Технологии коммутируемого доступа в сеть : Виртуальная частная коммутируемая сеть (VPDN)

Демонтаж RADIUS, TACACS+, и Cisco Secure Domain

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В некоторых ситуациях имени пользователя со знак (username@website.com) передается Cisco программное обеспечение IOS�. Когда это происходит, существует потребность снять изоляцию с доменного имени входящего пользователя. В таких случаях это может быть сделано с помощью или направленных запросов на маршрутизаторе или Программного обеспечения Cisco Secure на сервере.

Перед началом работы

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Предварительные условия

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Разделение доменов RADIUS

В этом примере конфигурации предположите настройку маршрутизатора что домен хостов A, названный website.com. Сервер RADIUS имеет IP-адрес 10.1.1.1.


ip host website.com 10.1.1.1 
radius-server host 10.1.1.1 auth-port 1645 acct-port 1646
radius-server directed-request

Примечание: Команда radius-server directed-request была представлена в Cisco Выпуск ПО IOS� 12.0 (2) T.

В этой конфигурации, когда для пользователя с именем user@website.com требуется пройти проверку подлинности, код прямого запроса пытается выяснить доменное имя для IP-адреса. В этом случае website.com разрешает IP-адрес 10.1.1.1 из-за инструкции local ip host. Затем маршрутизатор выполняет поиск главной линии сервера RADIUS для получения разрешенного IP-адреса и отправляет серверу RADIUS запрос на аутентификацию пользователя "user".

Чередование данных для доменов TACACS+

Можно выполнить тот же процесс для TACACS + с этими командами:


ip host website.com 10.1.1.1
tacacs-server host 10.1.1.1
tacacs-server directed-request

Cisco Secure ACS для отбрасывания имени домена Windows

Если необходимо разделить домен от user@website.com, настройте Cisco Secure NT для аутентификации имени пользователя как пользователя только путем выполнения этих шагов:

  1. Перейдите к Interface Configuration> Advanced Options, выберите Distributed System Settings и нажмите Submit.

    Кроме того, если разделенный пользователь должен перейти к серверу кроме этого, завершите следующие шаги:

    1. Перейдите к Network Configuration> Network Device Groups> Add Entry для добавления аутентификации, авторизации и учета (AAA).

    2. Перейдите к Network Configuration> Network Device Groups на цели и настройте источник.

  2. На источнике перейдите к Network Configuration> Distribution Table> Add Entry. Настройте параметры настройки следующим образом:

    • В поле для Символьной строки введите доменное имя (@website.com).

    • От ниспадающего меню Позиции выберите Suffix. (Обратите внимание на то, что Префикс также применим в некоторых случаях.)

    • От ниспадающего меню Полосы выберите Yes.

    • Переместите сервер от списка AAA-сервера до Форварда Для распечатки. Если сокращенное имя должно перейти из источника к источнику (подразумевать, что источник и цель является тем же), источник был бы сервером для "передачи". Если бы сокращенное имя должно перейти из источника к другой цели, то цель была бы сервером для "передачи".

  3. Нажмите Submit для сохранения настроек.

Чередование данных в домене Cisco Secure UNIX

На AAA> Доменная веб-страница для Access Control Server домашнего шлюза, задайте эти параметры настройки:

  • Доменное имя: website.com

  • Разделитель:

  • Позиция доменного имени: после

  • Тип домена: Удаленный

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 10148