Sécurité : Cisco Secure Access Control Server pour Windows

Access Control Server (ACS) : Problème de l'authentification lors de l'utilisation de plusieurs bases de données externes

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit le problème lié à quand le client d'AAA utilise le Cisco Secure Access Control Server (ACS) afin d'authentifier des utilisateurs et l'ACS, consécutivement, se rapporte à de plusieurs bases de données externes afin d'authentifier les utilisateurs.

Conditions préalables

Conditions requises

Ce document suppose que le Cisco Secure ACS est installé et fonctionne correctement avec trois serveurs de contrôleur de domaine windows (domain1 Désigné, domain2 et domain3) qui ont des bases de données utilisateur.

Composants utilisés

Les informations dans ce document sont basées sur le logiciel de Cisco Secure ACS.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Problème

Quand les essais d'un utilisateur à ouvrir une session par un client d'AAA (comme le routeur, le commutateur, ou un Point d'accès, et ainsi de suite) et entre le mot de passe incorrect seulement une fois, le compte actif de répertoire de l'utilisateur verrouille. Le client d'AAA authentifie par un serveur ACS qui met en référence les bases de données externes de Microsoft Windows.

Solution

La résolution pour ce comportement est comment l'authentification de Windows est configurée sur l'ACS. Si vous choisissez des bases de données d'utilisateur externe > la configuration de base de données > la base de données de Windows > configurez, vous écrivent alors la section de domain list de configurer qui contient une liste des domaines dans deux colonnes. Vous ne voulez aucun domaine répertorié dans la colonne de côté droit. Ces colonnes ne font pas ce que le GUI vous ferait les considérer pour faire.

Par exemple, un ACS qui est configuré pour trois domaines externes (bases de données) domain1 Désigné, domain2, et domain3 et authentifie l'utilisateur nommé user1. Si la colonne de droite est remplie, l'authentification est tentée dans cette commande :

  1. user1 avec le domaine vide

  2. Si étape 1 échoue, user1 avec le domaine domain1 est essayé.

  3. Si étape 2 échoue, user1 avec le domaine domain2 est essayé.

  4. Si étape 3 échoue, user1 avec le domaine domain3 est essayé.

Le serveur que vous authentifiez sur automatiquement en avant ces tentatives d'authentification à son contrôleur de domaine s'ils ne sont pas dans sa base de données locale. Le résultat est celui pour n'importe quelle authentification défaillante pour user1, nous authentifient quatre fois contre les divers domaines.

Si votre configuration est semblable à ce que ce document décrit, déplacez les domaines de nouveau à la colonne de gauche afin de résoudre ce problème.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 91194