Sécurité : Cisco Secure Access Control Server pour Windows

Configuration de CiscoSecure ACS pour Windows NT avec authentification de serveur ACE

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Le logiciel Cisco Secure de contrôle d'accès (ACS) pour Windows peut être intégré avec le serveur ACE de la RSA, également connu sous le nom de serveur incorporé par dynamics de Sécurité (SDI). Demande cela entré des périphériques dans le réseau par l'intermédiaire de TACACS+ ou de RAYON peut être traité par ACS directement, ou ACS peut remettre hors fonction au serveur ACE. Si la demande est remise hors fonction au serveur ACE, le serveur ACE répond à ACS, et ACS répond au périphérique de réseau. Les utilisateurs passés hors fonction à ACE peuvent être énumérés, entrés avec l'utilitaire de ligne de commande de Cisco Secure ACS (CSUtil), ou être placés dans la catégorie « d'utilisateur inconnu ».

Remarque: Pour plus d'informations sur CSUtil, référez-vous à la documentation Cisco Secure de centre serveur de ligne de commande.

Ce document n'est pas destiné pour couvrir l'installation du serveur ACE ou du client. Référez-vous à la documentation d'ACE pour la version du code que vous exécutez pour de plus amples informations. Les versions d'ACE ont testé avec ACS sont répertoriées dans les notes de mise à jour ACS pour les diverses versions ACS.

Vous pouvez installer ACS avec ACE dans ces configurations :

  • Le serveur ACE, le client ACE et les ACS sur la même chose enferment dans une boîte.

  • Le serveur ACE sur une case et le client ACE avec ACS sur des autres case.

  • Le serveur ACE, sans client ACE, et ACS sur la même chose enferment dans une boîte.

Conditions préalables

Conditions requises

Assurez-vous que vous exécutez ces étapes avant que vous configuriez le Cisco Secure ACS avec l'authentification de serveur ACE.

  1. Installez le serveur ACE avec l'utilisation des directions d'ACE.

  2. Installez le client ACE avec l'utilisation des directions d'ACE.

    Remarque: Si les ACS et les serveurs ACE sont sur la même case, l'installation du client ACE est facultative, mais utile pour tester et dépanner.

  3. Examinez le client ACE à la Connectivité de serveur ACE avec un utilisateur de test.

  4. Installez et testez ACS à un périphérique de Cisco avec un utilisateur de telnet de non-ACE (test).

  5. Installez et testez ACS à un périphérique de Cisco avec un utilisateur de cadran de non-ACE (test). C'est facultatif à moins que le but soit d'avoir finalement ACE composent des utilisateurs.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 5.0.01[061] de serveur ACE

  • Version 5.0 d'agent du CÆ

  • Cisco Secure ACS pour Windows 3.0.1

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez ACS pour communiquer avec ACE

Procédez comme suit :

  1. Du Cisco Secure ACS pour le site Web de Windows 2000/NT, bases de données d'utilisateur externe choisies.

  2. De la liste de configuration de base de données d'utilisateur externe, choisissez le serveur de jetons RSA SecurID.

    csntsdi-1.gif

  3. Choisissez configurent une fois incité à choisir quoi faire avec la base de données de serveur de jetons RSA SecurID.

    csntsdi-2.gif

  4. Le clic créent la nouvelle configuration.

    /image/gif/paws/20713/csntsdi-3.gif

  5. Une fois incité, écrivez un nom pour la nouvelle configuration, alors cliquez sur Submit.

    csntsdi-4.gif

    Le système trouve la bibliothèque de liens dynamiques d'ACE (DLL) et affiche le message « Cisco Secure au support symbolique de serveur de carte de SDI installé ».

    /image/gif/paws/20713/csntsdi-5.gif

Configurez un utilisateur ACS pour l'authentification d'ACE

Puisque votre base de données d'ACE a déjà ACE nommé sdiuser, également nommez l'utilisateur « sdiuser » ACS et dites ACS d'utiliser le serveur de jetons RSA SecurID pour l'authentification de mot de passe. Mettez l'utilisateur dans un groupe ACS qui a fonctionner des utilisateurs pour hériter des autorisations d'autorisation. Exemple :

csntsdi-6.gif

Testez la transmission ACS avec ACE et un périphérique de réseau pour le telnet

Confirmez que vous pouvez au telnet au périphérique de réseau sans ACE, mais avec l'utilisation d'ACS. Ensuite, telnet au périphérique avec le nouvel utilisateur ACS/ACE. Si c'est infructueux, référez-vous à la section de dépannage de ce document.

Testez la transmission ACS avec ACE et un périphérique de réseau pour le cadran (facultatif)

Après que vous confirmiez que vous pouvez au telnet au périphérique de réseau avec ACS/ACE et composez au périphérique de réseau avec ACS, testez la configuration de routeur avec ACS/ACE pour le cadran.

La configuration de routeur doit contenir une certaine variation d'une de ces commandes :

aaa authentication ppp default

!--- Under the dial interface:

async mode 

!--- Under the dial interface:

ppp authentication

Considérez ces informations pour l'authentification avec ACE :

  • Si la commande d'async mode interactive est configurée avec le <method de par défaut d'aaa authentication ppp | tacacs de groupe | groupez la commande de radius>, le routeur fait une authentification de connexion, puis tente une authentification point par point (de PPP) réutilisant le même jeton. La deuxième authentification échoue en raison de la tentative de réutiliser le jeton trop rapidement.

  • Si la commande d'async mode dedicated est configurée, il n'y a aucune installation pour que les utilisateurs voient les nouveaux messages Pin si le serveur ACE demande un nouveau Pin. Vous pouvez diminuer les possibilités de ceci qui se produit quand vous désélectionnez laissé créer un PIN et requis pour créer un PIN dans l'interface utilisateur d'ACE.

  • Le protocole d'authentification CHAP (Challenge Handshake Authentication Protocol) ne peut pas être utilisé avec seuls les jetons d'ACE en raison du CHAP RFC (1994) de condition requise ce des états :

    • Le CHAP a besoin de que le secret soit disponible sous la sous forme de texte seul. Irréversiblement des bases de données de mot de passe chiffré généralement disponibles ne peuvent pas être utilisées.

    Ceci exclut l'utilisation des jetons d'ACE pour le CHAP droit à moins qu'il y ait un mot de passe CHAP distinct. Par exemple :

    username: username*token
    password: chap_password

    Le Password Authentication Protocol (PAP) est un meilleur choix ici.

Pour ces raisons, assurez-vous que la configuration de routeur a :

aaa authentication ppp default if-needed tacacs+|radius

!--- Under the dial interface:

async mode interactive 

!--- Under the dial interface:

ppp authentication pap 

Assurez-vous que les utilisateurs de cadran de non-ACE ACS travaillent toujours après que vous apportiez toutes les modifications de configuration, puis testent avec des utilisateurs de cadran ACS ACE. ACS ACE composent le besoin de l'utilisateur de pouvoir se connecter de ces manières :

  • Évoquez le réseau commuté (DUN) et connectez à l'écran de périphérique. Afin de faire ceci, saisir le nom d'utilisateur dans le domaine de nom d'utilisateur et le jeton (code+card) dans le domaine de mot de passe.

  • Amenez le DUN et connectez à l'écran de périphérique. Afin de faire ceci, le type username*token (code+card) dans le domaine de nom d'utilisateur et partent du champ vide de mot de passe.

  • Configurez le DUN pour apporter un terminal window après que vous composiez et saisissez le nom d'utilisateur et le jeton (code+card) une fois incité par le routeur. La configuration de la commande de par défaut de ppp d'autocommand sur la ligne doit commencer la session PPP après.

Si ceci ne fonctionne pas, voyez la section de dépannage de ce document.

Vérifiez

Voyez le test la transmission ACS avec ACE et un périphérique de réseau pour la section (facultative) de cadran de ce document pour les informations de vérification.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

ACE se connectent des affichages le message « code de passage reçu », mais l'utilisateur échoue toujours.

  • Vérifiez les essais ratés ACS se connectent pour déterminer la cause du problème. La panne peut être due aux questions d'autorisation.

ACE se connectent des affichages que le message « Access a refusé, code de passage incorrect ».

  • C'est un problème d'ACE avec le code de passage. Pendant ce temps, les essais ratés ACS se connectent des expositions le message « authentique externe de DB manqué » ou « utilisateur externe de DB non valide ou mot de passe incorrect ».

ACE se connectent des affichages le message « utilisateur pas dans la base de données ».

  • Vérifiez la base de données d'ACE. Pendant ce temps, les essais ratés ACS se connectent des expositions le message « authentique externe de DB manqué » ou « utilisateur externe de DB non valide ou mot de passe incorrect ».

ACE se connectent des affichages le message « utilisateur pas sur l'hôte d'agent ».

  • C'est un problème de configuration d'ACE. Afin de résoudre ce problème, configurez l'utilisateur sur l'hôte d'agent.

Le log ACS affiche le message « base de données externe non opérationnelle ».

  • Si ACE se connectent n'affiche aucune tentative, confirme l'exécution avec le test d'authentification de client ACE et vérifie pour être sûr que la période de fonctionnement du moteur d'authentification ACE/server.

Le log ACS affiche le message « utilisateur de CS inconnu » ou « le jeton caché rejeté/a expiré » avec rien dans le log d'ACE.

  • Si le périphérique de réseau envoie une demande de CHAP et l'ACS n'a pas un utilisateur énuméré d'ACE avec un mot de passe CHAP distinct, ACS n'envoie pas l'utilisateur à ACE parce que l'authentification réservée au jeton exige le PAP.

Dépannage des commandes

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

Remarque: Avant d'émettre des commandes debug, reportez-vous aux Informations importantes sur les commandes de débogage.

  • debug tacacs — Affiche des informations associée avec TACACS+.

  • debug radius — Affiche des informations associée avec le RAYON.

  • debug aaa authentication — Affiche des informations sur l'Authentification, autorisation et comptabilité (AAA) et l'authentification TACACS+.

  • autorisation de debug aaa — Affiche des informations sur l'autorisation d'AAA et TACACS+.

  • debug ppp negotiation — Paquets PPP d'affichages transmis pendant le startup de PPP, où des options PPP sont négociées.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 20713