المقدمة
يصف هذا المستند رؤية حول اهمال Kerberos من ASA 9.22.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بمفاهيم الأمان الأساسية:
- معرفة أساسية ب ASA CLI.
- المعرفة الأساسية المصادقة والتفويض والمحاسبة (AAA)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- جميع منصات ASA
- ASA CLI 9.22.1
- ASDM 7.22.1
- CSM 4٫29
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
ممر تكوين ASA CLI
نظرة عامة على واجهة سطر الأوامر (CLI) ل ASA:
- في إخراج الأمر، تمت إزالة الخيارات italicve غامق من واجهة سطر الأوامر.
- ينتج عن الترقيات من الإصدارات السابقة على 9.22 التي تحتوي على هذه التكوينات رسالة تحذير على وحدة التحكم أثناء وقت التمهيد.
بروتوكول حد الخادم CiscoASA(config)# aaa ؟
تكوين أوامر/خيارات الوضع:
HTTP-form-protocol المستندة إلى نموذج HTTP
Kerberos لبروتوكول Kerberos (مهمل)
LDAP بروتوكول LDAP
RADIUS لبروتوكول RADIUS
SDI بروتوكول SDI
TACACS+ بروتوكول TACACS+
CiscoASA(config)# aaa-server كبل بروتوكول Kerberos
ciscoASA(config-aaa-server-group)# ؟
أوامر تكوين خادم AAA:
خروج من وضع تكوين مجموعة خوادم-aaa
تعليمات أوامر تكوين خادم AAA
الحد الأقصى لمحاولات الفشل حدد الحد الأقصى لعدد مرات الفشل المسموح بها لأي خادم في المجموعة قبل إلغاء تنشيط هذا الخادم
لا توجد إزالة عنصر من تكوين مجموعة خوادم aaa
وضع إعادة التنشيط حدد الطريقة التي يتم من خلالها إعادة تنشيط الخوادم الفاشلة
تمكين التحقق من صحة KDC من خلال مصادقة مستخدم Kerberos
CiscoASA(config)# إختبار حد مصادقة خادم aaa ؟
أوامر/خيارات وضع EXEC:
التفويض المقيد لاختبار Kerberos للمفوض
مضيف يدخل هذا الكلمة المفتاح أن يعين العنوان للنادل
انتحال بروتوكول Test Kerberos
كلمة السر الكلمة المفتاح
إختبار ذاتي لتذكرة Kerberos الذاتية الاسترداد
اسم المستخدم الكلمة الأساسية
ciscoASA(config)# aaa-server ldap بروتوكول ldap
ciscoASA(config-aaa-server-group)# aaa-server ldap host x.x.x.x
CiscoASA(config-aaa-server-host)# آلية SASL ؟
أوامر/خيارات وضع AAA-server-host:
تحديد Digest-MD5 Select Digest-MD5
حدد Kerberos Kerberos
cisco coasa(config)#debug kerberos
ممر تكوين ASDM
نظرة عامة على إدارة قاعدة بيانات المحول (ASDM):
- لم تعد Kerberos مدعومة من ASDM 7.22
- وهذا يهين قدرة المستخدمين النهائيين على تكوين مجموعات خوادم AAA باستخدام بروتوكول Kerberos بالإضافة إلى آلية LDAP SASL.
- كجزء من هذا الإهمال، لم يعد AAA Kerberos مدرجا في قائمة الشجرة أسفل Users/AAA في إدارة الجهاز.
- لم يعد خادم Microsoft KCD مدعوما أيضا.
ASDM: بروتوكول Kerberos في مجموعة خوادم AAA جديدة
ASDM: AAA Kerberos
ASDM: بروتوكول Kerberos في مجموعة خوادم AAA جديدة
ASDM: تكوين Kerberos ل LDAP SASL
المرور عبر تكوين CSM
نظرة عامة على CSM:
- لم يعد بروتوكول Kerberos مدعوما.
- وهذا يهين قدرة المستخدمين النهائيين على تكوين مجموعات خوادم AAA باستخدام بروتوكول Kerberos بالإضافة إلى آلية LDAP SASL.
- لم يعد خادم Microsoft KCD مدعوما أيضا.
- بدلا من إزالة دعم Kerberos من CSM، تتم معالجته في التحقق من صحة النشاط.
- رسالة خطأ خاصة ب "التحقق من صحة النشاط" لإصدار 9.22.1 ASA فصاعدا، مما يعني أن بروتوكول Kerberos غير مدعوم من إصدار 9.22.1 فصاعدا.
تكوين CSM Kerberos
المسار: CSM>جدار الحماية > قواعد AAA > مجموعة خوادم AAA > إضافة > Kerberos
- حفظ
- معاينة التكوين لنتائج التحقق من صحة النشاط.

تكوين CSM Kerberos ل LDAP SASL
المسار: CSM>جدار الحماية > قواعد AAA > مجموعة خوادم AAA > إضافة > بروتوكول > LDAP >SASL
- حفظ
- معاينة التكوين لنتائج التحقق من صحة النشاط.
