Integração do Cisco ACS 5.X com o RSA SecurID Token Server

Opções de download

  • PDF     (956.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (683.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (508.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:16 de janeiro de 2014
ID do documento:117038

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como integrar um Cisco Access Control System (ACS) versão 5.x com a tecnologia de autenticação RSA SecurID.

Informações de Apoio

O Cisco Secure ACS oferece suporte ao servidor RSA SecurID como um banco de dados externo.

A autenticação de dois fatores do RSA SecurID consiste no PIN (personal identification number, número de identificação pessoal) do usuário e em um token RSA SecurID registrado individualmente que gera códigos de token de uso único com base em um algoritmo de código de tempo.

Um código de token diferente é gerado em intervalos fixos, geralmente a cada 30 ou 60 segundos. O servidor RSA SecurID valida esse código de autenticação dinâmica. Cada token RSA SecurID é exclusivo e não é possível prever o valor de um token futuro com base em tokens passados.

Assim, quando um código de token correto é fornecido junto com um PIN, há um alto grau de certeza de que a pessoa é um usuário válido. Portanto, os servidores RSA SecurID fornecem um mecanismo de autenticação mais confiável do que as senhas reutilizáveis convencionais.

Você pode integrar um Cisco ACS 5.x com a tecnologia de autenticação RSA SecurID das seguintes maneiras:

  • Agente RSA SecurID — os usuários são autenticados com nome de usuário e senha por meio do protocolo nativo RSA.
  • Protocolo RADIUS - Os usuários são autenticados com nome de usuário e senha através do protocolo RADIUS.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento básico destes tópicos:

  • segurança RSA
  • Cisco Secure Access Control System (ACS)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Secure Access Control System (ACS) versão 5.x
  • Servidor de token RSA SecurID

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurações

Servidor RSA

Este procedimento descreve como o administrador do servidor RSA SecurID cria agentes de autenticação e um arquivo de configuração. Um agente de autenticação é basicamente um nome DNS (Domain Name Server) e um endereço IP de um dispositivo, software ou serviço que tem direitos de acesso ao banco de dados RSA. O arquivo de configuração basicamente descreve a topologia e a comunicação RSA.

Neste exemplo, o administrador do RSA deve criar dois agentes para as duas instâncias do ACS.

  1. No RSA Security Console, navegue para Access > Authentication Agents > Add New:

    117038-config-securid-01.png

  2. Na janela Adicionar novo agente de autenticação, defina um nome de host e um endereço IP para cada um dos dois agentes:

    117038-config-securid-02.png

    As pesquisas direta e reversa de DNS para agentes ACS devem funcionar.

  3. Defina o Tipo de agente como Agente padrão:

    117038-config-securid-03.png

    Este é um exemplo das informações que você vê depois que os agentes são adicionados:

    117038-config-securid-04.png

  4. No RSA Security Console, navegue para Access > Authentication Agents > Generate Configuration File para gerar o arquivo de configuração sdconf.rec:

    117038-config-securid-05.png

  5. Use os valores default para Máximo de Repetições e Tempo Máximo entre Cada Repetição:

    117038-config-securid-06.png

  6. Faça o download do arquivo de configuração:

    117038-config-securid-07.png

    O arquivo .zip contém o arquivo de configuração sdconf.rec real, que o administrador do ACS precisa para concluir as tarefas de configuração.

Servidor ACS Versão 5.X

Este procedimento descreve como o administrador do ACS recupera e envia o arquivo de configuração.

  1. No console Cisco Secure ACS Versão 5.x, navegue para Users and Identity Stores > External Identity Stores > RSA SecurID Token Servers e clique em Create:

    117038-config-securid-08.png

  2. Digite o nome do servidor RSA e navegue até o arquivo sdconf.rec que foi baixado do servidor RSA:

    117038-config-securid-09.png

  3. Selecione o arquivo e clique em Enviar.

Observação: na primeira vez que o ACS entra em contato com o servidor de token, outro arquivo, chamado de arquivo de segredo de nó, é criado para o agente ACS no RSA Authentication Manager e é baixado para o ACS. Esse arquivo é usado para comunicação criptografada.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Servidor ACS Versão 5.X

Para verificar se o login foi bem-sucedido, vá para o console ACS e revise a contagem de ocorrências:

117038-config-securid-10.png

Você também pode revisar os detalhes de autenticação a partir dos registros ACS:

117038-config-securid-11.png

Servidor RSA

Para verificar se a autenticação foi bem-sucedida, vá para o console RSA e examine os registros:

117038-config-securid-12.png

Troubleshooting

Esta seção disponibiliza informações para a solução de problemas de configuração.

Criar um registro de agente (sdconf.rec)

Para configurar um servidor de token RSA SecurID na versão 5.3 do ACS, o administrador do ACS deve ter o arquivo sdconf.rec. O arquivo sdconf.rec é um arquivo de registro de configuração que especifica como o agente RSA se comunica com o realm do servidor RSA SecurID.

Para criar o arquivo sdconf.rec, o administrador do RSA deve adicionar o host ACS como um host de agente no servidor RSA SecurID e gerar um arquivo de configuração para esse host de agente.

Redefinir o segredo do nó (securid)

Depois que o agente se comunica inicialmente com o servidor RSA SecurID, o servidor fornece ao agente um arquivo de segredo de nó chamado securid. A comunicação subsequente entre o servidor e o agente depende da troca do segredo do nó para verificar a autenticidade do outro.

Às vezes, os administradores podem ter que redefinir o segredo do nó:

  1. O administrador do RSA deve desmarcar a caixa de seleção Node Secret Created (Segredo do nó criado) no registro Agent Host (Host do agente) no servidor RSA SecurID.
  2. O administrador do ACS deve remover o arquivo securid do ACS.

Substituir Balanceamento de Carga Automático

O agente RSA SecurID equilibra automaticamente as cargas solicitadas nos servidores RSA SecurID no território. No entanto, você tem a opção de balancear manualmente a carga. Você pode especificar o servidor usado por cada um dos hosts do agente. Você pode atribuir uma prioridade a cada servidor para que o host do agente direcione as solicitações de autenticação para alguns servidores com mais frequência do que para outros.

Você deve especificar as configurações de prioridade em um arquivo de texto, salvá-lo como sdopts.rec e carregá-lo no ACS.

Intervir manualmente para remover um servidor RSA SecurID inoperante

Quando um servidor RSA SecurID está inoperante, o mecanismo de exclusão automática nem sempre funciona rapidamente. Remova o arquivo sdstatus.12 do ACS para acelerar esse processo.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
13-Feb-2014
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Anubhav Gupta
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco