USG2220与Secospace TSM进行联动时出现用户挂死现象

发布时间:  2012-07-19 浏览次数:  119 下载次数:  0
问题描述
某公司部署了我司Secospace TSM,并在核心设备上旁挂一台USG2220TSM服务器进行联动,当用户未安装客户端访问web时,防火墙会自动推送一个下载页面,阻断用户访问内网。但在使用过程中,出现部分用户未安装客户端时仍然能够正常访问内网资源,防火墙也不能正常推送页面。
告警信息
处理过程
为了保证TSM SC与防火墙的兼容性,TSM SC的清空指令并不会下发给防火墙,因为部分老版本防火墙(如Eudemon系列)不支持该指令。所以在使用我司USG2220的防火墙上,若出现此种情况,我们可以手动修改TSM SC的脚本,让TSM SC重启后,清空自己信息同时,防火墙(V1R2C01SPC100以后)也能够同步清空自己的在线用户信息。

具体方法如下:
在SC服务器安装目录下用文本打开C:\Program Files\TSMServer\tomcat\secospace\secospace.properties文件。将文件中的flag属性更改为enable,如下图:
根因
登录到防火墙上,输入“display right-manager online-users”查看用户在线状态,如下图:

其中在线账号为liuhongbo的用户据用户反馈早已经下线,此时登陆到TSM管理页面,发现在线用户确实没有liuhongbo的账号登陆,而对应liuhongbo账号的固定IP地址为10.116.17.28的终端,在未安装客户端且未通过认证的情况下能够正常访问内网资源。

由此我们可以判断出此问题是由于防火墙上已经有liuhongbo账号登陆成功的信息,并放开了网络访问权限,但实际上该账号已经下线,TSM服务器的信息并未有效同步到防火墙中。

此时再通过命令行“display right-manager server-group”查看服务器状态,发现状态为active,未见异常。

查看TSM服务器状态,发现在8月16日期间用户曾重启过服务器。

由此我们可以判断出,liuhongbo账号在上线时,用户重启了服务器,服务器重启后,SC进行了刷新,liuhongbo账号在线信息在服务器上清空,但服务器并不会将重启后的清空的指令下发给防火墙,导致了防火墙上仍然有liuhongbo账号信息。
 
建议与总结
此问题发生概率较低,只有当终端在线的情况下重启服务器,才可能出现,默认不推荐更改TSM系统参数,以保证与防火墙的兼容性。

END