Ce document décrit comment résoudre les problèmes avec Java 7 sur le client Cisco AnyConnect Secure Mobility, Cisco Secure Desktop (CSD)/Cisco Hostscan et VPN SSL sans client (WebVPN).
Exécutez Java Verifier afin de vérifier si Java est pris en charge sur les navigateurs en cours d'utilisation. Si Java est activé correctement, consultez les journaux de la console Java afin d'analyser le problème.
Cette procédure décrit comment activer les journaux de console dans Windows :
Cette procédure décrit comment activer les journaux de console sur un Mac :
Pour les problèmes liés à AnyConnect, collectez les journaux DART (Diagnostic AnyConnect Reporting) ainsi que les journaux de la console Java.
Le bogue Cisco ayant l'ID CSCuc5720, « IE crashes with Java 7 when 3.1.1 package is enabled on the ASA », était un problème connu, où Internet Explorer s'est bloqué lorsqu'un lancement Web a été effectué et AnyConnect 3.1 a été activé sur la tête de réseau. Ce bogue a été corrigé.
Vous pouvez rencontrer des problèmes lorsque vous utilisez certaines versions d'AnyConnect et de Java 7 avec des applications Java. Pour plus d'informations, consultez l'ID de bogue Cisco CSCue48916, « Java App(s) Break when using AnyConnect 3.1.00495 or 3.1.02026 & Java v7 ».
Si AnyConnect ne se connecte pas même après la mise à niveau de Java Runtime Environment (JRE) vers Java 7, ou si une application Java ne parvient pas à se connecter via le tunnel VPN, consultez les journaux de la console Java et recherchez les messages suivants :
java.net.SocketException: Permission denied: connect
at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)
Ces entrées de journal indiquent que le client/l'application effectue des appels IPv6.
Une solution à ce problème consiste à désactiver IPv6 (s'il n'est pas utilisé) sur la carte Ethernet et la carte virtuelle AnyConnect :
Une deuxième solution consiste à configurer Java de manière à privilégier IPv4 par rapport à IPv6. Définissez la propriété système « java.net.preferIPv4Stack » sur « true », comme indiqué dans ces exemples :
System.setProperty("java.net.preferIPv4Stack" , "true");
-Djava.net.preferIPv4Stack=true
-Djava.net.preferIPv4Stack=true
Pour des informations supplémentaires, référez-vous à :
Une troisième solution consiste à désactiver complètement IPv6 sur les ordinateurs Windows ; modifiez cette entrée de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters
Pour plus d'informations, consultez Comment désactiver IP version 6 ou ses composants spécifiques dans Windows.
Le code JavaScript de Cisco recherchait précédemment Sun comme valeur pour le fournisseur Java. Cependant, Oracle a modifié cette valeur comme décrit dans JDK7 : Java vendor property changes. Ce problème a été corrigé par l'ID de bogue Cisco CSCub46241, « AnyConnect weblaunch failed from Internet Explorer with Java 7 ».
Aucun problème n'a été signalé. Les tests avec AnyConnect 3.1 (avec la configuration WebLaunch / Safari / Mac 10.7.4 / Java 7.10) ne montrent aucune erreur.
L'ID de bogue Cisco CSCue48916, « Java App(s) Break when using AnyConnect 3.1.00495 or 3.1.02026 & Java v7 », a été classé. L'enquête initiale indique que les problèmes ne sont pas un bogue côté client, mais qu'ils peuvent être liés à la configuration de la machine virtuelle Java (VM).
Précédemment, pour utiliser les applications Java 7 sur le client AnyConnect 3.1(2026), vous avez décoché les paramètres de la carte virtuelle IPv6. Cependant, il est maintenant nécessaire d'effectuer toutes les étapes de cette procédure :
setx _JAVA_OPTIONS -Djava.net.preferIPv4Stack=true
Pour les problèmes liés à CSD/Hostscan, collectez les journaux DART ainsi que les journaux de la console Java.
Pour obtenir les journaux DART, le niveau de journalisation CSD doit être passé au débogage sur l'ASA :
Hostscan est sensible aux pannes similaires à celles décrites précédemment pour AnyConnect dans Windows (ID de bogue Cisco CSCuc5720). Le problème hostscan a été résolu par le bogue Cisco ID CSCuc48299, « IE with Java 7 crashes on HostScan Weblaunch ».
Dans CSD 3.5.x, toutes les connexions WebVPN échouent ; cela inclut les lancements Web AnyConnect. Les journaux de la console Java ne révèlent aucun problème :
Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c: clear console window
f: finalize objects on finalization queue
g: garbage collect
h: display this help message
l: dump classloader list
m: print memory usage
o: trigger logging
q: hide console
r: reload policy configuration
s: dump system and deployment properties
t: dump thread list
v: dump thread stack
x: clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------
Si vous rétrogradez vers JRE 6 ou mettez à niveau CSD vers 3.6.6020 ou une version ultérieure, les journaux de la console Java ne révèlent pas les problèmes :
Java Plug-in 10.10.2.12
Using JRE version 1.7.0_10-ea-b12 Java HotSpot(TM) 64-Bit Server VM
User home directory = /Users/rtpvpn
----------------------------------------------------
c: clear console window
f: finalize objects on finalization queue
g: garbage collect
h: display this help message
l: dump classloader list
m: print memory usage
o: trigger logging
q: hide console
r: reload policy configuration
s: dump system and deployment properties
t: dump thread list
v: dump thread stack
x: clear classloader cache
0-5: set trace level to <n>
----------------------------------------------------
CacheEntry[ https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/install/binaries/
instjava.jar ]: updateAvailable=false,lastModified=Wed Dec 31 19:00:00 EST
1969,length=105313
Fri Oct 19 18:12:20 EDT 2012 Downloaded
https://rtpvpnoutbound6.cisco.com/CACHE/sdesktop/hostscan/darwin_i386/cstub
to /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 file signature verification
PASS: /var/folders/zq/w7l9gxks7512fsl4vk07v9nc0000gn/T/848638312.tmp/cstub
Fri Oct 19 18:12:20 EDT 2012 Spawned CSD stub.
La solution consiste à mettre à niveau CSD ou à rétrograder Java. Comme Cisco vous recommande d'exécuter la dernière version de CSD, vous devez mettre à niveau CSD plutôt que de rétrograder Java, d'autant plus qu'une rétrogradation de Java peut être difficile sur un Mac.
Les problèmes avec Chrome et Safari sont le comportement attendu :
Si Java 7 est déjà installé, les résolutions sont les suivantes :
Si vous êtes sur Mac 10.9 et avez déjà le plugin Java activé (comme décrit dans la section Problèmes avec Chrome et Safari avec WebLaunch sur Mac 10.8), le WebLaunch pourrait continuer à échouer. Toutes les applets Java sont lancées, mais le navigateur continue simplement à tourner. Si les journaux Java sont activés comme décrit dans la section Dépannage général, les journaux se remplissent rapidement comme indiqué ici :
at java.lang.Thread.run(Thread.java:744)
Mon Dec 16 16:00:17 EST 2013 Failed to download cstub
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
network: Created version ID: 1.7.0.45
Recherchez ce type d'entrée plus tôt dans le journal :
Mon Dec 16 16:00:17 EST 2013 Downloaded https://rave.na.sage.com/CACHE/
sdesktop/hostscan/darwin_i386/manifest java.io.FileNotFoundException:
/Users/user1/.cisco/hostscan/bin/cstub (Operation not permitted) at
java.io.FileInputStream.open(Native Method)
Cela indique que vous rencontrez le bogue Cisco ayant l'ID CSCuj02425, « WebLaunch on OSX 10.9 failed if java unsafe mode is disabled ». Afin de contourner ce problème, modifiez les préférences Java afin que Java puisse s'exécuter en mode non sécurisé pour Safari :
Pour les problèmes WebVPN liés à Java, collectez ces données à des fins de dépannage :
Reading Signers from 8412Dans cet exemple, 6a0665e9-1f510559.idx est la version mise en cache de mffta.jar 7. Si vous n'avez pas accès à ces fichiers, vous pouvez les collecter à partir du cache Java lorsque vous utilisez une connexion directe.
https://rtpvpnoutbound6.cisco.com/+CSCO+00756767633A2F2F7A2D73767972662E6
E7067727A76687A2E6179++/mffta.jar
C:\Users\wvoosteren\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\
6a0665e9-1f510559.idx
Une configuration de test peut accélérer la résolution.
Les modifications annoncées récemment et planifiées pour la mise à jour 51 de Java 7 (janvier 2014) ont établi que le curseur de sécurité par défaut nécessite des signatures de code et l'attribut Manifeste des autorisations. En résumé, toutes les applets Java nécessitent :
Les applications sont affectées si Java est démarré via un navigateur Web. Les applications s'exécutent de n'importe quel endroit en dehors d'un navigateur Web. Ce que cela signifie pour WevVPN, c'est que tous les plug-ins clients qui sont distribués par Cisco peuvent être affectés. Étant donné que ces plug-ins ne sont pas gérés ou pris en charge par Cisco, Cisco ne peut pas modifier le certificat de signature de code ou l'applet afin de s'assurer qu'il est conforme à ces restrictions. La solution appropriée pour cela est d'utiliser le certificat de signature de code temporaire sur l'ASA. Les ASA fournissent un certificat de signature de code temporaire pour signer les applets Java (pour les réplicateurs et les plugins Java). Le certificat temporaire permet aux applets Java d'exécuter les fonctions prévues sans message d'avertissement. Les administrateurs ASA doivent remplacer le certificat temporaire avant son expiration par leur propre certificat de signature de code émis par une autorité de certification approuvée. Si cette option n'est pas viable, la solution consiste à effectuer les étapes suivantes :
Les applications qui lancent des applets Java ont été signalées comme basculant WebVPN après une mise à niveau vers Java 7. Ce problème est dû à l'absence de prise en charge de l'algorithme SHA-256 (Secure Hash Algorithm) pour la réécriture Java. L'ID de bogue Cisco CSCud54080, « SHA-256 support for webvpn Java rewriter », a été classé pour ce problème.
Les applications qui démarrent des applets Java via le portail avec Smart Tunnel peuvent échouer lorsque JRE7 est utilisé ; c'est le cas le plus courant avec les systèmes 64 bits. Dans les captures, notez que la machine virtuelle Java envoie les paquets en texte clair, et non via la connexion du tunnel intelligent à l'ASA. Le bogue Cisco ayant l'ID CSCue17876, « Certaines applets java ne se connectent pas via le tunnel intelligent sur Windows avec jre1.7 » a résolu ce problème.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
17-Dec-2013 |
Première publication |