Integration von Cisco ACS 5.X mit RSA SecurID Token Server

Download-Optionen

  • PDF     (802.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (683.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (508.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:16. Januar 2014
Dokument-ID:117038

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Integration eines Cisco Access Control System (ACS) Version 5.x mit der RSA SecurID-Authentifizierungstechnologie beschrieben.

Hintergrundinformationen

Cisco Secure ACS unterstützt den RSA SecurID-Server als externe Datenbank.

Die Zwei-Faktor-Authentifizierung mit RSA SecurID besteht aus der persönlichen Identifikationsnummer (PIN) des Benutzers und einem individuell registrierten RSA SecurID-Token, das Tokencodes für den einmaligen Gebrauch auf der Grundlage eines Zeitcode-Algorithmus generiert.

In festen Intervallen, in der Regel alle 30 oder 60 Sekunden, wird ein anderer Tokencode generiert. Der RSA SecurID-Server validiert diesen dynamischen Authentifizierungscode. Jedes RSA SecurID-Token ist eindeutig, und es ist nicht möglich, den Wert eines zukünftigen Tokens basierend auf früheren Token vorherzusagen.

Wenn also ein korrekter Token-Code zusammen mit einer PIN angegeben wird, besteht ein hohes Maß an Sicherheit, dass die Person ein gültiger Benutzer ist. Daher bieten RSA SecurID-Server einen zuverlässigeren Authentifizierungsmechanismus als herkömmliche wiederverwendbare Passwörter.

Cisco ACS 5.x kann folgendermaßen in die RSA SecurID-Authentifizierungstechnologie integriert werden:

  • RSA SecurID-Agent - Benutzer werden mit Benutzername und Passcode über das native RSA-Protokoll authentifiziert.
  • RADIUS-Protokoll - Benutzer werden mit Benutzername und Passcode über das RADIUS-Protokoll authentifiziert.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Grundkenntnisse in diesen Themen verfügen:

  • RSA-Sicherheit
  • Cisco Secure Access Control System (ACS)

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco Secure Access Control System (ACS) Version 5.x
  • RSA SecurID Token-Server

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konfigurationen

RSA-Server

Dieses Verfahren beschreibt, wie der RSA SecurID-Serveradministrator Authentifizierungs-Agents und eine Konfigurationsdatei erstellt. Ein Authentifizierungs-Agent ist im Grunde ein DNS-Name (Domain Name Server) und eine IP-Adresse eines Geräts, einer Software oder eines Dienstes, das bzw. der über Zugriffsrechte auf die RSA-Datenbank verfügt. Die Konfigurationsdatei beschreibt im Wesentlichen die RSA-Topologie und -Kommunikation.

In diesem Beispiel muss der RSA-Administrator zwei Agenten für die beiden ACS-Instanzen erstellen.

  1. Navigieren Sie in der RSA Security Console zu Access > Authentication Agents > Add New:

    117038-config-securid-01.png

  2. Definieren Sie im Fenster Add New Authentication Agent (Neuen Authentifizierungs-Agent hinzufügen) einen Hostnamen und eine IP-Adresse für jeden der beiden Agents:

    117038-config-securid-02.png

    Sowohl DNS Forward- als auch DNS Reverse-Lookups für ACS-Agenten sollten funktionieren.

  3. Agent-Typ als Standard-Agent definieren:

    117038-config-securid-03.png

    Dies ist ein Beispiel für die Informationen, die nach dem Hinzufügen der Agenten angezeigt werden:

    117038-config-securid-04.png

  4. Navigieren Sie in der RSA Security Console zu Access > Authentication Agents > Generate Configuration File, um die Konfigurationsdatei sdconf.rec zu generieren:

    117038-config-securid-05.png

  5. Verwenden Sie die Standardwerte für Maximum Retries (Maximale Wiederholungen) und Maximum Time Between Each Retry (Maximale Zeit zwischen Wiederholungen):

    117038-config-securid-06.png

  6. Laden Sie die Konfigurationsdatei herunter:

    117038-config-securid-07.png

    Die ZIP-Datei enthält die eigentliche Konfigurationsdatei sdconf.rec, die der ACS-Administrator benötigt, um Konfigurationsaufgaben abzuschließen.

ACS Server Version 5.x

In diesem Verfahren wird beschrieben, wie der ACS-Administrator die Konfigurationsdatei abruft und übermittelt.

  1. Navigieren Sie in der Konsole Cisco Secure ACS Version 5.x zu Benutzer und Identitätsdaten > Externe Identitätsdaten > RSA SecurID-Tokenserver, und klicken Sie auf Erstellen:

    117038-config-securid-08.png

  2. Geben Sie den Namen des RSA-Servers ein, und navigieren Sie zur Datei sdconf.rec, die vom RSA-Server heruntergeladen wurde:

    117038-config-securid-09.png

  3. Wählen Sie die Datei aus, und klicken Sie auf Senden.

Hinweis: Bei der ersten Kontaktaufnahme des ACS mit dem Token-Server wird eine weitere Datei, die als "node secret"-Datei bezeichnet wird, für den ACS-Agenten im RSA Authentication Manager erstellt und auf den ACS heruntergeladen. Diese Datei wird für verschlüsselte Kommunikation verwendet.

Überprüfung

Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

ACS Server Version 5.x

Um eine erfolgreiche Anmeldung zu überprüfen, rufen Sie die ACS-Konsole auf, und überprüfen Sie die Trefferanzahl:

117038-config-securid-10.png

Sie können auch die Authentifizierungsdetails aus den ACS-Protokollen überprüfen:

117038-config-securid-11.png

RSA-Server

Um die erfolgreiche Authentifizierung zu überprüfen, rufen Sie die RSA-Konsole auf, und überprüfen Sie die Protokolle:

117038-config-securid-12.png

Fehlerbehebung

In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Erstellen eines Agentendatensatzes (sdconf.rec)

Um einen RSA SecurID-Tokenserver in ACS Version 5.3 zu konfigurieren, muss der ACS-Administrator über die Datei sdconf.rec verfügen. Die Datei sdconf.rec ist eine Konfigurationsdatensatzdatei, die angibt, wie der RSA-Agent mit dem RSA SecurID-Serverbereich kommuniziert.

Um die Datei sdconf.rec zu erstellen, sollte der RSA-Administrator den ACS-Host als Agent-Host auf dem RSA SecurID-Server hinzufügen und eine Konfigurationsdatei für diesen Agent-Host erstellen.

Zurücksetzen des Knotengeheimnisses (securid)

Nach der ersten Kommunikation des Agenten mit dem RSA SecurID-Server stellt der Server dem Agenten eine geheime Knotendatei namens securid zur Verfügung. Die nachfolgende Kommunikation zwischen dem Server und dem Agenten beruht auf dem Austausch des Knotengeheimnisses, um die Authentizität des anderen zu überprüfen.

Manchmal müssen die Administratoren den geheimen Schlüssel des Knotens zurücksetzen:

  1. Der RSA-Administrator muss das Kontrollkästchen Node Secret Created (Knotenschlüssel erstellt) für den Agent-Host-Datensatz auf dem RSA SecurID-Server deaktivieren.
  2. Der ACS-Administrator muss die sichere Datei aus dem ACS entfernen.

Automatische Lastverteilung überschreiben

Der RSA SecurID-Agent gleicht die angeforderten Lasten automatisch auf den RSA SecurID-Servern im Bereich aus. Sie haben jedoch die Möglichkeit, die Last manuell auszugleichen. Sie können den Server angeben, der von jedem der Agent-Hosts verwendet wird. Sie können jedem Server eine Priorität zuweisen, sodass der Agent-Host Authentifizierungsanforderungen häufiger als andere Server an einige Server weiterleitet.

Sie müssen die Prioritätseinstellungen in einer Textdatei angeben, sie als sdopts.rec speichern und sie in den ACS hochladen.

Manuell eingreifen, um einen heruntergefahrenen RSA SecurID-Server zu entfernen

Wenn ein RSA SecurID-Server ausfällt, funktioniert der automatische Ausschlussmechanismus nicht immer schnell. Entfernen Sie die Datei sdstatus.12 aus dem ACS, um diesen Vorgang zu beschleunigen.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
13-Feb-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Anubhav Gupta
    Cisco TAC Engineer.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.