تكوين Cisco Secure UNIX و ID الآمن (SDI Client)
المحتويات
المقدمة
لتنفيذ التكوين في هذا المستند، يلزمك أي إصدار آمن من Cisco يدعم معرف Security Dynamics Incorporated (SDI) الآمن.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
الاصطلاحات
للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.
تثبيت عميل SDI (معرف آمن) على جهاز Cisco Secure UNIX
ملاحظة: يتم تثبيت المعرف الآمن عادة قبل تثبيت Cisco Secure Unix (CSUnix). تصف هذه التعليمات كيفية تثبيت عميل SDI بعد تثبيت CSUnix.
-
على خادم SDI، قم بتشغيل sdadmin. أخبر خادم SDI أن جهاز CSUnix هو عميل وحدد أن مستخدمي SDI المعنيين يتم تنشيطهم على عميل CSUnix.
-
أستخدم الأمر nslookup #.#.#.# أو nslookup <hostname> للتأكد من أنه يمكن لعميل CSUnix وخادم SDI إجراء بحث مسبق وعكسي عن بعضهما البعض.
-
انسخ ملف /etc/sdace.txt الخاص بخادم SDI إلى ملف /etc/sdace.txt الخاص بعميل CSUnix.
-
انسخ ملف sdconf.rec الخاص بخادم SDI إلى عميل CSUnix، قد يوجد هذا الملف في أي مكان على عميل CSUnix. ومع ذلك، إذا تم وضعها في نفس بنية الدليل على عميل CSUnix كما كانت على خادم SDI، فلا يجب تعديل sdace.txt.
-
يجب أن يشير إما /etc/sdace.txt أو VAR_ACE إلى المسار حيث يوجد ملف sdconf.rec. للتحقق من ذلك، قم بتشغيل cat /etc/sdace.txt، أو تحقق من إخراج env للتأكد من تعريف VAR_ACE في ملف تعريف الجذر مع بدء الجذر.
-
قم بإجراء نسخ إحتياطي لقسم CSU.cfg الخاص بعميل CSU.CFG، ثم قم بتعديل قسم AUTHEN config_external_authen_symbols باستخدام البنود التالية:
-
إعادة تدوير CSUnix من خلال تنفيذ K80CiscoSecure وS80CiscoSecure.
-
إذا أظهرت $BASE/utils/PSG أن عملية خادم Cisco Secure AAA كانت نشطة قبل تعديل ملف CSU.cfg ولكن ليس بعد ذلك، بعد ذلك حدثت أخطاء في مراجعة ملف CSU.cfg. قم باستعادة ملف CSU.cfg الأصلي وحاول إجراء التغييرات المحددة في الخطوة 6 مرة أخرى.
الاختبار الأولي للمعرف الآمن و CSUnix
لاختبار معرف آمن و CSUnix، قم بإجراء الخطوات التالية:
-
تأكد من أنه يمكن لمستخدم بخلاف SDI إستخدام Telnet إلى الموجه وتتم مصادقته باستخدام CSUnix. إذا لم ينجح ذلك، فلن يعمل SDI.
-
اختبر مصادقة SDI الأساسية في الموجه وشغل هذا أمر:
aaa new-model aaa authentication login default tacacs+ none
ملاحظة: يفترض هذا أن أوامر tacacs-server نشطة بالفعل في الموجه.
-
إضافة مستخدم SDI من سطر أوامر CSUnix لإدخال هذا الأمر
$BASE/CLI/AddProfile -p 9900 -u sdi_user -pw sdi -
حاول المصادقة كمستخدم. . إذا كان ذلك المستخدم يعمل، فإن SDI يكون في وضع التشغيل، ويمكنك إضافة معلومات إضافية إلى ملفات تعريف المستخدمين.
-
يمكن إختبار مستخدمي SDI باستخدام ملف تعريف مستخدم_غير معروف في CSUnix. (لا يجب إدراج المستخدمين بشكل صريح في CSUnix إذا تم نقلهم جميعا إلى SDI وكان لديهم جميعا نفس ملف التعريف.) إذا كان هناك ملف تعريف مستخدم غير معروف موجود بالفعل، فقم بحذفه باستخدام التعليمات الخاصة بهذا الأمر:
$BASE/CLI/DeleteProfile -p 9900 -u unknown_user
-
أستخدم هذا الأمر لإضافة ملف تعريف مستخدم آخر غير معروف:
$BASE/CLI/AddProfile -p 9900 -u unknown_user -pw sdi
يقوم هذا الأمر بتمرير جميع المستخدمين غير المعروفين إلى SDI.
المعرف الآمن و CSUnix: ملف تعريف TACACS+
-
قم بإجراء إختبار أولي دون SDI. إذا لم يعمل ملف تعريف المستخدم هذا بدون كلمة مرور SDI لمصادقة تسجيل الدخول وبروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي (CHAP) وبروتوكول مصادقة كلمة المرور (PAP)، فلن يعمل مع كلمة مرور SDI:
# ./ViewProfile -p 9900 -u cse User Profile Information user = cse{ password = chap "chappwd" password = pap "pappwd" password = clear,"clearpwd" default service=permit service=shell { } service=ppp { protocol=lcp { } protocol=ip { } } } -
بمجرد أن يعمل التوصيف، أضف "sdi" إلى التوصيف بدلا من "clear" كما هو موضح في هذا المثال:
# ./ViewProfile -p 9900 -u cse User Profile Information user = cse{ password = chap "chappwd" password = pap "pappwd" password = sdi default service=permit service=shell { } service=ppp { protocol=lcp { } protocol=ip { } } }
كيفية عمل ملف التعريف
يتيح ملف التعريف هذا للمستخدم تسجيل الدخول باستخدام هذه التركيبات:
-
Telnet إلى الموجه واستخدام SDI. (يفترض هذا أنه تم تنفيذ الأمر AAA authentication login default tacacs+ على الموجه.)
-
اتصال PPP لشبكة الطلب الهاتفي و PAP. (يفترض هذا أن مصادقة AAA هي الأمر tacacs الافتراضي إن لزم وPPP authen PAP قد تم تنفيذه على الموجه).
ملاحظة: في الكمبيوتر، في شبكة الطلب الهاتفي، تأكد من تحديد "قبول أي مصادقة بما في ذلك النص الواضح". قبل الطلب، أدخل إحدى مجموعات اسم المستخدم/كلمة المرور هذه في نافذة المحطة الطرفية:
username: cse*code+card password: pap (must agree with profile) username: cse password: code+card
-
اتصال PPP لشبكة الطلب الهاتفي وبروتوكول CHAP. (يفترض هذا أنه تم تنفيذ أوامر مصادقة AAA الافتراضية ل PPP إذا لزم الأمر tacacs وppp authen chap على الموجه).
ملاحظة: على الكمبيوتر، في شبكة الطلب الهاتفي، يجب التحقق من "قبول أي مصادقة بما في ذلك نص واضح" أو "قبول المصادقة المشفرة فقط". قبل الطلب، أدخل اسم المستخدم وكلمة المرور هذين في نافذة المحطة الطرفية:
username: cse*code+card password: chap (must agree with profile)
مجموعات كلمة مرور CSUnix TACACS+ التي لا تعمل
ينتج عن هذه التركيبات أخطاء تصحيح أخطاء CSUnix هذه:
-
CHAP وبدون كلمة مرور "النصوص غير المشفرة" في حقل كلمة المرور. يدخل المستخدم الرمز+البطاقة بدلا من كلمة مرور "النصوص غير المشفرة". يتطلب RFC 1994 في بروتوكول CHAP
تخزين كلمة مرور النص بوضوح.username: cse password: code+card CiscoSecure INFO - User cse, No tokencard password received CiscoSecure NOTICE - Authentication - Incorrect password;
-
كلمة مرور CHAP وكلمة مرور CHAP غير صحيحة.
username: cse*code+card password: wrong chap password
(يمرر المستخدم إلى SDI، ويمرر SDI المستخدم، لكن CSUnix يفشل المستخدم لأن كلمة مرور CHAP سيئة.)
CiscoSecure INFO - The character * was found in username: username=cse,passcode=1234755962 CiscoSecure INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse CiscoSecure INFO - sdi_verify: cse authenticated by ACE Srvr CiscoSecure INFO - sdi: cse free external_data memory,state=GET_PASSCODE CiscoSecure INFO - sdi_verify: rtn 1 CiscoSecure NOTICE - Authentication - Incorrect password;
-
PAP وكلمة مرور PAP غير صحيحة.
username: cse*code+card password: wrong pap password
(يمرر المستخدم إلى SDI، ويمرر SDI المستخدم، لكن CSUnix يفشل المستخدم لأن كلمة مرور CHAP سيئة.)
CiscoSecure INFO - 52 User Profiles and 8 Group Profiles loaded into Cache. CiscoSecure INFO - The character * was found in username: username=cse,passcode=1234651500 CiscoSecure INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse CiscoSecure INFO - sdi_verify: cse authenticated by ACE Srvr CiscoSecure INFO - sdi: cse free external_data memory,state=GET_PASSCODE CiscoSecure INFO - sdi_verify: rtn 1 CiscoSecure NOTICE - Authentication - Incorrect password;
تخزين كلمة مرور النص بوضوح.ملفات تعريف نموذج CSUnix TACACS+ SDI للتصحيح
-
يحتاج المستخدم إلى تنفيذ بروتوكول CHAP ومصادقة تسجيل الدخول، بينما يفشل بروتوكول PAP.
# ./ViewProfile -p 9900 -u cse User Profile Information user = cse{ password = chap "********" password = sdi default service=permit service=shell { } service=ppp { protocol=lcp { } protocol=ip { } } -
يحتاج المستخدم إلى إجراء PAP ومصادقة تسجيل الدخول، ويفشل CHAP.
# ./ViewProfile -p 9900 -u cse User Profile Information user = cse{ member = admin password = pap "********" password = sdi default service=permit service=shell { } service=ppp { protocol=lcp { } protocol=ip { } } }
RADIUS CSUnix
تحتوي هذه الأقسام على إجراءات CSUnix RADIUS.
مصادقة تسجيل الدخول باستخدام CSUnix و RADIUS
قم بإجراء هذه الخطوات لاختبار المصادقة:
-
قم بإجراء إختبار أولي دون SDI. إذا لم يعمل ملف تعريف المستخدم هذا بدون كلمة مرور SDI لمصادقة تسجيل الدخول، فلن يعمل مع كلمة مرور SDI:
# ./ViewProfile -p 9900 -u cse User Profile Information user = cse{ radius=Cisco { check_items= { 2="whatever" } reply_attributes= { 6=6 } } } -
بمجرد عمل ملف التعريف هذا، استبدل "أيا كان" ب "sdi" كما هو موضح في هذا المثال:
# ./ViewProfile -p 9900 -u cse User Profile Information user = cse{ radius=Cisco { check_items= { 2=sdi } reply_attributes= { 6=6 } } }
مصادقة PPP و PAP باستخدام CSUnix و RADIUS
قم بإجراء هذه الخطوات لاختبار المصادقة:
ملاحظة: مصادقة بروتوكول PPP CHAP باستخدام CSUnix و RADIUS غير مدعومة.
-
قم بإجراء إختبار أولي دون SDI. إذا لم يعمل ملف تعريف المستخدم هذا بدون كلمة مرور SDI لمصادقة PPP/PAP و"تخصيص الوضع غير المتزامن"، فلن يعمل مع كلمة مرور SDI:
# ./ViewProfile -p 9900 -u cse user = cse { password = pap "pappass" radius=Cisco { check_items = { } reply_attributes= { 6=2 7=1 } } } -
بمجرد عمل ملف التعريف المذكور أعلاه، أضف كلمة المرور = sdi إلى ملف التعريف وأضف السمة 200=1 كما هو موضح في هذا المثال (يعمل هذا على تعيين Cisco_Token_Immediate إلى نعم.):
# ./ViewProfile -p 9900 -u cse user = cse { password = pap "pappass" password = sdi radius=Cisco { check_items = { 200=1 } reply_attributes= { 6=2 7=1 } } } -
في قسم واجهة المستخدم الرسومية المتقدمة، الخادم، تأكد من تعيين تمكين التخزين المؤقت للرمز المميز". يمكن تأكيد ذلك من واجهة سطر الأوامر (CLI) مع:
$BASE/CLI/ViewProfile -p 9900 -u SERVER.#.#.#.# !--- Where #.#.#.# is the IP address of the CSUnix server. TokenCachingEnabled="yes"
اتصال PPP الخاص بشبكة الطلب الهاتفي و PAP
يفترض أن أوامر AAA authentication PPP الافتراضية إذا لزم الأمر tacacs وPPP authen PAP قد تم تنفيذها على الموجه. أدخل اسم المستخدم وكلمة المرور هذه في نافذة المحطة الطرفية قبل أن تطلب.:
username: cse password: code+card
ملاحظة: في الكمبيوتر، في شبكة الطلب الهاتفي، تأكد من تحديد "قبول أي مصادقة بما في ذلك النص الواضح".
تلميحات تصحيح الأخطاء والتحقق
تحتوي هذه الأقسام على تلميحات لتصحيح الأخطاء وتلميحات التحقق من الصحة.
Cisco Secure RADIUS و PPP و PAP
هذا مثال على تصحيح أخطاء جيد:
CiscoSecure DEBUG - RADIUS ; Outgoing Accept Packet id=133 (10.31.1.6)
User-Service-Type = Framed-User
Framed-Protocol = PPP
CiscoSecure DEBUG - RADIUS ; Request from host a1f0106 nas (10.31.1.6)
code=1 id=134 length=73
CiscoSecure DEBUG - RADIUS ; Incoming Packet id=134 (10.31.1.6)
Client-Id = 10.31.1.6
Client-Port-Id = 1
NAS-Port-Type = Async
User-Name = "cse"
Password = "?\235\306"
User-Service-Type = Framed-User
Framed-Protocol = PPP
CiscoSecure DEBUG - RADIUS ; Authenticate (10.31.1.6)
CiscoSecure DEBUG - RADIUS ; checkList: ASCEND_TOKEN_IMMEDIATE = 1
CiscoSecure DEBUG - RADIUS ; User PASSWORD type is Special
CiscoSecure DEBUG - RADIUS ; authPapPwd (10.31.1.6)
CiscoSecure INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse
CiscoSecure DEBUG - profile_valid_tcaching FALSE ending.
CiscoSecure DEBUG - Token Caching. IGNORE.
CiscoSecure INFO - sdi_verify: cse authenticated by ACE Srvr
CiscoSecure INFO - sdi: cse free external_data memory,state=GET_PASSCODE
CiscoSecure INFO - sdi_verify: rtn 1
CiscoSecure DEBUG - RADIUS ; Sending Ack of id 134 to a1f0106 (10.31.1.6)
Secure ID و CSUnix
يتم تخزين تصحيح الأخطاء في الملف المحدد في /etc/syslog.conf for local0.debug.
لا يمكن لأي مستخدم المصادقة - SDI أو أي طريقة أخرى:
بعد إضافة معرف آمن، تأكد من عدم حدوث أخطاء عند تعديل ملف CSU.cfg. قم بإصلاح ملف CSU.cfg أو قم بالرجوع إلى ملف Backup CSU.cfg.
هذا مثال على تصحيح أخطاء جيد:
Dec 13 11:24:22 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse Dec 13 11:24:22 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse Dec 13 11:24:31 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_verify: cse authenticated by ACE Srvr Dec 13 11:24:31 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_verify: cse authenticated by ACE Srvr Dec 13 11:24:31 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi: cse free external_data memory,state=GET_PASSCODE Dec 13 11:24:31 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi: cse free external_data memory,state=GET_PASSCODE Dec 13 11:24:31 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_verify: rtn 1 Dec 13 11:24:31 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_verify: rtn 1
هذا مثال على تصحيح أخطاء غير صحيح:
يجد CSUnix ملف تعريف المستخدم ويرسله إلى خادم SDI، لكن خادم SDI يفشل في المستخدم لأن رمز المرور سيئ.
Dec 13 11:26:22 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse Dec 13 11:26:22 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_challenge: rtn 1, state=GET_PASSCODE, user=cse Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: WARNING - sdi_verify: cse denied access by ACE Srvr Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: WARNING - sdi_verify: cse denied access by ACE Srvr Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi: cse free external_data memory,state=GET_PASSCODE Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi: cse free external_data memory,state=GET_PASSCODE Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_verify: rtn 0 Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi_verify: rtn 0 Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: NOTICE - Authentication - Incorrect password; Dec 13 11:26:26 rtp-evergreen.rtp.cisco.com CiscoSecure: NOTICE - Authentication - Incorrect password;
هذا مثال يوضح أن خادم ACE معطل:
أدخل ./aceserver توقف على خادم SDI. لم يحصل المستخدم على رسالة "إدخال رمز المرور".
Dec 13 11:33:42 rtp-evergreen.rtp.cisco.com CiscoSecure: ERROR - sdi_challenge error: sd_init failed cli/srvr comm init (cse) Dec 13 11:33:42 rtp-evergreen.rtp.cisco.com CiscoSecure: ERROR - sdi_challenge error: sd_init failed cli/srvr comm init (cse) Dec 13 11:33:42 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi: cse free external_data memory,state=RESET Dec 13 11:33:42 rtp-evergreen.rtp.cisco.com CiscoSecure: INFO - sdi: cse free external_data memory,state=RESET
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
17-Oct-2001 |
الإصدار الأولي |
التعليقات