安全 : Cisco PIX 500 系列安全设备

Secure ACS数据库复制配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

Cisco Secure Access Control Server (ACS) 是一种可让网络管理员在各种各样的 Cisco 设备上集中管理 AAA(身份验证、授权和记账)的强大工具。您可以在独立配置或冗余拓扑中配置 ACS 服务器。为了提供故障转移功能,两台或更多台 ACS 计算机在预配置过程中共享数据库组件。AAA 客户端(例如路由器、交换机和防火墙)必须在其配置中列出两台或更多台 ACS 服务器才能从冗余实施中获益。管理员只需更改主 ACS 服务器即可。已配置的辅助 ACS 服务器通过手动或自动数据库复制接收数据库信息。

AAA 客户端会尝试与其配置中列出的第一台 ACS 服务器进行通信。如果某个客户端在指定的时间段后不能到达此服务器,则它会尝试与其配置中列出的第二台 ACS 服务器进行通信。您不能强制客户端首先尝试与第二台服务器进行通信。如果 AAA 客户端接收到来自第一台服务器的响应,它就不会再尝试与第二台服务器进行通信。

本文档介绍两台 ACS 服务器之间的数据库复制的两种配置方案:

  • 方案 I - 方案 I 在没有中介防火墙的情况下配置两台 ACS 服务器之间的数据库复制。

  • 方案 II - 方案 II 在中介防火墙用作网络地址转换 (NAT) 设备的情况下配置两台 ACS 服务器之间的数据库复制。

为了更好地了解这两个方案中所描述的过程,您必须熟悉以下定义:

  • 主 ACS 服务器 - 配置为将数据库的组件发送到一个或多个 Cisco Secure ACS 服务器的 Cisco Secure ACS 服务器。

  • 辅助 ACS 服务器 - 配置为从其他 Cisco Secure ACS 服务器接收数据库组件的 Cisco Secure ACS 服务器。

  • 数据库复制 - 将数据库全部或部分复制到其他辅助 ACS 服务器。这些辅助 ACS 服务器会提供冗余。通过使用端口2000,复制在TCP连接发生。TCP会话使用加密的一128-bit, Cisco专有协议复制。

  • 数据库备份 - 将 ACS 数据库备份到转储文件中。如果操作系统或硬件发生故障,您就可以使用此文件来恢复 ACS 功能。

  • 关系数据库管理系统 (RDBMS) 同步 - 可让 ACS 数据库与外部数据库同步。您可以将 ACS 配置输入到某个 ODBC 兼容数据库中,这样 ACS 数据库就可以与外部数据库同步。例如,在大规模部署中,ACS 服务器只需指向外部 ODBC 数据库就可以接收其配置。

注意: 不支持双向复制。只要使用不同的复制伙伴对某台 Cisco Secure ACS 服务器进行配置,它就可以同时充当主服务器和辅助服务器。

注意: ACS 设备可通过 ACS for Windows 执行复制。不过,两台设备所用的软件必须具有相同的版本和修补程序级别。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 所有计算机都必须使用相同版本的 Secure ACS 软件。

  • (用于复制的目标端口)TCP 端口 2000 不会在 ACS 服务器间的任何位置受阻。另外,必须禁用 TCP 端口检测以便成功进行复制。

    注意: 确保端口 2000 和任何其他必要端口都未被其他应用程序使用,否则会停止 CSAuth、CSRadius 和 CSTacacs 等服务。

  • 确保网络接口卡 (NIC) 在操作系统内未被防火墙阻拦。

  • 启用 Java 和 JavaScript;禁用 HTTP 代理。

  • 确保对 Secure ACS 用户界面的远程访问使用的是 TCP 端口 2002。例如,https://ipaddress:2002

    注意: 如果您使用 Microsoft Internet Explorer 6.0 版访问 Secure ACS HTML 用户界面,请确保您的浏览器符合以下要求:

    • Microsoft Windows Service Pack 1(英语和日语版本)

    • Microsoft Java 虚拟机 (JVM) 5.00.3810 版

    • Sun Java 插件 1.5 版

    注意: 有关详细信息,请参阅 Cisco Secure ACS for Windows 4.0 支持和可互操作的设备

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Windows 2003 Server

  • Cisco Secure ACS 版本 4.x

  • Cisco PIX 防火墙 515e 版本 6.x

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置还可用于以下硬件和软件版本:

  • Windows ACS Server 3.x 或更高版本

  • 任何网络地址转换 (NAT) 设备

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

方案 I

方案 I 使用如下所示的网络配置:

/image/gif/paws/71320/acs_db_replication01.gif

方案 II

方案 II 使用如下所示的网络配置:

/image/gif/paws/71320/acs_db_replication02.gif

方案 I:在没有中介防火墙的情况下配置数据库复制

在方案 I 中,当两台 Cisco Secure ACS 服务器通信时,数据不会经过 NAT 设备。系统会先使用 Cisco 专有协议对数据进行加密,然后再使用 TCP 协议将数据发送到目标端口 2000。

要在没有中介防火墙的情况下配置数据库复制,请完成以下过程:

  1. 配置主 ACS 服务器

  2. 配置辅助 ACS 服务器

  3. 通过 Secure ACS 调用数据库复制

方案 II:在有中介防火墙(NAT 配置)的情况下配置数据库复制

仅当辅助 ACS 服务器认为所收到数据的 IP 报头或内容没有变化时,才能成功进行数据库复制。主 ACS 服务器使用某个密钥对发送到辅助服务器的报头和内容进行计算。辅助服务器使用同一密钥计算结果。如果这两个计算的结果中存在差异,数据库复制就会被拒绝。

Cisco Secure ACS 在 NAT 环境中不支持分布式部署。如果主地址或辅助地址通过 NAT 设备进行转换,则数据库复制日志文件会指示“shared secret mismatch”。如果 NAT 设备位于主服务器和辅助服务器之间,则计算中的差异会导致复制被拒绝。不过,可通过以下方式避开 NAT 设备对网络流量的影响并成功实现数据库复制:

  • 通用路由封装 (GRE) 隧道

  • 支持 IP 安全 (IPSec) 隧道模式的虚拟专用网络 (VPN)

  • GRE+IPsec 隧道

  • IPSec 以隧道方式直接在带 Microsoft Internet Security and Acceleration (ISA) Server 的 Windows 服务器之间进行通信。有关详细信息,请参阅 Microsoft Internet Security and Acceleration (ISA) Server TechCenterleavingcisco.com

方案 II 使用简单的 GRE 隧道实现数据库复制,因为当数据流从一台 ACS 服务器发送到另一台 ACS 服务器时已被加密。辅助 ACS 服务器位于 PIX/ASA 防火墙的外部,并且 GRE 隧道是在路由器之间构建的。此隧道对 NAT 设备隐藏地址信息和数据,这使得数据库复制能够正常进行。

注意: 如果您有正确启用了 IPsec 的 VPN 隧道,那么就可以将 ACS 服务器添加到加密访问列表中,这样也可以得到同样的结果。

要在有中介防火墙(NAT 配置)的情况下配置数据库复制,请完成以下过程:

  1. 配置主 ACS 服务器

  2. 配置辅助 ACS 服务器

  3. 配置经过 NAT 设备的数据库复制

步骤

本部分中的过程介绍如何配置数据库复制。您必须完成方案 I方案 II 中所描述的过程。

配置主 ACS 服务器

要配置主 ACS 服务器,请完成以下步骤:

  1. 在主 ACS 服务器上,打开 Cisco Secure ACS 用户界面。

    此时会显示 Cisco Secure ACS 界面。

    /image/gif/paws/71320/acs_db_replication03.gif

  2. 在左窗格中,单击 Interface Configuration 按钮。

    此时会显示“Interface Configuration”页。

    /image/gif/paws/71320/acs_db_replication04.gif

  3. 单击 Advanced Options 链接。

    此时会显示“Advanced Options”页。

    /image/gif/paws/71320/acs_db_replication05.gif

  4. 在“Advanced Options”页上,选中 ACS internal database Replication 复选框,然后单击“Submit”。

  5. 在左窗格中,单击 Network Configuration 按钮。

    此时会显示“Network Configuration”页。

    /image/gif/paws/71320/acs_db_replication06.gif

  6. 在“AAA Servers”区域中,单击 Add Entry 添加辅助 ACS 服务器。

    此时会显示“Add AAA Server”页。

    /image/gif/paws/71320/acs_db_replication07.gif

  7. 输入辅助 ACS 服务器的相应值,然后单击 Submit + Apply

  8. 在左窗格中,单击 System Configuration 按钮。

    此时会显示“System Configuration”页。

    /image/gif/paws/71320/acs_db_replication08.gif

  9. 单击 ACS Internal Database Replication 链接。

    此时会显示“Database Replication Setup”页。

    /image/gif/paws/71320/acs_db_replication09.gif

  10. 在“Replication Components”区域中,选中要复制到辅助 ACS 服务器的组件所对应的 Send 复选框。

  11. 在“Outbound Replication Scheduling”区域中,单击 Manually 单选按钮。

    注意: 如果您愿意,则可以将出站复制计划为以一定的时间间隔进行。

  12. 在“Outbound Replication Partners”区域中,从“AAA Servers”列表中选择您在“Add AAA Server”页中添加的服务器,然后单击右箭头按钮 () 将该服务器移动到“Replication”列表中。acs_db_replication10.gif

  13. 将“Inbound Replication”和“Replication Settings”区域中列出的设置保留为默认值。

  14. 单击 submit

配置辅助 ACS 服务器

要配置辅助 ACS 服务器,请完成以下步骤:

  1. 在辅助服务器上,打开 Cisco Secure ACS 用户界面。

    此时会显示 Cisco Secure ACS 界面。

    /image/gif/paws/71320/acs_db_replication11.gif

  2. 在左窗格中,单击 Interface Configuration 按钮。

    此时会显示“Interface Configuration”页。

    /image/gif/paws/71320/acs_db_replication12.gif

  3. 单击 Advanced Options 链接。

    此时会显示“Advanced Options”页。

    /image/gif/paws/71320/acs_db_replication13.gif

  4. 在“Advanced Options”页上,选中 ACS internal database Replication 复选框,然后单击“Submit”。

  5. 在左窗格中,单击 Network Configuration 按钮。

    此时会显示“Network Configuration”页。

    /image/gif/paws/71320/acs_db_replication14.gif

  6. 在“AAA Servers”区域中,单击 Add Entry 添加主 ACS 服务器。

    此时会显示“Add AAA Server”页。

    /image/gif/paws/71320/acs_db_replication15.gif

  7. 输入主 ACS 服务器的相应值,然后单击 Submit + Apply

    注意: 主服务器和辅助服务器的密钥必须相同。

  8. 在左窗格中,单击 System Configuration 按钮。

    此时会显示“System Configuration”页。

    /image/gif/paws/71320/acs_db_replication16.gif

  9. 在“System Configuration”页上,单击 ACS Internal Database Replication 链接。

    此时会显示“Database Replication Setup”页。

    /image/gif/paws/71320/acs_db_replication17.gif

  10. 在“Replication Components”区域中,选中要复制到主 ACS 服务器的组件所对应的 Receive 复选框。

    注意: 为主服务器选中的组件必须与为辅助服务器选中的组件匹配。

  11. 在“Outbound Replication Scheduling”区域中,单击 Manually 单选按钮。

    注意: 在“Outbound Replication Partners”区域中,将“Replication”列表保留为空。由于辅助服务器接收数据库组件,因此,您不需要将主服务器添加到“Replication”列表中。

  12. 在“Inbound Replication”区域中,从“Accept replication from”下拉菜单中选择主 AAA 服务器。

  13. 在“Replication Settings”区域中,将此值保留为默认设置。

  14. 单击 submit

通过 Secure ACS 调用数据库复制

本过程仅适用于方案 I

要通过 Cisco Secure ACS 调用数据库复制,请完成以下步骤:

  1. 在主 ACS 服务器上,单击位于左窗格中的 System Configuration 按钮。

    此时会显示“System Configuration”页。

    /image/gif/paws/71320/acs_db_replication18.gif

  2. 单击 ACS Internal Database Replication 链接。

    此时会显示“Database Replication Setup”页。

    /image/gif/paws/71320/acs_db_replication19.gif

  3. 单击 Replicate Now 按钮。

  4. 验证配置。有关如何验证配置的详细信息,请参阅验证配置

配置经过 NAT 设备的数据库复制

本过程仅适用于方案 II

要配置经过 NAT 设备的数据库复制,请完成以下步骤:

  1. 在路由器 Ausnml-3825-01 和 Ausnml-7204-05 上配置 GRE 隧道。

  2. 照常执行复制。

下表提供了 GRE 隧道配置示例:

AUSNML-3825-01 AUSNML-7204-05
show run
Building configuration...

Current configuration : 1218 bytes
!
!  
! 
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname AUSNML-3825-01
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$dLun$g726j7YEccX.qw9YNA8I1.
enable password cisco
!
no aaa new-model
!
resource policy
!
ip cef
!
voice-card 0
 no dspfarm

!--- GRE tunnel configuration

interface Tunnel0
 ip address 172.16.16.1 255.255.255.0
 ip mtu 1438
 tunnel source GigabitEthernet0/0
 tunnel destination 192.168.1.65
!
interface GigabitEthernet0/0
 ip address 192.168.200.1 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
 no mop enabled
!
interface GigabitEthernet0/1
 ip address 192.168.25.1 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
ip route 0.0.0.0 0.0.0.0 192.168.200.2

ip route 10.1.0.1 255.255.255.255 Tunnel0

!--- Route ACS database traffic

!
ip http server
no ip http secure-server
!
control-plane
!
!
!
line con 0
 stopbits 1
line aux 0
line vty 0 4
 exec-timeout 0 0
 password cisco
 login
 transport input telnet
!
scheduler allocate 20000 1000
!
end

AUSNML-3825-01#
show run
Building configuration...

Current configuration : 1222 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname AUSNML-7204-05
!
ip subnet-zero
ip cef
!

call rsvp-sync

!--- GRE tunnel configuration

interface Tunnel0
 ip address 172.30.30.1 255.255.255.0
 ip mtu 1438
 tunnel source FastEthernet0/0
 tunnel destination 192.168.200.1
!
interface FastEthernet0/0
 ip address 10.0.0.2 255.255.255.0
 duplex half
!
interface ATM2/0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet3/0
 ip address 10.1.0.2 255.255.255.0
 duplex half
!
interface Ethernet3/1
 ip address 10.2.0.2 255.255.255.0
 duplex half
!
interface Ethernet3/2
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/3
 no ip address
 shutdown
 duplex half
!
ip classless

ip route 0.0.0.0 0.0.0.0 10.0.0.1

ip route 192.168.25.2 255.255.255.255 Tunnel0

!--- Route ACS database traffic

no ip http server
ip pim bidir-enable
!
dial-peer cor custom
!
gatekeeper
 shutdown
!
line con 0
line aux 0
line vty 0 4
 password cisco123
 login
!
end

AUSNML-7204-05#

下表提供此方案所涉及的防火墙配置:

ausnml-pix-515e
show run
: Saved
PIX Version 6.3(5)
hostname ausnml-pix-515e
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69

names

!--- Permit GRE tunnel protocol

access-list 101 permit gre host 192.168.200.1 host 192.168.1.65 

no pager
mtu outside 1500
mtu inside 1500
ip address outside 192.168.1.214 255.255.255.252
ip address inside 10.0.0.1 255.255.255.0
global (outside) 1 192.168.1.67-192.168.1.127 netmask 255.255.255.192
global (outside) 1 192.168.1.130-192.168.1.190 netmask 255.255.255.192
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Static endpoint translation for tunnel and others

static (inside,outside) 192.168.1.65 10.0.0.2 netmask 255.255.255.255 0 0 
static (inside,outside) 192.168.1.66 10.1.0.1 netmask 255.255.255.255 0 0 
static (inside,outside) 192.168.1.129 10.2.0.1 netmask 255.255.255.255 0 0 

access-group 101 in interface outside


!--- Static route to Perimeter router

route outside 0.0.0.0 0.0.0.0 192.168.1.213 1


!--- Route to ACS Servers

route inside 10.1.0.0 255.255.255.0 10.0.0.2 1
route inside 10.2.0.0 255.255.255.0 10.0.0.2 1
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
http server enable
http 10.1.0.1 255.255.255.255 inside
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn username wvshaw password ********* store-local
terminal width 80
Cryptochecksum:f23dd725f24bb68e8ce8710f0d7bb58f
: end
ausnml-pix-515e(config)# 

检查配置

本部分介绍如何验证配置。

要验证是否已成功配置数据库复制,请完成以下步骤:

  1. 在主 ACS 服务器上,单击位于左窗格中的 Reports and Activity 按钮。

    此时会显示“Reports and Activity”页。

    /image/gif/paws/71320/acs_db_replication20.gif

  2. 单击 Database Replication 链接。

    此时会显示“Select a Database Replication Log File”区域。

    /image/gif/paws/71320/acs_db_replication21.gif

  3. 在“Select a Database Replication Log File”区域中,单击 Database Replication.csv

    如果成功复制了数据库,则日志文件中会显示如下图所示的内容。

    /image/gif/paws/71320/acs_db_replication22.gif

    另外,辅助 ACS 服务器上的日志文件中也不应包含错误,而应包含如下图所示的内容。

    acs_db_replication23.gif

排除配置故障

使用本部分可排除配置故障。

复制问题

设置具有一台主服务器和一台辅助服务器。主服务器收到如下所示的错误消息。

Primary(hostname): ACS 'hostname' has denied replication request
Secondary(hostname): Inbound database replication from ACS 'hostname' denied 

解决方案

  • 在辅助 ACS 服务器中删除主 ACS 服务器的条目,因为 ACS 不支持双向复制。另外,确保辅助 ACS 中的已接收组件选项与主 ACS 中的发送组件选项不同。

  • 确保主服务器和辅助服务器中的共享密钥相同。

注意: ACS 不支持负载共享,并且负载共享仅用于故障切换。如果主服务器发生故障,则辅助服务器会接任。

附属ACS服务器不重新启动服务

在主要的ACS和附属ACS机器之间的DB复制以后用双处理器, ACS服务没有在30分钟内开始在重新启动附属ACS计算机以后。

解决方案

您能通过重新启动附属ACS修复此在30分钟之后,如果有DB复制。

步骤

要排除配置故障,请完成下面的一个或多个过程:

  • 要确保数据库复制已成功完成,请查看主 ACS 服务器和辅助 ACS 服务器上的数据库复制报告,如验证配置中所述。

  • 查看 Windows 事件日志中是否可能存在错误消息。

提示

  • Primary server must have all secondary servers listed - 如果采用的是级联方式,让一台主服务器将数据发送到某台辅助服务器,而这台辅助服务器又将数据发送到另一台服务器,则必须在主服务器上配置所有服务器。即使主服务器不直接复制到服务器,也必须执行此要求。

  • Access-list for TCP port 2000 - 如果主服务器位于防火墙外部,则必须确保目标 TCP 端口 2000 能够通过该防火墙。主服务器使用一个随机源端口和目标端口 2000 进行数据库复制。

  • Access-list for GRE or IPsec on firewall - 如果数据流必须经过防火墙,则访问列表必须允许 GRE 或 IPsec。

  • Database replication key - 主 ACS 服务器的密钥对于成功进行数据库复制非常重要。无论在何处定义主 ACS 服务器,该密钥值必须完全匹配。

  • ACS Error - Database file cannot be read into memory - 当服务器上的磁盘空间用尽时,会发生此错误。若要消除此错误,请释放服务器上的其他磁盘空间。

  • Error Message on External Database - 主 ACS 服务器和辅助 ACS 服务器中的一台服务器未对外部数据库(例如 LDAP)进行身份验证,但另一台服务器正常工作。另外,您会收到错误的身份验证代码 External DB not operational,该代码位于 ACS 的 Reports and Activity > Failed Attempts 对话框中。若要解决此问题,请选择 External Databases > Unknown User Policy,确认顶部为 LDAP 数据库而不是 Windows 数据库。

  • Base Image - 确保主 ACS 服务器和辅助 ACS 服务器使用的基本映像版本相同。

  • ACS Error - Cannot replicate to <Server Name> - server not responding - 如果数据库复制失败,此错误消息就会显示在复制报告日志中。当 ACS 中的 Skinny 协议和数据库复制使用同一 TCP 端口 2000 时,如果启用了 Skinny Inspection,就会导致此错误。为了解决问题,请禁用skinny检查如下所示:

    hostname# configure terminal
    hostname(config)# policy-map global-policy
    hostname(config-pmap)# class inspection_default
    hostname(config-pmap-c)# no inspect skinny
    
  • ACS Error - acs1 ERROR Inbound database replication - 如果收到此错误,请验证 IP 地址是否正确。

    acs1 ERROR Inbound database replication from ACS 'csacs1' denied - 
          shared secret mismatch

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 71320