Sécurité : Cisco Secure Access Control Server pour Windows

Configuration de la réplication pour Cisco Secure ACS pour Windows

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Les aides de réplication de base de données rendent l'environnement d'Authentification, autorisation et comptabilité (AAA) plus insensible aux défaillances. Il reproduit également des parties de la configuration du serveur primaire à un ou plusieurs serveurs secondaires, pour aider à créer des systèmes de miroir de Cisco Secure ACS pour des serveurs de Windows (ACS). Vous pouvez configurer vos clients d'AAA pour utiliser ces serveurs secondaires si le serveur primaire échoue ou est inaccessible. Si une base de données du serveur secondaire est une reproduction de la base de données du serveur primaire, et le serveur primaire va hors service, des demandes en entrée sont authentifiées sans temps d'arrêt de réseau. Ceci se produit à condition que les clients d'AAA soient configurés au Basculement au serveur secondaire.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Vous possédez au moins le Cisco Secure ACS deux pour des Windows Server.

  • Vous pouvez configurer votre ACS.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

  • Versions 3.2.x et 3.3.x ACS

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Importantes considérations d'implémentation

Considérez ces points quand la caractéristique Cisco Secure de réplication de base de données est mise en application :

  • ACS prend en charge seulement la réplication de base de données à d'autres serveurs ACS. Tous les serveurs ACS qui participent à la réplication de base de données Cisco Secure doivent exécuter la même version et la corriger de niveau d'ACS.

  • Le serveur primaire communique la copie comprimée et chiffrée de ses composants de base de données au serveur secondaire. Cette transmission se produit au-dessus d'une connexion TCP, avec le port 2000. La session de Protocole TCP (Transmission Control Protocol) est authentifiée et utilise chiffré, protocole propriétaire de Cisco.

  • Les hôtes convenablement seulement configurés et valides ACS peuvent être les serveurs secondaires. Pour ajouter un serveur secondaire, configurez-le dans la table de serveurs d'AAA dans la section de configuration réseau de ce document. Quand un serveur est ajouté à la table de serveurs d'AAA, le serveur apparaît pour la sélection pendant qu'un serveur secondaire dans les serveurs d'AAA les répertorient sous des Partenaires de réplication, à la page Cisco Secure de réplication de base de données.

  • Le serveur primaire doit être configuré en tant que serveur d'AAA et doit avoir une clé. Le serveur secondaire doit avoir le serveur primaire configuré en tant que serveur d'AAA et sa clé pour le serveur primaire doit apparier les serveurs primaires pour posséder la clé.

  • La réplication aux serveurs secondaires a lieu séquentiellement dans l'ordre indiqué dans la liste de réplication sous des Partenaires de réplication, à la page Cisco Secure de réplication de base de données.

  • Le serveur secondaire, qui reçoit les composants répliqués, doit être configuré pour recevoir la réplication de base de données du serveur primaire. Pour configurer un serveur secondaire pour la réplication de base de données, référez-vous à configurer une section Serveur secondaire de Cisco Secure ACS de ce document.

  • ACS ne prend en charge pas la réplication de base de données bidirectionnelle. Le serveur secondaire, qui reçoit les composants répliqués, vérifie que le serveur primaire n'est pas sur sa liste de réplication. Sinon, le serveur secondaire reçoit les composants répliqués. Si oui, il rejette les composants.

  • Pour répliquer le constructeur défini par l'utilisateur et la constructeur-particularité de RAYON attribuez les configurations (le VSA) avec succès, les définitions à répliquer doivent être identiques sur les serveurs primaires et secondaires. Ceci inclut le constructeur de RAYON raine les constructeurs définis par l'utilisateur de RAYON occupent. Pour plus d'informations sur les constructeurs définis par l'utilisateur de RAYON et les VSAs, référez-vous à la section définie par l'utilisateur de constructeurs de RAYON et de positionnements VSA du centre serveur de ligne de commande de Cisco Secure ACS de document.

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant :

acs1-a.gif

Adresse Internet — Contrôleur de domaine primaire de Microsoft Windows 2000 de serveur ACS d'Arnie

Adresse Internet — Contrôleur de domaine secondaire de Microsoft Windows 2000 de serveur ACS de mouchoir

Configurer un serveur ACS primaire

Employez cette procédure pour configurer un serveur ACS primaire :

  1. Procédure de connexion à l'interface HTML primaire de serveur ACS.

  2. Dans la section de configuration réseau, ajoutez chaque serveur secondaire à la table de serveurs d'AAA.

    acs1-b.gif

    Remarque: Si cette caractéristique n'apparaît pas, la configuration d'interface choisie > a avancé des options, et sélectionne la case de réplication de base de données de Cisco Secure ACS. En outre, vérifiez que la case distribuée de paramètres système est sélectionnée.

  3. Dans la barre de navigation, configuration système de clic.

  4. Réplication de base de données Cisco Secure de clic.

    Une fois que cette étape est terminée, la page d'installation de réplication de base de données paraît.

  5. Sélectionnez la case d'envoi pour que chaque composant de base de données envoie au serveur secondaire.

    acs1-c.gif

  6. Sous les Partenaires de réplication, ajoutez le serveur ACS secondaire à la colonne de partenaire de réplication.

    acs1-d.gif

  7. Cliquez sur Submit.

    ACS enregistre la configuration de réplication et la fréquence ou les temps spécifiés. ACS commence à envoyer les composants aux autres serveurs ACS spécifiés.

Configurer un serveur ACS secondaire

Employez cette procédure pour configurer le serveur ACS secondaire :

  1. Procédure de connexion à l'interface HTML secondaire de serveur.

  2. Dans la section de configuration réseau, ajoutez le serveur primaire à la table de serveurs d'AAA (de la même manière que sur l'ACS primaire).

    Remarque: Si cette caractéristique n'apparaît pas, la configuration d'interface choisie > a avancé des options, et sélectionne la case de réplication de base de données de Cisco Secure ACS. En outre, vérifiez que la case distribuée de paramètres système est sélectionnée.

  3. Dans la barre de navigation, configuration système de clic.

  4. Réplication de base de données Cisco Secure de clic.

    Une fois que cette étape est terminée, la page d'installation de réplication de base de données paraît.

  5. Cliquez sur la case de réception pour que chaque composant de base de données soit reçu d'un serveur primaire.

    acs1-e.gif

  6. Si le serveur secondaire doit recevoir des composants de réplication de seulement un serveur primaire, sélectionnez l'autre nom du serveur de Cisco Secure ACS, de la liste de réplication de recevoir.

  7. Si le serveur secondaire doit recevoir des composants de réplication de plus d'un serveur primaire, sélectionnez n'importe quel Cisco Secure ACS connu pour le serveur de Windows 2000/NT de la liste de réplication de recevoir.

    Le n'importe quel Cisco Secure ACS connu pour l'option de serveur de Windows 2000/NT est limité aux serveurs répertoriés dans la table de serveurs d'AAA dans la section de configuration réseau.

  8. N'ajoutez pas le serveur primaire à la colonne de partenaire de réplication. Sous des Partenaires de réplication, idéalement la colonne de partenaire de réplication est vierge.

    acs1-f.gif

  9. Cliquez sur Submit.

    ACS enregistre la configuration de réplication et la fréquence ou les temps spécifiés. ACS reçoit les composants répliqués des autres serveurs spécifiés.

Options de Scheduling

Vous pouvez spécifier quand une réplication de base de données Cisco Secure se produit ; ceci est configuré sur le serveur primaire, pas le secondaire. Ces options qui contrôlent quand la réplication se produit apparaissent dans la table de Scheduling de réplication à la page Cisco Secure de réplication de base de données. Voici les options :

  • Manuellement — ACS n'exécute pas la réplication de base de données automatique.

  • Cascade automatiquement déclenchée — ACS exécute la réplication de base de données à la liste configurée de serveurs secondaires quand la réplication de base de données d'un serveur primaire se termine. Ceci te permet d'établir une hiérarchie de propagation des serveurs, qui n'exige pas d'un serveur primaire de propager les composants répliqués à d'autres serveurs.

  • Minutes chaque x — ACS exécute, sur une fréquence de positionnement, la réplication de base de données à la liste configurée de serveurs secondaires. L'unité de la mesure est des minutes, avec une fréquence par défaut de mise à jour de 60 minutes.

  • Aux heures précises — ACS exécute, alors spécifié dans le graphique de jour et d'heure, réplication de base de données à la liste configurée de serveurs secondaires. La résolution minimum est d'une heure, et la réplication a lieu l'heure sélectionnée.

États

Allez aux états et à l'activité, réplication de base de données choisie, et vérifiez le log actif de la base de données Replication.csv. Si la réplication est réussie, vous voyez ces logs.

Base de données Replication.csv sur l'ACS primaire

Date Heure État Message
06/12/2002 14:14:26 LES INFORMATIONS Cycle sortant de réplication terminé.
06/12/2002 14:14:26 ERREUR La réplication à ACS « mouchoir » était réussie.
06/12/2002 14:14:00 LES INFORMATIONS Le cycle sortant de réplication est sur le point de commencer.

Base de données Replication.csv sur l'ACS secondaire

Date Heure État Message
06/12/2002 16:32:02 LES INFORMATIONS La réplication de base de données d'arrivée d'ACS « Arnie » s'est terminée.
06/12/2002 16:31:41 LES INFORMATIONS Réplication de base de données d'arrivée d'ACS « Arnie » commencé.

Remarque: Dans les messages de log sur le serveur primaire, le type de message affiche une ERREUR. Pour de plus amples informations, référez-vous à l'ID de bogue Cisco CSCdw51174 (clients enregistrés seulement). La réplication se termine toujours correctement, indépendamment du mot clé d'ERREUR.

Workaround: Ignore the ERROR status.

Vous voyez ces logs si la réplication n'est pas réussie. Les symptômes possibles incluent :

  • La clé secrète partagée ne s'assortit pas dans la table des serveurs d'AAA pour les fins distantes.

  • Le serveur distant ne répond pas.

Date Heure État Message
06/14/2002 10:02:30 LES INFORMATIONS Cycle sortant de réplication terminé.
06/14/2002 10:02:30 AVERTISSEMENT Ne peut pas répliquer vers le « mouchoir » - le serveur ne répond pas.
06/14/2002 10:02:23 LES INFORMATIONS Le cycle sortant de réplication est sur le point de commencer.

Vérifiez

Ajoutez un nouveau utilisateur ou groupe au serveur primaire, ou apportez toutes les modifications dans des configurations d'utilisateur courant ou de groupe, et puis cliquez sur la réplique maintenant de la section d'installation de réplication de base de données sous la configuration système. Sur le serveur secondaire, vérifiez l'utilisateur ou le groupe et voyez que les modifications les prennent effet.

Dépannez

Ce sont certains des messages d'erreur qui sont produits, et des solutions pour chacun :

  • L'authentification manquant avec l'erreur ; Échec de l'authentification : Le message d'erreur de panne de proxy a pu présenter en raison d'une configuration incorrecte de distribution de proxy. Sur l'ACS primaire, contrôle que l'entrée de distribution de proxy n'est pas placée pour expédier à l'ACS secondaire ou à l'inverse. La configuration correcte est d'indiquer l'ACS correspondant elle-même.

  • Si la réplication ne fonctionne pas, assurez-vous que l'ACS primaire est répertorié en tant que partenaire de réplication sur l'ACS secondaire. S'il est retiré, l'aucun Partenaires de réplication d'AAA n'a été sélectionné. Au moins on doit être sélectionné pour que la réplication ait lieu. l'erreur est retournée.

    Si la réplication sortante est configurée avec des heures précises, changez les configurations au manuel. Ceci résout habituellement le problème.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 23120