Anticisco блогове - блог архив - Setup Cisco ACS 4
Както знаете, настройка на всяка система поотделно - не е толкова лошо. Повечето tsinus за конфигуриране на интерфейсите по интелигентен оперативна съвместимост. И стройна първата картина започва да се разпада, се погребва пускането плана на проекта ...
Ето защо, стисна в юмрук под знамената на благородната мисия да се улесни работата на тези, които ще ме последва, аз продължавам поредица от статии за един много бавен и труден ... за мен проекта. Позволете ми да ви напомня, че е за създаване на красива система с дистанционно свързване към идентификация на потребителя с RSA ключове за еднократна употреба, филтриране на съдържанието, с потребители, единно управление от една точка (AD) и други и други ...
Проектът първо трябва да настроите ACS Версия 4.2 - Лесен и интуитивен, но не и достатъчно гъвкава сървър. Но първо първите неща.
Ако zhelezyaku настройка (уред в 1113), след това да създадете конфигурация за RSA SecurID и фишове конфигурационен файл (sdconf.rec), създаден по-рано в съответния раздел Настройки на външни потребители в базата данни.
няма нужда да се измисли нещо: ACS работи като стандартен агент (понякога дори уеб-агент, но това не ни засяга)
Проверете дали връзката е установена, можете да опитате да се удостовери с помощта на потребител на RSA. След първото лечение, произведени уникална парола сесия, за да комуникира с агент.
След това е необходимо да се създаде призив към този сървър. Има няколко възможности:
1. Игнорирай всички потребители, които не са посочени изрично в групата ACS (непознати потребители) в RSA. Това е полезно, ако всички потребители трябва да имат жетони.
2. ясно показват, че даден потребител ACS (проектирани дръжки), заверено от данните базирани в чужбина RSA. Това е полезно, когато само няколко потребители трябва изрично да се карам на RSA
Но във всеки случай, красота е невъзможно, тъй като всички участници в проекта спря в АД и сортирани в групи. И знаците не са сравнени за всички, а само за някои, но те са малко, също са подредени в различни групи с различни права на достъп и тунелни протоколи. В ACS можете да връзвам една рекламна група в групата ACS, но не повече. По желание на клиента се има предвид възможността за създаване на множество групи по отношение на рекламата с посочените параметри (например, за да се стартира в SSL, но не и да започне през IPSec, да не говорим за средствата и не позволявайте на други). Но, както са ни учили математическа наука, с броя на атрибутите на най-малко 5, броят на групите нарасне до 5! (Това не е ярък и пет, но ужасна дума
Факторен :))
Тук всичко е много по-лесно и по-гъвкав. Разкажи ми повече.
За да се настрои към външна база данни раздела ACS5.2 SecurID в съответстваща на определянето на външни бази данни, за да пробутвам sdconf.rec (добре, вие разбирате, че важен файл :))
Важно: RSA SecurID сървъра в системата може да бъде само един. Ето защо, в този прозорец, няма дума Добавяне. Но когато създавате първия сървър, вместо на думата ще се ценят Edit Add.
Освен това, ако имате нужда да но действителната удостоверяване задава определени параметри на базата на рекламни атрибути, има прекрасна механизъм
Идентичност съхранява последователност. в който можете да създадете поредица от места за съхранение на проверки на потребителите, както и че е важно за нас, също да зададете местоположението на съхраняване на атрибутите на потребителите.
В този случай, AD1 - това конфигурирали външен потребителска база в АД. Между другото, в ACS5.2 не е необходим отделен клиент, към който той е вкопчил (както е в ACS4.2). За достъп до н.е. настроена директно чрез въвеждане на потребител с права, за да прочетете в директорията.
Червен цвят, който ние удостоверяване на потребителите, създаден преди това на RSA и допълнителни атрибути, взети от предварително настроен AD1.
Спомням си, че много добре RSA удостоверяване на мениджъра е в състояние да влезе в рекламата и разчитам на потребителите и групите, но нищо не се дава ACS, освен да приеме или отхвърли. при
Отхвърлям това може да означава, че паролата е неправилна, и че потребителят не е обвързан знак или дори няма такъв потребител. Това е много неудобно. Това би означавало хемороидалната засада, което ще обясня по-късно.