セキュリティ : Cisco Secure Access Control Server for Windows

Access Control Server(ACS): 複数の外部データベースを使用した認証に関する問題

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、AAA クライアントがユーザおよび Cisco Secure Access Control Server(ACS)の認証に ACS を使用し、その結果、ユーザの認証に複数の外部データベースを参照している場合に関連する問題について説明します。

前提条件

要件

この資料は Cisco Secure ACS がインストールされている仮定し、ユーザデータベースを備えている 3 つの Windows ドメインコントローラ サーバ(ネームド domain1、domain2 および domain3)と共にときちんとはたらきます。

使用するコンポーネント

この文書に記載されている情報は Cisco Secure ACS Software に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

問題

ユーザが(ルータ、スイッチ、またはアクセス ポイントのように、等) AAA クライアントを通ってログインすることを試み、一度だけ間違ったパスワードを入力するとき、ユーザのアクティブ ディレクトリ アカウントはロックアウトします。 Microsoft Windows 外部データベースを参照する AAA クライアントは ACS サーバによって認証を受けます。

解決策

この動作のための解決は Windows 認証が ACS でどのように設定されるかです。 ユーザデータベース > データベースコンフィギュレーション > ウィンドウ データベース > 『External』 を選択 したら、2 つのカラムでドメインのリストが含まれているそれから入力します設定ドメインリスト セクションを設定して下さい。 右側カラムにリストされているドメインをほしいと思いません。 これらのカラムは GUI がするとそれらが信じてもらうものしません。

たとえば、ACS 3 つの外部ドメイン(データベース)のためにネームド domain1 設定される、domain2 および domain3 はおよび user1 と名前を挙げられるユーザを認証します。 右の列が読み込まれる場合、認証はこの順序で試みられます:

  1. ブランク ドメインとの user1

  2. ステップ 1 が失敗した場合、domain1 ドメインとの user1 は試みられます。

  3. ステップ 2 が失敗した場合、domain2 ドメインとの user1 は試みられます。

  4. ステップ 3 が失敗した場合、domain3 ドメインとの user1 は試みられます。

自動的に認証するサーバはドメインコントローラにローカルデータベースにない場合これらの認証 の 試みを転送します。 結果はさまざまなドメインに対して user1 のあらゆる失敗した認証のためそれ、私達認証します 4 回をです。

この資料に記述されているものをに設定が類似した、この問題を解決するために左カラムに戻ってドメインを移動して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 91194