Introduction
Ce document décrit la dépréciation de Kerberos depuis ASA 9.22.
Conditions préalables
Exigences
Cisco recommande que vous ayez une connaissance des concepts de sécurité de base :
- Connaissances de base de l'interface CLI ASA
- Connaissances de base de AAA (Authentication, Authorization, and Accounting)
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Toutes les plates-formes ASA
- CLI ASA 9.2.1
- ASDM 7.2.1
- CSM 4.29
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configuration CLI ASA - Procédure pas à pas
Présentation de la CLI ASA :
- Dans le résultat de la commande, les options en gras italique ont été supprimées de l'interface de ligne de commande.
- Les mises à niveau à partir de versions antérieures à la version 9.22 qui contiennent ces configurations génèrent un message d'avertissement sur la console pendant le démarrage.
ciscoasa(config)# aaa-server curb protocol ?
commandes/options du mode de configuration :
http-form Protocol HTTP basé sur les formulaires
kerberos Protocol Kerberos (DÉCONSEILLÉ)
LDAP Protocol
radius Protocol RADIUS
SDI Protocol SDI
Protocole tacacs+ TACACS+
ciscoasa(config)# aaa-server curb protocol kerberos
ciscoasa(config-aaa-server-group)# ?
Commandes de configuration du serveur AAA :
exit Quittez le mode de configuration de groupe aaa-server
Aide sur les commandes de configuration du serveur AAA
max-failed-attempts Spécifiez le nombre maximal d'échecs autorisé pour tout serveur du groupe avant la désactivation de ce serveur
no Supprimer un élément de la configuration du groupe aaa-server
reactivation-mode : spécifiez la méthode de réactivation des serveurs défaillants
validate-kdc Activer la validation KDC pendant l'authentification utilisateur kerberos
ciscoasa(config)# test aaa-server authentication curb ?
commandes/options du mode d’exécution :
délégué Test Kerberos constrained Delegation
host : saisissez ce mot clé pour spécifier l'adresse IP du serveur
impersonate Test transition de protocole Kerberos
mot de passe Mot de passe
self-test Kerberos self-ticket retrieval
username Mot clé username
ciscoasa(config)# aaa-server ldaps protocol ldap
ciscoasa(config-aaa-server-group)# aaa-server ldaps host x.x.x.x
ciscoasa(config-aaa-server-host)# sasl-Mechanism ?
commandes/options du mode aaa-server-host :
digest-md5 select Digest-MD5
kerberos sélectionner Kerberos
ciscoasa(config)# debug kerberos
Procédure pas à pas de configuration ASDM
Présentation de l'ASDM :
- Kerberos n'est plus pris en charge depuis ASDM 7.22
- Cela empêche les utilisateurs finaux de configurer des groupes de serveurs AAA avec le protocole Kerberos et le mécanisme LDAP SASL.
- Dans le cadre de cette dépréciation, AAA Kerberos n'est plus répertorié dans TreeMenu sous Users/AAA dans Device Management.
- Microsoft KCD Server n'est plus pris en charge.
ASDM: Protocole Kerberos dans le nouveau groupe de serveurs AAA
ASDM: AAA Kerberos
ASDM: Protocole Kerberos dans le nouveau groupe de serveurs AAA
ASDM: Configuration Kerberos pour LDAP SASL
Procédure pas à pas de configuration CSM
Présentation de CSM :
- Le protocole Kerberos n'est plus pris en charge.
- Cela empêche les utilisateurs finaux de configurer des groupes de serveurs AAA avec le protocole Kerberos et le mécanisme LDAP SASL.
- Microsoft KCD Server n'est plus pris en charge.
- Au lieu de supprimer la prise en charge Kerberos de CSM, elle est traitée dans la validation d'activité.
- La validation d'activité envoie un message d'erreur pour la version 9.22.1 d'ASA et les versions ultérieures, indiquant que le protocole Kerberos n'est pas pris en charge à partir de la version 9.22.1.
Configuration Kerberos CSM
CHEMIN : CSM>Pare-feu > Règles AAA > Groupe de serveurs AAA > Ajouter > Kerberos
- Enregistrer
- Aperçu de la configuration pour le résultat de la validation des activités.

Configuration Kerberos CSM pour LDAP SASL
CHEMIN : CSM>Pare-feu > Règles AAA > Groupe de serveurs AAA > Ajouter > Protocole > LDAP > SASL
- Enregistrer
- Aperçu de la configuration pour le résultat de la validation des activités.
