Безопасность : Сервер безопасного контроля доступа Cisco для Windows

Сервер управления доступом (ACS): Проблема с с проверкой подлинности, использующей несколько внешних баз данных

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает проблемы, отнесенные к тому, когда клиент AAA использует сервер Cisco Secure Access Control Server (ACS) для аутентификации пользователей, и ACS, в свою очередь, обращается ко множественным внешним базам данных для аутентификации пользователей.

Предварительные условия

Требования

Этот документ предполагает, что Cisco Secure ACS установлен и работает должным образом вместе с тремя серверами контроллера домена Windows (названный domain1, domain2 и domain3), которые имеют базы данных пользователей.

Используемые компоненты

Сведения в этом документе основываются на программном обеспечении Cisco Secure ACS.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Проблема

Когда пользователь пытается войти через клиента AAA (как маршрутизатор, коммутатор или точка доступа, и т.д) и вводит неправильный пароль только один раз, учетная запись Active Directory пользователя блокирует. Клиент AAA подтверждает подлинность через сервер ACS, который ссылается на внешние базы данных Microsoft Windows.

Решение

Разрешение для этого поведения - то, как Проверка подлинности Windows настроена на ACS. При выборе External User Databases> Database Configuration> Windows Database> Configure вы тогда вводите Настраивать раздел Списка доменов, который содержит список доменов в двух столбцах. Вы не хотите доменов, перечисленных в столбце стороны обслуживания. Эти столбцы не делают то, что GUI сделал бы, чтобы вы полагали, что они делают.

Например, ACS, который настроен для трех внешних доменов (базы данных), названные domain1, domain2, и domain3, и подтверждает подлинность пользователя, названного user1. Если правый столбец заполнен, аутентификация предпринята в этом заказе:

  1. user1 с пустым доменом

  2. Если шаг 1 отказывает, user1 с domain1 доменом пробуют.

  3. Если шаг 2 отказывает, user1 с domain2 доменом пробуют.

  4. Если шаг 3 отказывает, user1 с domain3 доменом пробуют.

Сервер, которого вы подтверждаете подлинность на автоматически вперед этих попытках аутентификации к его контроллеру домена, если они не находятся в его локальной базе данных. Результат состоит в том, что для любой ошибки проверки подлинности для user1, мы подтверждаем подлинность четыре раза против различных доменов.

Если конфигурация подобна тому, что описывает этот документ, положите обратно домены к левому столбцу для решения этого вопроса.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 91194