ACS 5.x et versions ultérieures - Configurer l'intégration avec Microsoft AD

Options de téléchargement

  • PDF     (257.9 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (275.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (493.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:19 juin 2012
ID du document:113571

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document fournit un exemple de configuration pour intégrer Microsoft Active Directory avec le système de contrôle d'accès sécurisé Cisco (ACS) 5.x et plus. ACS utilise le Microsoft Active Directory (AD) comme mémoire externe d'identité pour enregistrer des ressources comme des utilisateurs, ordinateurs, groupes, et attributs. ACS authentifie ces ressources contre AD.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Le domaine Active Directory Windows à utiliser doit être entièrement configuré et opérationnel.

  • Utilisez Domaine Microsoft Windows Server 2003, Domaine Microsoft Windows Server 2008 ou Domaine Microsoft Windows Server 2008 R2, car ceux-ci sont pris en charge par ACS 5.x.

    Remarque : l'intégration du domaine Microsoft Windows Server 2008 R2 avec ACS est prise en charge depuis ACS 5.2 et versions ultérieures.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco Secure ACS 5.3

  • Domaine Microsoft Windows Server 2003

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Windows Active Directory fournit de nombreuses fonctionnalités utilisées dans l'utilisation quotidienne du réseau. L'intégration d'ACS 5.x à AD permet l'utilisation des utilisateurs AD existants, des machines et de leur mappage de groupe.

ACS 5.x intégré à AD offre les fonctionnalités suivantes :

  1. Authentification de machine

  2. Récupération d'attribut pour autorisation

  3. Récupération de certificat pour l'authentification EAP-TLS

  4. Restriction de compte d'utilisateur et d'ordinateur

  5. Restrictions d'accès aux machines

  6. Vérification des autorisations de numérotation

  7. Options de rappel pour les utilisateurs de la numérotation

  8. Attributs de support de numérotation

Configuration

Configurer le moteur de déploiement d'applications ACS 5.x (ADE-OS)

Avant d'intégrer ACS 5.x à AD, assurez-vous que le fuseau horaire, la date et l'heure de l'ACS correspondent à celui du contrôleur de domaine principal AD. Définissez également le serveur DNS sur ACS afin de pouvoir résoudre le nom de domaine à partir de ACS 5.x. Complétez ces étapes afin de configurer ADE-OS (Application Deployment Engine) ACS 5.x :

  1. SSH à l'appliance ACS et saisissez les informations d'identification CLI.

  2. Émettez la commande clock timezone en mode de configuration comme indiqué afin de configurer le TIMEZONE sur l'ACS afin de correspondre avec celui sur le contrôleur de domaine.

    clock timezone Asia/Kolkata

    Note : Asie/Calcutta est le fuseau horaire utilisé dans ce document. Vous pouvez trouver votre fuseau horaire spécifique par la commande show timezones du mode exec.

  3. Si votre contrôleur de domaine AD est synchronisé avec un serveur NTP qui réside sur votre réseau, il est fortement recommandé d'utiliser le même serveur NTP sur l'ACS. Si vous n'avez pas de serveur NTP, passez à l'étape 4. Voici les étapes à suivre pour configurer le serveur NTP :

  4. Afin de configurer la date et l'heure manuellement, utilisez la commande clock set en mode exec. Un exemple est montré ici :

    clock set Jun 8 10:36:00 2012
Clock was modified. You must restart ACS.
Do you want to restart ACS now? (yes/no) yes
Stopping ACS.
Stopping Management and View......................
Stopping Runtime......
Stopping Database....
Cleanup.....
Starting ACS ....

To verify that ACS processes are running, use the
'show application status acs' command.

  5. Maintenant, vérifiez le fuseau horaire, la date et l'heure à l'aide de la commande show clock. Le résultat de la commande show clock est affiché ici :

    acs51/admin# show clock
Fri Jun  8 10:36:05 IST 2012

  6. Configurez DNS sur ACS avec la <ip name-server <ip address of the DNS> en mode de configuration comme indiqué ici :

    ip name-server 192.168.26.55

    Remarque : L'adresse IP DNS est fournie par votre administrateur de domaine Windows.

  7. Émettez la commande nslookup <nom de domaine> afin de vérifier l'accessibilité du nom de domaine comme indiqué.

    acs51/admin#nslookup MCS55.com
Trying "MCS55.com"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60485
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; QUESTION SECTION:
;MCS55.com.                     IN      ANY

;; ANSWER SECTION:
MCS55.com.              600     IN      A       192.168.26.55
MCS55.com.              3600    IN      NS      admin-zq2ttn9ux.MCS55.com.
MCS55.com.              3600    IN      SOA     admin-zq2ttn9ux.MCS55.com. 
   hostmaster.MCS55.com. 635 900 600 86400 3600

;; ADDITIONAL SECTION:
admin-zq2ttn9ux.MCS55.com. 3600 IN      A       192.168.26.55

Received 136 bytes from 192.168.26.55#53 in 0 ms

    Remarque : Si la SECTION DE RÉPONSE est vide, contactez votre administrateur de domaine Windows pour connaître le serveur DNS correct pour le domaine.

  8. Émettez la commande ip domain-name <domain name> afin de configurer DOMAIN-NAME sur l'ACS comme indiqué ici :

    ip domain-name MCS55.com

  9. Émettez la commande hostname <hostname> afin de configurer HOSTNAME sur ACS comme indiqué ici :

    hostname acs51

    Remarque : en raison des limitations NETBIOS, les noms d'hôtes ACS doivent contenir moins ou égal à 15 caractères.

  10. Émettez la commande Write memory afin d'enregistrer la configuration dans ACS.

Joindre ACS 5.x à AD

Complétez ces étapes afin de joindre ACS5.x à AD :

  1. Choisissez Utilisateurs et magasins d'identités > Magasins d'identités externes > Active Directory et indiquez le nom de domaine, le compte AD (nom d'utilisateur) et son mot de passe, puis cliquez sur Tester la connexion.

    Remarque : le compte AD requis pour l'accès au domaine dans ACS doit avoir l'un des éléments suivants :

    • Ajoutez des stations de travail à la droite utilisateur du domaine dans le domaine correspondant.

    • Autorisation de création d'objets d'ordinateur ou de suppression d'objets d'ordinateur sur le conteneur d'ordinateurs correspondant où le compte de l'ordinateur ACS est créé avant de joindre l'ordinateur ACS au domaine.

    Remarque : Cisco recommande de désactiver la stratégie de verrouillage du compte ACS et de configurer l'infrastructure AD pour envoyer des alertes à l'administrateur si un mot de passe incorrect est utilisé pour ce compte. En effet, si vous saisissez un mot de passe incorrect, ACS ne crée ni ne modifie son compte machine lorsque cela est nécessaire et peut donc refuser toutes les authentifications.

    Remarque : Le compte AD Windows, qui joint ACS au domaine AD, peut être placé dans sa propre unité d'organisation. Il réside dans sa propre unité d'organisation, soit lors de la création du compte, soit ultérieurement avec une restriction selon laquelle le nom de l'appliance doit correspondre au nom du compte AD.

    acs5-ad_int_config-01.gif

  2. Cette capture d'écran montre que la connexion de test à AD est réussie. Cliquez ensuite sur OK.

    acs5-ad_int_config-02.gif

    Remarque : La configuration de la centralisation est affectée et parfois déconnectée en cas de réponse lente du serveur pendant que vous testez la connexion ACS avec le domaine AD. Cependant, il fonctionne parfaitement avec les autres applications.

  3. Cliquez sur Enregistrer les modifications pour que ACS rejoigne AD.

    acs5-ad_int_config-03.gif

  4. Une fois que ACS a joint le domaine AD, il s'affiche dans l'état de connectivité.

    acs5-ad_int_config-04.gif

    Remarque : Lorsque vous configurez un magasin d'identités AD, ACS crée également :

    • Un nouveau dictionnaire pour ce magasin avec deux attributs : ExternalGroups et un autre attribut pour tout attribut extrait de la page Attributs de répertoire.

    • Un nouvel attribut, IdentityAccessRestricted. Vous pouvez créer manuellement une condition personnalisée pour cet attribut.

    • Une condition personnalisée pour le mappage de groupe à partir de l'attribut ExternalGroup ; le nom de la condition personnalisée est AD1 : ExternalGroups et une autre condition personnalisée pour chaque attribut sélectionné dans la page Attributs de répertoire, par exemple, AD1 : cn.

Configurer le service d'accès

Complétez ces étapes afin de terminer la configuration du service d'accès afin qu'ACS puisse utiliser la nouvelle intégration AD configurée.

  1. Choisissez le service à partir duquel vous souhaitez que les utilisateurs soient authentifiés à partir d'AD et cliquez sur Identité. Cliquez maintenant sur Sélectionner en regard du champ Source d'identité.

    acs5-ad_int_config-05.gif

  2. Choisissez AD1 et cliquez sur OK.

    acs5-ad_int_config-06.gif

  3. Cliquez sur Enregistrer les modifications.

    acs5-ad_int_config-07.gif

Vérification

Afin de vérifier l'authentification AD, envoyez une demande d'authentification à partir d'un NAS avec des informations d'identification AD. Assurez-vous que le NAS est configuré sur l'ACS et que la demande est traitée par le service d'accès configuré dans la section précédente.

  1. Après une authentification réussie à partir du NAS, connectez-vous à l'interface utilisateur graphique ACS et choisissez Monitoring and Reports > AAA Protocol > TACACS+Authentication. Identifiez l'authentification passée dans la liste et cliquez sur le symbole de loupe comme indiqué.

    acs5-ad_int_config-08.gif

  2. Vous pouvez vérifier à partir des étapes que ACS a envoyé une demande d'authentification à AD.

    acs5-ad_int_config-09.gif

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
19-Jun-2012
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits