Ce document fournit un exemple de configuration pour intégrer Microsoft Active Directory avec le système de contrôle d'accès sécurisé Cisco (ACS) 5.x et plus. ACS utilise le Microsoft Active Directory (AD) comme mémoire externe d'identité pour enregistrer des ressources comme des utilisateurs, ordinateurs, groupes, et attributs. ACS authentifie ces ressources contre AD.
Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :
Le domaine Active Directory Windows à utiliser doit être entièrement configuré et opérationnel.
Utilisez Domaine Microsoft Windows Server 2003, Domaine Microsoft Windows Server 2008 ou Domaine Microsoft Windows Server 2008 R2, car ceux-ci sont pris en charge par ACS 5.x.
Remarque : l'intégration du domaine Microsoft Windows Server 2008 R2 avec ACS est prise en charge depuis ACS 5.2 et versions ultérieures.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Cisco Secure ACS 5.3
Domaine Microsoft Windows Server 2003
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Windows Active Directory fournit de nombreuses fonctionnalités utilisées dans l'utilisation quotidienne du réseau. L'intégration d'ACS 5.x à AD permet l'utilisation des utilisateurs AD existants, des machines et de leur mappage de groupe.
ACS 5.x intégré à AD offre les fonctionnalités suivantes :
Authentification de machine
Récupération d'attribut pour autorisation
Récupération de certificat pour l'authentification EAP-TLS
Restriction de compte d'utilisateur et d'ordinateur
Restrictions d'accès aux machines
Vérification des autorisations de numérotation
Options de rappel pour les utilisateurs de la numérotation
Attributs de support de numérotation
Avant d'intégrer ACS 5.x à AD, assurez-vous que le fuseau horaire, la date et l'heure de l'ACS correspondent à celui du contrôleur de domaine principal AD. Définissez également le serveur DNS sur ACS afin de pouvoir résoudre le nom de domaine à partir de ACS 5.x. Complétez ces étapes afin de configurer ADE-OS (Application Deployment Engine) ACS 5.x :
SSH à l'appliance ACS et saisissez les informations d'identification CLI.
Émettez la commande clock timezone en mode de configuration comme indiqué afin de configurer le TIMEZONE sur l'ACS afin de correspondre avec celui sur le contrôleur de domaine.
clock timezone Asia/Kolkata
Note : Asie/Calcutta est le fuseau horaire utilisé dans ce document. Vous pouvez trouver votre fuseau horaire spécifique par la commande show timezones du mode exec.
Si votre contrôleur de domaine AD est synchronisé avec un serveur NTP qui réside sur votre réseau, il est fortement recommandé d'utiliser le même serveur NTP sur l'ACS. Si vous n'avez pas de serveur NTP, passez à l'étape 4. Voici les étapes à suivre pour configurer le serveur NTP :
Le serveur NTP peut être configuré avec la commande ntp server <adresse ip du serveur NTP> en mode de configuration, comme indiqué.
ntp server 192.168.26.55 The NTP server was modified. If this action resulted in a clock modification, you must restart ACS.
Reportez-vous à ACS 5.x : Exemple de configuration de la synchronisation Cisco ACS avec le serveur NTP pour plus d'informations sur la configuration NTP.
Afin de configurer la date et l'heure manuellement, utilisez la commande clock set en mode exec. Un exemple est montré ici :
clock set Jun 8 10:36:00 2012 Clock was modified. You must restart ACS. Do you want to restart ACS now? (yes/no) yes Stopping ACS. Stopping Management and View...................... Stopping Runtime...... Stopping Database.... Cleanup..... Starting ACS .... To verify that ACS processes are running, use the 'show application status acs' command.
Maintenant, vérifiez le fuseau horaire, la date et l'heure à l'aide de la commande show clock. Le résultat de la commande show clock est affiché ici :
acs51/admin# show clock Fri Jun 8 10:36:05 IST 2012
Configurez DNS sur ACS avec la <ip name-server <ip address of the DNS> en mode de configuration comme indiqué ici :
ip name-server 192.168.26.55
Remarque : L'adresse IP DNS est fournie par votre administrateur de domaine Windows.
Émettez la commande nslookup <nom de domaine> afin de vérifier l'accessibilité du nom de domaine comme indiqué.
acs51/admin#nslookup MCS55.com Trying "MCS55.com" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60485 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; QUESTION SECTION: ;MCS55.com. IN ANY ;; ANSWER SECTION: MCS55.com. 600 IN A 192.168.26.55 MCS55.com. 3600 IN NS admin-zq2ttn9ux.MCS55.com. MCS55.com. 3600 IN SOA admin-zq2ttn9ux.MCS55.com. hostmaster.MCS55.com. 635 900 600 86400 3600 ;; ADDITIONAL SECTION: admin-zq2ttn9ux.MCS55.com. 3600 IN A 192.168.26.55 Received 136 bytes from 192.168.26.55#53 in 0 ms
Remarque : Si la SECTION DE RÉPONSE est vide, contactez votre administrateur de domaine Windows pour connaître le serveur DNS correct pour le domaine.
Émettez la commande ip domain-name <domain name> afin de configurer DOMAIN-NAME sur l'ACS comme indiqué ici :
ip domain-name MCS55.com
Émettez la commande hostname <hostname> afin de configurer HOSTNAME sur ACS comme indiqué ici :
hostname acs51
Remarque : en raison des limitations NETBIOS, les noms d'hôtes ACS doivent contenir moins ou égal à 15 caractères.
Émettez la commande Write memory afin d'enregistrer la configuration dans ACS.
Complétez ces étapes afin de joindre ACS5.x à AD :
Choisissez Utilisateurs et magasins d'identités > Magasins d'identités externes > Active Directory et indiquez le nom de domaine, le compte AD (nom d'utilisateur) et son mot de passe, puis cliquez sur Tester la connexion.
Remarque : le compte AD requis pour l'accès au domaine dans ACS doit avoir l'un des éléments suivants :
Ajoutez des stations de travail à la droite utilisateur du domaine dans le domaine correspondant.
Autorisation de création d'objets d'ordinateur ou de suppression d'objets d'ordinateur sur le conteneur d'ordinateurs correspondant où le compte de l'ordinateur ACS est créé avant de joindre l'ordinateur ACS au domaine.
Remarque : Cisco recommande de désactiver la stratégie de verrouillage du compte ACS et de configurer l'infrastructure AD pour envoyer des alertes à l'administrateur si un mot de passe incorrect est utilisé pour ce compte. En effet, si vous saisissez un mot de passe incorrect, ACS ne crée ni ne modifie son compte machine lorsque cela est nécessaire et peut donc refuser toutes les authentifications.
Remarque : Le compte AD Windows, qui joint ACS au domaine AD, peut être placé dans sa propre unité d'organisation. Il réside dans sa propre unité d'organisation, soit lors de la création du compte, soit ultérieurement avec une restriction selon laquelle le nom de l'appliance doit correspondre au nom du compte AD.
Cette capture d'écran montre que la connexion de test à AD est réussie. Cliquez ensuite sur OK.
Remarque : La configuration de la centralisation est affectée et parfois déconnectée en cas de réponse lente du serveur pendant que vous testez la connexion ACS avec le domaine AD. Cependant, il fonctionne parfaitement avec les autres applications.
Cliquez sur Enregistrer les modifications pour que ACS rejoigne AD.
Une fois que ACS a joint le domaine AD, il s'affiche dans l'état de connectivité.
Remarque : Lorsque vous configurez un magasin d'identités AD, ACS crée également :
Un nouveau dictionnaire pour ce magasin avec deux attributs : ExternalGroups et un autre attribut pour tout attribut extrait de la page Attributs de répertoire.
Un nouvel attribut, IdentityAccessRestricted. Vous pouvez créer manuellement une condition personnalisée pour cet attribut.
Une condition personnalisée pour le mappage de groupe à partir de l'attribut ExternalGroup ; le nom de la condition personnalisée est AD1 : ExternalGroups et une autre condition personnalisée pour chaque attribut sélectionné dans la page Attributs de répertoire, par exemple, AD1 : cn.
Complétez ces étapes afin de terminer la configuration du service d'accès afin qu'ACS puisse utiliser la nouvelle intégration AD configurée.
Choisissez le service à partir duquel vous souhaitez que les utilisateurs soient authentifiés à partir d'AD et cliquez sur Identité. Cliquez maintenant sur Sélectionner en regard du champ Source d'identité.
Choisissez AD1 et cliquez sur OK.
Cliquez sur Enregistrer les modifications.
Afin de vérifier l'authentification AD, envoyez une demande d'authentification à partir d'un NAS avec des informations d'identification AD. Assurez-vous que le NAS est configuré sur l'ACS et que la demande est traitée par le service d'accès configuré dans la section précédente.
Après une authentification réussie à partir du NAS, connectez-vous à l'interface utilisateur graphique ACS et choisissez Monitoring and Reports > AAA Protocol > TACACS+Authentication. Identifiez l'authentification passée dans la liste et cliquez sur le symbole de loupe comme indiqué.
Vous pouvez vérifier à partir des étapes que ACS a envoyé une demande d'authentification à AD.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
19-Jun-2012 |
Première publication |