本文描述如何集成Cisco访问控制系统(ACS)版本5.x与RSA SecurID验证技术。
Cisco Secure ACS支持RSA SecurID服务器作为外部数据库。
RSA SecurID二要素验证包括用户的personal identification number (PIN)和生成根据时间代码算法的单一用处令牌代码的一个单个注册的RSA SecurID令牌。
一个不同的令牌代码生成在固定的间隔,通常每30或60秒。RSA SecurID服务器验证此动态认证代码。每个RSA SecurID令牌是唯一,并且预测将来令牌的值根据通过令牌是不可能的。
因此,当一个正确的令牌代码与PIN一起被供应,有人是有效用户的高确定程度。所以, RSA SecurID服务器比常规可再用的密码提供一个更加可靠的认证机制。
您能集成Cisco ACS 5.x与RSA SecurID验证技术用这些方式:
Cisco建议您有这些题目基础知识:
本文档中的信息基于以下软件和硬件版本:
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.
此程序描述RSA SecurID服务器管理员如何创建认证代理程序和一个配置文件。认证代理程序基本上是域名服务器(DNS)名字和有权利访问RSA数据库设备、软件或者服务的IP地址。配置文件基本上描述RSA拓扑和通信。
在本例中, RSA管理员必须创建两个ACS实例的两个代理程序。
此程序描述ACS管理员如何检索并且提交配置文件。
使用本部分可确认配置能否正常运行。
为了验证一个成功的登录,请去ACS控制台,并且查看命中计数:
您能也查看从ACS日志的认证详细资料:
为了验证成功的验证,请去RSA控制台,并且检查日志:
本部分提供了可用于对配置进行故障排除的信息。
为了配置在ACS版本5.3的一个RSA SecurID令牌服务器, ACS管理员必须有sdconf.rec文件。sdconf.rec文件是指定的配置记录文件RSA代理程序如何与RSA SecurID服务器领域连通。
为了创建sdconf.rec文件, RSA管理员应该添加ACS主机作为在RSA SecurID服务器的一台代理主机和生成此代理主机的一个配置文件。
在代理程序与RSA SecurID服务器后最初连通,服务器提供代理程序节点秘密文件被呼叫的securid。服务器和代理程序之间的随后的通信依靠节点秘密的交换为了验证其他的真实性。
通常,管理员也许必须重置节点秘密:
RSA SecurID代理程序自动地均衡在RSA SecurID服务器的被请求的负荷在领域。然而,您有手工均衡的选项负荷。您能指定其中每一台使用的服务器代理主机。您能指定优先级到每个服务器,以便代理主机比其他频繁地指向认证请求到一些服务器。
您在文本文件必须指定优先级设置,保存它作为sdopts.rec和加载它到ACS。
当RSA SecurID服务器发生故障时,自动排除机制不迅速总是运作。从ACS删除sdstatus.12文件为了加速此进程。