Cisco ACS 5.X与RSA SecurID令牌服务器集成

下载选项

  • PDF     (904.5 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (680.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (505.0 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2014 年 1 月 16 日
文档 ID:117038

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何将思科访问控制系统(ACS) 5.x版与RSA SecurID身份验证技术集成。

背景信息

Cisco Secure ACS支持RSA SecurID服务器作为外部数据库。

RSA SecurID双因素身份验证包括用户的个人标识号(PIN)和单独注册的RSA SecurID令牌,该令牌根据时间码算法生成一次性令牌代码。

以固定间隔生成不同的令牌代码,通常每30或60秒生成一次。RSA SecurID服务器验证此动态身份验证代码。每个RSA SecurID令牌都是唯一的,不可能根据过去的令牌预测未来令牌的值。

因此,当与PIN一起提供正确的令牌代码时,用户是有效用户的高度确定性。因此,RSA SecurID服务器提供了一种比传统可重用密码更可靠的身份验证机制。

您可以通过以下方式将Cisco ACS 5.x与RSA SecurID身份验证技术集成:

  • RSA SecurID代理-用户通过本地RSA协议使用用户名和密码进行身份验证。
  • RADIUS协议-用户通过RADIUS协议使用用户名和密码进行身份验证。

先决条件

要求

Cisco 建议您具有以下主题的基础知识:

  • RSA安全性
  • 思科安全访问控制系统(ACS)

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科安全访问控制系统(ACS) 5.x版
  • RSA SecurID令牌服务器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

RSA服务器

此过程介绍RSA SecurID服务器管理员如何创建身份验证代理和配置文件。身份验证代理基本上是域名服务器(DNS)名称以及有权访问RSA数据库的设备、软件或服务的IP地址。配置文件基本上描述了RSA拓扑和通信。

在本示例中,RSA管理员必须为两个ACS实例创建两个代理。

  1. 在RSA安全控制台中,导航到Access > Authentication Agents > Add New

    117038-config-securid-01.png

  2. 在Add New Authentication Agent窗口中,分别为这两个代理定义主机名和IP地址:

    117038-config-securid-02.png

    ACS代理的DNS正向和反向查找均应有效。

  3. 将座席类型定义为标准座席:

    117038-config-securid-03.png

    以下是添加座席后所看到的信息示例:

    117038-config-securid-04.png

  4. 在RSA安全控制台中,导航到Access > Authentication Agents > Generate Configuration File以生成sdconf.rec配置文件:

    117038-config-securid-05.png

  5. 使用每次重试的最大重试次数和最大间隔时间的默认值:

    117038-config-securid-06.png

  6. 下载配置文件:

    117038-config-securid-07.png

    .zip文件包含实际配置sdconf.rec文件,ACS管理员需要该文件来完成配置任务。

ACS 5.X版服务器

此过程介绍ACS管理员如何检索和提交配置文件。

  1. 在Cisco Secure ACS 5.x版本控制台中,导航到Users and Identity Stores > External Identity Stores > RSA SecurID Token Servers,然后单击Create

    117038-config-securid-08.png

  2. 输入RSA服务器的名称,并浏览到从RSA服务器下载的sdconf.rec文件:

    117038-config-securid-09.png

  3. 选择文件,然后单击Submit

注意:ACS首次联系令牌服务器时,将在RSA身份验证管理器上为ACS代理创建另一个文件(称为节点密钥文件),并将其下载到ACS。此文件用于加密通信。

验证

使用本部分可确认配置能否正常运行。

ACS 5.X版服务器

要验证登录是否成功,请转到ACS控制台并查看Hit Count:

117038-config-securid-10.png

您还可以查看ACS日志中的身份验证详细信息:

117038-config-securid-11.png

RSA服务器

要验证身份验证是否成功,请转到RSA控制台并查看日志:

117038-config-securid-12.png

故障排除

本部分提供了可用于对配置进行故障排除的信息。

创建代理记录(sdconf.rec)

要在ACS版本5.3中配置RSA SecurID令牌服务器,ACS管理员必须具有sdconf.rec文件。sdconf.rec文件是一个配置记录文件,指定RSA代理如何与RSA SecurID服务器领域通信。

为了创建sdconf.rec文件,RSA管理员应将ACS主机添加为RSA SecurID服务器上的代理主机,并生成此代理主机的配置文件。

重置节点密钥(securid)

代理最初与RSA SecurID服务器通信后,服务器将为代理提供一个名为securid的节点密钥文件。服务器与代理之间的后续通信依赖于交换节点密钥来验证另一方的真实性。

有时,管理员可能必须重置节点密钥:

  1. RSA管理员必须在RSA SecurID服务器中的代理主机记录上取消选中Node Secret Created复选框。
  2. ACS管理员必须从ACS中删除securid文件。

覆盖自动负载均衡

RSA SecurID代理自动平衡领域中RSA SecurID服务器上请求的负载。但是,您可以选择手动平衡负载。可以指定每个代理主机使用的服务器。可以为每台服务器分配优先级,以便代理主机将身份验证请求定向到某些服务器的频率高于其他服务器。

必须在文本文件中指定优先级设置,将其另存为sdopts.rec,然后将其上传到ACS。

手动干预以删除RSA SecurID服务器故障

当RSA SecurID服务器发生故障时,自动排除机制并不总是能够快速运行。从ACS中删除sdstatus.12文件以加快此过程。

修订历史记录

版本 发布日期 备注
1.0
13-Feb-2014
初始版本
TAC Authored

由思科工程师提供

  • Anubhav Gupta
    Cisco TAC Engineer.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品