Безопасность : Сервер безопасного контроля доступа Cisco для Windows

Настройка репликации для Cisco Secure ACS для Windows

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Репликация базы данных помогает делать среду аутентификации, авторизации и учета (AAA) более отказоустойчивой. Это также копирует части настройки основного сервера к одному или более дополнительным серверам, чтобы помочь создавать зеркальные системы Cisco Secure ACS для Windows (ACS) серверы. Если основной сервер отказывает или недостижим, можно настроить клиентов AAA для использования этих дополнительных серверов. Если база данных вспомогательного сервера является копией базы данных основного сервера и основной сервер прекращает обслуживание, то входящие запросы проходят проверку подлинности при отсутствии бездействия сети. Это происходит при условии, что клиенты AAA настроены к аварийному переключению к дополнительному серверу.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • В вашем распоряжении есть по крайней мере два Cisco Secure ACS для серверов Windows.

  • Вы в состоянии настроить ACS.

Используемые компоненты

Сведения, содержащиеся в этом документе, касаются следующих версий программного обеспечения:

  • Версия ACS 3.2.x и 3.3. x

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Важные условия внедрения

Рассмотрите эти вопросы, когда будет реализована опция репликации базы данных Cisco Secure:

  • Сервер ACS поддерживает только репликацию базы данных на другие серверы ACS. Все серверы ACS, которые участвуют в репликации базы данных Cisco Secure, должны выполнить ту же версию и уровень установки патча ACS.

  • Основной сервер передает сжатую зашифрованную копию элементов базы данных дополнительному серверу. Эта передача происходит по TCP - подключению с портом 2000. Сеанс Протокола TCP заверен и использует зашифрованный, Протокол Cisco Discovery.

  • Только соответственно настроенные, допустимые хосты ACS могут быть дополнительными серверами. Для добавления дополнительного сервера настройте его в таблице серверов AAA в Разделе конфигурации сети этого документа. Когда сервер добавлен к таблице серверов AAA, сервер появляется для выбора как дополнительный сервер в списке AAA-серверов под Партнерами репликации на странице репликации базы данных Cisco Secure.

  • Основной сервер должен быть настроен как AAA-сервер и должен иметь ключ. Дополнительному серверу нужно было настроить основной сервер как AAA-сервер, и его ключ для основного сервера должен совпасть с основными серверами собственный ключ.

  • Репликация к дополнительным серверам имеет место последовательно в заказе, перечисленном в списке Репликации под Партнерами репликации на странице репликации базы данных Cisco Secure.

  • Дополнительный сервер, который получает реплицированные компоненты, должен быть настроен для принятия репликации базы данных от основного сервера. Для настройки дополнительного сервера для репликации базы данных обратитесь к Настройке Вторичный раздел Сервера Cisco Secure ACS этого документа.

  • ACS не поддерживает двунаправленную репликацию базы данных. Дополнительный сервер, который получает реплицированные компоненты, проверяет, что основной сервер не находится в своем списке Репликации. В противном случае дополнительный сервер принимает реплицированные компоненты. В этом случае он отклоняет компоненты.

  • Для репликации определяемого пользователем поставщика RADIUS и конфигураций определяемого поставщиком атрибута (VSA) успешно определения, которые будут реплицированы, должны быть идентичными на основном и дополнительных серверах. Это включает слоты Поставщика RADIUS, которые занимают определяемые пользователем поставщики RADIUS. За более подробной информацией об определенных пользователем поставщиках RADIUS и VSAs обратитесь к разделу "Определенные пользователем поставщики RADIUS и настройки VSA" документа "Служебная программа для баз данных Cisco Secure ACS для Windows с интерфейсом командной строки".

Схема сети

В этом документе используются настройки сети, показанные на данной диаграмме:

acs1-a.gif

Имя узла Контроллер домена Microsoft Windows 2000 основного ACS - сервера Arnie

Имя хоста - Hanky Secondary ACS Server Microsoft Windows 2000 Domain Controller

Настройка первичного сервера ACS

Используйте эту процедуру для настройки основного сервера ACS:

  1. Войдите к основному интерфейсу HTML сервера ACS.

  2. В разделе "Network Configuration" добавьте к таблице серверов AAA все вторичные серверы.

    acs1-b.gif

    Примечание: Если эта функция не появляется, выберите Interface Configuration> Advanced Options и установите флажок Cisco Secure ACS Database Replication. Также проверьте, что установлен флажок Distributed System Settings (Параметры распределенной системы).

  3. На панели переходов нажмите "System Configuration (Настройка системы)".

  4. Щелкните Cisco Secure Database Replication.

    Как только этот шаг выполнен, Страница настройки репликации базы данных появляется.

  5. Установите флажок Send (Отправить) для каждого компонента базы данных, отправляемого дополнительному серверу.

    acs1-c.gif

  6. В разделе "Партнеры по репликации" добавьте вспомогательный сервер ACS в столбец "Партнер по репликации".

    acs1-d.gif

  7. Щелкните Submit (отправить).

    ACS сохраняет конфигурацию репликации и частоту или заданные времена. ACS начинает передавать компоненты к другим заданным серверам ACS.

Конфигурация дополнительного сервера ACS

Используйте эту процедуру для настройки дополнительного сервера ACS:

  1. Войдите к интерфейсу HTML дополнительного сервера.

  2. В Разделе конфигурации сети добавьте основной сервер к таблице серверов AAA (таким же образом как на основном ACS).

    Примечание: Если эта функция не появляется, выберите Interface Configuration> Advanced Options и установите флажок Cisco Secure ACS Database Replication. Также проверьте, что установлен флажок Distributed System Settings (Параметры распределенной системы).

  3. На панели переходов нажмите "System Configuration (Настройка системы)".

  4. Щелкните Cisco Secure Database Replication.

    Как только этот шаг выполнен, Страница настройки репликации базы данных появляется.

  5. Для всех компонентов базы данных, которые нужно получить с основного сервера, установите флажок "Получить".

    acs1-e.gif

  6. Если дополнительный сервер должен получить компоненты репликации только от одного основного сервера, выберите другое имя сервера Cisco Secure ACS от Списка репликации приема.

  7. Если дополнительный сервер должен получить компоненты репликации от нескольких основных серверов, выберите Any Known Cisco Secure ACS for Windows 2000/NT - СЕРВЕР от Списка репликации приема.

    Опция Any Known Cisco Secure ACS for Windows 2000/NT Server ограничена серверами, перечисленными в таблице серверов AAA в Разделе конфигурации сети.

  8. Не добавляйте основной сервер к столбцу Replication Partner. Под Партнерами репликации идеально столбец партнера репликации является пробелом.

    acs1-f.gif

  9. Щелкните Submit (отправить).

    ACS сохраняет конфигурацию репликации и частоту или заданные времена. ACS принимает реплицированные компоненты от других заданных серверов.

Параметры планирования

Когда репликация базы данных Cisco Secure происходит, можно задать; это настроено на основном сервере, не вторичном устройстве. Эти опции, которые управляют, когда репликация происходит, появляются в таблице Планирования Репликации на странице репликации базы данных Cisco Secure. Вот опции:

  • Manually - ACS не выполняет автоматическую репликацию базы данных.

  • Автоматически запускаемый каскад (ACS) реплицирует базу данных на настроенные списки дополнительных серверов после завершения репликации с основного сервера. Это позволяет вам создать иерархию распространения серверов, которая не требует, чтобы основной сервер распространился реплицированные компоненты к другим серверам.

  • Каждые Х секунд ACS выполняет с установленной частотой репликацию базы данных для настроенного списка вспомогательных серверов. Единица измерения – минуты, частота обновления по умолчанию – 60 минут.

  • В специфических временах — ACS выполняет, в то время, когда задано в графике по дням и часам, репликация базы данных к настроенному списку дополнительных серверов. Минимальное решение — один час. Репликация происходит в выбранный час.

Отчёты

Перейдите к Отчётам и Действию, выберите Database Replication и проверьте журнал Replication.csv активной базы данных. Если репликация успешна, вы видите эти журналы.

Файл Replication.csv базы данных в основной системе ACS

Дата Время Статус Сообщение
12.06.2002 14:14:26 .info Исходящий цикл репликации завершен.
12.06.2002 14:14:26 ОШИБКА Репликация ACS "Hanky" закончена успешно.
12.06.2002 14:14:00 .info Экспортируемый цикл репликации собирается запуститься.

Файл Replication.csv базы данных во вспомогательной системе ACS

Дата Время Статус Сообщение
12.06.2002 16:32:02 .info Репликация базы входных данных от ACS "Арни" завершена.
12.06.2002 16:31:41 .info Репликация базы входных данных от ACS "Арни" запустилась.

Примечание: В сообщениях журнала на основном сервере message-type показывает ОШИБКУ. Для получения дополнительной информации обратитесь к идентификатору ошибки Cisco CSCdw51174 (только зарегистрированные клиенты). Репликация будет выполнятся правильно независимо от ключевого слова ERROR.

Workaround: Ignore the ERROR status.

Если репликация не успешна, вы видите эти журналы. Возможные симптомы включают:

  • Несоответствие общего секретного ключа в таблице сервера AAA для удаленных оконечных устройств.

  • Удаленный сервер не отвечает.

Дата Время Статус Сообщение
14.06.2002 10:02:30 .info Исходящий цикл репликации завершен.
14.06.2002 10:02:30 Предупреждение.  Не может реплицировать в "Носовой платок" - сервер не отвечает.
14.06.2002 10:02:23 .info Экспортируемый цикл репликации собирается запуститься.

Проверка.

Добавьте нового пользователя или группу на основной сервер либо внесите изменения в настройки текущего пользователя или группы, а затем нажмите кнопку Replicate Now (Запустить репликацию) в разделе настройки репликации баз данных окна System Configuration (Настройка системы). На дополнительном сервере проверьте пользователя или группу и посмотрите, что изменения вступают в силу.

Устранение неполадок

Это некоторые сообщения об ошибках, с которыми встречаются, и решения для каждого:

  • Сообщение об ошибках Authentication failing with the error; Authentication Failed: Proxy failure могло представить из-за неправильной конфигурации распределения прокси. На основном ACS проверьте, что запись распределения прокси является "not set" для передачи вторичному ACS или реверсу. Корректная конфигурация должна указать соответствующий ACS к себе.

  • Если репликация не работает, удостоверьтесь, что основной ACS перечислен как партнер репликации на вторичном ACS. Если это удалено, ошибка No AAA Replication Partners have been selected. At least one needs to be selected for replication to take place. возвращена.

    Если исходящая репликация настроена со Специфическими временами, измените настройки к Руководству. Это обычно решает вопрос.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 23120