antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Публикации помечены ‘ACS’

Опубликовано 5 Сентябрь , 2011

Ну вот, настало время описать ту засаду, что обещал в прошлой статье, а заодно расскажу еще про одну хитрость, которую обнаружил «методом тыка» на ACS5.2.
Итак, напомню, что при настройке связки «тройственного союза»: ASA->ACS5.2->RSA SecurID+AD возникает неопределенность. Опишу ее поподробнее.
Запрос от ASA смело уходит через протокол RADIUS на ACS5.2 на котором настроено, что все, что приходит с этой ASA обрабатывается профилем, скажем, VPN_PROFILE. Предположим в этом профиле в качестве сервера аутентификации применен сложный механизм (sequence), состоящий из запроса на RSA Auth Manager и дополнительного запроса атрибутов через LDAP в Active Directory, а в случае неудачи – прямой запрос в AD. Т.е. логика такая: спросить RSA и в случае успеха для данного пользователя запросить атрибуты из AD (например, я использовал memberOf). А если для данного пользователя нет токена, то запросить напрямую AD. Напомню, что по условию задачи все пользователи должны быть в AD.
И вот тут нас и ждет засада!
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | 7 комментариев »

Опубликовано 9 Август , 2011

RSA+ACS5.2

Как известно, настроить по отдельности каждую систему — полбеды. Самый цинус в настройке сопряжения по-умному interoperability. И стройная поначалу картинка начинает разваливаться по частям, погребая под себя план сдачи проекта…

Поэтому, сжав волю в кулак под знаменами благородной миссии облегчения труда тем, кто пойдет за мной, продолжаю серию публикаций об одном очень … медленном и трудном для меня проекте. Напомню, речь идет о создании красивой системы с удаленных подключений с аутентификацией пользователей с одноразовыми ключами RSA, с фильтрацией контента, с унифицированным управлением пользователями из единой точки (AD) и прочая и прочая…

В рамках проекта сначала настраивался ACS версии 4.2 – простой и понятный, но не достаточно гибкий сервер. Но обо всем по порядку.

Сама настройка ACS 4.2 для работы с SecurID сложности не представляет. Если вы настраиваете софтовую версию, установленную на Win 2000 Server или Win 2003 Server, то необходимо соответствующий клиент RSA (для W2K Server или Win2K3 Server соответственно) сначала установить, указав ему, где локально лежит волшебный файл sdconf.rec . И после этого автоматически в настройках внешних баз появится RSA SecurID.

Если же вы настраиваете железяку (appliance 1113), то в соответствующей закладке настройки внешних баз пользователей создаете конфигурацию для RSA SecurID и подсовываете созданный ранее файл с настройками (sdconf.rec).

Читать продолжение записи »

 

Метки: , ,
Опубликовано: Holywar , Безопасность cisco | 2 комментария »