Безопасность : Сервер безопасного контроля доступа Cisco для Windows

Настройка CiscoSecure ACS для Windows NT с аутентификацией сервера ACE

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Access Control Software (ACS) Cisco Secure для Windows может быть интегрирован с Сервером ACE RSA, также известным как сервер Security Dynamics Incorporated (SDI). Запрашивает, чтобы вошли от устройств в сети через TACACS +, или RADIUS может быть обработан ACS непосредственно, или ACS может передать к серверу ACE. Если запрос передан к серверу ACE, сервер ACE отвечает на ACS, и ACS отвечает на сетевое устройство. Пользователи исчезли, чтобы успешно справиться, может быть перечислен, ввод со служебной программой управляемой с помощью командной строки Cisco Secure ACS (CSUtil), или размещен в категорию 'неизвестного пользователя'.

Примечание: Дополнительные сведения по CSUtil см. в документации CiscoSecure Command-Line Database Utility.

В этом документе не описана установка сервера или клиента ACE. Сошлитесь на первоклассную документацию для версии кода, которую вы выполняете для получения дополнительной информации. Версии ACE, протестированного с ACS, перечислены в Комментариях к выпуску ACS для различных версий ACS.

Можно установить ACS с ACE в этих конфигурациях:

  • Сервер ACE, клиент ACE и ACS на той же коробке.

  • Сервер ACE на одной коробке и клиенте ACE с ACS на другой коробке.

  • Сервер ACE, без клиента ACE и ACS на той же коробке.

Предварительные условия

Требования

Гарантируйте выполнение этих шагов перед настройкой Cisco Secure ACS с проверкой подлинности на сервере ACE.

  1. Установите сервер ACE с использованием первоклассных направлений.

  2. Установите клиента ACE с использованием первоклассных направлений.

    Примечание: Если ACS и серверы ACE находятся на той же коробке, установка клиента ACE является дополнительной, но полезной для тестирования и устранения проблем.

  3. Проверьте клиента АСЕ на подключение к серверу АСЕ тестового пользователя.

  4. Установка и тестовый ACS к устройству Сisco с непервоклассным Telnet (тест) пользователь.

  5. Установка и тестовый ACS к устройству Сisco с непервоклассным набором (тест) пользователь. Эта процедура является обязательной только в том случае, если планируется разрешить только пользователей с ACE-дозвоном.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия 5.0.01 [061] сервера ACE

  • Агент ACE версии 5.0

  • Cisco Secure ACS для Windows 3.0.1

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройте ACS для передачи с ACE

Выполните следующие действия.

  1. От Cisco Secure ACS для веба - узлы/URL Windows 2000/коротких тонн выберите External User Databases.

  2. От списка Конфигурации базы данных внешних пользователей выберите RSA SecurID Token Server.

    csntsdi-1.gif

  3. Выберите Configure по запросу, чтобы выбрать, что делать с базой данных RSA SecurID Token Server.

    csntsdi-2.gif

  4. Нажмите кнопку Create New Configuration.

    /image/gif/paws/20713/csntsdi-3.gif

  5. При появлении соответствующего запроса введите имя новой конфигурации и нажмите кнопку Submit.

    csntsdi-4.gif

    Система находит DLL-библиотеку ACE и выводит сообщение "CiscoSecure to SDI Token Card Server support installed" (Установлена поддержка CiscoSecure для идентификационного сервера SDI).

    /image/gif/paws/20713/csntsdi-5.gif

Настройте пользователя ACS для первоклассной аутентификации

Так как первоклассная база данных уже имеет ACE, названный sdiuser, также назовите пользователя ACS 'sdiuser' и скажите ACS использовать Символический сервер SecurID RSA для Проверки подлинности с помощью пароля. Поместите пользователя в группу ACS, которая имеет рабочих пользователей для наследования разрешений авторизации. Например: :

csntsdi-6.gif

Протестируйте ACS - коммуникацию с ACE и сетевым устройством для Telnet

Подтвердите, что вы в состоянии к Telnet к сетевому устройству без ACE, но с использованием ACS. Затем, Telnet к устройству с новым пользователем ACS/ACE. Если это неуспешно, обратитесь к разделу Устранения неполадок этого документа.

Протестируйте ACS - коммуникацию с ACE и сетевым устройством для набора (Необязательно)

После того, как вы подтвердите, что в состоянии к Telnet к сетевому устройству с ACS/ACE и набором к сетевому устройству с ACS, тестируете конфигурацию маршрутизатора с ACS/ACE для набора.

Конфигурация маршрутизатора должна содержать некоторое изменение одной из этих команд:

aaa authentication ppp default

!--- Under the dial interface:

async mode 

!--- Under the dial interface:

ppp authentication

Рассмотрите эту информацию для проверки подлинности с ACE:

  • Если команда async mode interactive настроена с командой <method | group tacacs | group radius> aaa authentication ppp по умолчанию, маршрутизатор делает login authentication, то попытки точка-точка (PPP) опознавательное многократное использование того же маркера. Вторая аутентификация отказывает из-за попытки снова использовать маркер слишком быстро.

  • Если команда async mode dedicated настроена, нет никакого средства для пользователей для наблюдения новых сообщений Контакта, если сервер ACE просит новый Контакт. Когда вы отменяете выбор Позволенный для создания PIN и Требуемый для создания PIN в первоклассном интерфейсе пользователя, можно уменьшить возможности этого случая.

  • Один протокол CHAP нельзя использовать с маркерами ACE из-за следующего требования CHAP RFC (1994):

    • Протокол CHAP требует, чтобы секретные данные были доступны в виде простого текста. Стандартные базы данных с необратимым шифрованием пароля не используются.

    Это устраняет использование первоклассных маркеров для прямого CHAP, пока нет отдельный пароль CHAP. Например:

    username: username*token
    password: chap_password

    Протокол аутентификации пароля (PAP) является лучшим выбором здесь.

По этим причинам гарантируйте, что конфигурация маршрутизатора имеет:

aaa authentication ppp default if-needed tacacs+|radius

!--- Under the dial interface:

async mode interactive 

!--- Under the dial interface:

ppp authentication pap 

Удостоверьтесь, что непервоклассные ACS-набирающие пользователи все еще работают после того, как вы делаете любые изменения конфигурации, затем тестируете с Набирающими пользователями ACS ACE. Набирающие пользователи ACS ACE должны быть в состоянии соединиться этими способами:

  • Переведите в рабочее состояние Удаленный доступ к сети (DUN) и подключение к экрану устройства. Чтобы сделать это, укажите имя пользователя в Поле имени пользователя и маркере (code+card) в поле Password.

  • Переведите в рабочее состояние DUN и подключение к экрану устройства. Чтобы сделать это, введите username*token (code+card) в Поле имени пользователя и оставьте незаполненное поле Password.

  • Настройте DUN для внедрения окна терминала после того, как вы наберете и укажете имя пользователя и маркер (code+card), когда предложено маршрутизатором. Конфигурация команды autocommand ppp default на линии должна начать сеанс PPP впоследствии.

Если это не работает, посмотрите раздел Устранения неполадок этого документа.

Проверка.

Посмотрите Тест ACS - коммуникация с ACE и сетевым устройством для Набора (Необязательно) раздел этого документа для данных проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

В журнале ACE отображается сообщение "Passcode accepted", но пользователю не удается войти.

  • Проверьте журнал Неудачных попыток ACS для определения причины проблемы. Сбой может произойти из-за проблем авторизации.

Первоклассный журнал отображает сообщение "Доступ запрещен, неправильный код доступа".

  • Данное сообщение свидетельствует о наличии проблемы с кодом доступа ACE. В это время журнал Неудачных попыток ACS показывает, что или сообщение "Внешняя аутентификация DB отказало" или "Внешнего недопустимого пользователя DB или неверный пароль".

Первоклассный журнал отображает сообщение "Пользователь не в базе данных".

  • Проверьте базу данных ACE. В это время журнал Неудачных попыток ACS показывает, что или сообщение "Внешняя аутентификация DB отказало" или "Внешнего недопустимого пользователя DB или неверный пароль".

Журнал ACE содержит сообщение "User not on agent host" (Пользователь не на узле агента).

  • Это проблема настройки ACE. Для решения этой проблемы настройте пользователя на узле агента.

Журнал ACS отображает сообщение "Внешняя база данных, не в рабочем состоянии".

  • Если первоклассный журнал не показывает попыток, подтвердите операцию с тестовой аутентификацией клиента ACE и проверкой, чтобы быть уверенными, что работает механизм ACE/проверки подлинности сервера.

Журнал ACS отображает сообщение "неизвестный пользователь CS", или "Кэшируемый маркер отклонил/истек" ни с чем в первоклассном журнале.

  • Если сетевое устройство отправляет запрос CHAP, и ACS не имеет перечислимого первоклассного пользователя с отдельным паролем CHAP, ACS не передает пользователю, чтобы успешно справиться, потому что аутентификация только для маркера требует PAP.

Команды для устранения неполадок

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

Примечание: Прежде чем применять команды отладки, ознакомьтесь с разделом "Важные сведения о командах отладки".

  • debug tacacs – Отображает сведения, связанные с TACACS+.

  • debug radius – отображает связанную с RADIUS информацию.

  • debug aaa authentication — Отображает информацию на аутентификации, авторизации и учете (AAA) и TACACS + аутентификация.

  • debug aaa authorization – отображает сведения по авторизации AAA и TACACS+.

  • {\f3 debug ppp negotiation}–{\f3 показывает PPP-пакеты, передаваемые при запуске PPP во время согласования параметров.}

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 20713