Este documento descreve como integrar uma versão 5.x do sistema de controle de acesso (ACS) de Cisco com tecnologia da autenticação securid RSA.
O Cisco Secure ACS apoia o server do SecurID RSA como um base de dados externo.
A autenticação de dois fatores do SecurID RSA consiste no número de identificação pessoal do usuário (PIN) e em um token individualmente registrado do SecurID RSA que gerencia os códigos de token do único-uso baseados em um algoritmo do código do tempo.
Um código de token diferente é gerado em intervalos fixos, geralmente cada 30 ou 60 segundos. O server do SecurID RSA valida este código dinâmico da autenticação. Cada token do SecurID RSA é original, e não é possível prever o valor futuro de tokens passados sobre baseados um token.
Assim, quando um código de token correto estiver fornecido junto com um PIN, há um grau elevado de certeza que a pessoa seja um usuário válido. Consequentemente, os server do SecurID RSA fornecem um mecanismo da autenticação mais seguro do que senhas reutilizável convencionais.
Você pode integrar Cisco ACS 5.x com tecnologia da autenticação securid RSA nestas maneiras:
Cisco recomenda que você tem o conhecimento básico destes assuntos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Este procedimento descreve como o administrador do servidor do SecurID RSA cria Agentes de Autenticação e um arquivo de configuração. Um Agente de Autenticação é basicamente um nome do Domain Name Server (DNS) e um endereço IP de Um ou Mais Servidores Cisco ICM NT de um dispositivo, de um software, ou de um serviço que tenha direitos de alcançar o base de dados RSA. O arquivo de configuração descreve basicamente a topologia e a comunicação RSA.
Neste exemplo, o administrador RSA deve criar dois agentes para os dois exemplos ACS.
Este procedimento descreve como o administrador ACS recupera e submete o arquivo de configuração.
Use esta seção para confirmar se a sua configuração funciona corretamente.
A fim verificar um login bem-sucedido, vá ao console ACS, e reveja a contagem da batida:
Você pode igualmente rever os detalhes da autenticação dos logs ACS:
A fim verificar a autenticação bem sucedida, vá ao console RSA, e reveja os logs:
Esta seção fornece informações que você pode usar na solução de problemas de sua configuração.
A fim configurar um servidor de tokens do SecurID RSA na versão de ACS 5.3, o administrador ACS deve ter o arquivo sdconf.rec. O arquivo sdconf.rec é um arquivo de registro de configuração que especifique como o agente RSA se comunica com o reino do server do SecurID RSA.
A fim criar o arquivo sdconf.rec, o administrador RSA deve adicionar o host ACS como um host do agente no server do SecurID RSA e gerar um arquivo de configuração para este host do agente.
Depois que o agente se comunica inicialmente com o server do SecurID RSA, o server fornece o agente um arquivo do segredo de nó chamado SecurID. Uma comunicação subsequente entre o server e o agente confia na troca do segredo de nó a fim verificar o outro autenticidade.
Às vezes, os administradores puderam ter que restaurar o segredo de nó:
O agente do SecurID RSA equilibra automaticamente as cargas pedidas nos server do SecurID RSA no reino. Contudo, você tem a opção para equilibrar manualmente a carga. Você pode especificar o server usado por cada um dos host do agente. Você pode atribuir uma prioridade a cada server de modo que o host do agente dirija pedidos de autenticação a alguns server mais frequentemente do que outro.
Você deve especificar as configurações de prioridade em um arquivo de texto, salvar as como sdopts.rec, e transferi-las arquivos pela rede ao ACS.
Quando um server do SecurID RSA está para baixo, o mecanismo automático da exclusão não trabalha sempre rapidamente. Remova o arquivo sdstatus.12 do ACS a fim acelerar este processo.