이 문서에서는 Cisco ACS(Access Control System) 버전 5.x를 RSA SecurID 인증 기술과 통합하는 방법에 대해 설명합니다.
Cisco Secure ACS는 RSA SecurID 서버를 외부 데이터베이스로 지원합니다.
RSA SecurID 2단계 인증은 사용자의 PIN(Personal Identification Number)과 시간 코드 알고리즘을 기반으로 단일 사용 토큰 코드를 생성하는 개별적으로 등록된 RSA SecurID 토큰으로 구성됩니다.
다른 토큰 코드는 고정된 간격으로 생성되며, 대개 30초나 60초마다 생성됩니다.RSA SecurID 서버는 이 동적 인증 코드를 검증합니다.각 RSA SecurID 토큰은 고유하며, 이전 토큰을 기준으로 향후 토큰의 값을 예측할 수 없습니다.
따라서 올바른 토큰 코드가 PIN과 함께 제공되면 해당 사용자가 유효한 사용자임을 확신하는 수준이 높습니다.따라서 RSA SecurID 서버는 기존의 재사용 가능한 비밀번호보다 더 안정적인 인증 메커니즘을 제공합니다.
다음과 같은 방법으로 Cisco ACS 5.x를 RSA SecurID 인증 기술과 통합할 수 있습니다.
Cisco에서는 이러한 주제에 대한 기본적인 지식을 얻을 것을 권장합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
이 절차에서는 RSA SecurID 서버 관리자가 인증 에이전트 및 구성 파일을 생성하는 방법에 대해 설명합니다.인증 에이전트는 기본적으로 DNS(Domain Name Server) 이름 및 RSA 데이터베이스에 액세스할 수 있는 권한이 있는 디바이스, 소프트웨어 또는 서비스의 IP 주소입니다.구성 파일은 기본적으로 RSA 토폴로지 및 통신에 대해 설명합니다.
이 예에서는 RSA 관리자가 두 ACS 인스턴스에 대해 두 개의 에이전트를 생성해야 합니다.
이 절차에서는 ACS 관리자가 구성 파일을 검색하고 전송하는 방법에 대해 설명합니다.
이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.
성공적으로 로그인했는지 확인하려면 ACS 콘솔로 이동하여 Hit Count(히트 수)를 검토합니다.
ACS 로그에서 인증 세부 정보를 검토할 수도 있습니다.
성공적인 인증을 확인하려면 RSA 콘솔로 이동하여 로그를 검토합니다.
이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
ACS 버전 5.3에서 RSA SecurID 토큰 서버를 구성하려면 ACS 관리자에게 sdconf.rec 파일이 있어야 합니다.sdconf.rec 파일은 RSA 에이전트가 RSA SecurID 서버 영역과 통신하는 방법을 지정하는 구성 레코드 파일입니다.
sdconf.rec 파일을 생성하려면 RSA 관리자가 ACS 호스트를 RSA SecurID 서버의 에이전트 호스트로 추가하고 이 에이전트 호스트에 대한 구성 파일을 생성해야 합니다.
에이전트가 처음에 RSA SecurID 서버와 통신하면 서버는 에이전트에 securid 라는 노드 비밀 파일을 제공합니다.서버와 에이전트 간의 후속 통신은 다른 노드의 신뢰성을 확인하기 위해 노드 비밀의 교환에 의존합니다.
관리자가 노드 암호를 재설정해야 하는 경우도 있습니다.
RSA SecurID 에이전트는 영역의 RSA SecurID 서버에서 요청된 로드 밸런싱을 자동으로 수행합니다.그러나 로드 밸런싱을 수동으로 수행할 수 있습니다.각 에이전트 호스트에서 사용하는 서버를 지정할 수 있습니다.에이전트 호스트가 다른 서버보다 더 자주 일부 서버에 인증 요청을 리디렉션하도록 각 서버에 우선순위를 할당할 수 있습니다.
텍스트 파일에서 우선 순위 설정을 지정하고 sdopts.rec로 저장한 다음 ACS에 업로드해야 합니다.
RSA SecurID 서버가 다운되면 자동 제외 메커니즘이 항상 신속하게 작동하지 않습니다.이 프로세스를 가속화하기 위해 ACS에서 sdstatus.12 파일을 제거합니다.