Integración de Cisco ACS 5.X con el servidor de token RSA SecurID

Opciones de descarga

  • PDF     (954.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (683.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (509.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:16 de enero de 2014
ID del documento:117038

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo integrar un Cisco Access Control System (ACS) versión 5.x con la tecnología de autenticación RSA SecurID.

Antecedentes

Cisco Secure ACS admite el servidor RSA SecurID como base de datos externa.

La autenticación de dos factores RSA SecurID consiste en el número de identificación personal (PIN) del usuario y un token RSA SecurID registrado individualmente que genera códigos de token de un solo uso basados en un algoritmo de código de tiempo.

Se genera un código de token diferente a intervalos fijos, normalmente cada 30 o 60 segundos. El servidor RSA SecurID valida este código de autenticación dinámica. Cada token RSA SecurID es único y no es posible predecir el valor de un token futuro basado en tokens anteriores.

Por lo tanto, cuando se proporciona un código de token correcto junto con un PIN, hay un alto grado de certeza de que la persona es un usuario válido. Por lo tanto, los servidores RSA SecurID proporcionan un mecanismo de autenticación más fiable que las contraseñas reutilizables convencionales.

Puede integrar un Cisco ACS 5.x con la tecnología de autenticación RSA SecurID de las siguientes maneras:

  • Agente RSA SecurID: los usuarios se autentican con nombre de usuario y código de acceso a través del protocolo RSA nativo.
  • Protocolo RADIUS: los usuarios se autentican con el nombre de usuario y el código de acceso a través del protocolo RADIUS.

Prerequisites

Requirements

Cisco recomienda tener conocimientos básicos sobre estos temas:

  • seguridad RSA
  • Cisco Secure Access Control System (ACS)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Secure Access Control System (ACS) versión 5.x
  • Servidor Token SecurID RSA

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Configuraciones

Servidor RSA

Este procedimiento describe cómo el administrador del servidor RSA SecurID crea agentes de autenticación y un archivo de configuración. Un agente de autenticación es básicamente un nombre de servidor de nombres de dominio (DNS) y una dirección IP de un dispositivo, software o servicio que tiene derechos de acceso a la base de datos RSA. El archivo de configuración describe básicamente la topología y la comunicación RSA.

En este ejemplo, el administrador RSA debe crear dos agentes para las dos instancias de ACS.

  1. En la Consola de Seguridad RSA, navegue hasta Access > Authentication Agents > Add New:

    117038-config-securid-01.png

  2. En la ventana Add New Authentication Agent , defina un nombre de host y una dirección IP para cada uno de los dos agentes:

    117038-config-securid-02.png

    Las búsquedas directas e inversas de DNS para agentes ACS deberían funcionar.

  3. Defina el tipo de agente como agente estándar:

    117038-config-securid-03.png

    Este es un ejemplo de la información que se ve una vez que se agregan los agentes:

    117038-config-securid-04.png

  4. En la Consola de Seguridad RSA, navegue hasta Access > Authentication Agents > Generate Configuration File para generar el archivo de configuración sdconf.rec:

    117038-config-securid-05.png

  5. Utilice los valores predeterminados de Máximo de reintentos y Tiempo máximo entre cada reintento:

    117038-config-securid-06.png

  6. Descargue el archivo de configuración:

    117038-config-securid-07.png

    El archivo .zip contiene el archivo sdconf.rec de configuración real, que el administrador ACS necesita para completar las tareas de configuración.

Servidor ACS versión 5.X

Este procedimiento describe cómo el administrador ACS recupera y envía el archivo de configuración.

  1. En la consola de Cisco Secure ACS Version 5.x, navegue hasta Users and Identity Stores > External Identity Stores > RSA SecurID Token Servers, y haga clic en Create:

    117038-config-securid-08.png

  2. Introduzca el nombre del servidor RSA y busque el archivo sdconf.rec que se descargó del servidor RSA:

    117038-config-securid-09.png

  3. Seleccione el archivo y haga clic en Enviar.

Nota: La primera vez que ACS se pone en contacto con el servidor de token, se crea otro archivo, llamado archivo node secret, para el agente ACS en el Administrador de autenticación RSA y se descarga en el ACS. Este archivo se utiliza para la comunicación cifrada.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Servidor ACS versión 5.X

Para verificar un login exitoso, vaya a la consola ACS y revise el Hit Count:

117038-config-securid-10.png

También puede revisar los detalles de autenticación de los registros ACS:

117038-config-securid-11.png

Servidor RSA

Para verificar la autenticación exitosa, vaya a la consola RSA y revise los registros:

117038-config-securid-12.png

Troubleshoot

En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.

Crear un registro de agente (sdconf.rec)

Para configurar un servidor de token RSA SecurID en ACS Version 5.3, el administrador ACS debe tener el archivo sdconf.rec. El archivo sdconf.rec es un archivo de registro de configuración que especifica cómo se comunica el agente RSA con el rango del servidor RSA SecurID.

Para crear el archivo sdconf.rec, el administrador RSA debe agregar el host ACS como un host de agente en el servidor RSA SecurID y generar un archivo de configuración para este host de agente.

Restablecer el secreto de nodo (securid)

Después de que el agente se comunique inicialmente con el servidor RSA SecurID, el servidor proporciona al agente un archivo secreto de nodo denominado securid. La comunicación posterior entre el servidor y el agente se basa en el intercambio del secreto de nodo para verificar la autenticidad del otro.

En ocasiones, es posible que los administradores tengan que restablecer el secreto de nodo:

  1. El administrador RSA debe desmarcar la casilla de verificación Node Secret Created en el registro Host de agente en el servidor RSA SecurID.
  2. El administrador ACS debe quitar el archivo securid del ACS.

Anular equilibrio de carga automático

El agente RSA SecurID equilibra automáticamente las cargas solicitadas en los servidores RSA SecurID del dominio. Sin embargo, tiene la opción de equilibrar manualmente la carga. Puede especificar el servidor utilizado por cada uno de los hosts del agente. Puede asignar una prioridad a cada servidor para que el host del agente dirija las solicitudes de autenticación a algunos servidores con más frecuencia que a otros.

Debe especificar la configuración de prioridad en un archivo de texto, guardarlo como sdopts.rec y cargarlo en ACS.

Intervenir manualmente para eliminar un servidor RSA SecurID caído

Cuando un servidor RSA SecurID está inactivo, el mecanismo de exclusión automática no siempre funciona rápidamente. Quite el archivo sdstatus.12 del ACS para acelerar este proceso.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
13-Feb-2014
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Anubhav Gupta
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco