Introdução
Este documento descreve insight sobre a substituição de Kerberos do ASA 9.22.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento dos conceitos básicos de segurança:
- Conhecimento básico da CLI do ASA.
- Conhecimento básico de AAA (Authentication, Authorization, and Accounting)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Todas as plataformas ASA
- ASA CLI 9.22.1
- ASDM 7.22.1
- CSM 4.29
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Passo a Passo da Configuração do ASA CLI
Visão geral do ASA CLI:
- Na saída do comando, as opções em negrito itálico foram removidas da CLI.
- Atualizações de versões anteriores à 9.22 que contêm essas configurações resultam em uma mensagem de aviso no console durante o tempo de inicialização.
ciscoasa(config)# aaa-server curb protocol ?
configurar comandos/opções do modo:
Protocolo de forma http Baseado em forma HTTP
Kerberos Protocol Kerberos ( PRETERIDO)
LDAP de protocolo LDAP
RADIUS do protocolo radius
Sdi Protocol SDI
TACACS+ Protocolo TACACS+
ciscoasa(config)# aaa-server curb protocol kerberos
ciscoasa(config-aaa-server-group)# ?
Comandos de configuração do servidor AAA:
exit Sair do modo de configuração de grupo aaa-server
help Help para comandos de configuração do servidor AAA
max-failed-attempts Especifique o número máximo de falhas permitidas para qualquer servidor do grupo antes que o servidor seja desativado
no Remove um item da configuração de grupo de aaa-server
reativation-mode Especifica o método pelo qual os servidores com falha são reativados
validate-kdc Habilite a validação KDC durante a autenticação de usuário kerberos
ciscoasa(config)# test aaa-server authentication curb ?
comandos/opções do modo exec:
delegar delegação restrita de Kerberos de Teste
host Insira esta palavra-chave para especificar o endereço IP do servidor
representar transição de protocolo Kerberos de teste
senha Senha palavra-chave
recuperação de autoteste Kerberos
username Palavra-chave de nome de usuário
ciscoasa(config)# aaa-server ldaps protocol ldap
ciscoasa(config-aaa-server-group)# aaa-server ldaps host x.x.x.x
ciscoasa(config-aaa-server-host)# sasl-mechanism ?
comandos/opções do modo aaa-server-host:
digest-md5 select Digest-MD5
kerberos selecionar Kerberos
ciscoasa(config)# debug kerberos
Passo a Passo da Configuração do ASDM
Visão geral do ASDM:
- O Kerberos não é mais suportado pelo ASDM 7.22
- Isso diminui a capacidade dos usuários finais de configurar grupos de servidores AAA com o protocolo Kerberos, bem como o mecanismo LDAP SASL.
- Como parte dessa substituição, o AAA Kerberos não está mais listado no TreeMenu em Users/AAA em Device Management.
- O Microsoft KCD Server também não é mais suportado.
ASDM: Protocolo Kerberos no novo grupo de servidores AAA
ASDM: AAA Kerberos
ASDM: Protocolo Kerberos no novo grupo de servidores AAA
ASDM: Configuração Kerberos para LDAP SASL
Passo a Passo da Configuração do CSM
Visão geral do CSM:
- Não há mais suporte para o protocolo Kerberos.
- Isso diminui a capacidade dos usuários finais de configurar grupos de servidores AAA com o protocolo Kerberos, bem como o mecanismo LDAP SASL.
- O Microsoft KCD Server também não é mais suportado.
- Em vez de remover o suporte Kerberos do CSM, ele é tratado na validação de atividades.
- A validação de atividade gera uma mensagem de erro para a versão 9.22.1 ASA em diante dizendo que o protocolo Kerberos não é suportado a partir da versão 9.22.1.
Configuração Kerberos CSM
PATH: CSM>Firewall > AAA Rules > AAA Server Group > Add > Kerberos
- Save
- Visualizar configuração para resultado de validação de atividade.

Configuração Kerberos CSM para LDAP SASL
PATH: CSM>Firewall > AAA Rules > AAA Server Group > Add >Protocol > LDAP >SASL
- Save
- Visualizar configuração para resultado de validação de atividade.
