Ce document décrit comment intégrer une version 5.x du système de contrôle d'accès de Cisco (ACS) avec la technologie d'authentification de la RSA SecurID.
Le Cisco Secure ACS prend en charge le serveur RSA SecurID comme base de données externe.
L'authentification à deux facteurs RSA SecurID comprend le numéro d'identification personnel de l'utilisateur (PIN) et un jeton individuellement enregistré RSA SecurID qui génère les codes de symboles à utiliser une seule fois basés sur un algorithme de code de temps.
Un code de symboles différent est généré à intervalles fixes, habituellement toutes les 30 ou 60 secondes. Le serveur RSA SecurID valide ce code dynamique d'authentification. Chaque jeton RSA SecurID est seul, et il n'est pas possible de prévoir la valeur des jetons passés en fonction basés un futur par jeton.
Ainsi, quand un code de symboles correct est fourni ainsi qu'un PIN, il y a un degré élevé de certitude que la personne est un utilisateur valide. Par conséquent, les serveurs RSA SecurID fournissent un mécanisme d'authentification plus fiable que des mots de passe réutilisables conventionnels.
Vous pouvez intégrer Cisco ACS 5.x avec la technologie d'authentification RSA SecurID de ces manières :
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Cette procédure décrit comment l'administrateur du serveur RSA SecurID crée des agents d'authentification et un fichier de configuration. Un agent d'authentification est fondamentalement un nom de Domain Name Server (DN) et une adresse IP d'un périphérique, d'un logiciel, ou d'un service qui a des droits d'accéder à la base de données RSA. Le fichier de configuration décrit fondamentalement la topologie et la transmission RSA.
Dans cet exemple, l'administrateur RSA doit créer deux agents pour les deux exemples ACS.
Cette procédure décrit comment l'administrateur ACS récupère et soumet le fichier de configuration.
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Afin de vérifier une procédure de connexion réussie, allez à la console ACS, et passez en revue le nombre de hits :
Vous pouvez également passer en revue les détails d'authentification des logs ACS :
Afin de vérifier l'authentification réussie, aller à la console RSA, et passer en revue les logs :
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Afin de configurer un serveur de jetons de la RSA SecurID dans la version 5.3 ACS, l'administrateur ACS doit avoir le fichier sdconf.rec. Le fichier sdconf.rec est un fichier record de configuration qui spécifie comment l'agent RSA communique avec le royaume de serveur RSA SecurID.
Afin de créer le fichier sdconf.rec, l'administrateur RSA devrait ajouter l'hôte ACS comme hôte d'agent sur le serveur RSA SecurID et générer un fichier de configuration pour cet hôte d'agent.
Après que l'agent communique au commencement avec le serveur RSA SecurID, le serveur fournit à l'agent un fichier secret de noeud appelé le securid. La transmission ultérieure entre le serveur et l'agent se fonde sur l'échange du secret de noeud afin de vérifier l'autre authenticité.
Parfois, les administrateurs pourraient devoir remettre à l'état initial le secret de noeud :
L'agent RSA SecurID équilibre automatiquement les chargements demandés sur les serveurs RSA SecurID dans le royaume. Cependant, vous avez l'option d'équilibrer manuellement le chargement. Vous pouvez spécifier le serveur utilisé par chacun des hôtes d'agent. Vous pouvez assigner une priorité à chaque serveur de sorte que l'hôte d'agent dirige des demandes d'authentification vers quelques serveurs plus fréquemment que d'autres.
Vous devez spécifier les configurations de la priorité dans un fichier texte, les sauvegarder comme sdopts.rec, et les télécharger à l'ACS.
Quand un serveur RSA SecurID est en panne, le mécanisme automatique d'exclusion ne fonctionne pas toujours rapidement. Retirez le fichier sdstatus.12 de l'ACS afin d'accélérer ce processus.