Segurança : Cisco Secure Access Control Server para Windows

Configurando o ACS CiscoSecure para Windows NT com autenticação de servidor ACE

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

O software de controle de acesso seguro de Cisco (ACS) para Windows pode ser integrado com o servidor de ACE do RSA, igualmente conhecido como o server do Security Dynamics Incorporated (SDI). Pede que vindo dentro dos dispositivos na rede através do TACACS+ ou do RAIO pode ser processado pelo ACS diretamente, ou o ACS pode entregar fora ao servidor de ACE. Se o pedido é entregado fora ao servidor de ACE, o servidor de ACE responde ao ACS, e o ACS responde ao dispositivo de rede. Os usuários passados fora ao ACE podem ser enumerados, entrado com o utilitário comando-linha do Cisco Secure ACS (csutil), ou ser colocados na categoria do “usuário desconhecido”.

Nota: Para obter mais informações sobre do csutil, refira Cisco fixam a documentação do utilitário de banco de dados dos dados da linha de comando.

Este documento não se destina a abordar a instalação do servidor ou cliente ACE. Refira a documentação ACE para a versão de código que você executa para mais informações. As versões do ACE testadas com ACS são alistadas nos Release Note ACS para as várias versões de ACS.

Você pode instalar o ACS com o ACE nestas configurações:

  • O servidor de ACE, o cliente ACE e o ACS na mesma caixa.

  • O servidor de ACE em uma caixa e no cliente ACE com o ACS em uma outra caixa.

  • O servidor de ACE, sem o cliente ACE, e ACS na mesma caixa.

Pré-requisitos

Requisitos

Assegure-se de que você execute estas etapas antes que você configure o Cisco Secure ACS com autenticação de servidor ACE.

  1. Instale o servidor de ACE com o uso dos sentidos ACE.

  2. Instale o cliente ACE com o uso dos sentidos ACE.

    Nota: Se o ACS e os servidores de ACE estão na mesma caixa, a instalação do cliente ACE é opcional, mas útil para testar e pesquisar defeitos.

  3. Teste a conectividade do cliente ACE ao servidor ACE com um usuário teste.

  4. Instale e teste o ACS a um dispositivo Cisco com um usuário do telnet NON-ACE (teste).

  5. Instale e teste o ACS a um dispositivo Cisco com um usuário do seletor NON-ACE (teste). Isso é opcional a menos que a meta seja ter usuários de discagem ACE.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 5.0.01[061] do servidor de ACE

  • Agente ACE Versão 5.0

  • Cisco Secure ACS for Windows 3.0.1

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar o ACS para comunicar-se com o ACE

Termine estas etapas.

  1. Do site do Cisco Secure ACS for Windows 2000/NT, selecione bases de dados de usuário externo.

  2. Da lista da configuração externa de bando de dados de usuário, escolha o servidor de tokens do SecurID RSA.

    csntsdi-1.gif

  3. Selecione a opção Configure quando receber o prompt para escolher o que fazer com o banco de dados RSA do SecurID Token Server.

    csntsdi-2.gif

  4. Clique em Create New Configuration (Criar Nova Configuração).

    /image/gif/paws/20713/csntsdi-3.gif

  5. Quando solicitado, informe um nome para a nova configuração. Em seguida, clique em Submit (Enviar).

    csntsdi-4.gif

    O sistema encontra a biblioteca de link dinâmico ACE (DLL) e indica a mensagem “Cisco seguro ao token SDI carda o suporte de servidor instalado”.

    /image/gif/paws/20713/csntsdi-5.gif

Configurar um usuário ACS para a autenticação ACE

Desde que seu banco de dados ACE já tem um sdiuser nomeado ACE, igualmente nomeie o usuário “sdiuser” ACS e diga o ACS para usar o servidor de tokens do SecurID RSA para a autenticação de senha. Põe o usuário em um grupo ACS que tenha os usuários de trabalho para herdar permissões de autorização. Por exemplo:

csntsdi-6.gif

Teste a comunicação ACS com o dispositivo de ACE e de rede para o telnet

Confirme que você pode ao telnet ao dispositivo de rede sem ACE, mas com o uso do ACS. Em seguida, telnet ao dispositivo com o usuário novo ACS/ACE. Se isto é mal sucedido, refira a seção da pesquisa de defeitos deste documento.

Teste a comunicação ACS com o dispositivo de ACE e de rede para o seletor (opcional)

Depois que você confirma que você pode ao telnet ao dispositivo de rede com ACS/ACE e disca ao dispositivo de rede com ACS, teste a configuração de roteador com o ACS/ACE para o seletor.

A configuração de roteador precisa de conter alguma variação de um destes comandos:

aaa authentication ppp default

!--- Under the dial interface:

async mode 

!--- Under the dial interface:

ppp authentication

Considere esta informação de autenticação com ACE:

  • Se o comando async mode interactive é configurado com o <method do padrão de PPP da autenticação aaa | agrupe tacacs | agrupe o comando do radius>, o roteador faz uma autenticação de login, a seguir tenta uma autenticação (PPP) ponto a ponto que reutiliza o mesmo token. A segunda autenticação falha devido à tentativa de reutilizar demasiado rapidamente o token.

  • Se o comando async mode dedicated é configurado, não há nenhuma facilidade para usuários para ver as mensagens novas Pin se o servidor de ACE pede um Pin novo. Você pode diminuir as possibilidades deste que acontece quando você deselect reservado criar um PIN e exigido para criar um PIN na interface do utilizador ACE.

  • O protocolo de autenticação de handshake de desafio (CHAP) não pode ser utilizado apenas com os tokens ACE devido ao requisito CHAP RFC (1994) que declara:

    • O CHAP requer que o segredo esteja disponível em formato de texto simples. Bancos de dados de senhas irreversivelmente criptografadas comumente disponíveis não podem ser utilizados.

    Isto impossibilita o uso dos tokens ACE para a RACHADURA reta a menos que houver uma senha chap separada. Por exemplo:

    username: username*token
    password: chap_password

    O protocolo password authentication (PAP) é uma escolha melhor aqui.

Por estas razões, assegure-se de que a configuração de roteador tenha:

aaa authentication ppp default if-needed tacacs+|radius

!--- Under the dial interface:

async mode interactive 

!--- Under the dial interface:

ppp authentication pap 

Certifique-se de que os usuários do seletor NON-ACE ACS ainda trabalham depois que você faz todas as alterações de configuração, a seguir teste com os usuários do seletor ACS ACE. Necessidade de usuários do seletor ACS ACE de poder conectar nestas maneiras:

  • Traga acima a rede de comunicação dial-up (DUN) e conecte-a à tela de dispositivo. A fim fazer isto, datilografar dentro o username no campo de nome de usuário e no token (code+card) no campo de senha.

  • Traga acima o DUN e conecte-o à tela de dispositivo. A fim fazer isto, o tipo username*token (code+card) no campo de nome de usuário e sae da placa do campo de senha.

  • Configurar o DUN para trazer acima uma janela terminal depois que você disca e datilografe dentro o username e o token (code+card) quando alertado pelo roteador. A configuração do comando autocommand ppp default na linha precisa de começar mais tarde a sessão de PPP.

Se isto não trabalha, veja a seção da pesquisa de defeitos deste documento.

Verificar

Veja o teste a comunicação ACS com o dispositivo de ACE e de rede para a seção (opcional) do seletor deste documento para a informação de verificação.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

O log do ACE exibe a mensagem "Passcode aceito", mas o usuário ainda não obtém êxito.

  • Verifique o log das falhas de tentativa ACS para determinar a causa do problema. A falha pode ser devido às edições da autorização.

O log ACE indica a mensagem “acesso negado, senha incorreta”.

  • Este é um problema de ACE com o passcode. Durante este tempo, o log das falhas de tentativa ACS mostra o AUTH externo da mensagem “DB falhado” ou “o usuário externo DB inválido ou a senha ruim”.

O log ACE indica a mensagem “usuário não no banco de dados”.

  • Verifique o banco de dados ACE. Durante este tempo, o log das falhas de tentativa ACS mostra o AUTH externo da mensagem “DB falhado” ou “o usuário externo DB inválido ou a senha ruim”.

O registro de ACE exibe a mensagem “User not on agent host”.

  • Trata-se de um problema de configuração do ACE. A fim resolver este problema, configurar o usuário no host do agente.

O log ACS indica a mensagem “banco de dados externo não operacional”.

  • Se o log ACE não mostra nenhuma tentativas, confirme a operação com a autenticação de teste do cliente ACE e verifique para ter certeza que a corrida de Engine de autenticação ACE/server.

O log ACS indica a mensagem “usuário CS desconhecido” ou “o token posto em esconderijo rejeitado/expirou” com nada no log ACE.

  • Se o dispositivo de rede envia um pedido da RACHADURA e o ACS não tem um usuário enumerado ACE com uma senha chap separada, o ACS não envia o usuário ao ACE porque a autenticação do token-somente exige o PAP.

Comandos para Troubleshooting

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

Nota: Antes de emitir comandos de depuração, consulte Informações Importantes sobre Comandos de Depuração.

  • debug tacacs - Exibe informações associadas ao TACACS+.

  • debug radius – Exibe informações associadas ao RADIUS.

  • debugar a autenticação aaa — Informação dos indicadores no Authentication, Authorization, and Accounting (AAA) e na autenticação TACACS+.

  • debug aaa authorization - Exibe as informações sobre a autorização AAA e TACACS+.

  • debug ppp negotiation - Exibe pacotes PPP transmitidos durante a inicialização de PPP, em que as opções de PPP são negociadas.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 20713