簡介
本檔案介紹思科數位內容管理員(DCM)軟體使用RADIUS的遠端驗證。
必要條件
需求
思科建議您瞭解Cisco DCM軟體版本16及更高版本。
採用元件
本檔案中的資訊是根據以下軟體版本:
- Cisco DCM軟體v16.10及更高版本。
- 運行freeRadius開源軟體的RADIUS伺服器。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
在DCM的V16.10中引入了一項新功能,允許在RADIUS伺服器上配置的使用者帳戶用於訪問DCM GUI。本文檔介紹DCM和RADIUS伺服器上使用此功能所需的設定。
DCM上的GUI帳戶
在16.0及更低版本中,訪問GUI所需的使用者帳戶是DCM的本地帳戶,即在DCM上建立、修改、使用和刪除。
GUI使用者帳戶可以屬於以下組之一:
- 管理員(完全控制)
- 使用者(讀寫)
- 訪客(只讀)
- 自動化觸發器(外部觸發器)
- DTF管理員(DTF金鑰配置)
遠端驗證
遠端身份驗證的思想是集中收集可用於訪問裝置、應用、服務等的使用者帳戶。
圖中所示的步驟說明了使用遠端身份驗證時發生的情況:
步驟1。使用者在DCM GUI的登入頁面上輸入登入和密碼(在RADIUS伺服器上設定的使用者帳號)。
步驟2. DCM向RADIUS伺服器傳送包含憑據的訪問請求消息。
步驟3. RADIUS伺服器會檢查要求是否來自其中一個已設定的使用者端,以及其資料庫/檔案上是否有使用者帳號,並驗證密碼是否正確,之後將以下任何訊息傳回DCM
- Access-Accept — 表示憑證有效。將返回配置的RADIUS屬性。
- Access-Reject — 表示憑證無效,並且RADIUS伺服器可能設定為傳送某些RADIUS屬性來通知失敗。
- Access-Challenge — 這意味著RADIUS伺服器需要一些附加資訊來驗證使用者的真實性。未在DCM中處理。
如果RADIUS伺服器傳送了Access-Reject,DCM將檢查使用者帳戶是否為DCM自身的本地帳戶,然後執行身份驗證過程。
系統會以15分鐘(內部)的時間間隔對使用者進行重新身份驗證,以確認使用者名稱/密碼是否仍然有效,以及使用者是否屬於某個GUI帳戶組。如果身份驗證失敗,則當前運行的使用者會話將被視為無效,並且撤銷該使用者的所有許可權。
設定RADIUS伺服器
若要使用RADIUS伺服器上的使用者帳戶存取GUI,需要執行以下步驟:
DCM應配置為RADIUS伺服器的客戶端。
- 將DCM的IP新增為RADIUS伺服器的客戶端。
- 將共用金鑰新增到客戶端配置(此共用金鑰應與DCM上配置的共用金鑰相同,請參閱配置DCM部分)。
- 建議為每個DCM使用不同的共用金鑰。
- 共用金鑰的長度應至少為22個字元。
- 共用金鑰應儘可能隨機。
良好共用金鑰的示例:'89w%$w*78619ew8r4$7$6@q!9we#%^rnEWR@#QEws13&4^%sf54gsf4@!fg3sdf#@sdf$d3g44fg3%2s2345'
對於使用者帳戶,來自RADIUS伺服器的訪問接受消息應具有標識使用者所屬的GUI帳戶組的RADIUS屬性。可以選擇屬性名稱,需要在DCM上的設定檔案中進行配置。
以下是需要從RADIUS伺服器作為屬性值傳送的字串格式:
OU=<group_name_string> group_name_string可以是以下之一:
群組 |
組名稱字串 |
管理員(完全控制) |
管理員 |
使用者(讀寫) |
使用者 |
訪客(只讀) |
訪客 |
自動化觸發器(外部) 觸發器) |
自動化 |
DTF管理員(DTF金鑰) 組態) |
dtfadmins |
配置Cisco DCM
要在DCM上啟用/配置遠端身份驗證功能,需要GUI管理員帳戶。
以下步驟指示如何配置遠端身份驗證:
步驟1.使用管理員帳戶登入DCM。
步驟2.導覽至Security > GUI Accounts,然後選擇Remote頁籤,如下圖所示:
步驟3.配置RADIUS通訊所需的引數:
- Enable — 此設定確定是否應啟用遠端身份驗證支援。選中後,其餘引數欄位將啟用。
- 伺服器IP - RADIUS伺服器的IP地址。
- 連線埠 — RADIUS伺服器正在監聽驗證封包的連線埠(通常為1812,但可以設定為其他值)。
- Secret — 這是用於在將RADIUS封包傳送到伺服器之前加密密碼的共用密碼。此密碼應與RADIUS伺服器上配置的密碼相同,RADIUS伺服器用它來解密密碼。
- Attribute Name — 從RADIUS伺服器接收授權資料的屬性的名稱。
- 超時(秒) — 此設定用於RADIUS伺服器和DCM之間的通訊。這是DCM在終止請求之前等待來自RADIUS伺服器的響應時間。
- Retry Count — 在先前的請求超時的情況下,必須傳送RADIUS請求的次數。
- 回退到本地帳戶 — 此設定從DCM 19.0版開始可用。DCM允許使用使用GUI建立的GUI(本地)帳戶登入。選項,On Server Timeout允許回退到本地帳戶,以防無法訪問Radius伺服器,而在身份驗證失敗時則不允許。選項,Always允許始終回退 — 即使身份驗證失敗。
步驟4.應用更改後,將顯示影象中所示的警告。按一下OK並重新啟動使用者介面。
步驟5.現在DCM已準備好進行遠端身份驗證。
在DCM上配置IPSec:
1.使用屬於管理員安全組的GUI帳戶登入到DCM。
2.導覽至Configuration > System。系統將顯示System Settings頁面。
3.請參閱新增新IPsec區域,如下圖所示。
4.在「IP地址」欄位中,輸入新IPsec對等體(RADIUS伺服器)的IP地址。
5.在Pre Shared Key和Retype Pre Shared Key欄位中,輸入新IPsec對等體的Pre Shared Key。
6.按一下Add。新的IPsec對等體將新增到IPsec設定表中。
附註:有關運行RADIUS伺服器的電腦上的IPSec配置,請參閱產品附帶的文檔/出版物。
安全注意事項
- 共用金鑰以明文形式儲存在DCM的檔案系統中。
- 加密的密碼儲存在DCM的記憶體中,用於在會話期間進行重新身份驗證。
- 鑑於以上兩個專案,建議限制哪些人可以訪問DCM進行故障排除。
- 強烈建議使用IPSec來保護DCM和RADIUS之間的通訊通道
伺服器.
限制和限制
- 遠端身份驗證支援僅適用於GUI帳戶,而不適用於OS帳戶。
- 重新身份驗證的間隔為15分鐘。範例:如果使用者的組已更改,則更改生效的最壞時間是15分鐘。
- 如果啟用了遠端身份驗證,則DCM首先會檢查RADIUS伺服器使用者帳戶是否有效,然後檢查本地資料庫。如果使用在RADIUS伺服器上不存在的本地帳戶,則RADIUS伺服器上會出現身份驗證失敗消息。
設定freeRadius
本節以示例說明如何設定freeRadius以用作DCM的遠端身份驗證伺服器。這只是為了提供資訊,
思科不提供或支援freeRadius。假定freeRadius的配置檔案位於/etc/freeRadius/(檢查分發)下。
安裝freeRadius軟體包後,請修改這些檔案。
- 修改/etc/freeradius/clients.conf
步驟1.將DCM的IP項新增到客戶端清單中。
步驟2.在客戶端配置中新增共用金鑰,並將其他引數保留為預設值。
建議為每個DCM使用唯一的共用金鑰。
共用金鑰的長度應至少為22個字元。共用金鑰應儘可能隨機。
良好共用金鑰的示例:
'89w%$w*78619ew8r4$7$6@q!9we#%^rnEWR@#QEws13&4^%sf54gsf4@!fg3sdf#@sdf$d3g44fg3%2s2345'
- 修改/etc/freeradius/radiusd.conf以更改radius伺服器應偵聽的埠(通常為1812)
- 修改/etc/freeradius/users以新增新使用者。
- 確保新增將授權資訊以以下格式傳送到DCM的RADIUS屬性:
<Attribute Name> = 'OU=<group_name>'
屬性名稱:這是將授權資料傳送到DCM group_name所依據的標準RADIUS屬性的名稱,可以是以下屬性之一:
管理員 — 屬於該組的使用者將具有管理員許可權,即完全控制。
users — 屬於此組的使用者將具有讀寫許可權。
訪客 — 屬於此組的使用者將具有只讀許可權。
自動化 — 用於自動化(外部觸發器)。
dtfadmins - DTF管理員(DTF金鑰配置)
範例:
steve Cleartext-Password := "測試"
Filter-Id = "OU=administrators"
- (重啟)啟動radius伺服器以使更改生效。
- 確保radius伺服器的防火牆配置允許外部訪問所選的
連接埠.
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
為了進行調試,安全日誌中還引入了一些其他日誌。要檢視此日誌,請導航到DCM GUI中的幫助>跟蹤頁。
本節介紹要在日誌中查詢的內容、可能存在的問題以及可能的解決方案。
日誌行 |
遠端登入嘗試失敗:對RADIUS伺服器的請求超時。 |
問題 |
DCM無法與RADIUS伺服器通訊。 |
可能的解決方案 |
- 驗證DCM中的遠端身份驗證配置中提供的RADIUS伺服器IP地址是否真正正確。
- 確保可以從DCM訪問RADIUS伺服器。
- 確保DCM已配置為RADIUS伺服器上的有效客戶端(RADIUS伺服器以靜默方式丟棄來自未知客戶端的訪問請求資料包)。
- 確保DCM上配置的共用金鑰與RADIUS伺服器上為該特定DCM配置的共用金鑰相同。(如果伺服器沒有客戶端的共用金鑰,則請求將被靜默丟棄。)
|
日誌行 |
遠端登入嘗試失敗:[錯誤號10054]遠端主機強制關閉了現有連線。 |
問題 |
DCM向指定的伺服器IP傳送了RADIUS請求。但是,RADIUS伺服器應用程式未在遠端身份驗證設定中指定的埠上偵聽。 |
可能的解決方案 |
- 確保RADIUS伺服器正在運行。
- 檢查伺服器的RADIUS配置中指定的埠號是否與DCM上配置的埠號相同。
|
日誌行 |
遠端登入嘗試失敗:指定的屬性名稱無效,或者來自RADIUS伺服器的響應缺少授權資料。 |
問題 |
從RADIUS伺服器接收的響應出現問題。 |
可能的解決方案 |
- 確保RADIUS伺服器在「Access-Accept」回應中傳送屬性(在DCM上設定)。
- 確保DCM遠端身份驗證設定上配置的Attribute Name引數與RADIUS伺服器上的使用者配置中指定的名稱完全相同。
|
日誌行 |
從RADIUS伺服器接收的授權資料無效。 |
問題 |
身份驗證成功,但從RADIUS伺服器收到的響應包含無效的授權資料,即安全組名稱。 |
可能的解決方案 |
- 確保在RADIUS伺服器上為該使用者配置的組名稱是在配置RADIUS伺服器部分中指定的安全組名稱之一。
- 確保RADIUS伺服器上配置的字串的格式與配置RADIUS伺服器一節中指定的格式一致。
|