De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft de Cisco Digital Content Manager (DCM)-softwareRemote-verificatie met behulp van RADIUS.
Cisco raadt u aan kennis te hebben van Cisco DCM-softwareversie 16 en hoger.
De informatie in dit document is gebaseerd op deze softwareversies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
In V16.10 van de DCM is een nieuwe functie geïntroduceerd die het mogelijk maakt om gebruikersaccounts die op een RADIUS-server zijn ingesteld, te gebruiken om toegang te krijgen tot de DCM GUI. Dit document beschrijft de instellingen die op de DCM en de RADIUS-server vereist zijn om van deze functie gebruik te maken.
In versies 16.0 en lager waren de gebruikersrekeningen die vereist zijn om toegang tot de GUI te krijgen, lokaal bij de DCM, d.w.z. gemaakt, gewijzigd, gebruikt en verwijderd op de DCM.
Een GUI-gebruikersaccount kan tot een van deze groepen behoren:
Het idee van externe authenticatie is om een gecentraliseerde verzameling gebruikersrekeningen te hebben die kan worden gebruikt om toegang te krijgen tot een apparaat, toepassing, dienst enz.
De stappen in het beeld leggen uit wat er gebeurt als u externe authenticatie gebruikt:
Stap 1. Gebruiker geeft de inlognaam en het wachtwoord in (gebruikersaccount ingesteld op een RADIUS-server) op de inlogpagina op de DCM GUI.
Stap 2. De DCM stuurt een toegangsaanvraag-bericht met de referenties naar de RADIUS-server.
Stap 3. De RADIUS-server controleert of het verzoek van een van de geconfigureerde klanten is ingediend en of de gebruikersaccount op de DB/File ervan bestaat en bevestigt of het wachtwoord juist is of niet, waarna een van de volgende berichten naar de DCM wordt teruggestuurd
Indien een RADIUS-server een toegangsverwerp verstuurt, controleert de DCM of de gebruikersaccount plaatselijk is bij de DCM zelf en wordt de verificatieprocedure gevolgd.
De gebruiker wordt opnieuw geauthentiseerd met een interval van 15 minuten (intern) om te bevestigen dat de gebruikersnaam/het wachtwoord nog steeds geldig is en de gebruiker tot een van de GUI-accountgroepen behoort. Als de verificatie mislukt, wordt de huidige gebruikerssessie ongeldig geacht en worden alle rechten voor de gebruiker ingetrokken.
Om de gebruikersaccounts te kunnen gebruiken die op een RADIUS-server aanwezig zijn om de GUI te bereiken, moeten deze stappen worden gevolgd:
DCM moet worden ingesteld als een client voor de RADIUS-server.
Voor een gebruikersaccount moet het bericht Toegang-Accept van de RADIUS-server een RADIUS-kenmerk hebben dat de GUI-accountgroep identificeert waartoe de gebruiker behoort. De attributennaam kan worden geselecteerd en moet in het instellingsbestand op de DCM worden ingesteld.
Dit is het formaat van de string die verzonden moet worden als waarde voor een eigenschap van de RADIUS-server:
OU=<group_name_string>group_name_string kan één van deze zijn:
Groep | Naam van groep |
Beheerders (volledige controle) | beheerders |
Gebruikers (lezen) | gebruikers |
gasten (alleen lezen) | gasten |
Automation triggers (extern) triggers) |
automatisering |
DTF-beheerders (DTF-sleutel) configuratie) |
dtfadmins |
Om de functie voor externe verificatie op de DCM in te schakelen/aan te passen, is een Administrator-account vereist.
Deze stappen geven aan hoe u afstandsverificatie kunt configureren:
Stap 1. Meld u aan bij de DCM met behulp van een Administrator-account.
Stap 2. Navigeer naar Security > GUI Account en selecteer het tabblad Remote, zoals in de afbeelding:
Stap 3. Configureer de parameters die vereist zijn voor RADIUS-communicatie:
Stap 4. Als de wijzigingen worden toegepast, wordt de waarschuwing in de afbeelding weergegeven. Klik op OK en de gebruikersinterface wordt opnieuw gestart.
Stap 5. Nu is de DCM klaar voor externe verificatie.
Configuratie IPSec op DCM:
1. Log in op de DCM met behulp van een GUI-account dat tot de beveiligingsgroep van beheerders behoort.
2. Navigeer naar Configuration > System. De pagina Systeeminstellingen verschijnt.
3. Raadpleeg het gebied Nieuwe IPsec toevoegen, zoals in de afbeelding weergegeven.
4. Voer in het veld IP-adres het IP-adres van de nieuwe IPsec-peer (RADIUS-server) in.
5. Voer in de Vooraf gedeelde toets en retype Vooraf gedeelde sleutel in de Vooraf gedeelde sleutel voor het nieuwe IPsec-peer.
6. Klik op Toevoegen. De nieuwe peer IPsec wordt toegevoegd aan de tabel met IPsec-instellingen.
Opmerking: Voor de configuratie van IPSec op de machine waarop de RADIUS-server draait, wordt verwezen naar de documentatie/publicatie die bij het product wordt geleverd.
Deze paragraaf laat als voorbeeld zien hoe u freeRadius kunt instellen om deze voor de DCM te gebruiken als externe verificatieserver. Dit is uitsluitend ter informatie bedoeld;
Cisco biedt of ondersteunt geen FreeRadius. Er wordt aangenomen dat de configuratiebestanden voor freeRadius zijn gevonden onder /etc/freeRadius/ (check distributie).
Wijzig deze bestanden nadat u het pakket freeRadius hebt geïnstalleerd.
Deze sectie verschaft informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.
Voor het fouilleren zijn enkele extra logbestanden in het veiligheidslogboek geïntroduceerd. Om dit logbestand te bekijken navigeer naar Help > Traces-pagina in DCM GUI.
In dit gedeelte wordt beschreven naar wat er in de documenten moet worden gezocht, wat de problemen zouden kunnen zijn en mogelijke oplossingen.
Log lijn | Remote-inlogpoging mislukt: Het verzoek aan de RADIUS-server is verzonden. |
Uitgeven | DCM kan niet communiceren met de RADIUS-server. |
Mogelijke oplossing |
|
Log lijn | Remote-inlogpoging is mislukt: [10054] Een bestaande verbinding werd met kracht gesloten door de afstandsbediening. |
Uitgeven | De DCM heeft een RADIUS-verzoek naar de gespecificeerde server-IP verzonden. De RADIUS-servertoepassing luistert echter niet op de poort die in de instellingen voor externe verificatie is gespecificeerd. |
Mogelijke oplossing |
|
Log lijn | Remote-inlogpoging mislukt: Ongeldige attributennaam opgegeven of reactie van RADIUS-server ontbreekt aan vergunningsgegevens. |
Uitgeven | Er is een probleem met de reactie die van de RADIUS-server is ontvangen. |
Mogelijke oplossing |
|
Log lijn | Ongeldige autorisatie gegevens ontvangen van RADIUS Server. |
Uitgeven | Verificatie is geslaagd maar de reactie die van de RADIUS-server is ontvangen, bevat ongeldige autorisatiegegevens, d.w.z. de naam van de beveiligingsgroep. |
Mogelijke oplossing |
|
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
27-Oct-2017 |
Eerste vrijgave |