TokenCaching の設計および実装ガイド
内容
はじめに
このドキュメントでは、TokenCaching のセットアップとトラブルシューティングについて説明します。ISDN ターミナル アダプタ(TA)ユーザのポイントツーポイント プロトコル(PPP)セッションは、通常ユーザの PC で終了します。このため、ユーザは非同期(モデム)のダイヤルアップ接続の場合と同じ方法で PPP のセッションを制御できます。つまり、必要に応じて、セッションの接続および接続解除ができます。このため、ユーザはパスワード認証プロトコル(PAP)を使用して、転送用のワンタイム パスワード(OTP)を入力することができます。
ただし、2番目のBチャネルが自動的に起動するように設計されている場合、ユーザは2番目のBチャネルの新しいOTPを要求される必要があります。PC PPPソフトウェアは2番目のOTPを収集しません。代わりに、ソフトウェアはプライマリBチャネルに使用したのと同じパスワードを使用しようとします。トークンカードサーバは、設計上、OTPの再利用を拒否します。CiscoSecure ACS for UNIX(バージョン2.2以降)およびCiscoSecure ACS for Windows(2.1以降)は、2番目のBチャネルでの同じOTPの使用をサポートするためにTokenCachingを実行します。このオプションでは、トークンユーザの接続に関する状態情報を維持するために、認証、認可、およびアカウンティング(AAA)サーバが必要です。
詳細は、『ISDNでのワンタイムパスワードのサポート』を参照してください。
前提条件
要件
このドキュメントでは、次の項目が正しく設定されていることを前提としています。
-
正常に動作しているダイヤルアップモデム。
-
CiscoSecure ACS UNIXまたはACS Windowsを指すAAAを使用してネットワークアクセスサーバ(NAS)が正しく設定されていること。
-
ACE/SDIは、CiscoSecure ACS UNIXまたはACS Windowsですでに設定されており、正常に動作しています。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
-
CiscoSecure ACS Unix 2.2以降
-
CiscoSecure ACS Windows 2.1以降
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
表記法
表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
設定
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。
ネットワーク図
このドキュメントでは、次のネットワーク セットアップを使用します。
PCがNASとISDNモデムにダイヤルインし、ppp multilinkコマンドが設定されている。
コンフィギュレーション
このドキュメントでは、次のコンフィギュレーションを使用します。
ユーザ名とパスワードの入力の設定
このドキュメントでは、NASはSDIワンタイムパスワードとともにChallenge Handshake Authentication Protocol(CHAP)をPPPセッションに使用します。CHAPを使用する場合は、次の形式でパスワードを入力します。
-
username:fadi*pin+code(ユーザ名の*に注意)
-
password:chappassword
たとえば、username = fadi、chap password = cisco、pin = 1234のようになります。トークンに表示されるコードは987654です。したがって、ユーザは次のように入力します。
-
username(ユーザ名):fadi*1234987654
-
パスワード:cisco
注:CiscoSecureとNASがPAP用に設定されている場合、ユーザ名とトークンは次のように入力できます。
-
username:ユーザ名*pin+コード
-
password—
または
-
username:ユーザ名
-
パスワード:pin+code
CiscoSecure ACS WindowsでのTokenCachingの設定
CiscoSecure ACSのWindowsユーザまたはグループは通常どおり設定され、TACACS+を使用する場合はPPP IPおよびPPP LCPがチェックされます。RADIUSを使用する場合は、次の設定を行う必要があります。
-
属性6 = Service_Type = Framed
-
属性7 = Framed_Protocol = PPP
さらに、次の例に示すように、グループのTokenCachingパラメータを確認できます。
CiscoSecure ACS UNIXでのTokenCachingの設定
4つのTokenCaching属性があります。config_token_cache_absolute_timeout (秒単位)属性は$install_directory/config/CSU.cfgファイルに設定されます。他の3つの属性(set server token-caching、set server token-caching-expire-method、set server token-caching-timeout)は、ユーザプロファイルまたはグループプロファイルに設定されます。このドキュメントでは、グローバル属性config_token_cache_absolute_timeoutを$install_directory/config/CSU.cfgファイルで次のように設定します。
NUMBER config_token_cache_absolute_timeout = 300;
ユーザおよびグループサーバのTokenCaching属性プロファイルは、次の例に示すように設定されます。
Group Profile:
Group Profile Information
group = sdi{
profile_id = 42
profile_cycle = 5
default service=permit
set server token-caching=enable
set server token-caching-expire-method=timeout
set server token-caching-timeout=30
set server max-failed-login-count=1000
}
User Profile:
user = fadi{
profile_id = 20
set server current-failed-logins = 0
profile_cycle = 168
member = sdi
profile_status = enabled
password = chap "********"
password = sdi
password = pap "********"
password = clear "********"
default service=permit
set server max-failed-login-count=1000
!--- The TACACS+ section of the profile.
service=ppp {
default protocol=permit
protocol=ip {
set addr=1.1.1.1
}
protocol=lcp {
}
!--- This allows the user to use the ppp multilink command.
protocol=multilink {
}
}
service=shell {
default attribute=permit
}
!--- The RADIUS section of the profile.
radius=Cisco12.05 {
check_items= {
200=0
}
}
}
確認
現在、この設定に使用できる確認手順はありません。
トラブルシュート
このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。
CiscoSecure ACS UNIXのTokenCachingのデバッグ
次のCiscoSecure UNIXログは、2つのBRIチャネルで認証が発生すると、TokenCachingによる認証の成功を示します。
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - AUTHENTICATION START request
(e7079cae)
!--- Detects the * in the username.
Jun 14 13:44:29 cholera CiscoSecure: INFO - The character * was found
in username: username=fadi,passcode=3435598216
!--- Initializes ACE modules in CiscoSecure.
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - sdi_challenge response timeout 5
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - AceInit()
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - AceInit(17477), ace rc=150,
ed=1039800
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - acsWaitForSingleObject
(17477) begin
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - aceCB(17477)
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - aceCB(17477) AceGetUserData,
ace rc=1, ed=1039800
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - aceCB(17477):
AceGetAuthenticationStatus, ace rc=1, acm rc=0
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - aceCB(17477): return
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - acsWaitForSingleObject(0) (17477)
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - acsWaitForSingleObject
(17477) end, rc=0
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - AceInit(17477), continue, acm rc=0
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - AceSetUsername(17477),
username=fadi
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - AceSetUsername(17477), ace rc=1
Jun 14 13:44:29 cholera CiscoSecure: INFO - sdi_challenge(17477): rtn 1,
state=GET_PASSCODE, user=fadi
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - Token Caching. timeout_value is: 30
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - Token Caching.
timeout enabled value: 30
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - profile_valid_tcaching TRUE ending.
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - Token Caching. MISS.
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - AceSetPasscode(17477),
passcode=3435598216
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - AceSetPasscode(17477), ace rc=1
!--- Checks credentials with ACE server.
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - AceCheck(17477)
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - AceCheck(17477), ace rc=150
Jun 14 13:44:29 cholera CiscoSecure: DEBUG - acsWaitForSingleObject
(17477) begin
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - aceCB(17477)
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - aceCB(17477) AceGetUserData,
ace rc=1, ed=1039800
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - aceCB(17477):
AceGetAuthenticationStatus, ace rc=1, acm rc=0
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - aceCB(17477): return
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - acsWaitForSingleObject(0) (17477)
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - acsWaitForSingleObject (17477) end,
rc=0
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - AceCheck(17477), continue, acm rc=0
Jun 14 13:44:31 cholera CiscoSecure: INFO - sdi_verify(17477):
fadi authenticated by ACE Srvr
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - AceClose(17477)
Jun 14 13:44:31 cholera CiscoSecure: INFO - sdi(17477):
fadi free external_data memory, state=GET_PASSCODE
!--- The TokenCaching timeout is set to 30 seconds.
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - Token Caching. timeout_value is: 30
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - Token Caching.
timeout enabled value: 30
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - profile_valid_tcaching TRUE ending.
!--- The TokenCaching takes place.
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - cache_insert
(key<4>, val<10><3435598216>, port_type<3>)
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - Cisco Cached Tokens : 1
Jun 14 13:44:31 cholera CiscoSecure: INFO - sdi_verify(17477): rtn 1
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - Authentication - LOGIN successful;
[NAS=lynch.cisco.com, Port=BRI0:1, User=fadi, Priv=1]
!--- The authentication of the second BRI channel begins.
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - AUTHENTICATION START request (76f91a6c)
Jun 14 13:44:31 cholera CiscoSecure: INFO - The character * was found in username:
username=fadi,passcode=3435598216
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - sdi_challenge response timeout 5
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - AceInit()
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - AceInit(29111), ace rc=150, ed=1039984
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - acsWaitForSingleObject (29111) begin
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - aceCB(29111)
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - aceCB(29111) AceGetUserData, ace rc=1,
ed=1039984
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - aceCB(29111): AceGetAuthenticationStatus,
ace rc=1, acm rc=0
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - aceCB(29111): return
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - acsWaitForSingleObject(0) (29111)
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - acsWaitForSingleObject (29111) end, rc=0
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - AceInit(29111), continue, acm rc=0
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - AceSetUsername(29111), username=fadi
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - AceSetUsername(29111), ace rc=1
Jun 14 13:44:31 cholera CiscoSecure: INFO - sdi_challenge(29111): rtn 1,
state=GET_PASSCODE, user=fadi
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - Token Caching. timeout_value is: 30
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - Token Caching. timeout enabled value: 30
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - profile_valid_tcaching TRUE ending.
!--- Checks with the cached token for the user "fadi".
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - Token Caching. USER : fadi
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - PASSWORD : 3435598216 len: 10
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - hashval_str: 3435598216 len: 10
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - port_type : BRI len: 3
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - Token Caching. HIT.
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - AceClose(29111)
Jun 14 13:44:31 cholera CiscoSecure: INFO - sdi(29111): fadi free external_data memory,
state=GET_PASSCODE
Jun 14 13:44:31 cholera CiscoSecure: INFO - sdi_verify(29111): rtn 1
Jun 14 13:44:31 cholera CiscoSecure: DEBUG - Authentication - LOGIN successful;
[NAS=lynch.cisco.com, Port=BRI0:2, User=fadi, Priv=1]
!--- After 30 seconds the cached token expires.
Jun 14 13:45:03 cholera CiscoSecure: DEBUG - Expiring Cisco Token Cache Entry
Jun 14 13:45:03 cholera CiscoSecure: DEBUG - Cisco Cached Tokens : 0
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
29-Nov-2001 |
初版 |
フィードバック