Cisco ACS 5.X와 RSA SecurID 토큰 서버 통합

소개

이 문서에서는 Cisco ACS(Access Control System) 버전 5.x를 RSA SecurID 인증 기술과 통합하는 방법에 대해 설명합니다.

배경 정보

Cisco Secure ACS는 RSA SecurID 서버를 외부 데이터베이스로 지원합니다.

RSA SecurID 2단계 인증은 사용자의 PIN(개인 식별 번호)과 개별적으로 등록된 RSA SecurID 토큰으로 구성되며, 이 토큰은 시간 코드 알고리즘에 따라 일회용 토큰 코드를 생성합니다.

다른 토큰 코드는 고정 간격, 일반적으로 30 또는 60초마다 생성됩니다. RSA SecurID 서버는 이 동적 인증 코드를 검증합니다. 각 RSA SecurID 토큰은 고유하며, 과거 토큰을 기반으로 미래의 토큰 값을 예측할 수 없습니다.

따라서, 정확한 토큰 코드가 PIN과 함께 제공될 때, 그 사람이 유효한 사용자라는 확신이 높다. 따라서 RSA SecurID 서버는 기존의 재사용 가능한 비밀번호보다 더 안정적인 인증 메커니즘을 제공합니다.

다음과 같은 방법으로 Cisco ACS 5.x와 RSA SecurID 인증 기술을 통합할 수 있습니다.

• RSA SecurID 에이전트 - 사용자는 기본 RSA 프로토콜을 통해 사용자 이름 및 암호로 인증됩니다.
• RADIUS 프로토콜 - 사용자는 RADIUS 프로토콜을 통해 사용자 이름 및 암호로 인증됩니다.

사전 요구 사항

요구 사항

Cisco에서는 다음 항목에 대한 기본 지식을 갖춘 것을 권장합니다.

• RSA 보안
• Cisco Secure ACS(Access Control System)

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco Secure ACS(Access Control System) 버전 5.x
• RSA SecurID 토큰 서버

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

설정

RSA 서버

이 절차에서는 RSA SecurID 서버 관리자가 인증 에이전트 및 컨피그레이션 파일을 생성하는 방법에 대해 설명합니다. 인증 에이전트는 기본적으로 DNS(Domain Name Server) 이름 및 RSA 데이터베이스에 대한 액세스 권한이 있는 디바이스, 소프트웨어 또는 서비스의 IP 주소입니다. 컨피그레이션 파일은 기본적으로 RSA 토폴로지 및 통신에 대해 설명합니다.

이 예에서는 RSA 관리자가 두 ACS 인스턴스에 대해 두 에이전트를 생성해야 합니다.

1. RSA Security Console에서 Access(액세스) > Authentication Agents(인증 에이전트) > Add New(새로 추가)로 이동합니다.
   
   
   
   
2. Add New Authentication Agent(새 인증 에이전트 추가) 창에서 두 에이전트 각각에 대한 호스트 이름 및 IP 주소를 정의합니다.
   
   
   
   ACS 에이전트에 대한 DNS 정방향 및 역방향 조회가 모두 작동해야 합니다.
   
   
3. 상담원 유형을 표준 상담원으로 정의합니다.
   
   
   
   에이전트가 추가되면 표시되는 정보의 예입니다.
   
   
   
   
4. sdconf.rec 구성 파일을 생성하려면 RSA Security Console에서 Access > Authentication Agents > Generate Configuration File로 이동합니다.
   
   
   
   
5. Maximum Retries(최대 재시도 횟수) 및 Maximum Time Between Each Retry(최대 재시도 횟수 및 각 재시도 사이의 최대 시간)의 기본값 사용:
   
   
   
   
6. 컨피그레이션 파일을 다운로드합니다.
   
   
   
   .zip 파일에는 실제 구성 sdconf.rec 파일이 들어 있으며, ACS 관리자가 이 파일을 사용하여 구성 작업을 완료할 수 있습니다.

ACS 버전 5.X 서버

이 절차에서는 ACS 관리자가 컨피그레이션 파일을 검색하고 제출하는 방법에 대해 설명합니다.

1. Cisco Secure ACS Version 5.x 콘솔에서 Users and Identity Stores > External Identity Stores > RSA SecurID Token Servers(RSA SecurID 토큰 서버)로 이동하고 Create(생성)를 클릭합니다.
   
   
   
   
2. RSA 서버의 이름을 입력하고 RSA 서버에서 다운로드한 sdconf.rec 파일을 찾습니다.
   
   
   
   
3. 파일을 선택하고 Submit(제출)을 클릭합니다.

참고: ACS가 토큰 서버에 처음 연결할 때 RSA Authentication Manager에서 ACS 에이전트에 대해 노드 암호 파일이라고 하는 다른 파일이 생성되어 ACS에 다운로드됩니다. 이 파일은 암호화된 통신에 사용됩니다.

다음을 확인합니다.

구성이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

ACS 버전 5.X 서버

성공적인 로그인을 확인하려면 ACS 콘솔로 이동하여 Hit Count를 검토합니다.

ACS 로그에서 인증 세부사항을 검토할 수도 있습니다.

RSA 서버

성공적인 인증을 확인하려면 RSA 콘솔로 이동하여 로그를 검토합니다.

문제 해결

이 섹션에서는 설정 문제 해결을 위해 사용할 수 있는 정보를 제공합니다.

에이전트 레코드(sdconf.rec) 생성

ACS 버전 5.3에서 RSA SecurID 토큰 서버를 구성하려면 ACS 관리자가 sdconf.rec 파일을 가지고 있어야 합니다. sdconf.rec 파일은 RSA 에이전트가 RSA SecurID 서버 영역과 통신하는 방법을 지정하는 컨피그레이션 레코드 파일입니다.

sdconf.rec 파일을 생성하려면 RSA 관리자가 ACS 호스트를 RSA SecurID 서버에서 에이전트 호스트로 추가하고 이 에이전트 호스트에 대한 컨피그레이션 파일을 생성해야 합니다.

노드 암호 재설정(securid)

에이전트가 RSA SecurID 서버와 처음 통신하면 서버는 에이전트에 securid라는 노드 암호 파일을 제공합니다. 서버와 에이전트 간의 후속 통신에서는 상대방의 신뢰성을 확인하기 위해 노드 비밀 교환에 의존합니다.

경우에 따라 관리자가 노드 암호를 재설정해야 할 수 있습니다.

1. RSA 관리자는 RSA SecurID 서버의 에이전트 호스트 레코드에 대한 노드 암호 생성 확인란의 선택을 취소해야 합니다.
2. ACS 관리자는 ACS에서 securid 파일을 제거해야 합니다.

자동 로드 밸런싱 재정의

RSA SecurID 에이전트는 영역의 RSA SecurID 서버에서 요청된 로드의 균형을 자동으로 조정합니다. 그러나 수동으로 로드 밸런싱을 수행할 수 있는 옵션이 있습니다. 각 에이전트 호스트에서 사용하는 서버를 지정할 수 있습니다. 에이전트 호스트가 인증 요청을 다른 서버보다 더 자주 일부 서버에 보내도록 각 서버에 우선 순위를 할당할 수 있습니다.

텍스트 파일에 우선순위 설정을 지정하고 sdopts.rec로 저장한 다음 ACS에 업로드해야 합니다.

중단된 RSA SecurID 서버를 제거하기 위해 수동으로 개입

RSA SecurID 서버가 다운되면 자동 제외 메커니즘이 항상 빠르게 작동하지 않습니다. 이 프로세스의 속도를 높이려면 ACS에서 sdstatus.12 파일을 제거합니다.