Cisco ACS 5.X-integratie met RSA Security ID Token Server

Downloadopties

  • PDF     (800.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (683.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (508.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:16 januari 2014
Document-id:117038

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u een Cisco Access Control System (ACS) versie 5.x kunt integreren met RSA Security ID-verificatietechnologie.

Achtergrondinformatie

Cisco Secure ACS ondersteunt de RSA SecureID-server als een externe database.

De tweevoudige verificatie van RSA SecurID bestaat uit het persoonlijke identificatienummer (PIN) van de gebruiker en een individueel geregistreerd RSA SecurID-token dat token voor eenmalig gebruik genereert op basis van een tijdcode-algoritme.

Een andere token code wordt gegenereerd met vaste intervallen, meestal elke 30 of 60 seconden. De RSA SecurityID-server valideert deze dynamische verificatiecode. Elke RSA SecurID token is uniek, en het is niet mogelijk om de waarde van een toekomsttoken te voorspellen op basis van eerdere tokens.

Dus, wanneer een correcte token code samen met een pincode wordt geleverd, is er een hoge mate van zekerheid dat de persoon een geldige gebruiker is. Daarom bieden RSA SecurityID-servers een betrouwbaarder verificatiemechanisme dan conventionele herbruikbare wachtwoorden.

U kunt een Cisco ACS 5.x met RSA SecurityID-verificatietechnologie op deze manieren integreren:

  • RSA SecurityID-agent - Gebruikers worden geauthenticeerd met gebruikersnaam en wachtcode via het native RSA-protocol.
  • RADIUS-protocol - Gebruikers worden geauthenticeerd met gebruikersnaam en wachtcode via het RADIUS-protocol.

Voorwaarden

Vereisten

Cisco raadt u aan een basiskennis te hebben van deze onderwerpen:

  • RSA-beveiliging
  • Cisco Secure Access Control System (ACS)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco Secure Access Control System (ACS) versie 5.x
  • RSA Security-id Token Server

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Configuraties

RSA-server

Deze procedure beschrijft hoe de beheerder van de RSA SecurityID-server verificatieagents en een configuratiebestand maakt. Een authenticatie agent is in principe een Domain Name Server (DNS) naam en een IP-adres van een apparaat, software of service die rechten heeft op toegang tot de RSA database. Het configuratiebestand beschrijft in principe de RSA-topologie en -communicatie.

In dit voorbeeld, moet de beheerder van RSA twee agenten voor de twee instanties ACS creëren.

  1. Ga in de RSA-beveiligingsconsole naar Access > Verificatieagents > Nieuw toevoegen:

    117038-config-securid-01.png

  2. Definieer in het venster Nieuwe verificatieagent toevoegen een hostnaam en IP-adres voor elk van de twee agents:

    117038-config-securid-02.png

    Zowel de DNS voorwaartse als de omgekeerde raadplegingen voor ACS agenten zouden moeten werken.

  3. Definieer het type agent als standaardagent:

    117038-config-securid-03.png

    Dit is een voorbeeld van de informatie die u ziet zodra de agents zijn toegevoegd:

    117038-config-securid-04.png

  4. In de RSA Security Console, navigeer naar Access > Verificatieagenten > Generate Configuration File om het sdconf.rec configuratiebestand te genereren:

    117038-config-securid-05.png

  5. Gebruik de standaardwaarden voor Maximum aantal opnieuw proberen en Maximum tijd tussen elk opnieuw proberen:

    117038-config-securid-06.png

  6. Download het configuratiebestand:

    117038-config-securid-07.png

    Het .zip bestand bevat de eigenlijke configuratie sdconf.rec bestand, die de ACS-beheerder nodig heeft om de configuratietaken te voltooien.

ACS versie 5.x server

Deze procedure beschrijft hoe de ACS-beheerder het configuratiebestand ophaalt en indient.

  1. In de Cisco Secure ACS-versie 5.x-console navigeer u naar Gebruikers en identiteitswinkels > Externe identiteitsopslag > RSA SecurityID Token Servers, en klik op Maken:

    117038-config-securid-08.png

  2. Voer de naam van de RSA-server in en blader naar het bestand sdconf.rec dat is gedownload van de RSA-server:

    117038-config-securid-09.png

  3. Selecteer het bestand en klik op Indienen.

Opmerking: De eerste keer dat ACS contact opneemt met de token server, een ander bestand, genaamd het knooppunt geheim bestand, is gemaakt voor de ACS-agent op de RSA-verificatie Manager en wordt gedownload naar de ACS. Dit bestand wordt gebruikt voor versleutelde communicatie.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

ACS versie 5.x server

Om een succesvolle login te verifiëren, ga naar de ACS-console, en bekijk de Hit Count:

117038-config-securid-10.png

U kunt ook de verificatiegegevens van de ACS-logbestanden bekijken:

117038-config-securid-11.png

RSA-server

Ga naar de RSA-console en bekijk de logbestanden om te controleren of de verificatie succesvol is verlopen:

117038-config-securid-12.png

Problemen oplossen

Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

Een Agent-record maken (sdconf.rec)

Om een RSA SecurityID-token server in ACS Versie 5.3 te kunnen configureren, moet de ACS-beheerder het sdconf.rec-bestand hebben. Het sdconf.rec-bestand is een configuratierecordbestand dat aangeeft hoe de RSA-agent communiceert met de RSA SecurityID-serverruimte.

Om het sdconf.rec-bestand te maken, moet de RSA-beheerder de ACS-host als een agent-host toevoegen aan de RSA SecurityID-server en een configuratiebestand voor deze agent-host genereren.

Stel het knooppunt geheim in (beveiligd)

Nadat de agent in eerste instantie communiceert met de RSA SecurityID-server, biedt de server de agent een knooppunt geheim bestand genaamd securid. Latere communicatie tussen de server en de agent is afhankelijk van de uitwisseling van het knooppunt geheim om de authenticiteit van de ander te verifiëren.

Soms moeten de beheerders het nodegeheim opnieuw instellen:

  1. De RSA-beheerder moet het aanvinkvakje Node Secret Created uitschakelen op de Agent Host Record in de RSA SecurityID-server.
  2. De ACS-beheerder moet het beveiligde bestand uit de ACS verwijderen.

Automatische taakverdeling negeren

De RSA SecurID-agent balanceert automatisch de gevraagde ladingen op de RSA SecurID-servers in het domein. U hebt echter de mogelijkheid om de lading handmatig te verdelen. U kunt de server specificeren die door elk van de agent-hosts wordt gebruikt. U kunt aan elke server een prioriteit toekennen, zodat de agent-host de verificatieverzoeken vaker aan bepaalde servers doorstuurt dan aan andere.

U moet de prioriteitsinstellingen in een tekstbestand opgeven, het opslaan als sdopts.rec, en het uploaden naar de ACS.

Handmatig ingrijpen om een Down RSA SecureID-server te verwijderen

Wanneer een RSA SecurID server is uitgeschakeld, werkt het automatische uitsluitingsmechanisme niet altijd snel. Verwijder het bestand sdstatus.12 uit de ACS om dit proces te versnellen.

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
13-Feb-2014
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Anubhav Gupta
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco