A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve a autenticação do softwareRemote do gerente do conteúdo digital de Cisco (DCM) usando o RAIO.
Cisco recomenda que você tem o conhecimento da versão de software 16 de Cisco DCM e acima.
As informações neste documento são baseadas nestas versões de software:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se sua rede está viva, assegure-se de que você compreenda o impacto potencial do comando any.
Em V16.10 do DCM uns novos recursos foram introduzidos que permitissem as contas de usuário configuradas em um servidor Radius a ser usado para alcançar o documento DCM GUI.This descrevessem a instalação exigida no DCM e no servidor Radius para utilizar esta característica.
Nas versões 16.0 e anterior as contas de usuário exigidas para alcançar o GUI eram locais ao DCM, isto é criaram, alterado, usado e suprimido no DCM.
Uma conta de usuário GUI pode pertencer a um destes grupos:
A ideia da autenticação remota é ter uma coleção centralizada das contas de usuário que podem ser usadas para alcançar um dispositivo, um aplicativo, um serviço etc.
As etapas mostradas na imagem explicam o que acontece quando você usa a autenticação remota:
Etapa 1. O usuário incorpora o início de uma sessão e a senha (conta de usuário configurada no servidor Radius) na página de login no DCM GUI.
Etapa 2. O DCM envia uma mensagem da solicitação de acesso com as credenciais ao servidor Radius.
Etapa 3. O servidor Radius verifica se o pedido veio de um dos clientes configurados e para a existência da conta de usuário em seu DB/File e valida-o se a senha está correta ou não, depois do qual qualquer dos seguintes mensagens está retornado ao DCM
Caso que o servidor Radius envia uma Rejeição de acesso, o DCM verifica se a conta de usuário é local ao DCM próprio e o procedimento de autenticação para aquele está seguido.
O usuário é autenticar novamente em um intervalo de 15 minutos (internamente) para confirmar que o username/senha é ainda válidos e o usuário pertence a um dos grupos de conta GUI. Se a autenticação falha a sessão do usuário running atual é julgada inválido e todos os privilégios estão revogados para o usuário.
Para usar as contas de usuário atuais no servidor Radius para alcançar estas etapas GUI precise de ser seguido:
O DCM deve ser configurado como um cliente ao servidor Radius.
Para uma conta de usuário a mensagem da aceitação de acesso do servidor Radius deve ter um atributo RADIUS que identifique o grupo de conta GUI a que o usuário pertence. O nome do atributo pode ser escolhido e as necessidades de ser configurado nos ajustes arquivam no DCM.
Este é o formato da corda que precisa de ser enviada como um valor para um atributo do servidor Radius:
OU=<group_name_string> que group_name_string pode ser um destes:
Grupo | Corda do nome do grupo |
Administradores (controle total) | administradores |
Usuários (Read-Write) | usuários |
Convidados (read only) | convidados |
Disparadores da automatização (externos Disparadores) |
automatização |
Administradores DTF (chave DTF configuração) |
dtfadmins |
Para permitir/configurar a característica da autenticação remota no DCM que uma conta de administrador GUI é exigida.
Estas etapas indicam como configurar a autenticação remota:
Etapa 1. Início de uma sessão ao DCM usando a conta de administrador.
Etapa 2. Navegue à Segurança > às contas GUI e selecione a aba remota, segundo as indicações da imagem:
Etapa 3. Configurar os parâmetros exigidos para uma comunicação do RAIO:
Etapa 4. Enquanto as mudanças são aplicadas o aviso mostrado na imagem está indicado. A APROVAÇÃO do clique e a interface do utilizador são reiniciadas.
Etapa 5. Agora o DCM está pronto para a autenticação remota.
Configurar o IPsec no DCM:
1. Entre ao DCM usando uma conta GUI que pertença ao grupo de segurança dos administradores.
2. Navegue ao Configuration > System. A página das configurações de sistema publica-se.
3. Refira a área nova do IPsec adicionar, segundo as indicações da imagem.
4. No campo do endereço IP de Um ou Mais Servidores Cisco ICM NT, incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do ipsec peer novo (servidor Radius).
5. Pre na chave compartilhada e datilografe pre campos de chave compartilhada, incorporam pre a chave compartilhada para o ipsec peer novo.
6. Clique em Add. O ipsec peer novo é adicionado à tabela dos ajustes do IPsec.
Note: Para a configuração do IPsec na máquina em que o servidor Radius está sendo executado refira a documentação/publicação fornecidas com o produto.
Esta seção mostra como um exemplo como setup o freeRadius para usar-se como o server da autenticação remota para o DCM. Isto é apenas para fins informativos,
Cisco não fornece nem apoia o freeRadius. Supõe-se que os arquivos de configuração para o freeRadius estão encontrados sob /etc/freeRadius/ (distribuição da verificação).
Após ter instalado o pacote do freeRadius altere estes arquivos.
Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.
Para debugar purposses alguns logs adicionais foram introduzidos no registro de segurança. A fim ver este log navegue para ajudar > página dos traços em DCM GUI.
Esta seção descreve o que procurar nos logs, o que as edições poderiam ser e soluções possíveis.
Linha de registro | Tentativa do login remoto falhada: O pedido ao servidor Radius foi cronometrado para fora. |
Problema | O DCM não pode comunicar-se com o servidor Radius. |
Solução possível |
|
Linha de registro | Tentativa do login remoto falhada: [O errno 10054] uma conexão existente foi fechado forçosamente pelo host remoto. |
Problema | O DCM enviou uma requisição RADIUS ao IP de servidor especificado. Contudo, o aplicativo de servidor Radius escutando na porta não está sendo especificado nos ajustes da autenticação remota. |
Solução possível |
|
Linha de registro | Tentativa do login remoto falhada: Nome inválido do atributo especificado ou resposta dos dados faltantes da autorização do servidor Radius. |
Problema | Há um problema com a resposta recebida do servidor Radius. |
Solução possível |
|
Linha de registro | Dados inválidos da autorização recebidos do servidor Radius. |
Problema | A autenticação sucedeu mas a resposta recebida do servidor Radius contém o nome de grupo de segurança inválido dos dados da autorização isto é. |
Solução possível |
|