安全 : 思科安全访问控制系统

Cisco ACS 5.X集成用RSA SecurID令牌服务器

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何集成与RSA SecurID验证技术的Cisco访问控制系统(ACS)版本5.x。

贡献用Anubhav古普塔, Cisco TAC工程师。

背景信息

Cisco Secure ACS支持RSA SecurID服务器作为外部数据库。

RSA SecurID二要素验证包括用户的personal identification number (PIN)和生成根据时间代码算法的单一用处令牌代码的一个单个注册的RSA SecurID令牌。

一个不同的令牌代码生成在已修复间隔,通常每30或60秒。RSA SecurID服务器验证此动态验证代码。每个RSA SecurID令牌是唯一,并且预测将来标记的值根据通过令牌是不可能的。

因此,当一个正确令牌代码与PIN一起被供应,有人是有效用户的高度把握。所以, RSA SecurID服务器比常规可再用的密码提供一个更加可靠的认证机制。

您能集成有RSA SecurID验证技术的一Cisco ACS 5.x用这些方式:

  • RSA SecurID代理程序-用户验证与用户名和密码通过本地RSA协议。
  • RADIUS协议-用户验证与用户名和密码通过RADIUS协议。

先决条件

要求

Cisco 建议您具有以下主题的基础知识:

  • RSA安全
  • 思科安全访问控制系统(ACS)

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科安全访问控制系统(ACS)版本5.x
  • RSA SecurID令牌服务器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

RSA服务器

此步骤描述RSA SecurID服务器管理员如何创建验证代理程序和配置文件。验证代理程序基本上是域名服务器(DNS)名称和有权利访问RSA数据库设备、软件或者服务的IP地址。配置文件基本上描述RSA拓扑和通信。

在本例中, RSA管理员必须创建两个ACS实例的两个代理程序。

  1. 在RSA安全控制台中,请导航访问>验证新建的代理程序>Add :

    117038-config-securid-01.png

  2. 在添加新证书代理窗口,请定义一个主机名和IP地址两个代理程序中的每一个的:

    117038-config-securid-02.png

    两DNS转发和反向查找ACS代理程序的应该工作。

  3. 定义代理程序类型作为标准的代理程序:

    117038-config-securid-03.png

    这是您看到信息的示例,一旦代理程序被添加:

    117038-config-securid-04.png

  4. 在RSA安全控制台中,请导航访问>验证代理程序>生成配置文件为了生成sdconf.rec配置文件:

    117038-config-securid-05.png

  5. 请使用每重试次数之间的默认值最大重试次数和最大时间:

    117038-config-securid-06.png

  6. 下载配置文件:

    117038-config-securid-07.png

    .zip文件包含实际部署sdconf.rec文件, ACS管理员需要为了完整的配置任务。

ACS版本5.X服务器

此步骤描述ACS管理员如何检索并且提交配置文件。

  1. 在Cisco Secure ACS版本5.x控制台中,请导航给用户,并且标识存储>外部标识存储> RSA SecurID令牌服务器,并且单击创建

    117038-config-securid-08.png

  2. 输入RSA服务器的名称,并且浏览到从RSA服务器下载的sdconf.rec文件:

    117038-config-securid-09.png

  3. 选择文件,并且单击提交

注意:第一次ACS联系令牌服务器,另一个文件,呼叫节点秘密文件,为在RSA验证管理器的ACS代理程序创建和下载对ACS。此文件使用加密的通信。

验证

使用本部分可确认配置能否正常运行。

ACS版本5.X服务器

为了验证成功登录,去ACS控制台和查看命中数计数:

117038-config-securid-10.png

您能也查看从ACS日志的验证详细信息:

117038-config-securid-11.png

RSA服务器

为了验证成功认证,请去RSA控制台,并且检查日志:

117038-config-securid-12.png

故障排除

本部分提供了可用于对配置进行故障排除的信息。

创建座席登录(sdconf.rec)

为了配置在ACS版本5.3的一个RSA SecurID令牌服务器, ACS管理员必须有sdconf.rec文件。sdconf.rec文件是指定的配置记录文件RSA代理程序如何连通与RSA SecurID服务器领域。

为了创建sdconf.rec文件, RSA管理员应该添加ACS主机作为在RSA SecurID服务器的一台代理主机和生成此代理主机的一个配置文件。

重置节点秘密(securid)

在代理程序用RSA SecurID服务器后最初连通,服务器提供代理程序呼叫securid的节点秘密文件。服务器和代理程序之间的随后的通信依靠节点秘密的交换为了验证其他的真实性。

通常,管理员也许必须重置节点秘密:

  1. RSA管理员必须非选定在代理主机记录的节点秘密创建的复选框在RSA SecurID服务器。
  2. ACS管理员必须从ACS删除SECURID文件。

覆盖自动负载均衡

RSA SecurID代理程序自动地均衡在RSA SecurID服务器的请求的负载在领域。然而,您有选项手工均衡负载。您能指定其中每一台使用的服务器代理主机。您能指定优先级到每个服务器,以便代理主机比其他频繁地指向认证请求到一些服务器。

您必须指定在文本文件的优先级设置,保存它作为sdopts.rec和上传它到ACS。

请手工干预删除下来RSA SecurID服务器

当RSA SecurID服务器发生故障时,自动排除机制不迅速总是运转。从ACS删除sdstatus.12文件为了加速此进程。



Document ID: 117038