Cisco Secure UNIX en Secure ID (SDI-client) configureren
Inhoud
Inleiding
Om de configuratie in dit document te implementeren, hebt u een Cisco Secure-versie nodig die de Secure ID van Security Dynamics Incorporated (SDI) ondersteunt.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Een SDI-client (Secure ID) installeren op een Cisco Secure UNIX-machine
Opmerking: Secure ID wordt doorgaans geïnstalleerd voordat Cisco Secure UNIX (CSUnix) is geïnstalleerd. Deze instructies beschrijven hoe de SDI-client moet worden geïnstalleerd nadat CSUnix is geïnstalleerd.
-
Voer op de SDI-server sdadmin uit. Vertel de SDI-server dat de CSUnix-machine een client is en specificeer dat de SDI-gebruikers in kwestie op de CSUnix-client zijn geactiveerd.
-
Gebruik de opdracht nslookup #.#.#.# of nslookup <hostname> om er zeker van te zijn dat de CSUnix-client en de SDI-server lookup van elkaar kunnen uitvoeren en omkeren.
-
Kopieer het /etc/sdace.txt bestand van de SDI-server naar /etc/sdace.txt bestand van de CSUnix-client.
-
Kopieer het bestand sdconf.rec van de SDI-server naar de CSUnix-client; dit bestand kan zich overal op de CSUnix-client bevinden. Als het echter in dezelfde directorystructuur op de CSUnix-client wordt geplaatst als op de SDI-server, hoeft sdace.txt niet te worden gewijzigd.
-
Of /etc/sdace.txt of VAR_ACE moet naar het pad wijzen waar het sdconf.rec bestand zich bevindt. Om dit te verifiëren, start cat /etc/sdace.txt, of controleer de uitvoer van env om er zeker van te zijn dat VAR_ACE is gedefinieerd in het profiel van de wortel als de wortel begint.
-
Back-up van CSU.cfg van de CSUnix-client, wijzig vervolgens de sectie AUTHEN config_external_authen_symbolen met deze regels:
-
Recycle CSUnix door de uitvoering van K80CiscoSecure en S80CiscoSecure.
-
Als $BASE/utils/psg aangeeft dat het Cisco Secure AAA-serverproces actief was voordat het CSU.cfg-bestand werd gewijzigd, maar niet daarna, dan zijn er fouten gemaakt bij de herziening van het CSU.cfg-bestand. Herstel het oorspronkelijke CSU.cfg-bestand en probeer de in stap 6 geschetste wijzigingen opnieuw aan te brengen.
Eerste tests van de beveiligde id en CSUnix
Voer de volgende stappen uit om Secure ID en CSUnix te testen:
-
Zorg ervoor dat een niet-SDI gebruiker Telnet naar de router kan ontvangen en geauthenticeerd kan worden met CSUnix. Als dit niet werkt, werkt SDI niet.
-
Test basis SDI-verificatie in de router en voer deze opdracht uit:
aaa new-model aaa authentication login default tacacs+ none
Opmerking: hierbij wordt ervan uitgegaan dat de opdrachten van de tacacs-server al in de router actief zijn.
-
Voeg een SDI-gebruiker toe vanaf de CSUnix-opdrachtregel om deze opdracht in te voeren
$BASE/CLI/AddProfile -p 9900 -u sdi_user -pw sdi -
Probeer te verifiëren als gebruiker. . Als die gebruiker werkt, is SDI operationeel en kunt u aanvullende informatie toevoegen aan de gebruikersprofielen.
-
SDI-gebruikers kunnen worden getest met het known_user profiel in CSUnix. (Gebruikers hoeven niet expliciet in CSUnix te worden vermeld als ze allemaal worden doorgegeven aan SDI en allemaal hetzelfde profiel hebben.) Als er al een onbekend gebruikersprofiel bestaat, verwijder het dan met behulp van deze opdracht:
$BASE/CLI/DeleteProfile -p 9900 -u unknown_user
-
Gebruik deze opdracht om een ander onbekend gebruikersprofiel toe te voegen:
$BASE/CLI/AddProfile -p 9900 -u unknown_user -pw sdi
Deze opdracht geeft alle onbekende gebruikers door aan SDI.
Beveiligde ID en CSUnix: TACACS+ profiel
-
Voer een eerste test uit zonder SDI. Als dit gebruikersprofiel niet werkt zonder SDI-wachtwoord voor inlogverificatie, Challenge Handshake Verification Protocol (CHAP) en Password Verification Protocol (PAP), werkt het niet met een SDI-wachtwoord:
# ./ViewProfile -p 9900 -u cse User Profile Information user = cse{ password = chap "chappwd" password = pap "pappwd" password = clear,"clearpwd" default service=permit service=shell { } service=ppp { protocol=lcp { } protocol=ip { } } } -
Zodra het profiel werkt, voeg "sdi" toe aan het profiel in plaats van "clear" zoals in dit voorbeeld:
# ./ViewProfile -p 9900 -u cse User Profile Information user = cse{ password = chap "chappwd" password = pap "pappwd" password = sdi default service=permit service=shell { } service=ppp { protocol=lcp { } protocol=ip { } } }
Hoe het profiel werkt
Met dit profiel kan de gebruiker inloggen met deze combinaties:
-
Telnet naar de router en gebruik SDI. (Hierbij wordt ervan uitgegaan dat de standaardopdracht voor verificatie bij AAA-aanmelding op de router is uitgevoerd.)
-
Inbelnetwerk-PPP-verbinding en PAP. (Hierbij wordt ervan uitgegaan dat de opdrachten voor de verificatie van aaa-ppp standaard indien nodig zijn uitgevoerd met tacacs en ppp authen pap op de router.)
N.B.: Controleer of op de pc en in inbelnetwerken "Elke verificatie, inclusief duidelijke tekst, accepteren" is ingeschakeld. Alvorens te draaien, ga één van deze gebruikersnaam/wachtwoordcombinaties in het eindvenster in:
username: cse*code+card password: pap (must agree with profile) username: cse password: code+card
-
Inbelnetwerk-PPP-verbinding en CHAP. (Hierbij wordt ervan uitgegaan dat de opdrachten voor de verificatie van de aaa-PPP standaard indien nodig zijn uitgevoerd op de router en ppp authen chap.)
Opmerking: op de PC, in inbelnetwerken, moet "Accepteer elke verificatie inclusief duidelijke tekst" of "Accepteer alleen versleutelde verificatie" zijn ingeschakeld. Vóór het draaien, ga deze gebruikersnaam en wachtwoord in het eindvenster in:
username: cse*code+card password: chap (must agree with profile)
Combinaties met CSUnix TACACS+ wachtwoord die niet werken
Deze combinaties produceren deze CSUnix debug fouten:
-
CHAP en geen "cleartext" wachtwoord in het wachtwoordveld. De gebruiker voert code+card in in plaats van het "cleartext" wachtwoord. RFC 1994 op CHAP
vereist een duidelijke opslag van tekstwachtwoorden.username: cse password: code+card CiscoSecure INFO - User cse, No tokencard password received CiscoSecure NOTICE - Authentication - Incorrect password;
-
CHAP en een slecht CHAP wachtwoord.
username: cse*code+card password: wrong chap password
(De gebruiker gaat over naar SDI en SDI geeft de gebruiker door, maar CSUnix mislukt de gebruiker omdat het CHAP-wachtwoord slecht is.)
CiscoSecure INFO - The character * was found in username: username=cse,passcode=1234755962 CiscoSecure INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse CiscoSecure INFO - sdi_verify: cse authenticated by ACE Srvr CiscoSecure INFO - sdi: cse free external_data memory,state=GET_PASSCODE CiscoSecure INFO - sdi_verify: rtn 1 CiscoSecure NOTICE - Authentication - Incorrect password;
-
PAP en een slecht PAP wachtwoord.
username: cse*code+card password: wrong pap password
(De gebruiker gaat over naar SDI en SDI geeft de gebruiker door, maar CSUnix mislukt de gebruiker omdat het CHAP-wachtwoord slecht is.)
CiscoSecure INFO - 52 User Profiles and 8 Group Profiles loaded into Cache. CiscoSecure INFO - The character * was found in username: username=cse,passcode=1234651500 CiscoSecure INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse CiscoSecure INFO - sdi_verify: cse authenticated by ACE Srvr CiscoSecure INFO - sdi: cse free external_data memory,state=GET_PASSCODE CiscoSecure INFO - sdi_verify: rtn 1 CiscoSecure NOTICE - Authentication - Incorrect password;
vereist een duidelijke opslag van tekstwachtwoorden.Debugging CSUnix TACACS+ SDI voorbeeldprofielen
-
De gebruiker moet CHAP- en inlogverificatie uitvoeren; PAP mislukt.
# ./ViewProfile -p 9900 -u cse User Profile Information user = cse{ password = chap "********" password = sdi default service=permit service=shell { } service=ppp { protocol=lcp { } protocol=ip { } } -
De gebruiker moet PAP- en inlogverificatie uitvoeren; CHAP mislukt.
# ./ViewProfile -p 9900 -u cse User Profile Information user = cse{ member = admin password = pap "********" password = sdi default service=permit service=shell { } service=ppp { protocol=lcp { } protocol=ip { } } }
CSUnix RADIUS
Deze secties bevatten CSUnix RADIUS procedures.
Aanmeldingsverificatie met CSUnix en RADIUS
Voer de volgende stappen uit om de verificatie te testen:
-
Voer een eerste test uit zonder SDI. Als dit gebruikersprofiel niet werkt zonder SDI-wachtwoord voor aanmeldingsverificatie, werkt het niet met een SDI-wachtwoord:
# ./ViewProfile -p 9900 -u cse User Profile Information user = cse{ radius=Cisco { check_items= { 2="whatever" } reply_attributes= { 6=6 } } } -
Zodra dit profiel werkt, vervang "wat" door "sdi" zoals in dit voorbeeld:
# ./ViewProfile -p 9900 -u cse User Profile Information user = cse{ radius=Cisco { check_items= { 2=sdi } reply_attributes= { 6=6 } } }
PPP- en PAP-verificatie met CSUnix en RADIUS
Voer de volgende stappen uit om de verificatie te testen:
Opmerking: PPP CHAP-verificatie met CSUnix en RADIUS wordt niet ondersteund.
-
Voer een eerste test uit zonder SDI. Als dit gebruikersprofiel niet werkt zonder SDI-wachtwoord voor PPP/PAP-verificatie en "async mode dedicated", werkt het niet met een SDI-wachtwoord:
# ./ViewProfile -p 9900 -u cse user = cse { password = pap "pappass" radius=Cisco { check_items = { } reply_attributes= { 6=2 7=1 } } } -
Zodra het bovenstaande profiel werkt, voegt u wachtwoord = sdi toe aan het profiel en voegt u kenmerk 200=1 toe zoals in dit voorbeeld (hiermee wordt Cisco_Token_Immediate ingesteld op yes):
# ./ViewProfile -p 9900 -u cse user = cse { password = pap "pappass" password = sdi radius=Cisco { check_items = { 200=1 } reply_attributes= { 6=2 7=1 } } } -
In de "Advanced GUI, server" zorg je dat "Token Caching inschakelen" is ingesteld. Dit kan worden bevestigd via de opdrachtregelinterface (CLI) met:
$BASE/CLI/ViewProfile -p 9900 -u SERVER.#.#.#.# !--- Where #.#.#.# is the IP address of the CSUnix server. TokenCachingEnabled="yes"
Inbelnetwerken, PPP-verbinding en PAP
Er wordt aangenomen dat aaa verificatie ppp standaard indien nodig tacacs en PPP authen PAP commando's op de router zijn uitgevoerd. Voer deze gebruikersnaam en het wachtwoord in in het terminalvenster voordat u gaat bellen.:
username: cse password: code+card
N.B.: Controleer of op de pc en in inbelnetwerken het vakje "Accepteer alle verificaties, inclusief duidelijke tekst" is ingeschakeld.
Debug- en verificatie-tips
Deze secties bevatten tips voor debug en verificatie.
Cisco Secure RADIUS, PPP en PAP
Dit is een voorbeeld van een goede debug:
CiscoSecure DEBUG - RADIUS ; Outgoing Accept Packet id=133 (10.31.1.6)
User-Service-Type = Framed-User
Framed-Protocol = PPP
CiscoSecure DEBUG - RADIUS ; Request from host a1f0106 nas (10.31.1.6)
code=1 id=134 length=73
CiscoSecure DEBUG - RADIUS ; Incoming Packet id=134 (10.31.1.6)
Client-Id = 10.31.1.6
Client-Port-Id = 1
NAS-Port-Type = Async
User-Name = "cse"
Password = "?\235\306"
User-Service-Type = Framed-User
Framed-Protocol = PPP
CiscoSecure DEBUG - RADIUS ; Authenticate (10.31.1.6)
CiscoSecure DEBUG - RADIUS ; checkList: ASCEND_TOKEN_IMMEDIATE = 1
CiscoSecure DEBUG - RADIUS ; User PASSWORD type is Special
CiscoSecure DEBUG - RADIUS ; authPapPwd (10.31.1.6)
CiscoSecure INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse
CiscoSecure DEBUG - profile_valid_tcaching FALSE ending.
CiscoSecure DEBUG - Token Caching. IGNORE.
CiscoSecure INFO - sdi_verify: cse authenticated by ACE Srvr
CiscoSecure INFO - sdi: cse free external_data memory,state=GET_PASSCODE
CiscoSecure INFO - sdi_verify: rtn 1
CiscoSecure DEBUG - RADIUS ; Sending Ack of id 134 to a1f0106 (10.31.1.6)
Secure-id en CSUnix
debug wordt opgeslagen in het bestand gespecificeerd in /etc/syslog.conf voor local0.debug.
Geen gebruikers kunnen verifiëren - SDI of anderszins:
Nadat u de Secure ID hebt toegevoegd, controleert u of er geen fouten zijn gemaakt bij het wijzigen van het CSU.cfg-bestand. Repareer het CSU.cfg-bestand of ga terug naar het reservebestand CSU.cfg.
Dit is een voorbeeld van een goede debug:
Dec 13 11:24:22 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse Dec 13 11:24:22 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse Dec 13 11:24:31 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_verify: cse authenticated by ACE Srvr Dec 13 11:24:31 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_verify: cse authenticated by ACE Srvr Dec 13 11:24:31 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi: cse free external_data memory,state=GET_PASSCODE Dec 13 11:24:31 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi: cse free external_data memory,state=GET_PASSCODE Dec 13 11:24:31 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_verify: rtn 1 Dec 13 11:24:31 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_verify: rtn 1
Dit is een voorbeeld van een slechte debug:
CSUnix vindt het gebruikersprofiel en verstuurt het naar de SDI-server, maar de SDI-server faalt de gebruiker omdat de wachtcode slecht is.
Dec 13 11:26:22 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse Dec 13 11:26:22 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: WARNING - sdi_verify: cse denied access by ACE Srvr Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: WARNING - sdi_verify: cse denied access by ACE Srvr Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi: cse free external_data memory,state=GET_PASSCODE Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi: cse free external_data memory,state=GET_PASSCODE Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_verify: rtn 0 Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_verify: rtn 0 Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: NOTICE - Authentication - Incorrect password; Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: NOTICE - Authentication - Incorrect password;
Dit is een voorbeeld dat laat zien dat de Ace-server niet actief is:
Voer ./aceserver stop in op de SDI-server. De gebruiker krijgt het bericht "WACHTWOORD INVOEREN" niet.
Dec 13 11:33:42 rtp-evergreen.rtp.cisco.com CiscoSecure: ERROR - sdi_challenge error: sd_init failed cli/srvr comm init (cse) Dec 13 11:33:42 rtp-evergreen.rtp.cisco.com CiscoSecure: ERROR - sdi_challenge error: sd_init failed cli/srvr comm init (cse) Dec 13 11:33:42 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi: cse free external_data memory,state=RESET Dec 13 11:33:42 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi: cse free external_data memory,state=RESET
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
17-Oct-2001 |
Eerste vrijgave |
Feedback