安全 : 用于 Windows 的思科安全访问控制服务器

配置 CiscoSecure ACS for Windows NT,以使用 ACE 服务器认证

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

Cisco Secure访问控制软件(ACS) Windows的可以用RSA的ACE服务器,亦称Security Dynamics Incorporated (SDI)服务器集成。自在网络的设备进来通过TACACS+或RADIUS可以由ACS直接地处理的请求或者ACS能递交到ACE服务器。如果请求被递交到ACE服务器, ACE服务器回应对ACS,并且ACS响应到网络设备。用户通过对ACE在‘未知用户’类别能被列举,输入用Cisco Secure ACS命令行实用工具(Csutil),或者安置。

注意: 关于Csutil的更多信息,参考Cisco Secure命令行数据库实用工具文档。

本文没有打算包括ACE服务器或客户端的安装。参考您欲知详情运行的编码版本的ACE文档。用ACS测试的ACE版本在多种ACS版本的ACS版本注释列出。

您能安装与ACE的ACS在这些配置方面:

  • ACE服务器、ACE客户端和ACS在同一个方框。

  • 在一个方框和ACE客户端的ACE服务器有在另一个方框的ACS的。

  • 在同一个方框的ACE服务器,没有ACE客户端和ACS。

先决条件

要求

保证您执行这些步骤,在您配置与ACE服务器认证前的Cisco Secure ACS。

  1. 安装有使用的ACE服务器ACE方向。

  2. 安装有使用的ACE客户端ACE方向。

    注意: 如果ACS和ACE服务器在同一个方框, ACE客户端的安装对于测试和排除故障是可选,但是有用的。

  3. 测试ACE客户端对与测试用户的ACE服务器连接。

  4. 安装并且测试ACS到有非ACE Telnet (测验)用户的一台Cisco设备。

  5. 安装并且测试ACS到有非ACE拨号(测验)用户的一台Cisco设备。除非目标是最终有ACE拨号用户,这可选。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • ACE服务器版本5.0.01[061]

  • ACE代理程序版本5.0

  • Cisco Secure ACS for Windows 3.0.1

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置ACS通信与ACE

完成下面这些步骤。

  1. 从Cisco Secure ACS Windows 2000/NT版网站,请选择外部用户数据库

  2. 从外部用户数据库配置列表,请选择RSA SecurID令牌服务器

    csntsdi-1.gif

  3. 选择配置,当提示选择如何处理RSA SecurID令牌服务器数据库。

    csntsdi-2.gif

  4. 单击创建新的配置

    /image/gif/paws/20713/csntsdi-3.gif

  5. 当提示,请输入一名称对于新的配置,然后单击提交

    csntsdi-4.gif

    系统查找ACE动态链接库(DLL)并且显示消息“对SDI安装的令牌卡服务器支持的Cisco Secure”。

    /image/gif/paws/20713/csntsdi-5.gif

配置ACE验证的ACS用户

因为您的ACE数据库已经有一ACE名为sdiuser,也说出ACS用户‘sdiuser名字’并且告诉ACS使用RSA SecurID令牌服务器密码验证。在有工作用户继承授权权限的ACS组中放置用户。例如:

csntsdi-6.gif

为Telnet测试ACS通信用ACE和网络设备

确认没有ACE,您能远程登录到网络设备,但是与使用ACS。其次,对设备的Telnet有新的ACS/ACE用户的。如果这不成功,参考本文的Troubleshoot部分

为拨号测试ACS通信用ACE和网络设备(可选)

在您确认后您能远程登录到有ACS/ACE的网络设备和拨号到有ACS的网络设备,为拨号请测试与ACS/ACE的路由器配置。

路由器配置需要包含若干变化这些命令之一:

aaa authentication ppp default

!--- Under the dial interface:

async mode 

!--- Under the dial interface:

ppp authentication

考虑验证的此信息与ACE :

  • 如果async mode interactive命令配置与AAA认证ppp默认值<method|分组TACACS|分组radius>命令,路由器执行登录认证,然后尝试重新使用同样标记的一点到点(PPP)验证。第二验证失效由于尝试太迅速重新使用标记。

  • 如果async mode dedicated命令配置,没有用户的设备能看到新的Pin消息,如果ACE服务器请求一新的Pin。您能减小发生的此的机会,当您取消选定允许创建PIN时和要求创建在ACE用户界面的PIN

  • 质询握手验证协议(CHAP)不可能与单独ACE令牌一起使用由于需求CHAP该的RFC (1994)状态:

    • CHAP要求秘密是可用的以纯文本表格。不可能使用普遍提供的不可逆加密的密码数据库。

    除非有独立的CHAP密码,这排除使用直通CHAP的ACE令牌。例如:

    username: username*token
    password: chap_password

    密码认证协议一更加好的选择在这里。

对于这些原因,请保证路由器配置有:

aaa authentication ppp default if-needed tacacs+|radius

!--- Under the dial interface:

async mode interactive 

!--- Under the dial interface:

ppp authentication pap 

确保非ACE ACS拨号用户仍然工作,在您做所有配置更改后,然后与ACS ACE拨号用户的测验。ACS ACE拨号用户需要能连接用这些方式:

  • 启动Dial-Up Networking (DUN)并且连接到设备屏幕。为了执行此,输入在用户名字段和标记(code+card)的用户名在密码字段。

  • 启动DUN并且连接到设备屏幕。为了执行此,请在用户名字段键入username*token (code+card)并且留下密码字段空白。

  • 配置DUN启动终端窗口,在您拨号后并且输入用户名和标记(code+card),当提示由路由器。配置autocommand ppp default命令在线路需要之后启动PPP会话。

如果这不工作,请参阅本文的Troubleshoot部分

验证

请参阅测验ACS通信用ACE和网络设备关于本文的拨号(可选)部分验证信息的。

故障排除

目前没有针对此配置的故障排除信息。

ACE日志显示消息“接受的密码”,但是用户仍然出故障。

  • 检查ACS失败的尝试日志确定问题的原因。失败可以归结于授权问题。

ACE日志显示消息“拒绝访问,不正确的密码”。

  • 这是与密码的一ACE问题。在此时间, ACS失败的尝试日志表示消息“外部DB验证失败的”或“无效外部DB的用户或错误密码”。

ACE日志显示消息“用户不数据库的”。

  • 检查ACE数据库。在此时间, ACS失败的尝试日志表示消息“外部DB验证失败的”或“无效外部DB的用户或错误密码”。

ACE日志显示消息“用户不代理主机的”。

  • 这是ACE配置问题。为了解决此问题,请配置代理主机的用户。

ACS日志显示消息“不可操作的外部数据库”。

  • 如果ACE日志不显示任何尝试,请确认与ACE客户端测验验证的操作并且检查是肯定的ACE/server验证发动机运转。

ACS日志显示消息“CS用户未知”或“拒绝的被缓存的标记/超时”与没什么在ACE日志。

  • 如果网络设备发送CHAP请求,并且ACS没有有独立的CHAP密码的一个被列举的ACE用户, ACS不派遣用户对ACE,因为只令牌的验证要求PAP。

故障排除命令

命令输出解释程序工具仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。

注意: 在发出 debug 命令之前,请参阅有关 debug 命令的重要信息

  • debug tacacs —显示信息关联与TACACS+。

  • debug radius - 显示与 RADIUS 相关的信息。

  • debug aaa authentication —显示关于验证、授权和统计(AAA)和TACACS+认证的信息。

  • debug aaa authorization —显示关于AAA和TACACS+授权的信息。

  • debug ppp negotiation — 显示在 PPP 启动期间传输的 PPP 数据包,在此启动期间将协商 PPP 选项。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 20713