в верхней части окна выберите Preferences…
  2. Выберите значок/вкладку Безопасность в верхней части окна.
  3. Затем установите флажок Включить JavaScript .
  4. Закройте окно, чтобы сохранить изменения.
  5. Наконец, Обновите браузер.

Opera Software’s Opera

  1. В меню Opera выберите Настройки .
  2. Выберите вкладку Веб-сайты .
  3. Нажмите, чтобы выбрать переключатель Включить JavaScript .
  4. Нажмите кнопку Назад , чтобы вернуться на предыдущую страницу, а затем нажмите кнопку Кнопка перезагрузки для запуска скриптов.

Браузеры Netscape

  1. Выбрать Редактировать , Настройки , Дополнительно
  2. Щелкните, чтобы выбрать параметр Включить JavaScript .

SSO — поддержка многоадресной рассылки IPv4 для сопоставлений групп и RP

Содержание

SSO — поддержка многоадресной рассылки IPv4 для сопоставления группы с RP

Поиск информации о функциях

Содержимое

Предварительные условия для единого входа — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

Информация о SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

Обзор SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

События синхронизации динамического многоадресного единого входа IPv4, которые происходят во время нормальной работы (устойчивое состояние)

Период задержки одноадресной и многоадресной рассылки IPv4 NSF/SSO и повторная синхронизация уровня данных после переключения RP

События одноадресной и многоадресной рассылки IPv4 NSF/SSO, происходящие после переключения RP

ISSU Поддержка многоадресной рассылки IPv4

Как контролировать SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

Мониторинг SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

Примеры

Примеры конфигурации для SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

Дополнительные ссылки

Связанные документы

Стандарты

MIB

RFC

Техническая помощь

Информация о функциях для SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP


SSO — поддержка многоадресной рассылки IPv4 для сопоставления группы с RP


Первая публикация: 14 ноября 2008 г.

Последнее обновление: 14 ноября 2008 г.

Функция SSO—IPv4 Multicast HA Support for Group-to-RP Mapping расширяет функциональность многоадресной высокой доступности (HA), обеспечивая поддержку синхронизации динамически изученных сопоставлений группы и точки встречи (RP) и двунаправленного PIM (bidir-PIM). ) информация назначенного пересылателя (DF) на резервном процессоре маршрутизации (RP).Кроме того, эта функция также обеспечивает поддержку обновления программного обеспечения в процессе эксплуатации (ISSU) для независимой от протокола многоадресной рассылки (PIM).

Вместе эти возможности обеспечивают непрерывную пересылку (NSF) Cisco с поддержкой переключения с отслеживанием состояния (SSO) для многоадресной рассылки IPv4, что — после переключения RP — сокращает время повторной конвергенции плоскости управления многоадресной рассылки до уровня, прозрачного для большинства многоадресных приложений. .

Поиск информации о функциях

Возможно, ваша версия программного обеспечения не поддерживает все функции, описанные в этом модуле.Для получения последней информации о функциях и предупреждений см. примечания к выпуску для вашей платформы и выпуска программного обеспечения. Чтобы найти информацию о функциях, задокументированных в этом модуле, и просмотреть список выпусков, в которых поддерживается каждая функция, см. раздел «Информация о функциях для SSO — поддержка многоадресной рассылки IPv4 для сопоставления группы с RP».

Используйте Навигатор функций Cisco, чтобы найти информацию о поддержке платформ и поддержке образов программного обеспечения Cisco IOS и Catalyst. Чтобы получить доступ к Навигатору функций Cisco, перейдите по адресу http://www.cisco.com/go/cfn. Учетная запись на Cisco.com не требуется.

Содержимое

• Предварительные условия для единого входа — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

• Информация о SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

• Как отслеживать SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

• Примеры конфигурации для SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

• Дополнительные ссылки

• Информация о функциях для SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

• Информация о функциях для SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

Предварительные условия для единого входа — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

•Данный модуль предполагает, что ваше устройство настроено на многоадресную IP-рассылку и участвует в сети многоадресной IP-рассылки.Дополнительные сведения о настройке многоадресной рассылки по IP см. в модуле «Настройка базовой многоадресной рассылки по IP».

• Система единого входа должна быть настроена и работать правильно. Если у вас не включен единый вход, см. модуль «Переключение с отслеживанием состояния».

• Этот модуль предполагает, что вы знакомы с концепциями NSF. Дополнительные сведения о NSF см. в модуле «Непрерывная пересылка».

• Этот модуль предполагает, что вы знакомы с процессом обновления программного обеспечения Cisco IOS в процессе эксплуатации (ISSU).Дополнительные сведения см. в модуле «Процесс обновления ПО Cisco IOS In Service Upgrade».

Информация о SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

Перед мониторингом и обслуживанием SSO — поддержки многоадресной рассылки IPv4 HA для функции сопоставления группы с RP необходимо понимать следующие концепции:

• Обзор SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

•Поддержка ISSU для многоадресной рассылки IPv4

Обзор SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

До появления функции SSO — поддержка многоадресной рассылки IPv4 для функции сопоставления группы с RP, программное обеспечение Cisco IOS предоставляло поддержку SSO для синхронизации статических сопоставлений группы с RP для многоадресной IP-рассылки.С появлением SSO — поддержки многоадресной рассылки IPv4 для функции сопоставления группы с RP программное обеспечение Cisco IOS расширяет функциональность многоадресной высокой доступности, обеспечивая поддержку синхронизации следующей информации на резервном RP:

.

• Динамически изученные сопоставления групп и RP, полученные либо из Auto-RP, либо из BSR.

• Информация Bidir-PIM DF и информация о маршруте RP.

• Информация о туннеле многоадресной VPN (MVPN).

•Информация о туннеле регистрации PIM.

Кроме того, эта функция также обеспечивает поддержку ISSU для PIM.


Примечание Для повышения надежности потоков на основе туннелей регистров MVPN и PIM функция поддержки многоадресной рассылки SSO — IPv4 HA для сопоставления группы и RP обеспечивает поддержку синхронизации информации туннеля регистров MVPN и PIM на резервной RP.


Вместе эти возможности обеспечивают поддержку Cisco NSF/SSO для многоадресной рассылки IPv4 (режим разреженного PIM [PIM-SM], многоадресную рассылку, специфичную для источника [SSM] и bidir-PIM), которая — после переключения — сокращает время повторной конвергенции управления многоадресной рассылкой. до уровня, прозрачного для большинства многоадресных приложений.

События синхронизации динамического многоадресного единого входа IPv4, которые происходят во время нормальной работы (устойчивое состояние)

Во время нормальной работы (устойчивое состояние) программное обеспечение Cisco IOS динамически синхронизирует информацию, соответствующую событиям, которые изменяют состояние многоадресной пересылки на резервном RP. Вместо выполнения периодических массовых обновлений синхронизации программное обеспечение Cisco IOS отправляет обновления только для измененных объектов во внутренних базах данных. Эти обновления инициируются событиями, вызывающими внутренние изменения базы данных, связанные с состоянием многоадресной пересылки.


Примечание Эта функциональность применяется только к динамической синхронизации на резервной RP для обновлений состояния многоадресной пересылки, которые происходят во время работы в установившемся режиме. Однако массовые обновления синхронизации требуются всякий раз, когда резервная RP вставляется, перезагружается или сбрасывается.


В устойчивом состоянии следующие внутренние базы данных многоадресной пересылки динамически синхронизируются на резервной RP:

• Сопоставление RP — внутренняя база данных, в которой хранится информация о сопоставлении группы с RP.

• Информация о двунаправленном маршруте — внутренняя база данных, в которой хранится информация о маршруте bidir-PIM RP.

• Кэш начальной загрузки — внутренняя база данных, в которой хранится информация о кандидате BSR.

• IDB обнаружения AutoRP — внутренняя база данных, в которой хранится информация о сообщениях обнаружения AutoRP.

• RPDF — внутренняя база данных, в которой хранится набор интерфейсов, разрешенных для приема пакетов bidir-PIM для данной RP bidir-PIM.

• Туннель MDT — внутренняя база данных, в которой хранится информация о туннеле MVPN MDT.

• Туннель регистра PIM — внутренняя база данных, в которой хранится информация о туннеле регистра PIM.

Период задержки одноадресной и многоадресной рассылки IPv4 NSF/SSO и повторная синхронизация уровня данных после переключения RP

После сбоя RP информация о пересылке плоскости данных сохраняется, несмотря на то, что новый первичный RP не имеет полного набора информации плоскости управления. Сохранение этой информации позволяет продолжать пересылку во время реконвергенции протоколов одноадресной и многоадресной маршрутизации.Во время реконвергенции протоколов одноадресной и многоадресной маршрутизации наблюдается период задержки, в течение которого обновления переадресации многоадресной рассылки не отправляются с уровня протокола многоадресной маршрутизации на уровень плоскости данных. Период задержки заканчивается после завершения конвергенции протоколов одноадресной и многоадресной рассылки.

Конвергенция протокола одноадресной маршрутизации начинается до конвергенции протокола многоадресной рассылки. Конвергенция протокола многоадресной маршрутизации (PIM) не начинается до тех пор, пока уровень протокола многоадресной рассылки не получит явный сигнал о том, что конвергенция протокола одноадресной маршрутизации завершена.Протоколы одноадресной рассылки, не поддерживающие SSO, не охватываются этим сигналом и не учитываются при ожидании конвергенции.


Примечание Некоторые протоколы маршрутизации с поддержкой SSO (например, BGP) могут генерировать сообщения журнала, указывающие на то, что начальная конвергенция завершена (на основе внутреннего таймера) до того, как произойдет полная конвергенция. Однако PIM не дает никаких явных указаний на реконвергенцию.


Возможно (и во многих случаях ожидается), что период задержки может закончиться до полной конвергенции протоколов одноадресной маршрутизации, что приведет к нулевым интерфейсам переадресации обратного пути (RPF) для любых затронутых IP-адресов.По мере получения дополнительных обновлений одноадресной маршрутизации затронутые многоадресные маршруты обновляются по мере необходимости. Это ожидаемое и приемлемое поведение для протоколов маршрутизации с поддержкой единого входа, которые медленнее сходятся.


Примечание Переключение RP, происходящее в системе, работающей с одноадресными протоколами, не поддерживающими SSO, приведет к нежелательно длительному времени сходимости (но не к петлям маршрутизации) для многоадресных маршрутов.


В конце периода удержания уровень многоадресной плоскости данных помечает любую существующую информацию плоскости данных как устаревшую, и эта информация впоследствии сбрасывается.

События одноадресной и многоадресной рассылки IPv4 NSF/SSO, происходящие после переключения RP

В случае переключения RP, даже при постоянной синхронизации информации о маршрутизации одноадресной и многоадресной рассылки от основного к резервному RP, невозможно гарантировать, что информация, обновленная последним на основном RP, может быть синхронизирована с резервным RP до того, как произойдет сбой на основном RP. По этой причине после переключения RP протоколы одноадресной и многоадресной маршрутизации инициируют повторную передачу маршрутной информации от соседних маршрутизаторов, чтобы обеспечить актуальность одноадресной и многоадресной маршрутной информации.

Для повторной передачи протокола многоадресной рассылки IPv4 программное обеспечение Cisco IOS инициирует обновление всей информации маршрутизации многоадресной рассылки, доступной от соседей PIM, с помощью функции PIM GenerationID (GenID), описанной в RFC 4601. Поддержка GenID обеспечивает быструю реконвергенцию mroute после переключения. GenID — это случайно сгенерированное 32-битное значение, которое обновляется каждый раз при запуске или перезапуске пересылки PIM на интерфейсе. В случае переключения значение GenID используется в качестве механизма для активации соседних PIM-соседей на интерфейсе для отправки сообщений о присоединении PIM для всех m-маршрутов (*, G) и (S, G), которые используют этот интерфейс в качестве интерфейса RPF. , немедленно восстанавливая эти состояния на новом основном RP.Информация о членстве в группе IGMP восстанавливается путем выполнения запросов IGMP на всех интерфейсах IGMP.


Примечание Для обработки значения GenID в приветственных сообщениях PIM соседние устройства PIM должны запускать образ программного обеспечения Cisco IOS, который поддерживает реализацию PIM, совместимую с RFC 4601, Независимая от протокола многоадресная рассылка — разреженный режим (PIM-SM): Спецификация протокола (пересмотренная). Поддержка GenID была введена в ПО Cisco IOS вместе с функцией PIM Triggered Joins.Дополнительные сведения о функции PIM Triggered Joins и RFC 4601 см. в разделе «Дополнительные ссылки».


Следующие многоадресные события NSF/SSO IPv4 происходят параллельно после переключения RP:

• Программное обеспечение Cisco IOS очищает очередь, содержащую необработанные сообщения синхронизации для многоадресной рассылки IPv4, отправленной предыдущим основным RP, и запускает таймер отказоустойчивости одноадресной конвергенции IGP для обработки возможности того, что одноадресная конвергенция протокола внутренних шлюзов (IGP) никогда не завершится.

• По мере появления интерфейсов на новом первичном RP продолжается обработка реконвергенции протокола одноадресной маршрутизации.

• Когда появляется каждый интерфейс с поддержкой PIM, приветственные сообщения PIM отправляются с использованием нового значения GenID для интерфейса. Измененное значение GenID инициирует присоединение PIM и удаление сообщений от всех соседних PIM-соседей в сети, к которой подключен интерфейс. По мере получения этих сообщений восстанавливается информация о состояниях mroute, которые отсутствовали на новом первичном RP, за исключением маршрутов дерева кратчайшего пути (S, G) последнего перехода и mroutes, связанных с напрямую подключенными хостами без других промежуточных маршрутизаторов.Поскольку эта маршрутная информация начинает поступать до того, как произойдет конвергенция одноадресного IGP, mroutes могут первоначально иметь входные интерфейсы NULL RPF. Когда эта информация о состоянии получена, уровень протокола многоадресной рассылки отправляет соответствующие сообщения обновления в информационную базу многоадресной маршрутизации (MRIB).

•Информация о членстве в группе IGMP восстанавливается путем выполнения запросов IGMP на всех интерфейсах IGMP.

ISSU Поддержка многоадресной рассылки IPv4

Процесс ISSU позволяет обновлять программное обеспечение Cisco IOS или иным образом изменять его, пока продолжается пересылка пакетов.В большинстве сетей плановые обновления программного обеспечения являются существенной причиной простоев. ISSU позволяет модифицировать программное обеспечение Cisco IOS во время пересылки пакетов, что повышает доступность сети и сокращает время простоя, вызванное плановыми обновлениями программного обеспечения.

Для обеспечения требуемой поддержки ISSU и SSO, необходимой для многоадресной рассылки IPv4, был введен клиент PIM ISSU в сочетании с функцией сопоставления группы высокой доступности многоадресной рассылки IPv4 с RP. Клиент PIM ISSU находится как на основной, так и на резервной RP и отвечает за передачу сообщений синхронизации PIM между двумя RP с использованием разных версий программного обеспечения.Клиент PIM ISSU отвечает за выполнение преобразования сообщений синхронизации динамического состояния PIM, отправленных или полученных RP, имеющей самую последнюю версию программного обеспечения. Если сообщения синхронизации отправляются на RP нижнего уровня, сообщения преобразуются в более старый формат, используемый RP нижнего уровня. Если сообщения получены от RP более низкого уровня, сообщения преобразуются в более новый формат, используемый принимающей RP, прежде чем они будут переданы в программное обеспечение Cisco IOS PIM HA для обработки.

Мониторинг единого входа — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

В этом разделе содержится следующая задача:

• Мониторинг SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP (дополнительно)

Мониторинг SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

Выполните эту необязательную задачу, чтобы отслеживать функцию SSO — многоадресной рассылки IPv4 HA для сопоставления группы с RP.

ОБЩИЕ ШАГИ

1. включить

2. отладка избыточности многоадресной рассылки по IP [ подробный ]

3. показать IP PIM соседа

4. показать состояние избыточности многоадресной рассылки

5. показать статистику избыточности многоадресной рассылки

6. очистить статистику избыточности многоадресной IP-адресации

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ


Шаг 1 включить

Включает привилегированный режим EXEC. Введите пароль, если появится запрос.

Шаг 2 отладка избыточности многоадресной рассылки по IP [ подробный ]

Используйте эту команду для отображения событий избыточности IP-многоадресной рассылки.

Эта команда регистрирует события, важные для проверки работы операции NSF/SSO для многоадресной рассылки IP.Классы событий, регистрируемых командой debug ip multicast redundancy , включают события переключения с отслеживанием состояния во время переключения RP и события динамической синхронизации, происходящие во время работы в установившемся режиме.

Используйте необязательное ключевое слово verbose для регистрации событий, которые могут происходить очень часто при нормальной работе, но которые могут быть полезны для отслеживания через короткие промежутки времени.

Следующий вывод команды debug ip multicast redundancy .В выходных данных отображается сообщение журнала, которое отображается, когда резервный RP восстанавливается после перехода в резервный RP:

.
 * 7 августа 02:36:07.843: MCAST-HA-RF: событие состояния:
status=RF_STATUS_OPER_REDUNDANCY_MODE_CHANGE Op=7 RFState=АКТИВНО
 

Шаг 3 показать IP-адрес соседа

Используйте эту команду для отображения соседей PIM, обнаруженных сообщениями запроса маршрутизатора PIMv1 или приветственными сообщениями PIMv2, которые поддерживают функцию GenID.

В выходных данных команды show ip pim Neighbour отображается флаг «G», указывающий на статус поддержки GenID для каждого соседа PIM. Флаг «G» отображается только в том случае, если сосед поддерживает возможности GenID, предоставляемые PIM.

Поддержка

GenID обеспечивает быструю реконвергенцию маршрутов после переключения. GenID — это случайно сгенерированное 32-битное значение, которое обновляется каждый раз при запуске или перезапуске пересылки PIM на интерфейсе. В случае переключения значение GenID, используемое в качестве механизма для запуска соседних PIM-соседей на интерфейсе для отправки сообщений о соединении PIM для всех m-маршрутов (*, G) и (S, G), которые используют этот интерфейс в качестве интерфейса RPF, немедленное восстановление этих состояний на новом активном RP.


Примечание Для обработки значения GenID в приветственных сообщениях PIM соседние устройства PIM должны запускать образ программного обеспечения Cisco IOS, который поддерживает реализацию PIM, совместимую с RFC 4601, Независимая от протокола многоадресная рассылка — разреженный режим (PIM-SM): Спецификация протокола (пересмотренная). Поддержка GenID была введена в ПО Cisco IOS вместе с функцией PIM Triggered Joins. Дополнительные сведения о функции PIM Triggered Joins и RFC 4601 см. в разделе «Дополнительные ссылки».


 Router#  показать соседний ip pim
  
 Режим: B — Bidir Capable, DR — назначенный маршрутизатор, N — приоритет DR по умолчанию,
 
 P — поддержка прокси-сервера, S — возможность обновления состояния, G — поддержка GenID
 
 Соседний интерфейс Uptime/Expires Ver DR
 
 192.168.10.5 Ethernet0/1 00:01:35/00:01:37 v2 1 / DR B S P G
 

Шаг 4 показать состояние избыточности многоадресной рассылки

Используйте эту команду, чтобы отобразить текущее состояние резервирования для многоадресной рассылки IP.

Выходные данные отображают информацию о текущем состоянии многоадресной избыточности RP и текущем состоянии синхронизации резервного RP.

 Router# показывает состояние избыточности многоадресной рассылки IP
 
 Состояние многоадресной избыточности: SSO
 
 Порядковый номер сообщения синхронизации: 11
 
 Тайм-аут сброса состояния Stale NSF: 30000 мс
 
 Текущее состояние синхронизации: синхронизировано
 

Шаг 5 показать статистику резервирования многоадресной рассылки

Используйте эту команду, чтобы отобразить статистику резервирования многоадресной рассылки IP.

На выходе отображается следующая информация:

• Статистические данные о внутренних базах данных многоадресной пересылки, синхронизированных между активной и резервной RP, включая количество обновлений, требующих синхронизации с резервной RP, количество обновлений, синхронизированных резервной RP, и количество обновлений, синхронизация которых не удалась.

• Статистические данные о внутренних запросах сообщений синхронизации для обновлений между активной и резервной RP.

•Статистика, измеряющая нагрузку на внутренний механизм отправки сообщений синхронизации.

 Router# показать статистику избыточности многоадресной рассылки IP
 
 Статистика многоадресной избыточности
 
 Тип синхронизации Обновления Синхронизация Ошибки синхронизации
 
 Бидир. Информация о маршруте RP 0 0 0
 
 Обнаружение Autorp IDB 12 12 0
 
 Туннель регистра PIM 0 0 0
 
 запросов, ожидающих передачи сообщений синхронизации: 0
 
 запросов, ожидающих подтверждения сообщения синхронизации: 0
 
 Среднее время ожидания синхронизации = 0 мс
 
 Среднее время подтверждения синхронизации = 70 мс
 

Шаг 6 очистить статистику избыточности многоадресной IP-адресации

Используйте эту команду для сброса статистики избыточности многоадресной рассылки IP.

 Router# очистить статистику избыточности многоадресной рассылки IP
 

Примеры

В следующих примерах показано, как отслеживать SSO — поддержка многоадресной рассылки IPv4 HA для функции сопоставления группы с RP:

• Мониторинг многоадресных событий NSF/SSO IPv4 во время переключения RP: пример

• Мониторинг потери и последующего восстановления резервной RP: пример

Мониторинг многоадресных событий NSF/SSO IPv4 во время переключения RP: пример

В следующем примере показано, как отслеживать многоадресные IP-события NSF/SSO во время переключения RP с помощью команды debug ip multicast redundancy .В примере показаны многоадресные IP-события, происходящие, когда резервный RP берет на себя роль активного RP во время переключения единого входа. События, помеченные как «MCAST-HA», регистрируются средством отладки SSO многоадресной рассылки IP.

Обнаружение начального переключения

Следующие выходные данные получены из команды debug ip multicast redundancy . Выходные данные показывают начальные сообщения регистрации, которые отображаются, когда система обнаруживает переключение RP.

 00:10:33: %REDUNDANCY-3-SWITCHOVER: переключение RP (PEER_DOWN_INTERRUPT)
 
 00:10:33: %REDUNDANCY-5-PEER_MONITOR_EVENT: режим ожидания получил переключение
(необработанное событие = PEER_DOWN_INTERRUPT (11))
 
 *7 августа 02:31:28.051: MCAST-HA: получен статус cf CHKPT_STATUS_PEER_NOT_READY
 
 * 7 августа 02:31:28.063: MCAST-HA: получен статус cf CHKPT_STATUS_PEER_NOT_READY
 
 * 7 августа 02:31:28.063: MCAST-HA-RF: событие состояния: status=RF_STATUS_PEER_COMM Op=0
RFState=ОЖИДАНИЕ ГОРЯЧИЙ
 
 * 7 августа 02:31:28.063: MCAST-HA-RF: событие состояния:
status=RF_STATUS_OPER_REDUNDANCY_MODE_CHANGE Op=0 RFState=STANDBY HOT
 
 *7 августа 02:31:28.063: MCAST-HA-RF: событие состояния: status=RF_STATUS_REDUNDANCY_MODE_CHANGE
Op=0 RFState=ОЖИДАНИЕ ГОРЯЧИЙ
 
 * 7 августа 02:31:28.063: MCAST-HA-RF: событие состояния: status=RF_STATUS_PEER_PRESENCE Op=0
RFState=ОЖИДАНИЕ ГОРЯЧИЙ
 
 * 7 августа 02:31:28.063: MCAST-HA-RF: событие состояния: status=RF_STATUS_MAINTENANCE_ENABLE Op=0
RFState=АКТИВНЫЙ-БЫСТРЫЙ
 
 * 7 августа 02:31:28.063: MCAST-HA-RF: событие прогресса: RF_Event=RF_PROG_ACTIVE_FAST
RFState=АКТИВНЫЙ-БЫСТРЫЙ
 
 *7 августа 02:31:28.091: MCAST-HA-RF: событие прогресса: RF_Event=RF_PROG_ACTIVE_DRAIN
RFState=АКТИВНЫЙ-СТОК
 
 * 7 августа 02:31:28.091: MCAST-HA-RF: событие прогресса: RF_Event=RF_PROG_ACTIVE_PRECONFIG
RFState=ACTIVE_PRECONFIG
 
 * 7 августа 02:31:28.091: MCAST-HA-RF: событие прогресса: RF_Event=RF_PROG_ACTIVE_POSTCONFIG
RFState=ACTIVE_POSTCONFIG
 
 * 7 августа 02:31:28.103: MCAST-HA: получен статус cf CHKPT_STATUS_IPC_FLOW_ON
 
 *7 августа 02:31:28.103: MCAST-HA-RF: событие прогресса: RF_Event=RF_PROG_ACTIVE
RFState = АКТИВНЫЙ
 

Обнаружение конвергенции одноадресной рассылки и конвергенция плоскости управления многоадресным маршрутом

Следующие выходные данные получены из команды debug ip multicast redundancy . Когда интерфейсы появляются на новом активном RP, одноадресная конвергенция происходит параллельно с обновлением многоадресного маршрута от соседей PIM. За одноадресной конвергенцией следуют корректировки RPF для обновленной информации mroute.

 * 7 августа 02:31:28.107: MCAST-HA: инициирование процесса уведомления об одноадресной конвергенции
обработка для MVRF IPv4 по умолчанию
 
 * 7 августа 02:31:28.107: MCAST-HA: инициирование процесса уведомления об одноадресной конвергенции
обработка для MVRF синий
 
 * 7 августа 02:31:28.107: MCAST-HA: инициирование процесса уведомления об одноадресной конвергенции
обработка для MVRF зеленого цвета
 
 * 7 августа 02:31:28.107: MCAST-HA: инициирование процесса уведомления об одноадресной конвергенции
обработка для MVRF красный
 
 *7 августа 02:31:28.107: MCAST-HA: Запуск процесса уведомления об одноадресной конвергенции
обработка для всех MVRF
 
 * 7 августа 02:31:28.111: MCAST-HA: начало процесса уведомления о конвергенции одноадресной рассылки
умение обращаться.
 
 * 7 августа 02:31:28.111: MCAST-HA: конвергенция одноадресной рассылки завершена для MVRF IPv4 по умолчанию:
Запуск обновлений RPF
 
 * 7 августа 02:31:28.111: MCAST-HA: начало процесса уведомления о конвергенции одноадресной рассылки
умение обращаться.
 
 *7 августа 02:31:28.111: MCAST-HA: конвергенция одноадресной передачи завершена для MVRF синий: запуск
Обновления РФП
 
 * 7 августа 02:31:28.111: MCAST-HA: начало процесса уведомления о конвергенции одноадресной рассылки
умение обращаться.
 
 * 7 августа 02:31:28.111: MCAST-HA: конвергенция одноадресной рассылки завершена для MVRF зеленый: запуск
Обновления РФП
 
 * 7 августа 02:31:28.111: MCAST-HA: начало процесса уведомления о конвергенции одноадресной рассылки
умение обращаться.
 
 *7 августа 02:31:28.111: MCAST-HA: конвергенция одноадресной передачи завершена для MVRF красный: запуск
Обновления РФП
 
 *7 августа 02:31:28.111: MCAST-HA: получено уведомление об одноадресной конвергенции для
только неконвергентный VRF.
 
 Останов таймера отказоустойчивости конвергенции одноадресной маршрутизации.
 
 * 7 августа 02:31:28.111: MCAST-HA: начало процесса уведомления о конвергенции одноадресной рассылки
умение обращаться.
 
 *7 августа 02:31:28.111: MCAST-HA: получено уведомление об одноадресной конвергенции для подстановочного знака
tableid (все VRF).
 
 Запуск обновлений RPF для всех MVRF и остановка отказоустойчивой конвергенции одноадресной передачи IGP
таймер.
 
 00:10:34: %PIM-5-DRCHG: изменение DR с соседа 0.0.0.0 на 172.16.1.1 на интерфейсе
Loopback0
 
 00:10:34: %PIM-5-DRCHG: изменение DR с соседа 0.0.0.0 на 172.31.10.1 на интерфейсе
Петля1
 
 00:10:35: %PIM-5-DRCHG: VRF зеленый: изменение DR от соседа 0.0.0.0 до 172.16.1.1 вкл.
интерфейс Туннель1
 
 00:10:35: %PIM-5-DRCHG: VRF красный: изменение DR с соседа 0.0.0.0 на 172.16.1.1 включено
интерфейс Туннель2
 
 00:10:35: %LINK-3-UPDOWN: интерфейс Null0, изменено состояние на up
 
 00:10:35: %LINK-3-UPDOWN: интерфейс Loopback0, изменено состояние на up
 
 00:10:35: %LINK-3-UPDOWN: интерфейс Loopback1, изменено состояние на up
 
 00:10:35: %LINK-3-UPDOWN: туннель интерфейса 0, изменено состояние на up
 
 00:10:35: %LINK-3-UPDOWN: туннель интерфейса 1, изменено состояние на up
 
 00:10:35: %LINK-3-UPDOWN: туннель интерфейса 2, изменено состояние на up
 
 00:10:35: %LINK-5-CHANGED: интерфейс Ethernet0/0, состояние изменено на административно недоступное
 
 00:10:35: %LINK-5-CHANGED: интерфейс Ethernet0/1, состояние изменено на административно недоступное
 
 00:10:35: %LINK-5-CHANGED: интерфейс Ethernet0/2, состояние изменено на административно недоступное
 
 00:10:35: %LINK-5-CHANGED: интерфейс Ethernet0/3, состояние изменено на административно недоступное
 
 00:10:35: %LINK-5-CHANGED: интерфейс Ethernet1/0, состояние изменено на административно недоступное
 
 00:10:35: %LINK-5-CHANGED: интерфейс Ethernet1/1, состояние изменено на административно недоступное
 
 00:10:35: %LINK-5-CHANGED: интерфейс Ethernet1/2, состояние изменено на административно недоступное
 
 00:10:35: %LINK-5-CHANGED: интерфейс Ethernet1/3, состояние изменено на административно недоступное
 
 00:10:36: %LINEPROTO-5-UPDOWN: линейный протокол на интерфейсе Null0, изменено состояние на up
 
 00:10:36: %LINEPROTO-5-UPDOWN: линейный протокол интерфейса Loopback0, изменено состояние на up
 
 00:10:36: %LINEPROTO-5-UPDOWN: линейный протокол интерфейса Loopback1, изменено состояние на up
 
 00:10:36: %LINEPROTO-5-UPDOWN: линейный протокол в интерфейсном туннеле 0, изменено состояние на up
 
 00:10:36: %LINEPROTO-5-UPDOWN: линейный протокол в интерфейсном туннеле 1, изменено состояние на up
 
 00:10:36: %LINEPROTO-5-UPDOWN: линейный протокол на интерфейсном туннеле 2, изменено состояние на up
 
 00:10:38: %PIM-5-DRCHG: VRF синий: изменение DR от соседа 0.0.0.0 до 172.16.1.1 вкл.
интерфейс Туннель0
 

Запросы IGMP, завершение периода задержки NSF и удаление устаревшей информации о пересылке

Следующие выходные данные получены из команды debug ip multicast redundancy . После обработки схождения одноадресных и многоадресных маршрутов отводится время для отчетов IGMP. После завершения этой обработки плоскость управления ожидает завершения периода времени удержания NSF. Обновленная информация плоскости управления многоадресной передачей затем загружается в плоскость пересылки; после завершения устаревшая информация о многоадресной плоскости пересылки впоследствии сбрасывается.

 *7 августа 02:31:43.651: MCAST-HA: истек срок действия таймера ответа IGMP. Готов к воспроизведению DDE для MVRF
красный
 
 *7 августа 02:31:43.651: MCAST-HA: Отправка запроса на воспроизведение DDE для красного MVRF.
 
 * 7 августа 02:31:43.651: MCAST-HA: воспроизведение MFIB DDE завершено для mvrf red
 
 *7 августа 02:31:43.651: MCAST-HA: не запрошено расширение удержания NSF для mvrf red at
завершение воспроизведения DDE.
 
 *7 августа 02:31:43.651: MCAST-HA: Прекращение многоадресной задержки NSF для красного цвета MVRF
 
 * 7 августа 02:31:43.651: MCAST-HA: все еще ожидается повтор MFIB DDE для mvrf green
 
 Повтор DDE: НЕ ЗАВЕРШЕН, обновление MRIB: НЕ ОЖИДАЕТСЯ
 
 *7 августа 02:31:43.651: MCAST-HA: истек срок действия таймера ответа IGMP. Готов к воспроизведению DDE для MVRF
зеленый
 
 *7 августа 02:31:43.651: MCAST-HA: Отправка запроса на воспроизведение DDE для зеленого MVRF.
 * 7 августа 02:31:43.651: MCAST-HA: воспроизведение MFIB DDE завершено для mvrf green
 
 *7 августа 02:31:43.651: MCAST-HA: не запрошено расширение задержки NSF для mvrf green at
завершение воспроизведения DDE.
 
 * 7 августа 02:31:43.651: MCAST-HA: завершение многоадресной задержки NSF для MVRF зеленый
 
 * 7 августа 02:31:43.651: MCAST-HA: все еще ожидается повтор MFIB DDE для mvrf blue
 
 Повтор DDE: НЕ ЗАВЕРШЕН, обновление MRIB: НЕ ОЖИДАЕТСЯ
 
 *7 августа 02:31:43.651: MCAST-HA: истек срок действия таймера ответа IGMP. Готов к воспроизведению DDE для MVRF
синий
 
 *7 августа 02:31:43.651: MCAST-HA: Отправка запроса воспроизведения DDE для синего MVRF.
 
 * 7 августа 02:31:43.651: MCAST-HA: воспроизведение MFIB DDE завершено для mvrf blue
 
 * 7 августа 02:31:43.651: MCAST-HA: не требуется расширение NSF Holdoff для mvrf blue at
завершение воспроизведения DDE.
 
 * 7 августа 02:31:43.651: MCAST-HA: завершение многоадресной задержки NSF для синего цвета MVRF
 
 *7 августа 02:31:43.651: MCAST-HA: все еще ожидается повтор MFIB DDE для mvrf IPv4 по умолчанию
 
 Повтор DDE: НЕ ЗАВЕРШЕН, обновление MRIB: НЕ ОЖИДАЕТСЯ
 
 *7 августа 02:31:43.651: MCAST-HA: истек срок действия таймера ответа IGMP. Готов к воспроизведению DDE для MVRF
IPv4 по умолчанию
 
 *7 августа 02:31:43.651: MCAST-HA: Отправка запроса воспроизведения DDE для MVRF IPv4 по умолчанию.
 
 * 7 августа 02:31:43.651: MCAST-HA: воспроизведение MFIB DDE завершено для mvrf IPv4 по умолчанию
 
 *7 августа 02:31:43.651: MCAST-HA: не запрошено расширение NSF Holdoff для mvrf IPv4 по умолчанию
по завершении воспроизведения DDE.
 
 * 7 августа 02:31:43.651: MCAST-HA: завершение многоадресной задержки NSF для MVRF IPv4 по умолчанию
 
 *7 августа 02:31:43.651: MCAST-HA: воспроизведение MFIB DDE завершено для всех MVRF.
 
 *7 августа 02:31:43.651: MCAST-HA: остановка отказоустойчивого таймера воспроизведения MFIB DDE.
 
 *7 августа 02:32:13.651: MCAST-HA: истек срок действия таймера сброса. Запуск окончательной проверки RPF для MVRF
IPv4 по умолчанию
 
 *7 августа 02:32:13.651: MCAST-HA: истек срок действия таймера сброса. Запуск окончательной проверки RPF для MVRF
синий
 
 *7 августа 02:32:13.651: MCAST-HA: истек срок действия таймера сброса. Запуск окончательной проверки RPF для MVRF
зеленый
 
 *7 августа 02:32:13.651: MCAST-HA: истек срок действия таймера сброса. Начинается окончательная проверка RPF для MVRF красного цвета
 
 *7 августа 02:32:14.151: MCAST-HA: сброс устаревшего состояния mcast. Обработка аварийного переключения RP
завершено для MVRF IPv4 по умолчанию.
 
 *7 августа 02:32:14.151: MCAST-HA: сброс устаревшего состояния mcast. Обработка аварийного переключения RP
в комплекте для МВРФ синий.
 
 *7 августа 02:32:14.151: MCAST-HA: сброс устаревшего состояния mcast. Обработка аварийного переключения RP
комплект для МВРФ зеленый.
 
 *7 августа 02:32:14.151: MCAST-HA: сброс устаревшего состояния mcast. Обработка аварийного переключения RP
комплект для МВРФ красный.
 *7 августа 02:32:14.151: MCAST-HA: обработка отказа RP завершена для всех MVRF.
 

Включение резервного RP

Ниже приведен пример вывода команды debug ip multicast redundancy . Этот вывод показывает события, связанные с перезагрузкой резервной RP; в частности, события, связанные с согласованием ISSU между активной и резервной RP, и события, связанные с синхронизацией информации динамической многоадресной пересылки от активной RP к резервной RP.События синхронизации также регистрируются в устойчивом состоянии для событий, которые влияют на информацию динамического сопоставления группы и RP или на динамическое состояние туннеля.

 00:11:50: %HA-6-MODE: рабочий режим резервирования RP — SSO
 
 *7 августа 02:32:45.435: MCAST-HA-RF: событие состояния:
status=RF_STATUS_OPER_REDUNDANCY_MODE_CHANGE Op=7 RFState=АКТИВНО
 
 * 7 августа 02:32:45.435: MCAST-HA-RF: событие состояния: статус = RF_STATUS_REDUNDANCY_MODE_CHANGE
Op=7 RFState=АКТИВНО
 
 *7 августа 02:32:45.435: MCAST-HA-RF: событие состояния: status=RF_STATUS_PEER_PRESENCE Op=1
RFState = АКТИВНЫЙ
 
 * 7 августа 02:32:45.463: MCAST-HA-RF: событие состояния: status=RF_STATUS_PEER_COMM Op=1
RFState = АКТИВНЫЙ
 
 *7 августа 02:32:45.563: MCAST-HA-RF: событие прогресса: RF_Event=RF_PROG_ISSU_NEGOTIATION
RFState = АКТИВНЫЙ
 
 * 7 августа 02:32:46.039: MCAST-HA-RF: событие прогресса: RF_Event=RF_PROG_PLATFORM_SYNC
RFState = АКТИВНЫЙ
 
 *7 августа 02:32:46.979: MCAST-HA: получен статус cf CHKPT_STATUS_PEER_READY
 
 *7 августа 02:32:46.979: MCAST-ISSU Обработка перехода связи для транспорта PIM HA
тип 0, радиосвязь = TRUE, повторное согласование НЕ ОЖИДАЕТСЯ
 
 * 7 августа 02:32:46.979: MCAST-HA: получен статус cf CHKPT_STATUS_IPC_FLOW_ON
 
 *7 августа 02:32:47.043: MCAST-HA-RF: событие прогресса:
RF_Event=RF_PROG_STANDBY_ISSU_NEGOTIATION_LATE RFState=АКТИВНО
 
 *7 августа 02:32:50.943: MCAST-HA-RF: событие прогресса: RF_Event=RF_PROG_STANDBY_CONFIG
RFState = АКТИВНЫЙ
 
 * 7 августа 02:32:50.947: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 *7 августа, 02:32:50.947: MCAST-HA-RF: Начато согласование PIM ISSU на основном RP.
 
 * 7 августа 02:32:50.947: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.947: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 *7 августа 02:32:50.951: Сообщение о согласовании MCAST-ISSU отправлено с основного устройства, rc = 0
 
 * 7 августа 02:32:50.951: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.951: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.951: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.955: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 *7 августа 02:32:50.955: Сообщение о согласовании MCAST-ISSU отправлено с основного устройства, rc = 0
 
 * 7 августа 02:32:50.955: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.955: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.959: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.959: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 *7 августа 02:32:50.959: Сообщение согласования MCAST-ISSU отправлено с основного устройства, rc = 0
 
 * 7 августа 02:32:50.959: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.959: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.963: сообщение о согласовании MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.963: сообщение о согласовании MCAST-ISSU отправлено с основного, rc = 0
 
 *7 августа 02:32:50.963: Сообщение о согласовании MCAST-ISSU отправлено с основного устройства, rc = 0
 
 * 7 августа 02:32:50.963: сообщение о согласовании MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.967: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.967: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.967: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 *7 августа 02:32:50.967: Сообщение о согласовании MCAST-ISSU отправлено с основного устройства, rc = 0
 
 * 7 августа 02:32:50.967: сообщение согласования MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.971: сообщение о согласовании MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.971: сообщение о согласовании MCAST-ISSU отправлено с основного, rc = 0
 
 * 7 августа 02:32:50.971: согласование MCAST-ISSU завершено для клиента PIM Checkpoint Facility,
согласование rc = 4, результат согласования = COMPATIBLE
 
 *7 августа 02:32:59.927: MCAST-HA-RF: событие прогресса: RF_Event=RF_PROG_STANDBY_FILESYS
RFState = АКТИВНЫЙ
 
 * 7 августа 02:32:59.963: MCAST-HA-RF: событие прогресса: RF_Event=RF_PROG_STANDBY_BULK
RFState = АКТИВНЫЙ
 
 *7 августа 02:32:59.963: MCAST-HA-RF: запуск массовой синхронизации.
 
 * 7 августа 02:32:59.963: MCAST-HA: успешно создан процесс массовой синхронизации
 
 *7 августа 02:32:59.963: MCAST-HA: запуск массовой синхронизации
 
 *7 августа 02:32:59.963: MCAST HA Выполнение массовой синхронизации сопоставления RP.
 
 *7 августа 02:32:59.963: MCAST HA Выполнение массовой синхронизации маршрута Bidir RP.
 
 *7 августа 02:32:59.963: MCAST HA Выполнение массовой синхронизации кэша BSR.
 
 * 7 августа 02:32:59.963: запрос синхронизации кэша MCAST-HA BSR получен для mvrf IPv4 по умолчанию
 
 * 7 августа 02:32:59.963: MCAST-HA: создание фрагмента запроса на синхронизацию кеша Bootstrap = 112
макс=585 выравнивание=8
 
 *7 августа 02:32:59.963: MCAST-HA: выделение запроса на синхронизацию кеша Bootstrap.
 
 * 7 августа 02:32:59.963: MCAST-HA форматирование сообщения синхронизации кэша BSR:
 
 поиск mvrf Результат IPv4 по умолчанию: 0 mvrf по адресу 0x4A21680
 
 * 7 августа 02:32:59.971: запрос синхронизации кэша MCAST-HA BSR получен для mvrf blue
 
 * 7 августа 02:32:59.971: MCAST-HA: выделение запроса на синхронизацию кеша Bootstrap
 
 *7 августа 02:32:59.971: MCAST-HA Форматирование сообщения синхронизации кэша BSR:
 
 поиск mvrf синий результат 0 mvrf в 0x50EE660
 
 * 7 августа 02:32:59.983: запрос синхронизации кэша MCAST-HA BSR получен для mvrf green
 
 * 7 августа 02:32:59.983: MCAST-HA: выделение запроса на синхронизацию кэша Bootstrap
 
 * 7 августа 02:32:59.983: MCAST-HA форматирование сообщения синхронизации кэша BSR:
 
 поиск mvrf зеленый результат 0 mvrf по адресу 0x5103300
 
 *7 августа 02:32:59.991: Получен запрос синхронизации кэша MCAST-HA BSR для mvrf red
 
 * 7 августа 02:32:59.991: MCAST-HA: выделение запроса на синхронизацию кэша Bootstrap
 
 * 7 августа 02:32:59.991: MCAST-HA форматирование сообщения синхронизации кэша BSR:
 
 поиск mvrf красный результат 0 mvrf по адресу 0x5135FE0
 
 *7 августа 02:33:00.003: MCAST HA Выполнение массовой синхронизации IDB обнаружения AutoRP.
 
 *7 августа 02:33:00.003: Получен запрос синхронизации IDB обнаружения MCAST-HA AutoRP для
 
 * 7 августа 02:33:00.003: MCAST-HA: Создание фрагмента запроса на синхронизацию IDB обнаружения Autorp = 112
макс=585 выравнивание=8
 
 * 7 августа 02:33:00.003: MCAST-HA: выделение запроса синхронизации запроса синхронизации IDB обнаружения Autorp
 
 * 7 августа 02:33:00.003: MCAST-HA Форматирование сообщения синхронизации IDB обнаружения AutoRP:
 
 поиск mvrf Результат IPv4 по умолчанию: 0 mvrf по адресу 0x4A21680
 
 *7 августа 02:33:00.011: Получен запрос синхронизации IDB обнаружения MCAST-HA AutoRP для
 
 * 7 августа 02:33:00.011: MCAST-HA: выделение запроса синхронизации запроса синхронизации IDB обнаружения Autorp
 
 * 7 августа 02:33:00.011: MCAST-HA форматирование сообщения синхронизации IDB обнаружения AutoRP:
 
 поиск mvrf синий результат 0 mvrf в 0x50EE660
 
 * 7 августа 02:33:00.023: запрос синхронизации IDB обнаружения MCAST-HA AutoRP получен для
 
 *7 августа 02:33:00.023: MCAST-HA: Распределение запроса синхронизации запроса синхронизации IDB обнаружения Autorp
 
 * 7 августа 02:33:00.023: MCAST-HA форматирование сообщения синхронизации IDB обнаружения AutoRP:
 
 поиск mvrf зеленый результат 0 mvrf по адресу 0x5103300
 
 * 7 августа 02:33:00.031: запрос синхронизации IDB обнаружения MCAST-HA AutoRP получен для
 
 * 7 августа 02:33:00.031: MCAST-HA: выделение запроса синхронизации запроса синхронизации IDB обнаружения Autorp
 
 *7 августа 02:33:00.031: MCAST-HA Форматирование сообщения синхронизации IDB обнаружения AutoRP:
 
 поиск mvrf красный результат 0 mvrf по адресу 0x5135FE0
 
 *7 августа 02:33:00.043: MCAST HA Выполнение фиктивной функции массовой синхронизации.
 
 *7 августа 02:33:00.043: MCAST HA Выполнение фиктивной функции массовой синхронизации.
 
 *7 августа 02:33:00.043: MCAST HA Выполнение фиктивной функции массовой синхронизации.
 
 *7 августа 02:33:00.043: MCAST HA Выполнение массовой синхронизации туннеля MDT.
 
 * 7 августа 02:33:00.043: MCAST-HA MDT запрос синхронизации туннеля получен для mvrf blue
 
 * 7 августа 02:33:00.043: MCAST-HA: создание фрагмента запроса на синхронизацию туннеля MDT, размер = 112, макс. = 585
выровнять=8
 
 * 7 августа 02:33:00.043: MCAST-HA: выделение запроса на синхронизацию туннеля MDT
 
 * 7 августа 02:33:00.043: MCAST-HA Форматирование сообщения синхронизации туннеля MDT:
 
 поиск mvrf синий результат 0 mvrf в 0x50EE660
 
 *7 августа 02:33:00.051: Получен запрос синхронизации туннеля MDT MCAST-HA для mvrf green
 
 * 7 августа 02:33:00.051: MCAST-HA: выделение запроса на синхронизацию туннеля MDT
 
 * 7 августа 02:33:00.051: MCAST-HA Форматирование сообщения синхронизации туннеля MDT:
 
 поиск mvrf зеленый результат 0 mvrf по адресу 0x5103300
 
 * 7 августа 02:33:00.063: MCAST-HA MDT запрос синхронизации туннеля получен для mvrf red
 
 *7 августа 02:33:00.063: MCAST-HA: выделение запроса на синхронизацию туннеля MDT.
 
 * 7 августа 02:33:00.063: MCAST-HA Форматирование сообщения синхронизации туннеля MDT:
 
 поиск mvrf красный результат 0 mvrf по адресу 0x5135FE0
 
 *7 августа 02:33:00.071: MCAST HA Выполнение массовой синхронизации Bidir RP DF.
 
 *7 августа 02:33:00.071: MCAST HA Выполнение массовой синхронизации туннеля регистров.
 
 *7 августа 02:33:00.071: MCAST-HA: добавление в очередь сообщений массовой синхронизации завершено.
 
 *7 августа 02:33:00.071: MCAST-HA: очередь сообщений массовой синхронизации пуста.
 
 * 7 августа 02:33:00.071: MCAST-HA: получено подтверждение от режима ожидания для всей массовой синхронизации
Сообщения.
 
 *7 августа 02:33:00.071: MCAST-HA Создание сообщения о завершении массовой синхронизации для однорангового узла.
 
 *7 августа 02:33:00.071: MCAST-HA: первичный сервер уведомил резервный сервер о завершении массовой синхронизации.Ожидание окончательного подтверждения массовой синхронизации из режима ожидания.
 
 *7 августа 02:33:00.075: MCAST-HA: получен статус cf CHKPT_STATUS_SEND_OK
 
 * 7 августа 02:33:00.075: MCAST-HA: тип отправленного сообщения — 2
 
 *7 августа 02:33:00.075: MCAST-HA Поиск запроса синхронизации, соответствующего
сообщение успешно получено.
 
 *7 августа 02:33:00.075: MCAST-HA Передача от основного и прием резервным
подтверждено для типа синхронизации 2.Очистка завершена.
 
 *7 августа 02:33:00.075: MCAST-HA: получен статус cf CHKPT_STATUS_SEND_OK
 
 * 7 августа 02:33:00.075: MCAST-HA: тип отправленного сообщения — 2
 
 *7 августа 02:33:00.075: MCAST-HA Поиск запроса синхронизации, соответствующего
сообщение успешно получено.
 
 *7 августа 02:33:00.075: MCAST-HA Передача от основного и прием резервным
подтверждено для типа синхронизации 2.Очистка завершена.
 
 *7 августа 02:33:00.075: MCAST-HA: получен статус cf CHKPT_STATUS_SEND_OK
 
 * 7 августа 02:33:00.075: MCAST-HA: тип отправленного сообщения — 2
 
 *7 августа 02:33:00.075: MCAST-HA Поиск запроса синхронизации, соответствующего
сообщение успешно получено.
 
 *7 августа 02:33:00.075: MCAST-HA Передача от основного и прием резервным
подтверждено для типа синхронизации 2.Очистка завершена.
 
 *7 августа 02:33:00.087: MCAST-HA: получен статус cf CHKPT_STATUS_SEND_OK
 
 * 7 августа 02:33:00.087: MCAST-HA: тип отправленного сообщения — 2
 
 *7 августа 02:33:00.087: MCAST-HA Поиск запроса синхронизации, соответствующего
сообщение успешно получено.
 
 * 7 августа 02:33:00.087: MCAST-HA Передача от основного и прием резервным
подтверждено для типа синхронизации 2.Очистка завершена.
 
 *7 августа 02:33:00.087: MCAST-HA: получен статус cf CHKPT_STATUS_SEND_OK
 
 * 7 августа 02:33:00.087: MCAST-HA: тип отправленного сообщения — 3
 
 *7 августа 02:33:00.087: MCAST-HA Поиск запроса синхронизации, соответствующего
сообщение успешно получено.
 
 * 7 августа 02:33:00.087: MCAST-HA Передача от основного и прием резервным
подтверждено для типа синхронизации 3.Очистка завершена.
 
 *7 августа 02:33:00.087: MCAST-HA: получен статус cf CHKPT_STATUS_SEND_OK
 
 * 7 августа 02:33:00.087: MCAST-HA: тип отправленного сообщения — 3
 
 *7 августа 02:33:00.087: MCAST-HA Поиск запроса синхронизации, соответствующего
сообщение успешно получено.
 
 * 7 августа 02:33:00.087: MCAST-HA Передача от основного и прием резервным
подтверждено для типа синхронизации 3.Очистка завершена.
 
 *7 августа 02:33:00.087: MCAST-HA: получен статус cf CHKPT_STATUS_SEND_OK
 
 * 7 августа 02:33:00.087: MCAST-HA: тип отправленного сообщения — 3
 
 *7 августа 02:33:00.087: MCAST-HA Поиск запроса синхронизации, соответствующего
сообщение успешно получено.
 
 * 7 августа 02:33:00.087: MCAST-HA Передача от основного и прием резервным
подтверждено для типа синхронизации 3.Очистка завершена.
 
 *7 августа 02:33:00.087: MCAST-HA: получен статус cf CHKPT_STATUS_SEND_OK
 
 * 7 августа 02:33:00.087: MCAST-HA: тип отправленного сообщения — 3
 
 *7 августа 02:33:00.087: MCAST-HA Поиск запроса синхронизации, соответствующего
сообщение успешно получено.
 
 * 7 августа 02:33:00.087: MCAST-HA Передача от основного и прием резервным
подтверждено для типа синхронизации 3.Очистка завершена.
 
 *7 августа 02:33:00.087: MCAST-HA: получен статус cf CHKPT_STATUS_SEND_OK
 
 * 7 августа 02:33:00.087: MCAST-HA: тип отправленного сообщения — 8
 
 *7 августа 02:33:00.087: MCAST-HA Поиск запроса синхронизации, соответствующего
сообщение успешно получено.
 
 * 7 августа 02:33:00.087: MCAST-HA Передача от основного и прием резервным
подтверждено для типа синхронизации 8.Очистка завершена.
 
 *7 августа 02:33:00.087: MCAST-HA: получен статус cf CHKPT_STATUS_SEND_OK
 
 * 7 августа 02:33:00.087: MCAST-HA: тип отправленного сообщения — 8
 
 *7 августа 02:33:00.087: MCAST-HA Поиск запроса синхронизации, соответствующего
сообщение успешно получено.
 
 * 7 августа 02:33:00.087: MCAST-HA Передача от основного и прием резервным
подтверждено для типа синхронизации 8.Очистка завершена.
 
 *7 августа 02:33:00.087: MCAST-HA: получен статус cf CHKPT_STATUS_SEND_OK
 
 * 7 августа 02:33:00.087: MCAST-HA: тип отправленного сообщения — 8
 
 *7 августа 02:33:00.087: MCAST-HA Поиск запроса синхронизации, соответствующего
сообщение успешно получено.
 
 * 7 августа 02:33:00.087: MCAST-HA Передача от основного и прием резервным
подтверждено для типа синхронизации 8.Очистка завершена.
 
 *7 августа 02:33:00.087: MCAST-HA: получен статус cf CHKPT_STATUS_SEND_OK
 
 * 7 августа 02:33:00.087: MCAST-HA: тип отправленного сообщения — 11
 
 *7 августа 02:33:00.087: Процесс MCAST-HA: первичный RP получил резервный ACK для приема
сообщение о завершении массовой синхронизации.
 
 *7 августа 02:33:00.087: MCAST-HA Уведомление RF о продолжении прогресса.
 
 *7 августа 02:33:00.087: MCAST-HA: Пробуждение получено для завершения массовой синхронизации.
 
 * 7 августа 02:33:00.091: Процесс MCAST-HA: основной RP получил завершение массовой синхронизации
подтверждение из режима ожидания.
 
 *7 августа 02:33:00.091: Ранее отправлено уведомление MCAST-HA RF.
 
 * 7 августа 02:33:00.455: MCAST-HA-RF: событие прогресса: RF_Event=RF_PROG_STANDBY_HOT
RFState = АКТИВНЫЙ
 
 00:12:05: %HA_CONFIG_SYNC-6-BULK_CFGSYNC_SUCCEED: массовая синхронизация выполнена успешно
 
 00:12:05: %HA-6-STANDBY_READY: резервный RP в слоте 7 работает в режиме единого входа
 
 00:12:05: %RF-5-RF_TERMINAL_STATE: состояние терминала достигнуто для (SSO)
 

Мониторинг потери и последующего восстановления резервной RP: пример

В следующем примере показано, как отслеживать потерю и восстановление резервной RP и подтверждать состояние многоадресной избыточности IP и состояние резервной RP после ее восстановления.

Потеря RP в режиме ожидания

Следующие выходные данные безоговорочно регистрируются программным обеспечением Cisco IOS Redundancy Facility (RF) при потере резервного RP. Выходные данные показывают сообщения, используемые для указания того, что резервный RP вышел из строя.

 00:14:59: %REDUNDANCY-3-STANDBY_LOST: ошибка резервного процессора (PEER_DOWN_INTERRUPT)
 
 00:14:59: %REDUNDANCY-5-PEER_MONITOR_EVENT: активный обнаруженный резервный режим отключен или аварийно завершен
(необработанное событие = PEER_DOWN_INTERRUPT (11))
 

Следующие выходные данные получены из команды show ip multicast redundancy state после выхода из строя резервного RP.Обратите внимание, что в выходных данных примера в поле «Текущее состояние синхронизации» отображается «Не синхронизация», что указывает на то, что активный и резервный RP не синхронизируют данные (поскольку резервный RP не работает).

 Router# показывает состояние избыточности многоадресной рассылки IP
 
 Состояние многоадресной избыточности: SSO
 
 Порядковый номер сообщения синхронизации: 11
 
 Тайм-аут сброса состояния Stale NSF: 30000 мс
 
 Текущее состояние синхронизации: не синхронизируется
 

Резервное восстановление RP

Ниже приведен пример вывода команды debug ip multicast redundancy .Выходные данные показывают сообщения, используемые для указания того, что резервная RP восстановлена.


Примечание Количество сообщений синхронизации, отправляемых с нового активного RP на резервный RP, будет увеличиваться по мере повторной синхронизации резервного RP.


 00:15:13: %HA-6-MODE: Рабочий режим резервирования RP — SSO *7 августа 02:36:07.843:
MCAST-HA-RF: событие состояния: status=RF_STATUS_OPER_REDUNDANCY_MODE_CHANGE Op=7
RFState = АКТИВНЫЙ
 
 00:15:28: %RF-5-RF_TERMINAL_STATE: состояние терминала достигнуто для (SSO)
 

После того, как резервный RP завершил ресинхронизацию с новым активным RP, выводятся следующие выходные данные команды show ip multicast redundancy state .Обратите внимание, что в поле «Текущее состояние синхронизации» отображается «Синхронизировано», что указывает на повторную синхронизацию резервного сервера с новым активным RP.

 Router# показывает состояние избыточности многоадресной рассылки IP
 
 Состояние многоадресной избыточности: SSO
 
 Порядковый номер сообщения синхронизации: 11
 
 Тайм-аут сброса состояния Stale NSF: 30000 мс
 
 Текущее состояние синхронизации: синхронизировано
 

Следующие данные выводятся командой show ip multicast redundancy Statistics после того, как резервный RP завершил повторную синхронизацию с новым активным RP.

 Router# показать статистику избыточности многоадресной рассылки IP
 
 Статистика многоадресной избыточности
 
 Тип синхронизации Обновления Синхронизация Ошибки синхронизации
 
 Бидир. Информация о маршруте RP 0 0 0
 
 Обнаружение Autorp IDB 12 12 0
 
 Туннель регистра PIM 0 0 0
 
 запросов, ожидающих передачи сообщений синхронизации: 0
 
 запросов, ожидающих подтверждения сообщения синхронизации: 0
 
 Среднее время ожидания синхронизации = 0 мс
 
 Среднее время подтверждения синхронизации = 70 мс
 

Примеры конфигурации для SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

Нет примеров конфигурации для SSO — поддержка многоадресной рассылки IPv4 HA для функции сопоставления группы и RP.

Дополнительные ссылки

В следующих разделах приведены справочные материалы, относящиеся к функции SSO — многоадресной рассылки IPv4 HA для сопоставления группы с RP.

Связанные документы


Стандарты

Стандарт

Заголовок

Эта функция не поддерживает новые или измененные стандарты, и поддержка существующих стандартов не была изменена этой функцией.


MIB

MIB

Ссылка на MIB

Эта функция не поддерживает новые или измененные MIB.

Чтобы найти и загрузить MIB для выбранных платформ, выпусков Cisco IOS и наборов функций, используйте локатор Cisco MIB по следующему URL-адресу:

http://www.cisco.com/go/mibs


RFC


Техническая помощь

Описание

Связь

На веб-сайте службы поддержки Cisco представлены обширные онлайн-ресурсы, включая документацию и инструменты для устранения неполадок и решения технических проблем, связанных с продуктами и технологиями Cisco.

Чтобы получать информацию о безопасности и техническую информацию о своих продуктах, вы можете подписаться на различные услуги, такие как средство оповещения о продуктах (доступ к которому можно получить из уведомлений на месте), информационный бюллетень технических услуг Cisco и RSS-каналы Really Simple Syndication.

Для доступа к большинству инструментов на веб-сайте поддержки Cisco требуется идентификатор пользователя и пароль Cisco.com.

http://www.cisco.com/techsupport


Информация о функциях для SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления групп и RP

В таблице 1 указана история выпусков этой функции.

Не все команды могут быть доступны в вашей версии программного обеспечения Cisco IOS. Сведения о выпуске конкретной команды см. в справочной документации по командам.

Используйте Навигатор функций Cisco, чтобы найти информацию о поддержке платформ и образов программного обеспечения. Cisco Feature Navigator позволяет определить, какие образы программного обеспечения Cisco IOS и Catalyst OS поддерживают определенный выпуск программного обеспечения, набор функций или платформу. Чтобы получить доступ к Cisco Feature Navigator, перейдите по адресу http://www.cisco.com/go/cfn. Учетная запись на Cisco.com не требуется.


Примечание В таблице 1 перечислены только версии программного обеспечения Cisco IOS, в которых реализована поддержка данной функции в данной серии версий программного обеспечения Cisco IOS. Если не указано иное, последующие выпуски этой серии выпусков программного обеспечения Cisco IOS также поддерживают эту функцию.


Таблица 1. Информация о функциях для единого входа — поддержка высокой доступности многоадресной рассылки IPv4 для сопоставления групп и RP 

Название функции

Релизы

Информация о функциях

SSO — поддержка многоадресной рассылки IPv4 HA для сопоставления группы с RP

12.2(33)SXI

Функция SSO—IPv4 Multicast HA Support for Group-to-RP Mapping расширяет функциональность многоадресной высокой доступности, обеспечивая поддержку синхронизации динамически изученных сопоставлений группы-RP и информации bidir-PIM DF на резервном RP. Кроме того, эта функция также обеспечивает поддержку ISSU для PIM.

Вместе эти возможности обеспечивают поддержку Cisco NSF с единым входом для многоадресной рассылки IPv4, которая после переключения сокращает время повторной конвергенции плоскости управления многоадресной рассылки до уровня, прозрачного для большинства приложений, основанных на многоадресной рассылке.

В версии 12.2(33)SXI эта функция была представлена ​​на коммутаторе Catalyst серии 6500.

Были введены или изменены следующие команды: очистить статистику избыточности многоадресной рассылки ip , отладить избыточность многоадресной рассылки , показать состояние избыточности многоадресной рассылки ip , показать статистику избыточности многоадресной рассылки ip , показать ip pim сосед


CCDE, CCENT, CCSI, Cisco Eos, Cisco HealthPresence, Cisco IronPort, логотип Cisco, Cisco Nurse Connect, Cisco Pulse, Cisco SensorBase, Cisco StackPower, Cisco StadiumVision, Cisco TelePresence, Cisco Unified Computing System, Cisco WebEx, DCE, Flip Channels, Flip for Good, Flip Mino, Flipshare (дизайн), Flip Ultra, Flip Video, Flip Video (дизайн), Instant Broadband и Welcome to the Human Network являются товарными знаками; Знаки обслуживания «Changing the Way We Work, Live, Play and Learning», «Cisco Capital», «Cisco Capital (дизайн), «Cisco:Financed» (стилизованный), «Cisco Store», «Flip Gift Card» и «One Million Acts of Green» являются знаками обслуживания; и Access Registrar, Aironet, AllTouch, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, логотип Cisco Certified Internetwork Expert, Cisco IOS, Cisco Lumin, Cisco Nexus, Cisco Press, Cisco Systems, Cisco Systems Capital, логотип Cisco Systems, Cisco Unity, Collaboration Without Limitation, Continuum, EtherFast, EtherSwitch, Event Center, Explorer, Follow Me Browsing, GainMaker, iLYNX, IOS, iPhone, IronPort, Логотип IronPort, Laser Link, LightStream, Linksys, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, PCNow, PIX, PowerKEY, PowerPanels, PowerTV, PowerTV (Design), PowerVu, Prisma, ProConnect, ROSA, SenderBase, SMARTnet, Spectrum Expert, StackWise, WebEx и логотип WebEx являются зарегистрированными товарными знаками Cisco Systems, Inc.и/или ее филиалы в США и некоторых других странах.

Все другие товарные знаки, упомянутые в этом документе или на веб-сайте, являются собственностью их соответствующих владельцев. Использование слова «партнер» не подразумевает партнерских отношений между Cisco и какой-либо другой компанией. (0910R)

Любые адреса Интернет-протокола (IP), используемые в этом документе, не предназначены для использования в качестве фактических адресов. Любые примеры, выходные данные команд и рисунки, включенные в документ, показаны только в иллюстративных целях.Любое использование реальных IP-адресов в иллюстративном контенте является непреднамеренным и случайным.

© Cisco Systems, Inc., 2008. Все права защищены.

ICAM публикует профиль единого входа (SSO) в веб-браузере SAML 2.0

К сведению: ICAM публикует профиль единого входа (SSO) в веб-браузере SAML 2.0

[Дата Предыдущая] | [Предыдущая тема] | [Тема следующая] | [Дата следующего] — [Указатель даты] | [Указатель темы] | [Список дома]


Тема : Для справки: ICAM публикует SAML 2.0 Профиль единого входа в веб-браузер (SSO)

  • От : Робин Обложка
  • Для : OASIS SSTC
  • Дата : Пт, 1 октября 2010 г. 11:16:11 -0500

-- Федеральное управление идентификацией, учетными данными и доступом (ICAM) --
Подкомитет по управлению идентификацией, учетными данными и доступом,
часто упоминается как ICAM сопредседателями GSA и DoD и
отвечает за согласование действий по управлению идентификацией
правительства...
http://www.idmanagement.gov/drilldown.cfm?action=icam

ICAM теперь публикует:

Язык разметки утверждений безопасности (SAML) 2.0 Веб-браузер Единый
Профиль входа (SSO)
Версия 1.0. 27 сентября 2010 г. 35 страниц.
Монтаж: Терри Макбрайд, Мэтт Тебо, Джон Брэдли, Дэйв Сильвер
http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf

Управляющее резюме

Профиль языка разметки утверждений безопасности (SAML) 2.0 как
описанный в этом документе, был принят Федеральным
Управление идентификацией, учетными данными и доступом (ICAM) для
цель уровня гарантии (LOA) 1, 2 и 3
аутентификация личности, а также владелец ключа
утверждения для привязки ключей или других атрибутов к
личность в LOA 4.Надлежащее использование этого профиля гарантирует, что реализации:
(1) Соответствовать федеральным стандартам, постановлениям и законам; (2)
Свести к минимуму риск для федерального правительства; (3) Максимизировать
совместимость; (4) Предоставьте конечным пользователям (например, гражданам)
с постоянным контекстом или пользовательским опытом на федеральном
Правительственный сайт.

Этот профиль представляет собой профиль развертывания, основанный на OASIS.
Спецификации SAML 2.0 и eGov Liberty Alliance
Профиль v.1.5. Этот профиль основан на веб-сайте SAML 2.0.
Профиль SSO браузера», чтобы упростить аутентификацию конечного пользователя.Этот профиль не изменяет эти стандарты, а скорее
определяет варианты развертывания и требования для обеспечения
техническая совместимость с федеральным правительством
Приложения. Если этот Профиль явно не
обеспечить руководство, стандарты, на которых этот профиль
имеет приоритет. Кроме того, этот профиль
признает соответствие Liberty Alliance eGov Profile
требования и, насколько это возможно, согласовывает их
с другими профилями SAML 2.0.

Целью этого документа является определение стандарта ICAM SAML.
2.0 Профиль SSO веб-браузера, чтобы лица, развертывающие,
управление или поддержка приложения, основанного на нем, может
полностью понять его использование в потоках транзакций ICAM. В
в целом, протокол SAML 2.0 облегчает обмен SAML
сообщения (запросы и/или ответы) между конечными точками. За
этого Профиля, сообщения относятся, прежде всего, к обмену
утверждение идентичности, которое включает в себя аутентификацию и
атрибутивная информация. Поддержка сообщений для дополнительных
функции также доступны. В ICAM конечными точками являются
обычно проверяющая сторона (RP) и поставщик удостоверений
(ИДП).Определенный здесь профиль SAML 2.0 включает следующее:
функции: единый вход, сброс сеанса и атрибут
обмен. Кроме того, этот профиль определяет два основных стандарта SAML 2.0.
Варианты использования: конечный пользователь, начиная с RP, и конечный пользователь
начиная с IdP. Диаграммы вариантов использования и диаграммы последовательности
приведены для иллюстрации вариантов использования. Конфиденциальность, безопасность,
и активация конечного пользователя также обсуждаются. Запрограммированное доверие
(механизм, указывающий RP, какие IdP одобрены для
использование в ICAM) также обсуждается, и процесс высокого уровня
блок-схема представлена ​​для иллюстрации концепции.
Профиль завершается подробным техническим руководством, которое
Области SAML 2.0 Web Browser SSO для целей ICAM. Как и большинство
спецификации, SAML 2.0 предоставляет опции. Где необходимо,
ICAM указывает или удаляет параметры для повышения безопасности,
конфиденциальность и интероперабельность. Раздел «Технический профиль»
обращается к запросу и ответу аутентификации, метаданным,
и безопасность сделки.

--
Робин Кавер
Интернет: http://xml.coverpages.org
Тел: +1 (972) 296-1783
 


[Дата Пред] | [Предыдущая тема] | [Тема следующая] | [Дата следующего] — [Указатель даты] | [Указатель темы] | [Список дома]


Главная страница CHIRP-Web

Загрузка контента, подождите …

 

Дата: 14 апреля 2022 г.

Нам известно, что в отчете о школьных действиях в настоящее время отображаются учащиеся со статусом вакцинации «Еще не должны» и те, которые «Просрочены».Мы работаем с поставщиком, чтобы исключить «еще не срок», однако в настоящее время у нас нет графика для этого.

Мы определили новые процессы, которые помогут ускорить обработку писем. Пожалуйста, используйте следующие шаги:

  1. Перейти к «Школьным отчетам»
  2. Выберите «Отчет о действии» или «Уведомление/письмо о действии»
  3. Выберите школу и «Серию»
  4. Выберите вариант «Отправить отчет или отправить письма».На этой странице вы можете выполнить поиск (клавиша Ctrl + F) и ввести «Просрочено», чтобы найти учащихся с просроченными вакцинами.

Для получения более подробных инструкций позвоните в службу поддержки по телефону 1-888-227-4439. Приносим искренние извинения за неудобства

Внимание: каждый понедельник с 19:00 до 22:00 CHIRP будет находиться под техническим обслуживанием поставщика. В это время CHIRP и PHC-Hub будут недоступны, чтобы поставщик мог обновлять систему.Приносим искренние извинения за доставленные неудобства.

ПОЖАЛУЙСТА, ОБРАТИТЕ ВНИМАНИЕ: скоро Chirp будет обновлен, чтобы использовать Access Indiana в качестве входа в систему. Когда это произойдет, вам понадобится учетная запись Access Indiana, чтобы войти в Chirp. Точная дата обновления будет опубликована здесь в ближайшее время. Если у вас еще нет учетной записи Access Indiana, как можно скорее создайте ее, перейдя по ссылке ниже, чтобы обеспечить плавный переход. Вы должны использовать свой собственный адрес электронной почты для создания вашей учетной записи Access Indiana, и она должна совпадать с зарегистрированным адресом электронной почты Chirp.Часто задаваемые вопросы и дополнительная информация будут отправлены всем пользователям Chirp в ближайшее время. С пользователями, имеющими две учетные записи Chirp, свяжутся в дальнейшем инструкции. Если вы находитесь за пределами США, свяжитесь с нами для получения дополнительной информации. Посетите https://www.in.gov/access/ и нажмите ЗАРЕГИСТРИРОВАТЬ СВОЮ УЧЕТНУЮ ЗАПИСЬ. Спасибо за сотрудничество, IDOH и Chirp Team .

Обучение MyVaxIndiana Аптеки Центр документов Вакцина
Центр поддержки CHIRP

Центр поддержки CHIRP и MyVaxIndiana

Департамент здравоохранения штата Индиана
Северный Меридиан, 2 №3N-22
Индианаполис, Индиана 46204-3010

визитная карточка CHIRP







Служба поддержки CHIRP работает с понедельника по пятницу с 8:30 до 17:00 по восточному стандартному времени с перерывом на обед с 12:30 до 13:00.Служба поддержки не работает по выходным и во все праздники штата Индиана. Сайт CHIRP доступен 24 часа в сутки, 7 дней в неделю.

Система единого входа SAP SuccessFactors (SSO)


Решение SAP Successfactor Single Sign-On (SSO) от miniOrange обеспечивает безопасную аутентификацию Single Sign-On и беспрепятственный доступ к платформе SAP SuccessFactors для ваших пользователей с использованием единого набора учетных данных для входа с языком разметки подтверждения безопасности (SAML) в качестве Метод аутентификации.Ваши клиенты могут входить в SAP SuccessFactors, используя учетные данные miniOrange или учетные данные Azure AD, или любого из ваших существующих поставщиков удостоверений через SAML и другие методы аутентификации единого входа, такие как метод единого входа на основе токенов. С помощью сервисов SSO miniOrange, наряду с SAP SuccessFactors, вы также можете входить в другие локальные и облачные приложения , используя существующие учетные данные поставщиков удостоверений/хранилища пользователей (Azure Active Directory, Okta, Ping) с компонентами аутентификации SSO.Данное руководство по настройке SSO дает вам обзор шагов по интеграции SAML SSO для вашего веб-приложения SAP SuccessFactors, с помощью которых пользователи могут запускать приложение.


Интеграция miniOrange и SAP SuccessFactors Single Sign-On (SSO) поддерживает следующие функции:

  • Инициированный SP SAML Single Sign-On (SSO)
  • Система единого входа SAML, инициированная поставщиком удостоверений (SSO)

Connect with External Source of Users

miniOrange обеспечивает аутентификацию пользователей из различных внешних источников, которыми могут быть каталоги (например, ADFS, Microsoft Active Directory, Azure AD, OpenLDAP, Google, AWS Cognito и т. д.), поставщики удостоверений (например, Shibboleth, Ping, Okta, OneLogin, KeyCloak), базы данных (например, MySQL, Maria DB, PostgreSQL) и многие другие.



Следуйте приведенному ниже пошаговому руководству для единого входа SAP SuccessFactors (SSO)

1. Настройте SAP SuccessFactors в miniOrange

  • Войдите в консоль администратора miniOrange.
  • Перейдите к Приложения и нажмите кнопку Добавить приложение .
  • В Выберите тип приложения нажмите кнопку Создать приложение в типе приложения SAML/WS-FED.
  • Найдите в списке SAP SuccessFactors . Если вы не найдете SAP SuccessFactors в списке, выполните поиск custom , и вы сможете настроить свое приложение через Custom SAML App .

    Предварительные условия для настройки SAML в качестве метода аутентификации для единого входа в miniOrange:

  • Перед настройкой единого входа SAML для веб-приложения SAP SuccessFactors необходимо получить следующее на странице настроек приложений портала администрирования SAP SuccessFactors:
    • Активная учетная запись SAP SuccessFactors с правами администратора для вашей организации.
    • Подписка с поддержкой единого входа SAP SuccessFactors (SSO): обратитесь в службу поддержки клиентов SAP SuccessFactors (чтобы включить и протестировать функцию единого входа в своей учетной записи).
    • Включите в свой запрос следующую информацию метаданных SAML поставщика удостоверений: Издатель SAML, подтверждающий сертификат SAML, URL-адрес перенаправления (см. шаг 1) в свой запрос.
    • После обработки вашего запроса они включат единый вход SAML 2.0 для вашего приложения, предоставят вам URL-адрес SAML и ограничение аудитории (если у вас есть собственное значение), а затем вы сможете настроить и протестировать функцию конфигурации SAML SSO. .
  • Вернитесь к панели администратора miniOrange, чтобы настроить платформу SAP SuccessFactors для выполнения настроек приложений для аутентификации SAML.
  • Введите следующие значения в соответствующие поля.

  • Идентификатор объекта SP или эмитент: https://www.sap.com/a/your_samlname
    URL-адрес СКУД: https://www.sap.com/a/your_samlname
    Идентификатор имени: Адрес электронной почты

  • Нажмите Сохранить , чтобы продолжить.
  • Вы можете редактировать приложение, выполнив следующие действия:

  • Перейдите в Приложения >> Управление приложениями .
  • Найдите свое приложение и нажмите , выберите в меню действий против вашего приложения.
  • Нажмите Изменить , и здесь вы можете настроить дополнительные параметры, такие как Формат идентификатора имени, атрибуты и источник идентификации .
  • После настройки дополнительных параметров для приложения SAP SuccessFactors нажмите кнопку Сохранить .
  • Получить сведения о метаданных IDP для загрузки в веб-приложение SAP Successfactors:

  • Перейдите в Приложения >> Управление приложениями .
  • Найдите свое приложение и нажмите , выберите в меню действий против вашего приложения.
  • Щелкните Метаданные , чтобы получить сведения о метаданных, которые потребуются позже. Нажмите на ссылку Link , чтобы увидеть ссылку SSO, инициированную IDP, для SuccessFactors.
  • Здесь вы увидите 2 варианта, если вы настраиваете miniOrange как IDP , скопируйте метаданные, относящиеся к miniOrange, если вам требуется пройти аутентификацию через внешних IDP (okta, AZURE AD, ADFS, ONELOGIN, GOOGLE APPS) вы можно получить метаданные из 2-го раздела, как показано ниже.
  • Сохраните URL-адрес входа SAML , URL-адрес выхода SAML и нажмите кнопку Download Certificate , чтобы загрузить сертификат, который потребуется на шаге 2 .

2. Настройка системы единого входа SAML в SAP SuccessFactors

  1. Теперь войдите в Консоль администратора SAP SuccessFactors .
  2. Посетите Application Security и перейдите к Функция единого входа .
  3. Поместите любое значение в Токен сброса и нажмите Сохранить токен , чтобы включить SAML SSO.
    Примечание. Это значение используется для включения/выключения. Если какое-либо значение сохранено, SAML SSO включен. Если сохранено пустое значение, система SAML SSO отключена.
  4. Выполните следующие действия:
    1. Выберите радиокнопку SAML v2 SSO
    2. Установите Имя подтверждающей стороны SAML (например, издатель SAML + название компании).
    3. В текстовом поле URL-адрес издателя вставьте идентификатор объекта Idp miniOrange или значение издателя , которое вы скопировали из раздела метаданных в Шаг 1 .
    4. Выберите Утверждение как Требовать обязательную подпись .
    5. Выберите Enabled как Enable SAML Flag .
    6. Выберите в качестве Подпись запроса на вход (SF Generated/SP/RP) .
    7. Выберите Профиль браузера/почты как Профиль SAML .
    8. Выберите как Принудительный срок действия сертификата .
    9. Скопируйте и вставьте сертификат X.509 , который вы загрузили из раздела метаданных в Шаг 1 .
    10. Перейти к SAML V2 . В зависимости от типа функции (единая регистрация SAML, инициированная поставщиком услуг (SSO) или система единого входа SAML, инициированная поставщиком удостоверений (IDP)), которую вы хотите интегрировать для единого входа, измените необходимые параметры (на рисунке ниже показаны этапы интеграции SP). Инициирован вход)
    11. В текстовом поле Global Logout Service URL (назначение LogoutRequest) вставьте значение SAML Logout URL , которое вы скопировали из раздела метаданных в Шаг 1 .
    12. Выберите Нет в качестве Требовать, чтобы программа sp шифровала все элементы NameID .
    13. Выберите неуказанный как Формат NameID .
    14. В текстовом поле Отправить запрос как корпоративный эмитент вставьте значение SAML Logout URL , которое вы скопировали из раздела метаданных в Шаг 1 .
    15. Щелкните Сохранить .

3.Проверка конфигурации единого входа

Проверка единого входа в вашу учетную запись SAP SuccessFactors с идентификатором miniOrange IdP:


4. Настройте свой каталог пользователей (необязательно)

miniOrange обеспечивает аутентификацию пользователя из различных внешних источников, которыми могут быть каталоги (такие как ADFS, Microsoft Active Directory, Azure AD, OpenLDAP, Google, AWS Cognito и т. д.), поставщики удостоверений (например, Okta, Shibboleth, Ping, OneLogin, KeyCloak), баз данных (например, MySQL, Maria DB, PostgreSQL) и многие другие.Вы можете настроить существующий каталог/хранилище пользователей или добавить пользователей в miniOrange.



  • Добавить своих пользователей в miniOrange можно двумя способами:
  • 1. Создать пользователя в miniOrange

    • Щелкните пользователей >> Добавить пользователя .
    • Здесь заполните данные пользователя без пароля, а затем нажмите кнопку Создать пользователя .
    • После успешного создания пользователя в верхней части панели управления появится уведомление «Конечный пользователь успешно добавлен» .
    • Нажмите на вкладку On Boarding Status . Проверьте электронное письмо с зарегистрированным идентификатором электронной почты и выберите действие Отправить письмо активации со ссылкой для сброса пароля из . Выберите действие в раскрывающемся списке, а затем нажмите кнопку Применить .
    • Теперь откройте свой адрес электронной почты. Откройте письмо, полученное от miniOrange, а затем нажмите на ссылку , чтобы установить пароль своей учетной записи.
    • На следующем экране введите пароль и подтвердите пароль, а затем нажмите кнопку сброса пароля для единого входа (SSO) .
    • Теперь вы можете войти в учетную запись miniOrange, введя свои учетные данные.

    2. Массовая загрузка пользователей в miniOrange посредством загрузки CSV-файла.

    • Перейдите к пользователей >> Список пользователей . Нажмите кнопку Добавить пользователя .
    • Массовая регистрация пользователей Загрузите образец формата CSV с нашей консоли и отредактируйте этот CSV-файл в соответствии с инструкциями.
    • Чтобы выполнить массовую загрузку пользователей, выберите файл и убедитесь, что он разделен на запятыми.csv формата , затем нажмите «Загрузить».
    • После успешной загрузки CSV-файла вы увидите сообщение об успешном завершении со ссылкой.
    • Нажмите на эту ссылку, чтобы увидеть список пользователей, которым нужно отправить активационное письмо. Выберите пользователей для отправки письма активации и нажмите «Отправить письмо активации». Выбранным пользователям будет отправлено письмо с активацией.
  • Нажмите « пользовательских магазинов» >> «Добавить пользовательский магазин » в левом меню панели инструментов.
  • Выберите тип User Store как AD/LDAP.
  1. СОХРАНИТЬ КОНФИГУРАЦИЯ LDAP В MINIORANGE : Выберите этот вариант, если хотите сохранить свою конфигурацию в miniOrange. Если активный каталог находится за брандмауэром, вам нужно будет открыть брандмауэр, чтобы разрешить входящие запросы к вашему AD.
  2. СОХРАНИТЬ КОНФИГУРАЦИЯ LDAP НА ПРЕДМЕТЕ : выберите этот вариант, если вы хотите сохранить свою конфигурацию в своем помещении и разрешить доступ к AD только внутри помещения.Вам нужно будет скачать и установить шлюз miniOrange в вашем помещении.
  • Введите Отображаемое имя LDAP и Имя идентификатора LDAP .
  • Выберите тип каталога как Active Directory .
  • Введите URL-адрес или IP-адрес сервера LDAP в поле URL-адрес сервера LDAP .
  • Нажмите кнопку Test Connection , чтобы проверить, установили ли вы успешное соединение с сервером LDAP.
  • В Active Directory перейдите к свойствам пользовательских контейнеров/подразделений и выполните поиск атрибута Distinguished Name .
  • Введите действительный пароль учетной записи привязки.
  • Нажмите кнопку Test Bind Account Credentials , чтобы проверить свои учетные данные LDAP Bind для подключения LDAP.
  • База поиска — это место в каталоге, с которого начинается поиск пользователя. Вы получите его там же, где и свое выдающееся имя.
  • Выберите подходящий фильтр поиска из раскрывающегося меню. Чтобы использовать пользовательский фильтр поиска, выберите параметр «Пользовательский фильтр поиска» и настройте его соответствующим образом.
  • Вы также можете настроить следующие параметры при настройке AD. Включить Активировать LDAP для аутентификации пользователей из AD/LDAP. Нажмите кнопку Сохранить , чтобы добавить хранилище пользователей.
  • Вот список атрибутов и то, что они делают, когда мы их включаем.Вы можете включить / отключить соответственно.

    .
    Атрибут Описание
    Активировать LDAP Все аутентификации пользователей будут выполняться с учетными данными LDAP, если вы активируете его
    Синхронизация пользователей в miniOrange Пользователи будут созданы в miniOrange после аутентификации с помощью LDAP
    Аутентификация резервного копирования В случае сбоя учетных данных LDAP пользователь будет аутентифицирован через miniOrange
    Разрешить пользователям изменять пароль Это позволяет вашим пользователям изменять свой пароль.Он обновляет новые учетные данные на вашем сервере LDAP
    Включить вход администратора При включении этой функции ваш логин администратора miniOrange аутентифицируется с использованием вашего сервера LDAP
    Показать IdP пользователям Если вы включите эту опцию, этот IdP будет виден пользователям
    Отправка настроенных атрибутов Если вы включите эту опцию, то только атрибуты, настроенные ниже, будут отправлены в атрибутах во время входа в систему

  • Нажмите Сохранить .После этого он покажет вам список магазинов пользователей. Щелкните Test Configuration , чтобы проверить, правильно ли вы ввели данные. Для этого он запросит имя пользователя и пароль.
  • При Успешном соединении с сервером LDAP отображается сообщение об успешном завершении.
  • Нажмите Проверка сопоставления атрибутов .
  • Введите действительное имя пользователя . Затем нажмите Test . Сопоставленные атрибуты, соответствующие пользователю, извлекаются .
  • После успешной настройки сопоставления атрибутов вернитесь к конфигурации ldap и включите Активировать LDAP для аутентификации пользователей из AD/LDAP.
  • Обратитесь к нашему руководству по настройке LDAPS на сервере Windows.

    Импорт пользователей и подготовка из AD
    • Перейдите к Настройки в учетной записи администратора клиента.
    • Включите параметр « Включить автоматическую регистрацию пользователей » и нажмите «Сохранить».
    • (Необязательно) Чтобы отправить приветственное письмо всем конечным пользователям, которые будут импортированы, включите параметр « Включить отправку приветственных писем после регистрации пользователя » и нажмите «Сохранить».
    • В левом меню панели инструментов выберите Provisioning .
    • На вкладке Setup Provisioning выберите Active Directory в раскрывающемся списке Select Application.
    • Переключите вкладку Импорт пользователей , нажмите кнопку Сохранить .
    • В том же разделе перейдите к разделу Импорт пользователей .
    • Выберите Active Directory из раскрывающегося списка и щелкните вкладку Import Users , чтобы импортировать всех пользователей из Active Directory в miniOrange.
    • Вы можете просмотреть всех пользователей, которых вы импортировали, выбрав Пользователи >> Список пользователей на левой панели.
    • Все импортированные пользователи будут автоматически зарегистрированы.
    • Эти группы будут полезны при добавлении нескольких политик 2FA в приложения.

    miniOrange интегрируется с различными внешними источниками пользователей, такими как каталоги, поставщики удостоверений и т. д.


    5. Адаптивная аутентификация с SAP SuccessFactors

    A. Ограничение доступа к SAP SuccessFactors с помощью блокировки IP-адресов

      Можно использовать адаптивную аутентификацию с единым входом SAP SuccessFactors (SSO) для повышения безопасности и функциональности единого входа. Вы можете разрешить использование единого входа для IP-адреса в определенном диапазоне или отклонить его в соответствии с вашими требованиями, а также вы можете запросить у пользователя подтверждение его подлинности.Адаптивная аутентификация управляет аутентификацией пользователей на основе различных факторов, таких как идентификатор устройства, местоположение, время доступа, IP-адрес и многие другие.

      Вы можете настроить адаптивную аутентификацию с блокировкой IP-адресов следующим образом:
    • Войдите в консоль самообслуживания >> Адаптивная аутентификация .
    • Добавьте имя политики для своей политики адаптивной аутентификации.
    • Выберите действие для изменения поведения и вызов Введите для пользователя из раздела Действие для изменения поведения .
    • Действие для параметров изменения поведения:

      Атрибут Описание
      Разрешить Разрешить пользователю проходить аутентификацию и использовать службы, если условие адаптивной аутентификации истинно.
      Вызов Предложите пользователям использовать один из трех методов, указанных ниже, для проверки подлинности пользователя.
      Запретить Запретить аутентификацию пользователей и доступ к службам, если условие адаптивной аутентификации истинно.

      Опции типа вызова:

      Атрибут Описание
      Второй фактор пользователя Пользователю необходимо пройти аутентификацию с использованием второго фактора, который он выбрал или назначил, например,
    • OTP по SMS
    • PUSH-уведомление
    • OTP по электронной почте
    • И еще 12 методов.
    • KBA (аутентификация на основе знаний) Система задаст пользователю 2 из 3 вопросов, которые он настроил в своей консоли самообслуживания.Только после правильного ответа на оба вопроса пользователь может продолжить работу.
      OTP по альтернативному адресу электронной почты Пользователь получит одноразовый пароль на альтернативный адрес электронной почты, который он настроил через консоль самообслуживания. После того, как пользователь введет правильный OTP, ему будет разрешено продолжить работу.

    • Теперь включите параметр Включить ограничение IP в разделе КОНФИГУРАЦИЯ ОГРАНИЧЕНИЯ IP , чтобы настроить пользовательский диапазон IP-адресов.
    • Выберите Действие , которое вы хотите выполнить, если IP-адрес выходит за пределы допустимого диапазона. т.е. разрешить, оспорить и запретить.
    • Укажите диапазон IP-адресов, для которого вы хотите отразить указанный выше параметр. Вы можете добавить более одного диапазона IP-адресов, нажав следующую кнопку + .
    • Прокрутите до конца и нажмите сохранить .

    B. Адаптивная аутентификация с ограничением количества устройств.

      Используя адаптивную аутентификацию, вы также можете ограничить количество устройств, на которых конечный пользователь может получить доступ к Службам. Вы можете разрешить конечным пользователям доступ к услугам по фиксированному номеру. устройств. Конечные пользователи смогут получить доступ к предоставляемым нами услугам по этому фиксированному номеру. устройств.

      Вы можете настроить адаптивную аутентификацию с ограничением устройств следующим образом
    • Вход в консоль самообслуживания >> Адаптивная аутентификация .
    • Добавьте имя политики для своей политики адаптивной аутентификации.
    • Выберите действие для изменения поведения и вызов Введите для пользователя из раздела Действие для изменения поведения .
    • Прокрутите вниз до раздела Конфигурация устройства и включите параметр Разрешить пользователю регистрировать устройство , чтобы разрешить пользователям регистрировать свои устройства.
    • Введите Количество устройств , которым разрешено регистрироваться, в поле рядом с Количество разрешенных регистраций устройств
    • Выберите действие , если количество устройств превышено (это переопределит вашу настройку для действия для изменения поведения. )
    1. Вызов : Пользователь должен подтвердить свою личность с помощью любого из трех методов, указанных в таблице на шаге 5.1
    2. Запретить : Запретить пользователям доступ к системе
  • Включите параметр Отправлять оповещения по электронной почте пользователям, если количество регистраций устройств превысило допустимое количество , если вы хотите предупредить пользователя о том, что ни одно из устройств не превышает лимит. Сохраните конфигурацию.
  • С.Добавьте политику адаптивной аутентификации в SAP SuccessFactors.

    • Вход в консоль самообслуживания >> Политики .
    • Щелкните параметр Изменить для предопределенной политики приложения SAML.
    • Установите имя приложения в Application и выберите пароль как Login Method.
    • Включите Adaptive Authentication на странице Policy и выберите нужный метод ограничения в качестве опции.
    • From Select Login Policy В раскрывающемся списке выберите политику, которую мы создали на последнем шаге, и нажмите «Сохранить».
    • Как добавить доверенное устройство
    1. Когда конечный пользователь входит в консоль самообслуживания после включения политики ограничения устройств, ему предоставляется возможность добавить текущее устройство в качестве доверенного устройства.

    Внешние ссылки

    Настройка аутентификации

    Настройте систему единого входа в службе веб-поддержки с помощью служб федерации Active Directory (AD FS), чтобы пользователи, входящие на сервер Microsoft Exchange, могли автоматически входить в службу поддержки в Интернете.

    Если вы используете Windows Server 2008 R2, необходимо выполнить обновление до AD FS 2.0. По умолчанию в Windows Server 2008 R2 используется AD FS 1.0, который не поддерживает SAML 2.0.

    Прежде чем начать

    1. Включить автоматический вход через Microsoft Windows. Добавьте URL-адрес входа в AD FS на сайты локальной интрасети в Internet Explorer с помощью корпоративной групповой политики.
    2. Настройте свой сервер SAML.Используйте репозиторий удостоверений (например, AD FS или Light Directory Access Protocol [LDAP] в URL-адресе удаленного входа для вашего сервера SAML.
    3. Включите SSL в своей установке Web Help Desk. Используйте доверенный сертификат или создайте собственный сертификат.

      При создании или генерации сертификата убедитесь, что:

      • Сертификаты генерируются в правильном порядке.
      • Атрибут сертификата общего имени (CN) содержит только полное доменное имя (FQDN) без описаний или комментариев.Точное значение этого поля сопоставляется с доменным именем сервера для проверки его подлинности.

      Информацию о доверенных сертификатах см. в разделе Работа с ключами и сертификатами.

    4. Настройте веб-службу поддержки и параметры AD FS отдельно.

      Сведения о настройке системы единого входа с помощью SAML с помощью AD FS см. в документации по AD FS 2.0 на веб-сайте Microsoft TechNet.

    Настройка веб-справочной службы для AD FS

    В следующих настройках замените mydomain.com с вашим доменным именем.

    1. Войдите в Web Help Desk как администратор.
    2. Щелкните Настройка и выберите .
    3. Щелкните раскрывающееся меню Аутентификация и выберите .
    4. В поле URL-адрес страницы входа введите:

      https://adfs./adfs/ls

      Чтобы обойти внешнюю аутентификацию, добавьте к URL-адресу для входа следующее:

      ?username=<имя пользователя>&password=<пароль>

    5. Щелкните Загрузить, чтобы применить сертификат проверки и включить SSL.

      Примените тот же сертификат, который использовался для подписи утверждения в параметре проверяющей стороны (RP) AD FS 2.0.

    6. . В поле URL-адрес выхода введите следующий URL-адрес или оставьте это поле пустым, чтобы использовать страницу выхода службы веб-поддержки по умолчанию:

      https://adfs./adfs/ls

      Веб-справочная служба перенаправляет пользователей на эту страницу для выхода.

    7. Импортируйте сертификат в хранилище доверенных сертификатов Web Help Desk (cacerts).
      1. Загрузить сертификат в консоль администратора службы веб-поддержки Остановить службу поддержки в Интернете (остановить и запустить службу поддержки в Интернете).
      2. Откройте диалоговое окно «Выполнить» и выполните:

        C:\Program Files\WebHelpDesk\Portecle.bat

      3. Щелкните «Файл» > «Открыть файл хранилища ключей» и перейдите к:

        FilehelpDesk C:\WebProgram \bin\jre\lib\security

      4. Выберите «Все файлы», выберите cacerts и нажмите «Открыть».
      5. Введите следующий пароль по умолчанию:

        changeit

        В файле отображаются все распространенные сертификаты центра сертификации (ЦС).

      6. Выберите Инструменты > Импорт доверенных сертификатов.
      7. Найдите и выберите экспортированный файл и нажмите «Импорт».

        Если появится окно Импорт доверенного сертификата, нажмите OK.

        Отобразятся сведения об экспортированном сертификате.

      8. Нажмите кнопку «ОК», а затем нажмите кнопку «Да».
      9. Введите псевдоним имени сертификата, который отображается в списке общих сертификатов CA, и нажмите OK.

        Псевдоним сертификата не влияет на установку.

      10. Нажмите OK.

        Импортированный сертификат отображается в списке.

      11. Выберите «Файл» > «Сохранить хранилище ключей».

        Если не удается сохранить файл и отображается сообщение об ошибке:

        1. Откройте Portecle от имени администратора, перейдя к расположению файла Portecle.bat.
        2. Щелкните файл правой кнопкой мыши и выберите «Запуск от имени администратора».
        3. Запустить службу поддержки через Интернет.

    Настройка SAML 2.0 на сервере AD FS

    Все записи чувствительны к регистру. Чтобы предотвратить системные ошибки, введите информацию, отображаемую в следующих шагах.

    1. Введите следующие параметры RP AD FS 2.0:
      • Идентификатор:
      • Подпись: введите имя сертификата, который вы загрузили в службу поддержки в Интернете на шаге 5 инструкций по настройке SAML для службы поддержки в Интернете.
      • Конечная точка: Привязка: POST, URL-адрес: /helpdesk/WebObjects/Helpdesk.woa
      • Деталь: Алгоритм безопасного хеширования SHA-1
    2. Введите следующие параметры выхода AD FS 2.

    Добавить комментарий

    Ваш адрес email не будет опубликован.