本文档提供了将Microsoft Active Directory与思科安全访问控制系统(ACS)5.x及更高版本集成的配置示例。ACS使用Microsoft Active Directory(AD)作为外部身份库来存储用户、计算机、组和属性等资源。ACS根据AD对这些资源进行身份验证。
尝试进行此配置之前,请确保满足以下要求:
要使用的Windows Active Directory域需要完全配置并运行。
使用Microsoft Windows Server 2003域、Microsoft Windows Server 2008域或Microsoft Windows Server 2008 R2域,因为ACS 5.x支持这些域。
注意:ACS 5.2及更高版本支持将Microsoft Windows Server 2008 R2域与ACS集成。
本文档中的信息基于以下软件和硬件版本:
思科安全ACS 5.3
Microsoft Windows Server 2003域
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档约定的更多信息,请参考 Cisco 技术提示约定。
Windows Active Directory提供许多用于日常网络使用的功能。ACS 5.x与AD的集成允许使用现有AD用户、计算机及其组映射。
与AD集成的ACS 5.x提供以下功能:
计算机身份验证
授权属性检索
EAP-TLS身份验证的证书检索
用户和计算机帐户限制
计算机访问限制
拨入权限检查
拨入用户的回叫选项
拨入支持属性
在将ACS 5.x集成到AD之前,请确保ACS上的TimeZone、Date & Time 与AD主域控制器上的TimeZone、Date & Time匹配。此外,在ACS上定义DNS服务器,以便能够从ACS 5.x解析域名。要配置ACS 5.x应用部署引擎(ADE-OS),请完成以下步骤:
SSH到ACS设备并输入CLI凭证。
在配置模式下发出clock timezone命令,如图所示,以便在ACS上配置TIMEZONE,以便与域控制器上的命令匹配。
clock timezone Asia/Kolkata
注意:亚洲/加尔各答是本文档中使用的时区。通过执行模式show timezones命令,可以找到特定时区。
如果AD域控制器与驻留在网络中的NTP服务器同步,强烈建议在ACS上使用相同的NTP服务器。如果没有NTP服务器,请跳至步骤4。以下是配置NTP服务器的步骤:
NTP服务器可在配置模式下使用ntp server <ip address of the NTP server>命令进行配置,如图所示。
ntp server 192.168.26.55 The NTP server was modified. If this action resulted in a clock modification, you must restart ACS.
请参阅ACS 5.x:Cisco ACS与NTP服务器同步配置示例,了解有关NTP配置的详细信息。
要手动配置日期和时间,请在执行模式下使用clock set命令。示例如下所示:
clock set Jun 8 10:36:00 2012 Clock was modified. You must restart ACS. Do you want to restart ACS now? (yes/no) yes Stopping ACS. Stopping Management and View...................... Stopping Runtime...... Stopping Database.... Cleanup..... Starting ACS .... To verify that ACS processes are running, use the 'show application status acs' command.
现在使用show clock命令验证时区、日期和时间。show clock命令的输出如下所示:
acs51/admin# show clock Fri Jun 8 10:36:05 IST 2012
在配置模式下使用<ip name-server <ip address of the DNS>命令在ACS上配置DNS,如下所示:
ip name-server 192.168.26.55
注意:DNS IP地址由Windows域管理员提供。
发出nslookup <domain name>命令以验证域名的可达性,如图所示。
acs51/admin#nslookup MCS55.com Trying "MCS55.com" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60485 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; QUESTION SECTION: ;MCS55.com. IN ANY ;; ANSWER SECTION: MCS55.com. 600 IN A 192.168.26.55 MCS55.com. 3600 IN NS admin-zq2ttn9ux.MCS55.com. MCS55.com. 3600 IN SOA admin-zq2ttn9ux.MCS55.com. hostmaster.MCS55.com. 635 900 600 86400 3600 ;; ADDITIONAL SECTION: admin-zq2ttn9ux.MCS55.com. 3600 IN A 192.168.26.55 Received 136 bytes from 192.168.26.55#53 in 0 ms
注意:如果“答案”部分为空,请与Windows域管理员联系,以找出该域的正确DNS服务器。
发出ip domain-name <domain name>命令以在ACS上配置DOMAIN-NAME,如下所示:
ip domain-name MCS55.com
发出hostname <hostname>命令以在ACS上配置HOSTNAME,如下所示:
hostname acs51
注:由于NETBIOS限制,ACS主机名必须包含小于或等于15个字符。
发出Write memory命令以将配置保存到ACS。
要将ACS5.x加入AD,请完成以下步骤:
选择Users and Identity Stores > External Identity Stores > Active Directory,并提供域名、AD帐户(用户名)及其密码,然后单击Test Connection。
注意:ACS中域访问所需的AD帐户应具有以下任一项:
将工作站添加到相应域中的域用户权限。
在将ACS计算机加入域之前创建ACS计算机帐户的对应计算机容器上创建计算机对象或删除计算机对象权限。
注意:Cisco建议禁用ACS帐户的锁定策略,并配置AD基础设施,以在该帐户使用错误密码时向管理员发送警报。这是因为,如果您输入了错误的密码,ACS在必要时不会创建或修改其计算机帐户,因此可能会拒绝所有身份验证。
注意:将ACS加入AD域的Windows AD帐户可以放在其自己的组织单位(OU)中。 在创建帐户时或以后创建帐户时,设备名称必须与AD帐户的名称匹配,因此它驻留在自己的OU中。
此屏幕截图显示与AD的测试连接成功。然后单击 OK。
注意:在测试与AD域的ACS连接时,当服务器响应缓慢时,中心配置会受到影响,有时会断开连接。但是,它可以与其他应用程序配合使用。
单击Save Changes(保存更改),使ACS加入AD。
ACS成功加入AD域后,它将显示连接状态。
注意:配置AD身份库时,ACS还会创建:
该存储的新字典具有两个属性:从“目录属性”(Directory Attributes)页检索到的任何属性的外部组和另一个属性。
新属性IdentityAccessRestricted。您可以手动为此属性创建自定义条件。
从ExternalGroup属性进行组映射的自定义条件;自定义条件名称是AD1:ExternalGroups,在“目录属性”(Directory Attributes)页面中选择的每个属性的另一个自定义条件,例如AD1:cn。
完成以下步骤以完成访问服务配置,以便ACS可以使用新配置的AD集成。
选择您希望从AD对用户进行身份验证的服务,然后单击Identity。现在,单击Identity Source字段旁边的Select。
选择AD1并单击OK。
点击Save Changes。
要验证AD身份验证,请从具有AD凭证的NAS发送身份验证请求。确保在ACS上配置了NAS,请求将由上一节中配置的接入服务处理。
从NAS成功进行身份验证后,登录ACS GUI并选择Monitoring and Reports > AAA Protocol > TACACS+Authentication。从列表中标识已通过的身份验证,然后单击放大镜符号,如图所示。
您可以通过步骤验证ACS是否已向AD发送了身份验证请求。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
19-Jun-2012 |
初始版本 |