セキュリティ : Cisco Secure Access Control System

RSA SecurIDトークン サーバの Cisco ACS 5.X 統合

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に RSA SecurID 認証 テクノロジーと Cisco アクセスコントロールシステム (ACS) バージョン 5.x を統合方法を記述されています。

Anubhav Gupta によって貢献される、Cisco TAC エンジニア。

背景説明

Cisco Secure ACS は外部 データベースとして RSA SecurID サーバをサポートします。

RSA SecurID 2ファクタ認証はユーザの personal identification number (PIN)および時間コード アルゴリズムに基づいて単一使用 トークン コードを生成するそれぞれ登録されていた RSA SecurIDトークンで構成されています。

別のトークン コードは固定間隔で、通常 30 か 60 秒毎に生成されます。 RSA SecurID サーバはこのダイナミック 認証コードを検証します。 各 RSA SecurIDトークンはユニークであり、トークンを過ぎて基づいて未来のトークンの値を予測することはできません。

従って、正しいトークン コードが PIN とともに供給される時、人が有効 な ユーザである高度の確実度がある。 従って、RSA SecurID サーバは慣習的で再使用可能なパスワードより信頼できる認証機構を提供します。

これらの方法で RSA SecurID 認証 テクノロジーと Cisco ACS 5.x を統合できます:

  • RSA SecurID エージェント-ユーザはネイティブ RSA プロトコルによるユーザ名およびパスコードと認証されます。
  • RADIUSプロトコル-ユーザは RADIUSプロトコルによるユーザ名およびパスコードと認証されます。

前提条件

要件

Cisco では、次の項目について基本的な知識があることを推奨しています。

  • RSA セキュリティ
  • Cisco Secure Access Control System (ACS)

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Secure Access Control System (ACS)バージョン 5.x
  • RSA SecurIDトークン サーバ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

RSA サーバ

このプロシージャは RSA SecurID サーバ管理者が認証 エージェントおよびコンフィギュレーション ファイルをどのように作成するか記述します。 認証 エージェントは基本的にデバイス、ソフトウェア、またはサービスの Domain Name Server (DNS)名前および RSA データベースにアクセスする権限がある IP アドレスです。 コンフィギュレーション ファイルは基本的に RSA トポロジーおよび通信を記述します。

この例では、RSA 管理者は 2 つの ACS 例のための 2 つのエージェントを作成する必要があります。

  1. RSA セキュリティ コンソールでは、アクセスするべきナビゲート > 新しい認証 エージェント > Add:

    117038-config-securid-01.png

  2. 追加新しい認証 エージェント ウィンドウで、2 つのエージェントのそれぞれのためのホスト名および IP アドレスを定義して下さい:

    117038-config-securid-02.png

    前方 DNS および ACS エージェントのための逆ルックアップは両方はたらく必要があります。

  3. 標準エージェントとエージェント型を定義して下さい:

    117038-config-securid-03.png

    これはエージェントが追加されれば見る情報の例です:

    117038-config-securid-04.png

  4. RSA セキュリティ コンソールでは、アクセスするべきナビゲート > 認証 エージェント > 生成する コンフィギュレーション ファイル sdconf.rec コンフィギュレーション ファイルを生成するため:

    117038-config-securid-05.png

  5. 最大リトライ数のためにデフォルト値および各再試行間の最大時間を使用して下さい:

    117038-config-securid-06.png

  6. コンフィギュレーション ファイルをダウンロードして下さい:

    117038-config-securid-07.png

    .zip ファイルはコンフィギュレーション タスクを完了することを ACS 管理者は必要とする実際の設定 sdconf.rec ファイルが含まれています。

ACS バージョン 5.X サーバ

このプロシージャは ACS 管理者がどのようにコンフィギュレーション ファイルを取得し、入れるか記述します。

  1. Cisco Secure ACS バージョン 5.x コンソールでは、ユーザにナビゲート すれば識別は > 外部識別保存し > RSA SecurIDトークン サーバ、『Create』 をクリック します保存します:

    117038-config-securid-08.png

  2. RSA サーバからダウンロードされた RSA サーバの名前を入力し、sdconf.rec ファイルに参照して下さい:

    117038-config-securid-09.png

  3. ファイルを選択し、『SUBMIT』 をクリック して下さい。

: ACS がトークンサーバを接続する時最初に、別のファイルは、ノード機密 ファイルを呼出し、RSA 認証マネージャの ACS エージェントのために作成され、ACS にダウンロードされます。 このファイルは暗号化された通信のために使用されます。

確認

このセクションでは、設定が正常に機能していることを確認します。

ACS バージョン 5.X サーバ

正常なログインを確認するために、ACS コンソールに行き、ヒット カウントを検討して下さい:

117038-config-securid-10.png

また ACS ログからの認証 詳細を検討できます:

117038-config-securid-11.png

RSA サーバ

認証の成功を確認し、RSA コンソールに行き、ログを見るため:

117038-config-securid-12.png

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

作成して下さいエージェント レコード(sdconf.rec)を

ACS バージョン 5.3 の RSA SecurIDトークン サーバを設定するために、ACS 管理者は sdconf.rec ファイルがなければなりません。 sdconf.rec ファイルは RSA エージェントが RSA SecurID サーバ レルムとどのように交信するか設定レコード ファイルです規定 する。

sdconf.rec ファイルを作成するために、RSA 管理者は RSA SecurID サーバのエージェントホストとして ACS ホストを追加し、このエージェントホストのためのコンフィギュレーション ファイルを生成する必要があります。

リセットして下さいノード機密(securid)を

エージェントが RSA SecurID サーバと最初に交信した後、サーバは securid と呼ばれるノード機密 ファイルをエージェントに与えます。 サーバとエージェント間のそれに続く通信はノード機密の交換に他を確認するために信頼性頼ります。

時々、管理者はノード機密をリセットしなければならないかもしれません:

  1. RSA 管理者は RSA SecurID サーバのエージェントホスト レコードのノード機密によって作成されるチェックボックスのチェックを外す必要があります。
  2. ACS 管理者は ACS から SECURIDファイルを取除く必要があります。

上書きする自動ロード バランシング

RSA SecurID エージェントは自動的にレルムの RSA SecurID サーバの要求された負荷のバランスをとります。 ただし、手動で ロードのバランスをとるオプションがあります。 エージェントホストのそれぞれによって使用されるサーバを規定できます。 エージェントホストがいくつかのサーバに認証要求を他より頻繁に指向するように各サーバに優先順位を割り当てることができます。

テキストファイルのプライオリティ設定を規定 し、sdopts.rec としてそれを保存し、ACS にアップロードして下さい。

手動でダウン RSA SecurID サーバを削除するために介入して下さい

RSA SecurID サーバがダウンしているとき、自動除外メカニズムは常にすぐにはたらきません。 このプロセスを高速化するために ACS から sdstatus.12 ファイルを取除いて下さい。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117038