antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 20 Март , 2011

Предисловие: участвую в богатом на разнообразные железки проекте. В нем присутствуют:
1. Циски как ядро (ASA, 6500, 3750, ISR, 2960)
2. Циски для WIFI (WLC, CAPWAP AP)
3. ACS 4.2
4. BlueCoat ProxySG в сравнении с Cisco Ironport WSA
5. BlueCoat ProxyAV в сравнении с конкурентом
6. Balabit SCB
7. SecurID – система одноразовых ключей (токены серии 800)
8. СА с сертифкатами

Задач много разных. В частности подключение ко всему этому великолепию разнообразных клиентов типа Android, Blackberry, iOS…

Чтобы мой скромный опыт не утерялся (мной же в частности :)) опишу процесс настройки этих систем на пальцах и в связке с циской.
И начну с наиболее трудоемкой, кмк, системы

RSA SecurID (сайт производителя )
Сразу оговорюсь, что в инете довольно мало документации по настройке этой системы, особенно на русском. И есть несколько довольно не очевидных моментов, которые хотелось бы охватить в одном цикле статей.

Описание.

Система двухфакторной аутентификации RSA SecurID состоит из следующих компонентов:
1. Сервер аутентификации (RSA Authentication Manager). Устанавливается на Windows Server. Выделенный сервер для обработки запросов от клиентов. Умеет интегрироваться с AD по ldap и ldaps
2. Агент аутентификации. Специализированный софт, устанавливаемый на компьютер или сервер, на который будет осуществляться доступ. Список поддерживаемых систем и версий агентов есть на сайте производителя.
3. Аппаратный или программный токен, который раз в минуту вычисляет новый ключ. Он синхронизирован с сервером аутентификации.

Установка и настройка RSA Authentication Manager 7.1
Установка Win софта проста. Единственно, надо озаботиться, чтобы на сервере был установлен пакет .NET 3.5
В процессе установки будет предложено задать имя и пароль суперадмина. В результате установки появится штук 8 новых сервисов и на рабочем столе локального Администратора 2 ярлычка со ссылками на

Security Console: https://{server_name}:7004/console-am
Security Operations Console: https://{server_name}:7072/operations-console

Security Operations Console позволяет задать привязку к внешним базам данных пользователей. В моем случае это была привязка к AD. Этот ярлычок надо запускать первым в случае если внешние базы данных есть.
Привязаться к домену (путь это будет домен TESTDOMAIN.anticisco.ru) оказалось не сложно. Напомню, что поддерживаются и нешифрованный и шифрованный SSL LDAP. Я упростил себе задачу и настроил LDAP, хотя LDAPS безопаснее. Его настройка отличается лишь импортом SSL сертификата AD
1. Заходим в Security Operations Console
2. Вводим логин/пароль, заданный при установке
3. Deployment configuration -> Identity Sources -> Add new
4. Вас еще раз спросят логин/пароль. Смело вводите еще раз того же юзера. Просто у вас пока есть только суперадмин, а вообще роль «Просмотр» и «Добавление» можно разделить.
5. Задаем название настройки домена, протокол доступа и адрес DC (в моем случае я задал ldap:// и в качестве запасного – BDC: ldap://)
6. Задаем привязку параметров из AD (я не такой уж знаток AD, поэтому оставил все по умолчанию, за исключением, разумеется, места поиска пользователей, базовой группы, админа и его пароля для доступа в AD). Я задал такие параметры:

User Base DN: cn=users,dc=TESTDOMAIN,dc=anticisco,dc=ru
User Group Base DN: dc=TESTDOMAIN,dc=anticisco,dc=ru
Примечание: то, что система предлагает по умолчанию – поставить группу ou=Groups, в обычной установке AD не работает. Я немного задумался, что же поставить в качестве базовой группы, ибо не было у меня OU, но все оказалось довольно банально

User ID: administrator@TESTDOMAIN.anticisco.ru (можно написать и в классическом ldap виде)
Directory password: {пароль на указанного пользователя}
7. Дальше разумно провести тест и посмотреть, удается ли зайти в AD и забрать список пользователей и групп (Test connection)
В случае, если SecurID Manager видит пользователей из указанного домена, можно уже начать радоваться – треть дела сделана.

Продолжение следует

 

Метки: ,
Опубликовано: Holywar

 

» Оставить комментарий

Вы должны войти чтобы прокомментировать.