Smantellamento di Kerberos dall'appliance ASA 9.2

Opzioni per il download

PDF (1.1 MB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (1.0 MB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (719.1 KB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:20 marzo 2025

ID documento:222875

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Procedura dettagliata per la configurazione di ASA CLI

Procedura dettagliata per la configurazione di ASDM

Procedura dettagliata per la configurazione del modulo CSM

Introduzione

Questo documento descrive le informazioni dettagliate sull'obsolescenza di Kerberos da ASA 9.2.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti base sulla sicurezza:

Conoscenze base della CLI di ASA.
Conoscenze base di AAA (autenticazione, autorizzazione e accounting)

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

Tutte le piattaforme ASA
ASA CLI 9.2.1
ASDM 7.2.1
CSM 4.29

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Procedura dettagliata per la configurazione di ASA CLI

Panoramica della CLI di ASA:

Nell'output del comando, le opzioni in bold italic sono state rimosse dalla CLI.
Gli aggiornamenti dalle versioni precedenti alla 9.22 che contengono queste configurazioni generano un messaggio di avviso sulla console durante il tempo di avvio.

cisco-asa(config)# aaa-server curb protocol?

configurare i comandi/le opzioni della modalità:

http-form Protocollo HTTP basato su form

Kerberos, protocollo Kerberos (DEPRECATO)

LDAP protocollo LDAP

Radius Protocollo RADIUS

SDI Protocollo sdi

Protocollo TACACS+ TACACS+

cisco-asa(config)# kerberos protocollo curb aaa-server

ciscoasa(config-aaa-server-group)# ?

Comandi di configurazione del server AAA:

uscire dalla modalità di configurazione gruppo aaa-server

Guida ai comandi di configurazione del server AAA

max-failed-try Specifica il numero massimo di errori consentiti per qualsiasi server del gruppo prima che il server venga disattivato

no Rimuovere un elemento dalla configurazione del gruppo aaa-server

modalità di riattivazione Specificare il metodo di riattivazione dei server in errore

validate-kdc Abilita la convalida KDC durante l'autenticazione utente Kerberos

cisco asa(config)# test aaa-server authentication curb?

comandi/opzioni modalità di esecuzione:

delega Delega vincolata Kerberos test

host Immettere questa parola chiave per specificare l'indirizzo IP del server

rappresentazione della transizione del protocollo Kerberos di test

password Parola chiave Password

test automatico recupero ticket Kerberos

username Parola chiave Username

cisco asa(config)# protocollo ldap aaa-server

cisco-asa(config-aaa-server-group)# host aaa-server ldap x.x.x

cisco-asa(config-aaa-server-host)# sasl-mechanism ?

comandi/opzioni modalità host-server-aaa:

digest-md5 select Digest-MD5

Kerberos selezione Kerberos

cisco(config)# debug kerberos

Procedura dettagliata per la configurazione di ASDM

Panoramica di ASDM:

Kerberos non è più supportato da ASDM 7.2
In questo modo, gli utenti finali non possono più configurare i gruppi di server AAA con il protocollo Kerberos e con il meccanismo LDAP SASL.
Come parte di questa deprecazione, AAA Kerberos non è più elencato in TreeMenu sotto Users/AAA in Device Management.
Microsoft KCD Server non è più supportato.

ASDM: Kerberos Protocol in New AAA Server Group ASDM: Protocollo Kerberos nel nuovo gruppo di server AAA

ASDM: AAA Kerberos

ASDM: Kerberos Protocol in New AAA Server Group ASDM: Protocollo Kerberos nel nuovo gruppo di server AAA

ASDM: Kerberos Configuration for LDAP SASL ASDM: Configurazione Kerberos per SASL LDAP

Procedura dettagliata per la configurazione del modulo CSM

Panoramica di CSM:

Protocollo Kerberos non più supportato.
In questo modo, gli utenti finali non possono più configurare i gruppi di server AAA con il protocollo Kerberos e con il meccanismo LDAP SASL.
Microsoft KCD Server non è più supportato.
Anziché rimuovere il supporto Kerberos da CSM, viene gestito in Convalida attività.
La convalida dell'attività genera un messaggio di errore per la versione 9.22.1 dell'ASA e successive: il protocollo Kerberos non è supportato a partire dalla versione 9.22.1.

CSM Kerberos Configuration Configurazione CSM Kerberos