Introduzione
Questo documento descrive le informazioni dettagliate sull'obsolescenza di Kerberos da ASA 9.2.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti base sulla sicurezza:
- Conoscenze base della CLI di ASA.
- Conoscenze base di AAA (autenticazione, autorizzazione e accounting)
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Tutte le piattaforme ASA
- ASA CLI 9.2.1
- ASDM 7.2.1
- CSM 4.29
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Procedura dettagliata per la configurazione di ASA CLI
Panoramica della CLI di ASA:
- Nell'output del comando, le opzioni in bold italic sono state rimosse dalla CLI.
- Gli aggiornamenti dalle versioni precedenti alla 9.22 che contengono queste configurazioni generano un messaggio di avviso sulla console durante il tempo di avvio.
cisco-asa(config)# aaa-server curb protocol?
configurare i comandi/le opzioni della modalità:
http-form Protocollo HTTP basato su form
Kerberos, protocollo Kerberos (DEPRECATO)
LDAP protocollo LDAP
Radius Protocollo RADIUS
SDI Protocollo sdi
Protocollo TACACS+ TACACS+
cisco-asa(config)# kerberos protocollo curb aaa-server
ciscoasa(config-aaa-server-group)# ?
Comandi di configurazione del server AAA:
uscire dalla modalità di configurazione gruppo aaa-server
Guida ai comandi di configurazione del server AAA
max-failed-try Specifica il numero massimo di errori consentiti per qualsiasi server del gruppo prima che il server venga disattivato
no Rimuovere un elemento dalla configurazione del gruppo aaa-server
modalità di riattivazione Specificare il metodo di riattivazione dei server in errore
validate-kdc Abilita la convalida KDC durante l'autenticazione utente Kerberos
cisco asa(config)# test aaa-server authentication curb?
comandi/opzioni modalità di esecuzione:
delega Delega vincolata Kerberos test
host Immettere questa parola chiave per specificare l'indirizzo IP del server
rappresentazione della transizione del protocollo Kerberos di test
password Parola chiave Password
test automatico recupero ticket Kerberos
username Parola chiave Username
cisco asa(config)# protocollo ldap aaa-server
cisco-asa(config-aaa-server-group)# host aaa-server ldap x.x.x
cisco-asa(config-aaa-server-host)# sasl-mechanism ?
comandi/opzioni modalità host-server-aaa:
digest-md5 select Digest-MD5
Kerberos selezione Kerberos
cisco(config)# debug kerberos
Procedura dettagliata per la configurazione di ASDM
Panoramica di ASDM:
- Kerberos non è più supportato da ASDM 7.2
- In questo modo, gli utenti finali non possono più configurare i gruppi di server AAA con il protocollo Kerberos e con il meccanismo LDAP SASL.
- Come parte di questa deprecazione, AAA Kerberos non è più elencato in TreeMenu sotto Users/AAA in Device Management.
- Microsoft KCD Server non è più supportato.
ASDM: Protocollo Kerberos nel nuovo gruppo di server AAA
ASDM: AAA Kerberos
ASDM: Protocollo Kerberos nel nuovo gruppo di server AAA
ASDM: Configurazione Kerberos per SASL LDAP
Procedura dettagliata per la configurazione del modulo CSM
Panoramica di CSM:
- Protocollo Kerberos non più supportato.
- In questo modo, gli utenti finali non possono più configurare i gruppi di server AAA con il protocollo Kerberos e con il meccanismo LDAP SASL.
- Microsoft KCD Server non è più supportato.
- Anziché rimuovere il supporto Kerberos da CSM, viene gestito in Convalida attività.
- La convalida dell'attività genera un messaggio di errore per la versione 9.22.1 dell'ASA e successive: il protocollo Kerberos non è supportato a partire dalla versione 9.22.1.
Configurazione CSM Kerberos
PERCORSO: CSM>Firewall > Regole AAA > Gruppo server AAA > Aggiungi > Kerberos
- Salva
- Anteprima configurazione per risultato convalida attività.

Configurazione CSM Kerberos per SASL LDAP
PERCORSO: CSM>Firewall > Regole AAA > Gruppo server AAA > Aggiungi > Protocollo > LDAP > SASL
- Salva
- Anteprima configurazione per risultato convalida attività.
