Inleiding
In dit document wordt inzicht in de afbraak van Kerberos vanuit ASA 9.22 beschreven.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van basisbeveiligingsconcepten:
- Basiskennis van ASA CLI.
- Basiskennis van AAA (verificatie, autorisatie en accounting)
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Alle ASA-platforms
- ASA CLI 9.2.1
- ASDM 7.2.1
- CSM 4.29
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
ASA CLI-configuratieanalyse
ASA CLI - Overzicht:
- In de opdrachtoutput zijn de vetgedrukte opties italichave uit de CLI verwijderd.
- Upgrades van versies voorafgaand aan 9.22 die deze configuraties bevatten resulteren in een waarschuwingsbericht op de console tijdens de opstarttijd.
ciscoasa(config)# aaa-server curb protocol?
opdrachten/opties voor configuratie-modus:
http-form Protocol HTTP-formuliergebaseerd
Kerberos Protocol Kerberos (AFGEKEURD)
LDAP-protocol LDAP
RADIUS-protocolRADIUS
SDI-protocol SDI
Tacacs+-protocol
ciscoasa(config)# aaa-server curb protocol kerberos
ciscoasa(config-aaa-server-group)#?
Opdrachten voor AAA-serverconfiguratie:
afsluiten uit configuratiemodus van aaa-servergroep
Help-ondersteuning voor configuratieopdrachten voor AAA-server
max-fail-pogingen Geef het maximum aantal storingen op dat is toegestaan voor elke server in de groep voordat die server wordt gedeactiveerd
no Verwijder een item uit de configuratie van de aaa-servergroep
reactiveringsmodus Hiermee geeft u de methode op waarmee defecte servers worden gereactiveerd
validate-kdc KDC-validatie inschakelen tijdens kerberos user auth
ciscoasa (config)# test aaa-server authenticatie curb?
Opdrachten/opties voor uitvoermodus:
gedelegeerde Test Kerberos beperkte delegatie
host Voer dit trefwoord in om het IP-adres voor de server op te geven
Testen Kerberos-protocolovergang nabootsen
wachtwoord wachtwoord wachtwoord wachtwoord wachtwoord
self-Test Kerberos self-ticket ophalen
Gebruikersnaam Gebruikersnaam sleutelwoord
ciscoasa(config)# aaa-server ldaps protocol Ldap
ciscoasa (config-aaa-server-group)# aaa-server ldaps host x.x.x.x
ciscoasa (config-aaa-server-host)# sasl-mechanisme?
Opdrachten/opties voor Aa-server-host modus:
digest-md5 selecteer Digest-MD5
kerberos selecteren Kerberos
ciscoasa (config)# debug kerberos
ASDM-configuratieanalyse
ASDM-overzicht:
- Kerberos wordt niet meer ondersteund door ASDM 7.22
- Hierdoor wordt de mogelijkheid voor eindgebruikers om AAA-servergroepen te configureren met het Kerberos-protocol en met het LDAP SASL-mechanisme afgekeurd.
- Als deel van deze afschrijving, is AAA Kerberos niet meer vermeld in TreeMenu onder Gebruikers/AAA in Apparaatbeheer.
- Microsoft KCD Server wordt ook niet meer ondersteund.
ASDM: Kerberos-protocol in nieuwe AAA-servergroep
ASDM: AAA Kerberos
ASDM: Kerberos-protocol in nieuwe AAA-servergroep
ASDM: Kerberos-configuratie voor LDAP SASL
CSM-configuratieanalyse
CSM - Overzicht:
- Kerberos-protocol wordt niet langer ondersteund.
- Hierdoor wordt de mogelijkheid voor eindgebruikers om AAA-servergroepen te configureren met het Kerberos-protocol en met het LDAP SASL-mechanisme afgekeurd.
- Microsoft KCD Server wordt ook niet meer ondersteund.
- In plaats van Kerberos-ondersteuning te verwijderen uit CSM, wordt deze verwerkt in Activiteitenvalidatie.
- Activeringsvalidatie geeft een foutmelding voor 9.22.1 ASA-versie en zegt dat Kerberos-protocol vanaf versie 9.22.1 niet wordt ondersteund.
Configuratie CSM Kerberos
PAD: CSM>Firewall > AAA-regels > AAA-servergroep > Toevoegen > Kerberos
- Opslaan
- Voorbeeld van Config voor resultaat van activiteitenvalidatie.

CSM Kerberos-configuratie voor LDAP SASL
PAD: CSM>Firewall > AAA-regels > AAA-servergroep > Add > Protocol > LDAP > SASL
- Opslaan
- Voorbeeld van Config voor resultaat van activiteitenvalidatie.
