このドキュメントでは、RSA SecurID 認証技術と Cisco Access Control System(ACS)バージョン 5.x を統合する方法について説明します。
Cisco Secure ACS は、外部データベースとして RSA SecurID サーバをサポートします。
RSA SecurID の 2 要素認証は、ユーザの個人識別番号(PIN)と、タイム コード アルゴリズムに基づいて使い捨てのトークン コードを生成する個別に登録された RSA SecurID トークンで構成されます。
異なるトークン コードが固定間隔(通常は 30 または 60 秒ごと)で生成されます。RSA SecurID サーバでは、この動的な認証コードが検証されます。各 RSA SecurID トークンは固有であり、過去のトークンに基づいて将来のトークンの値を予測することはできません。
そのため、正しいトークン コードが PIN とともに提示された場合、その人が有効なユーザである確実性が高くなります。したがって、RSA SecurID サーバでは、従来の再利用可能なパスワードよりも信頼性の高い認証メカニズムが提供されます。
次の方法で RSA SecurID 認証技術と Cisco ACS 5.x を統合することができます。
次の項目に関する基本的な知識が推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
この手順では、RSA SecurID サーバ管理者が認証エージェントと設定ファイルを作成する方法について説明します。認証エージェントは、基本的に、RSA データベースにアクセスする権限を持つデバイス、ソフトウェア、またはサービスのドメイン ネーム サーバ(DNS)の名前と IP アドレスです。設定ファイルは、基本的に、RSA のトポロジと通信を記述したものです。
この例では、RSA 管理者が 2 つの ACS インスタンス用の 2 つのエージェントを作成する必要があります。
この手順では、ACS 管理者がコンフィギュレーション ファイルを取得して送信する方法について説明します。
ここでは、設定が正常に機能しているかどうかを確認します。
ログインの成功を検証するには、ACS コンソールに移動して、[Hit Count] を確認します。
また、ACS ログで認証詳細情報を確認することもできます。
認証の成功を検証するには、RSA コンソールに移動して、ログを確認します。
ここでは、設定のトラブルシューティングに使用できる情報を示します。
ACS バージョン 5.3 で RSA SecurID トークン サーバを設定するには、ACS 管理者が sdconf.rec ファイルを作成する必要があります。sdconf.rec ファイルは、RSA エージェントと RSA SecurID サーバ領域との通信方法を指定する設定レコード ファイルです。
sdconf.rec ファイルを作成するために、RSA 管理者は、RSA SecurID サーバ上のエージェント ホストとして ACS ホストを追加し、このエージェント ホストのコンフィギュレーション ファイルを生成する必要があります。
エージェントが最初に RSA SecurID サーバと通信したあと、サーバは securid というノード秘密ファイルをエージェントに提供します。サーバとエージェント間のその後の通信は、ノード シークレットの交換による相手の信頼性の検証によって行われます。
管理者がノード シークレットをリセットしなければならない場合があります。
RSA SecurID エージェントは、領域内の RSA SecurID サーバ上の要求された負荷を自動的に分散します。ただし、負荷を手動で分散するオプションもあります。エージェント ホストごとに使用されるサーバを指定できます。エージェント ホストが認証要求を一部のサーバにだけ優先的に転送できるように、サーバごとに優先度を割り当てることができます。
優先度設定をテキスト ファイルで指定して、そのファイルを sdopts.rec として保存し、ACS にアップロードする必要があります。
RSA SecurID サーバがダウンした場合、自動除外メカニズムが迅速に機能しないことがあります。ACS から sdstatus.12 ファイルを削除すると、このプロセスが高速化します。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
13-Feb-2014 |
初版 |