Seguridad : Cisco Secure Access Control Server para Windows

Configuración de replicación de Cisco Secure ACS para Windows

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Las ayudas de la réplica de base de datos hacen el entorno del Authentication, Authorization, and Accounting (AAA) más incidente tolerante. También duplica las partes del servidor primario puesto a uno o más servidores secundarios, para ayudar a crear los sistemas del espejo de servidores del Cisco Secure ACS for Windows (ACS). Usted puede configurar a sus clientes AAA para utilizar estos servidores secundarios si el servidor primario falla o es inalcanzable. Si la base de datos de un servidor secundario es una réplica de la base de datos del servidor primario, y el servidor primario es quitado de funcionamiento, las solicitudes entrantes se autentican sin tiempo de inactividad de la red. Esto sucede a condición de que configuran a los clientes AAA a la Conmutación por falla al servidor secundario.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Usted tiene al menos dos servidores Cisco Secure ACS para Windows.

  • Usted puede configurar su ACS.

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software:

  • ACS versión 3.2.x y 3.3.x

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Consideraciones importantes de implementación

Considere estas puntas cuando se implementa la característica segura de la réplica de base de datos de Cisco:

  • ACS sólo admite la replicación de bases de datos a otros servidores ACS. Todos los servidores ACS que participan en la réplica de base de datos segura de Cisco deben ejecutar la misma versión y corrección llanas del ACS.

  • El servidor primario transmite la copia comprimida y encriptada de sus componentes de base al servidor secundario. Esta transmisión ocurre sobre una conexión TCP, con el puerto 2000. La sesión del Transmission Control Protocol (TCP) se autentica y utiliza haber cifrado, protocolo de propiedad de Cisco.

  • Solamente los hosts convenientemente configurados, válidos ACS pueden ser servidores secundarios. Para agregar un servidor secundario, configurelo en la tabla de los servidores de AAA en la sección de configuración de red de este documento. Cuando un servidor se agrega a la tabla de los servidores de AAA, el servidor aparece para la selección como un servidor secundario en los servidores de AAA enumera bajo los partneres de replicación, en las páginas de réplica de la base de datos seguras de Cisco.

  • El servidor primario se debe configurar como servidor de AAA y debe tener una clave. El servidor secundario debe tener el servidor primario configurado como servidor de AAA y su clave para el servidor primario debe hacer juego los servidores primarios para poseer la clave.

  • La replicación a los servidores secundarios ocurre secuencialmente en la orden enumerada en la lista de la replicación bajo los partneres de replicación, en las páginas de réplica de la base de datos seguras de Cisco.

  • El servidor secundario, que recibe los componentes replicados, se debe configurar para validar la réplica de base de datos del servidor primario. Para configurar un servidor secundario para la réplica de base de datos, refiera a configurar una sección secundaria del servidor del Cisco Secure ACS de este documento.

  • El ACS no soporta la réplica de base de datos bidireccional. El servidor secundario, que recibe los componentes replicados, verifica que el servidor primario no esté en su lista de la replicación. Si no, el servidor secundario valida los componentes replicados. Si está, rechaza los componentes.

  • Para replicar las configuraciones del proveedor de RADIUS definido por el usuario y del Atributo específico del proveedor (VSA) con éxito, las definiciones que se replicarán deben ser idénticas en el primario y los servidores secundarios. Esto incluye al proveedor de RADIUS ranura a los proveedores de RADIUS definidos por el usuario ocupa. Para más información acerca de los proveedores RADIUS definidos por el usuario y los VSA, consulte las secciones Proveedores RADIUS definidos por el usuario y Conjuntos de VSA del documento Utilidad de base de datos de la línea de comandos de Cisco Secure ACS.

Diagrama de la red

Este documento utiliza la configuración de red que se muestra en este diagrama:

acs1-a.gif

Nombre de host — Controlador de dominio del Microsoft Windows 2000 del Servidor ACS Primario Arnie

Nombre de host — Controlador de dominio del Microsoft Windows 2000 del servidor ACS secundario de Hanky

Configuración de un servidor ACS primario

Utilice este procedimiento para configurar un servidor ACS primario:

  1. Inicie sesión a la interfaz de HTML del servidor ACS primario.

  2. En la sección Configuración de red, agregue cada servidor secundario a la tabla de servidores AAA.

    acs1-b.gif

    Nota: Si no aparece esta característica, seleccione Interface Configuration > Advanced Options, y seleccione replicación de base de datos de servidor ACS de CiscoSecure la casilla de verificación. Además, verifique que la casilla de verificación Distributed System Settings (Configuración de sistema distribuido) esté seleccionada.

  3. En la barra de navegación, haga clic en Configuración del sistema.

  4. Haga clic en Cisco Secure Database Replication (Replicación segura de base de datos de Cisco).

    Una vez que se completa este paso, Página Database replication setup (Configuración de réplica de base de datos) aparece.

  5. Seleccione la casilla de verificación Send (Enviar) para cada componente de la base de datos a enviar al servidor secundario.

    acs1-c.gif

  6. En Replication Partners (Asociados de replicación), agregue el servidor ACS secundario a la columna Replication Partner (Asociado de replicación).

    acs1-d.gif

  7. Haga clic en Submit (Enviar).

    El ACS guarda la configuración de la réplica y la frecuencia o los tiempos especificados. El ACS comienza a enviar los componentes a los otros servidores ACS especificados.

Configuración de un servidor ACS secundario

Utilice este procedimiento para configurar el servidor ACS secundario:

  1. Inicie sesión a la interfaz de HTML del servidor secundario.

  2. En la sección de configuración de red, agregue el servidor primario a la tabla de los servidores de AAA (igual que en el ACS primario).

    Nota: Si no aparece esta característica, seleccione Interface Configuration > Advanced Options, y seleccione replicación de base de datos de servidor ACS de CiscoSecure la casilla de verificación. Además, verifique que la casilla de verificación Distributed System Settings (Configuración de sistema distribuido) esté seleccionada.

  3. En la barra de navegación, haga clic en Configuración del sistema.

  4. Haga clic en Cisco Secure Database Replication (Replicación segura de base de datos de Cisco).

    Una vez que se completa este paso, Página Database replication setup (Configuración de réplica de base de datos) aparece.

  5. Haga clic en la casilla Recibir para cada componente de base de datos a ser recibido desde un servidor primario.

    acs1-e.gif

  6. Si el servidor secundario es recibir los componentes de replicación de solamente un servidor primario, seleccione el otro Cisco Secure ACS Nombre del servidor, de la Lista Aceptación de replicación.

  7. Si el servidor secundario es recibir los componentes de replicación de más de un servidor primario, seleccione cualquier servidor sabido del Cisco Secure ACS for Windows 2000/NT de la Lista Aceptación de replicación.

    La cualquier opción del servidor sabida del Cisco Secure ACS for Windows 2000/NT se limita a los servidores enumerados en la tabla de los servidores de AAA en la sección de configuración de red.

  8. No agregue el servidor primario a la columna del partner de replicación. Bajo los partneres de replicación, la columna del partner de replicación es idealmente en blanco.

    acs1-f.gif

  9. Haga clic en Submit (Enviar).

    El ACS guarda la configuración de la réplica y la frecuencia o los tiempos especificados. El ACS valida los componentes replicados de los otros servidores especificados.

Opciones de programación

Usted puede especificar cuando ocurre una réplica de base de datos segura de Cisco; esto se configura en el servidor primario, no el secundario. Estas opciones que controlan cuando ocurre la replicación aparecen en la tabla del Scheduling de la replicación en las páginas de réplica de la base de datos seguras de Cisco. Aquí están las opciones:

  • Manualmente – ACS no realiza la réplica automática de base de datos.

  • Automatically Triggered Cascade (Cascada activada automáticamente)- ACS realiza una réplica de la base de datos a la lista configurada de los servidores secundarios cuando la réplica de la base de datos de un servidor principal se completa. Esto le permite para construir una jerarquía de propagación de servidores, que no requiere un servidor primario propagar los componentes replicados a otros servidores.

  • Cada x minutos - ACS ejecuta, en una frecuencia establecida, la replicación de base de datos a la lista configurada en servidores secundarios. La unidad de medida se expresa en minutos, con una frecuencia de actualización predeterminada de 60 minutos.

  • En el tiempo específico — El ACS se realiza, especificado en ese entonces en gráfico de día y hora, la réplica de la base de datos a la lista configurada de servidores secundarios. La resolución mínima es una hora y la reiteración tiene lugar a la hora seleccionada.

Informes

Va a los informes y a la actividad, la réplica de base de datos selecta, y marca el registro del Replication.csv de las bases de datos activas. Si la replicación es acertada, usted ve estos registros.

Database replication.csv en el ACS primario.

Fecha Hora Estado Mensaje
06/12/2002 14:14:26 INFORMACIÓN Ciclo de reiteración de salida completo.
06/12/2002 14:14:26 ERROR La replica de ACS "Hanky" fue exitosa.
06/12/2002 14:14:00 INFORMACIÓN El ciclo de replicación saliente es alrededor comenzar.

Base de datos Replication.csv en el servidor ACS secundario.

Fecha Hora Estado Mensaje
06/12/2002 16:32:02 INFORMACIÓN Replicación de base de datos entrante de ACS “Arnie” completado.
06/12/2002 16:31:41 INFORMACIÓN Replicación de base de datos entrante de ACS “Arnie” comenzada.

Nota: En los mensajes del registro en el servidor primario, el Tipo de mensaje muestra un ERROR. Para más información, refiera al Id. de bug Cisco CSCdw51174 (clientes registrados solamente). La replicación aún se completa correctamente sin tener en cuenta la palabra clave ERROR.

Workaround: Ignore the ERROR status.

Usted ve estos registros si la replicación no es acertada. Los Síntomas posibles incluyen:

  • La clave secreta compartida no coincide en la tabla del servidor de AAA para los extremos remotos.

  • El servidor remoto no responde.

Fecha Hora Estado Mensaje
06/14/2002 10:02:30 INFORMACIÓN Ciclo de reiteración de salida completo.
06/14/2002 10:02:30 ADVERTENCIA No puede replicar al “pañuelo” - el servidor no responde.
06/14/2002 10:02:23 INFORMACIÓN El ciclo de replicación saliente es alrededor comenzar.

Verificación

Agregue un nuevo usuario o grupo al servidor primario o haga cambios en la configuración del usuario o grupo actuales, luego haga clic en Replicate Now en la sección configuración de Database Replication en System Configuration. En el servidor secundario, marque el usuario o al grupo y vea que los cambios toman el efecto.

Troubleshooting

Éstos son algunas de los mensajes de error se encuentran que, y de las soluciones para cada uno:

  • La autenticación que falla con el error; Autenticación fallada: Falla de proxy el mensaje de error podía presentar debido a una configuración de distribución incorrecta del proxy. En el ACS primario, control que la entrada de distribución de representaciones no está fijada para remitir al ACS secundario o al revés. La configuración correcta es señalar el ACS correspondiente a sí mismo.

  • Si la replicación no trabaja, aseegure el ACS primario se enumera como partner de replicación en el ACS secundario. Si se quita, no se ha seleccionado a los ningunos Partners de la replicación AAA. Por lo menos uno necesita ser seleccionado para que la replicación ocurra. se vuelve el error.

    Si la reiteración de salida se configura con el tiempo específico, cambie las configuraciones al manual. Esto resuelve generalmente el problema.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 23120