安全 : 用于 Windows 的思科安全访问控制服务器

访问控制服务器(ACS) :使用多外部数据库认证的问题

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 30 日) | 反馈


目录


简介

本文描述问题涉及对,当AAA客户端使用思科安全访问控制服务器(ACS)时为了验证用户,并且ACS,反过来,是指多外部数据库为了验证用户。

先决条件

要求

本文假设, Cisco Secure ACS安装并且与有用户数据库的三个Windows域控制器服务器(已命名domain1、domain2和domain3)一起适当地运作。

使用的组件

本文档中的信息根据Cisco Secure ACS软件。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

问题

当用户设法通过AAA客户端登录(类似路由器、交换机或者接入点,等等)时并且只一次输入错误的密码,用户的激活目录帐户锁定。AAA客户端通过参考外部Microsoft Windows数据库的ACS服务器验证。

解决方案

此行为的解决方法是Windows验证如何在ACS配置。如果选择外部用户数据库>数据库配置> Windows数据库>请配置,您然后输入包含域列表在两列的配置域列表部分。您不想要在右侧列列出的任何域。这些列不执行什么GUI将让您相信他们执行。

例如,为三外部域的ACS (数据库)已命名domain1配置, domain2和domain3和验证用户名为user1。如果正确列填充,验证按此顺序尝试:

  1. 与空白的域的user1

  2. 如果step1发生故障,与domain1域的user1尝试。

  3. 如果步骤2发生故障,与domain2域的user1尝试。

  4. 如果步骤3发生故障,与domain3域的user1尝试。

您自动地验证的服务器寄这些认证尝试给其域控制器,如果他们不在其本地数据库。结果是那为user1的所有失败的认证,我们利用多种域验证四次。

如果您的配置类似于什么本文描述,请移动域回到左列为了解决此问题。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 91194