RSA SecurID Ready com Wireless LAN Controllers e Exemplo de Configuração do Cisco Secure ACS

Opções de download

  • PDF     (714.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (882.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:28 de novembro de 2007
ID do documento:100162

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento explica como configurar e configurar APs compatíveis com o Cisco Lightweight Access Point Protocol (LWAPP) e WLCs (Wireless LAN Controllers), bem como o Cisco Secure Access Control Server (ACS) a serem usados em um ambiente de WLAN autenticado RSA SecurID. Os guias de implementação específicos do SecurID RSA podem ser encontrados em www.rsasecured.com.

Prerequisites

Requirements

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento das WLCs e como configurar os parâmetros básicos da WLC.

  • Conhecimento sobre como configurar o perfil do Cisco Wireless Client usando o Aironet Desktop Utility (ADU).

  • Ter conhecimento funcional do Cisco Secure ACS.

  • Ter conhecimento básico do LWAPP.

  • Ter uma compreensão básica dos serviços do Microsoft Windows Ative Diretory (AD), bem como dos conceitos de controlador de domínio e DNS.

    Observação: antes de tentar esta configuração, verifique se o ACS e o servidor RSA Authentication Manager estão no mesmo domínio e se o relógio do sistema está exatamente sincronizado. Se estiver usando o Microsoft Windows AD Services, consulte a documentação da Microsoft para configurar o servidor ACS e RSA Manager no mesmo domínio. Consulte Configurar o Ative Diretory e o Windows User Database para obter informações relevantes.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • RSA Authentication Manager 6.1

  • RSA Authentication Agent 6.1 para Microsoft Windows

  • Cisco Secure ACS 4.0(1) Build 27

    Observação: o servidor RADIUS incluído pode ser usado no lugar do Cisco ACS. Consulte a documentação RADIUS incluída no RSA Authentication Manager sobre como configurar o servidor.

  • Cisco WLCs e Pontos de Acesso Lightweight para Release 4.0 (versão 4.0.155.0)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O sistema RSA SecurID é uma solução de autenticação de usuário de dois fatores. Usado em conjunto com o RSA Authentication Manager e um RSA Authentication Agent, o autenticador RSA SecurID exige que os usuários se identifiquem usando um mecanismo de autenticação de dois fatores.

Um é o código RSA SecurID, um número aleatório gerado a cada 60 segundos no dispositivo autenticador RSA SecureID. O outro é o Número de identificação pessoal (PIN).

Os autenticadores RSA SecurID são tão simples de usar quanto digitar uma senha. Cada usuário final recebe um autenticador RSA SecurID que gera um código de uso único. Ao fazer logon, o usuário simplesmente digita esse número e um PIN secreto para ser autenticado com êxito. Como um benefício adicional, os tokens de hardware RSA SecurID geralmente são pré-programados para estarem totalmente funcionais após o recebimento.

Esta demonstração em flash explica como usar um dispositivo de autenticação RSA secureID: Demonstração RSA.

Por meio do programa RSA SecurID Ready, as Cisco WLCs e os servidores Cisco Secure ACS suportam a autenticação RSA SecurID imediatamente. O software RSA Authentication Agent intercepta solicitações de acesso, locais ou remotas, de usuários (ou grupos de usuários) e as direciona para o programa RSA Authentication Manager para autenticação.

O software RSA Authentication Manager é o componente de gerenciamento da solução RSA SecurID. É usado para verificar solicitações de autenticação e administrar centralmente políticas de autenticação para redes corporativas. Ele funciona em conjunto com autenticadores RSA SecurID e software RSA Authentication Agent.

Neste documento, um servidor Cisco ACS é usado como o RSA Authentication Agent instalando o software do agente nele. O WLC é o Network Access Server (NAS) (cliente AAA) que, por sua vez, encaminha as autenticações do cliente para o ACS. O documento demonstra os conceitos e a configuração usando a autenticação de cliente PEAP (Protected Extensible Authentication Protocol).

Para saber mais sobre a autenticação PEAP, consulte Cisco Protected Extensible Authentication Protocol.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Este documento utiliza as seguintes configurações:

Configuração do Host do Agente

Usando o Cisco Secure ACS como servidor RADIUS

Para facilitar a comunicação entre o Cisco Secure ACS e o RSA Authentication Manager / RSA SecurID Appliance, um registro de Host do Agente deve ser adicionado ao banco de dados do RSA Authentication Manager. O registro Host do Agente identifica o Cisco Secure ACS em seu banco de dados e contém informações sobre comunicação e criptografia.

Para criar o registro Host do Agente, você precisa destas informações:

  • Nome de host do Cisco ACS Server

  • Endereços IP para todas as interfaces de rede do Cisco ACS Server

Conclua estes passos:

  1. Abra o aplicativo RSA Authentication Manager Host Mode.

  2. Selecione Host do Agente > Adicionar Host do Agente.

    rsa-wlc-acs-config1.gif

    Você verá esta janela.

    rsa-wlc-acs-config2.gif

  3. Insira as informações apropriadas para o nome do servidor Cisco ACS e o endereço de rede. Escolha NetOS para o tipo de agente e marque a caixa de seleção Abrir para todos os usuários conhecidos localmente.

  4. Click OK.

Usando o RSA Authentication Manager 6.1 RADIUS Server

Para facilitar a comunicação entre o Cisco WLC e o RSA Authentication Manager, um registro de Host do Agente deve ser adicionado ao banco de dados do RSA Authentication Manager e ao banco de dados do RADIUS Server. O registro Host do Agente identifica o Cisco WLC em seu banco de dados e contém informações sobre comunicação e criptografia.

Para criar o registro Host do Agente, você precisa destas informações:

  • Nome de host da WLC

  • Endereços IP de gerenciamento da WLC

  • Segredo RADIUS, que deve corresponder ao segredo RADIUS no Cisco WLC

Ao adicionar o registro de host do agente, a função da WLC é configurada como um servidor de comunicação. Essa configuração é usada pelo RSA Authentication Manager para determinar como a comunicação com a WLC ocorrerá.

Observação: os nomes de host no RSA Authentication Manager / RSA SecurID Appliance devem ser resolvidos para endereços IP válidos na rede local.

Conclua estes passos:

  1. Abra o aplicativo RSA Authentication Manager Host Mode.

  2. Selecione Host do Agente > Adicionar Host do Agente.

    rsa-wlc-acs-config1.gif

    Você verá esta janela.

    rsa-wlc-acs-config3.gif

  3. Insira as informações apropriadas para o nome do host da WLC (um FQDN resolvível, se necessário) e o endereço de rede. Escolha Servidor de comunicação para o tipo de agente e marque a caixa de seleção Abrir para todos os usuários conhecidos localmente.

  4. Click OK.

  5. No menu, selecione RADIUS > Manage RADIUS Server.

    rsa-wlc-acs-config4.gif

    Uma nova janela de administração é aberta.

  6. Nesta janela, selecione RADIUS Clients e clique em Add.

    rsa-wlc-acs-config5.gif

  7. Insira as informações apropriadas para o Cisco WLC. O segredo compartilhado deve corresponder ao segredo compartilhado definido no Cisco WLC.

    rsa-wlc-acs-config6.gif

  8. Click OK.

Configuração do Agente de Autenticação

Esta tabela representa a funcionalidade RSA Authentication Agent do ACS:

rsa-wlc-acs-config7.gif

Observação: consulte a documentação RADIUS incluída com o RSA Authentication Manager sobre como configurar o servidor RADIUS, se esse for o servidor RADIUS que será usado.

Configurar o Cisco ACS

Ativar a autenticação RSA SecurID

O Cisco Secure ACS suporta autenticação RSA SecurID de usuários. Conclua estes passos para configurar o Cisco Secure ACS para autenticar usuários com o Authentication Manager 6.1:

  1. Instale o RSA Authentication Agent 5.6 ou posterior para Windows no mesmo sistema do servidor Cisco Secure ACS.

  2. Verifique a conectividade executando a função Test Authentication do Authentication Agent.

  3. Copie o arquivo aceclnt.dll do diretório c:\Program Files\RSA Security\RSA Authentication Manager\prog do servidor RSA para o diretório c:\WINNT\system32 do servidor ACS.

  4. Na barra de navegação, clique em External User Database. Em seguida, clique em Configuração do Banco de Dados na página Banco de Dados Externo.

    rsa-wlc-acs-config8.gif

  5. Na página Configuração do banco de dados de usuário externo, clique em RSA SecurID Token Server.

    rsa-wlc-acs-config9.gif

  6. Clique em Create New Configuration (Criar Nova Configuração).

    rsa-wlc-acs-config10.gif

  7. Digite um nome e clique em Enviar.

    rsa-wlc-acs-config11.gif

  8. Clique em Configurar.

    rsa-wlc-acs-config12.gif

    O Cisco Secure ACS exibe o nome do servidor de token e o caminho para a DLL do autenticador. Essas informações confirmam que o Cisco Secure ACS pode entrar em contato com o RSA Authentication Agent. Você pode adicionar o banco de dados de usuário externo RSA SecurID à sua Política de usuário desconhecida ou atribuir contas de usuário específicas para usar esse banco de dados para autenticação.

    rsa-wlc-acs-config13.gif

Adicionar/Configurar a autenticação RSA SecurID à sua política de usuário desconhecida

Conclua estes passos:

  1. Na barra de navegação do ACS, clique em External User Database > Unknown User Policy.

    rsa-wlc-acs-config14.gif

  2. Na página Política de usuário desconhecida, selecione Verificar os seguintes bancos de dados de usuário externo, realce RSA SecurID Token Server e mova-o para a caixa Bancos de dados selecionados. Depois, clique em Submit.

    rsa-wlc-acs-config15.gif

Adicionar/Configurar a autenticação RSA SecurID para contas de usuário específicas

Conclua estes passos:

  1. Clique em User Setup na GUI principal do ACS Admin. Digite o nome de usuário e clique em Adicionar (ou selecione um usuário existente que deseja modificar).

  2. Em User Setup > Password Authentication, selecione RSA SecurID Token Server. Depois, clique em Submit.

    rsa-wlc-acs-config16.gif

Adicionar um cliente RADIUS no Cisco ACS

A instalação do servidor Cisco ACS precisará dos endereços IP da WLC para servir como um NAS para encaminhar autenticações PEAP do cliente para o ACS.

Conclua estes passos:

  1. Em Network Configuration, adicione/edite o cliente AAA para a WLC que será usada. Digite a chave "segredo compartilhado" (comum à WLC) usada entre o cliente AAA e o ACS. Selecione Authenticate Using > RADIUS (Cisco Airespace) para este cliente AAA. Em seguida, clique em Enviar + Aplicar.

    rsa-wlc-acs-config17.gif

  2. Solicite e instale um certificado de servidor de uma Autoridade de Certificação conhecida e confiável, como a Autoridade de Certificação RSA Keon.

    Para obter mais informações sobre esse processo, consulte a documentação fornecida com o Cisco ACS. Se estiver usando o RSA Certificate Manager, você poderá visualizar o guia de implementação do RSA Keon Aironet para obter ajuda adicional. Você deve concluir esta tarefa com êxito antes de continuar.

    Observação: certificados autoassinados também podem ser usados. Consulte a documentação do Cisco Secure ACS sobre como usá-los.

  3. Em System Configuration > Global Authentication Setup, marque a caixa de seleção para Allow PEAP authentication.

    rsa-wlc-acs-config18.gif

Configuração do Cisco Wireless LAN Controller para 802.1x

Conclua estes passos:

  1. Conecte-se à interface de linha de comando da WLC para configurar o controlador para que ele possa ser configurado para se conectar ao Cisco Secure ACS Server.

  2. Insira o comando config radius auth ip-address no WLC para configurar um servidor RADIUS para autenticação.

    Observação: ao testar com o servidor RADIUS do RSA Authentication Manager, insira o endereço IP do servidor RADIUS do RSA Authentication Manager. Ao testar com o servidor Cisco ACS, insira o endereço IP do servidor Cisco Secure ACS.

  3. Insira o comando config radius auth port no WLC para especificar a porta UDP para autenticação. As portas 1645 ou 1812 estão ativas por padrão no RSA Authentication Manager e no servidor Cisco ACS.

  4. Insira o comando config radius auth secret no WLC para configurar o segredo compartilhado no WLC. Isso deve corresponder ao segredo compartilhado criado nos servidores RADIUS para esse cliente RADIUS.

  5. Insira o comando config radius auth enable no WLC para ativar a autenticação. Quando desejado, insira o comando config radius auth disable para desativar a autenticação. Observe que a autenticação está desabilitada por padrão.

  6. Selecione a opção de segurança de Camada 2 apropriada para a WLAN desejada na WLC.

  7. Use os comandos show radius auth statistics e show radius summary para verificar se as configurações de RADIUS estão corretas.

    Observação: os temporizadores padrão para o tempo limite de solicitação EAP são baixos e podem precisar ser modificados. Isso pode ser feito usando o comando config advanced eap request-timeout <seconds>. Também pode ajudar a ajustar o tempo limite da solicitação de identidade com base nos requisitos. Isso pode ser feito usando o comando config advanced eap identity-request-timeout <seconds>.

Configuração do cliente sem fio 802.11

Para obter uma explicação detalhada de como configurar o hardware sem fio e o solicitante de cliente, consulte a documentação da Cisco.

Problemas conhecidos

Estes são alguns dos problemas conhecidos da autenticação RSA SecureID:

  • Token de software RSA. Os modos Novo modo Pin e Próximo Código Tokencode não são suportados ao usar esta forma de autenticação com XP2. (FIXADO como resultado de ACS-4.0.1-RSA-SW-CSCsc12614-CSCsd41866.zip)

  • Se sua implementação do ACS for mais antiga ou você não tiver o patch acima, o cliente não poderá autenticar até que o usuário faça as transições de "Enabled;New PIN Mode" para "Enabled" (Habilitado). Você pode fazer isso fazendo com que o usuário conclua uma autenticação sem fio ou usando o aplicativo RSA de "autenticação de teste".

  • Negar PINs de 4 dígitos/alfanuméricos. Se um usuário no modo Novo PIN for contra a política PIN, o processo de autenticação falhará e o usuário não saberá como ou por quê. Normalmente, se um usuário for contra a política, será enviada uma mensagem informando que o PIN foi rejeitado e solicitado novamente ao mostrar ao usuário novamente qual é a política de PIN (por exemplo, se a política de PIN tiver de 5 a 7 dígitos, e o usuário digitar 4 dígitos).

Informações Relacionadas

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos