Seguridad : Cisco Secure Access Control Server para Windows

Configuración de CiscoSecure ACS para Windows NT con autenticación de servidor ACE

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

El software de control de acceso seguro de Cisco (ACS) para Windows se puede integrar con el servidor ACE RSA, también conocido como el servidor del Security Dynamics Incorporated (SDI). Pide que venido adentro de los dispositivos en la red vía el TACACS+ o el RADIUS pueda ser procesado por el ACS directamente, o el ACS puede dar apagado al servidor ACE. Si la petición se da apagado al servidor ACE, el servidor ACE responde al ACS, y el ACS responde al dispositivo de red. Los usuarios pasajeros apagado a ACE pueden ser enumerados, entrar con la utilidad de línea de comando del Cisco Secure ACS (csutil), o ser colocados en la categoría del “usuario desconocido”.

Nota: Para más información sobre el csutil, refiera a la documentación segura de la Utilidad de la base de datos de la línea de comandos de Cisco.

La finalidad de este documento no es tratar la instalación del servidor o cliente ACE. Refiera a la documentación de ACE para la versión del código que usted funciona con para más información. Las versiones de ACE probaron con el ACS se enumeran en los Release Note ACS para los diversos ACS versión.

Usted puede instalar el ACS con ACE en estas configuraciones:

  • El servidor ACE, el cliente ACE y el ACS en lo mismo encajonan.

  • El servidor ACE en un cuadro y el cliente ACE con el ACS en otro cuadro.

  • El servidor ACE, sin el cliente ACE, y el ACS en lo mismo encajonan.

prerrequisitos

Requisitos

Asegúrese de que usted realice estos pasos antes de que usted configure el Cisco Secure ACS con la autenticación de servidor ACE.

  1. Instale el servidor ACE con el uso de las direcciones de ACE.

  2. Instale al cliente ACE con el uso de las direcciones de ACE.

    Nota: Si el ACS y los servidores ACE están en el mismo cuadro, la instalación del cliente ACE es opcional, pero útil para probar y localizar averías.

  3. Verifique la conectividad entre el cliente ACE y el servidor ACE con un usuario de prueba.

  4. Instale y pruebe el ACS a un dispositivo de Cisco con un usuario de NON-ACE Telnet (prueba).

  5. Instale y pruebe el ACS a un dispositivo de Cisco con un usuario del dial de NON-ACE (prueba). Esto es opcional a menos que el objetivo sea finalmente tener usuarios de marcación ACE.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 5.0.01[061] del servidor ACE

  • Versión 5.0 del agente ACE

  • Cisco Secure ACS for Windows 3.0.1

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco.

Configure el ACS para comunicar con ACE

Complete estos pasos.

  1. Del sitio web del Cisco Secure ACS for Windows 2000/NT, seleccione las Bases de datos de usuarios externas.

  2. De la lista de la Configuración de base de datos de usuarios externa, elija el servidor Token del SecurID RSA.

    csntsdi-1.gif

  3. Seleccione Configure (Configurar) cuando se le pida que elija qué hacer con la base de datos del servidor Token Escurrid RSA.

    csntsdi-2.gif

  4. Haga clic en Create New Configuration (Crear nueva configuración).

    /image/gif/paws/20713/csntsdi-3.gif

  5. Cuando se lo solicite, ingrese un nombre para la nueva configuración, luego haga clic en Submit (Enviar).

    csntsdi-4.gif

    El sistema encuentra la biblioteca con link dinámico de ACE (DLL) y visualiza el mensaje “Cisco seguro al soporte de servidor del indicador luminoso LED amarillo de la placa muestra gravedad menor del token SDI instalado”.

    /image/gif/paws/20713/csntsdi-5.gif

Configure a un usuario de ACS para la autenticación de ACE

Puesto que su base de datos de ACE tiene ya ACE nombrado sdiuser, también nombre al usuario de ACS “sdiuser” y diga el ACS utilizar el servidor Token del SecurID RSA para la autenticación de contraseña. Ponga al usuario en un grupo ACS que tenga los usuarios de trabajo para heredar los permisos de autorización. Por ejemplo:

csntsdi-6.gif

Pruebe la comunicación del ACS con el ACE y un dispositivo de red para Telnet

Confirme que usted puede a Telnet al dispositivo de red sin ACE, pero con el uso del ACS. Después, Telnet al dispositivo con el nuevo ACS/ACE usuario. Si esto es fracasado, refiera a la sección del Troubleshooting de este documento.

Pruebe la comunicación del ACS con el ACE y un dispositivo de red para el dial (opcional)

Después de que usted confirme que usted puede a Telnet al dispositivo de red con ACS/ACE y marque al dispositivo de red con el ACS, pruebe la configuración del router con ACS/ACE para el dial.

La configuración del router necesita contener una cierta variación de uno de estos comandos:

aaa authentication ppp default

!--- Under the dial interface:

async mode 

!--- Under the dial interface:

ppp authentication

Considere esta información para la autenticación con ACE:

  • Si configuran al comando async mode interactive con el <method del valor por defecto de la autenticación PPP aaa | agrupe los tacacs | agrupe el comando del radius>, el router hace una autenticación de inicio de sesión, después intenta una autenticación de punto a punto (PPP) que reutiliza el mismo token. La segunda autenticación falla debido a la tentativa de reutilizar el token demasiado rápidamente.

  • Si configuran al comando async mode dedicated, no hay recursos para los usuarios para ver los nuevos mensajes del pin si el servidor ACE pide un nuevo pin. Usted puede disminuir las ocasiones de esto que sucede cuando usted no reelige como candidato permitido crear un PIN y requerido para crear un PIN en la interfaz de usuario de ACE.

  • El Protocolo de confirmación de aceptación de la autenticación (CHAP) no puede usarse con las fichas ACE solas debido al requerimiento CHAP RFC (1994) que establece:

    • CHAP requiere que el secreto esté disponible en formato de sólo texto. Las bases de datos de contraseñas cifradas de modo irreversible que normalmente están disponibles no pueden usarse.

    Esto impide el uso de los tokens de ACE para la GRIETA recta a menos que haya una contraseña CHAP separada. Por ejemplo:

    username: username*token
    password: chap_password

    El protocolo password authentication (PAP) es una mejor opción aquí.

Por estas razones, asegúrese de que la configuración del router tenga:

aaa authentication ppp default if-needed tacacs+|radius

!--- Under the dial interface:

async mode interactive 

!--- Under the dial interface:

ppp authentication pap 

Aseegurese que los usuarios de discado ACS de NON-ACE todavía trabajan después de que usted realice cualquier cambio de configuración, después prueba con los usuarios de discado ACE del ACS. Necesidad de usuarios de discado ACE del ACS de poder conectar de estas maneras:

  • Saque a colación el dial-up networking (DUN) y conecte con la pantalla del dispositivo. Para hacer esto, teclear adentro el nombre de usuario en el campo de nombre de usuario y el token (code+card) en el campo de contraseña.

  • Críe al DUN y conecte con la pantalla del dispositivo. Para hacer esto, el tipo username*token (code+card) en el campo de nombre de usuario y deja el espacio en blanco del campo de contraseña.

  • Configure al DUN para traer para arriba una ventana de terminal después de que usted marque y teclee adentro el nombre de usuario y el token (code+card) cuando es indicado por el router. La configuración del comando autocommand ppp default en la línea necesita comenzar a la sesión PPP luego.

Si esto no trabaja, vea la sección del Troubleshooting de este documento.

Verificación

Vea la prueba la comunicación del ACS con el ACE y un dispositivo de red para la sección (opcional) del dial de este documento para la información de verificación.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

El registro de ACE muestra el mensaje “Passcode accepted” ("Clave aceptada") pero el usuario todavía falla.

  • Marque el registro de los intentos fallidos ACS para determinar la causa del problema. El error puede ser debido a los problemas de la autorización.

ACE registra las visualizaciones que el mensaje “acceso negó, contraseña incorrecta”.

  • Este es un problema de ACE con la clave. Durante este tiempo, el registro de los intentos fallidos ACS muestra el auth externo del mensaje “DB fallado” o el “usuario externo DB inválido o la contraseña incorrecta”.

ACE registra las visualizaciones el mensaje “usuario no en la base de datos”.

  • Verifique la base de datos ACE. Durante este tiempo, el registro de los intentos fallidos ACS muestra el auth externo del mensaje “DB fallado” o el “usuario externo DB inválido o la contraseña incorrecta”.

El registro de ACE muestra el mensaje "Usuario ausente en host agente".

  • Este es un problema de configuración de ACE. Para solucionar este problema, configure al usuario en el host agente.

El registro ACS visualiza el mensaje “bases de datos externas no operativas”.

  • Si ACE registra no muestra ningunas tentativas, confirma la operación con la prueba de la autentificación del cliente ACE y marca para estar seguro que el funcionamiento de motor de autenticación ACE/server.

El registro ACS visualiza el mensaje “usuario desconocido CS” o el “token ocultado rechazado/expiró” con nada en el registro de ACE.

  • Si el dispositivo de red envía una petición de la GRIETA y el ACS no tiene un usuario enumerado de ACE con una contraseña CHAP separada, el ACS no envía al usuario a ACE porque la autenticación del token-solamente requiere el PAP.

Comandos para resolución de problemas

La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos “show” y ver un análisis del resultado de estos comandos.

Nota: Antes de ejecutar un comando de depuración, consulte Información importante sobre comandos de depuración.

  • debug tacacs: Muestra información asociada con el TACACS+.

  • debug radius - Muestra información asociada con RADIUS.

  • autenticación aaa del debug — Información de las visualizaciones sobre el Authentication, Authorization, and Accounting (AAA) y autenticación de TACACS+.

  • debug aaa authorization - Muestra información sobre la autorización AAA y TACACS+.

  • debug ppp negotiation — Muestra los paquetes PPP transmitidos durante el inicio PPP, durante el cual se negocian las opciones PPP.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 20713