Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Giới Thiệu Cisco Secure Acs

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Giới Thiệu Cisco Secure Acs

    3.1. Tổng quan

    Cisco Secure ACS giúp xác thực người dùng bằng cách điều khiển cách truy cập vào thiết bị truy cập mạng (NAS) như là access server, Cisco PIX firewall, hoặc router.
    Cisco Secure ACS được xem như là một dịch vụ để điều khiển việc xác thực (authentication), cấp quyền (authorization), tính cước (accounting).
    Cisco Secure ACS giúp tập trung việc điều khiển truy cập và tính cước cho các access server cũng như firewall trong việc quản lý việc truy cập vào router hay switch. Với Cisco Secure ACS, nhà cung cấp dịch vụ có thể nhanh chóng quản trị account, thay đổi mức độ yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.
    Cisco Secure ACS hỗ trợ các Cisco NAS như Cisco router series 2509, 2511, 3620, 3640, AS 5200, AS 5300, AS 5800, Cisco PIX firewall và các thiết bị thế hệ thứ ba có thể cấu hình với TACACS+, RADIUS.



    Hình 3.1: Cisco Secure ACS server

    Có hai phần liên quan đến Cisco Secure ACS:
    ·Cisco Secure ACS chạy trên nền Windows
    ·Cisco Secure ACS chạy trên nền UNIX
    Chúng ta sẽ tìm hiểu về hai phần này trong phần sau.

    3.2. Cisco Secure ACS chạy trên nền Windows

    Cisco Secure ACS [3] chạy trên nền Windows là một phần mềm ứng dụng bảo mật mạng cho phép ta điều khiển cách truy cập mạng, các cuộc gọi vào, và truy cập Internet. Cisco Secure ACS chạy trên nền Windows hoạt động giống như một dịch vụ của Windows NT/2000 điều khiển việc xác thực, cấp quyền, và tính cước người dùng truy cập vào mạng.
    Cisco Secure ACS chạy trên nền Windows cung cấp dịch vụ AAA cho các thiết bị truy cập mạng có chức năng như AAA client, router, NAS, PIX firewall và VPN 3000 Concentrator. Một AAA client có thể là một thiết bị bất kì cung cấp chức năng AAA client và sử dụng một trong các giao thức AAA hỗ trợ bởi Cisco Secure ACS. Cisco Secure ACS chạy trên nền Windows xem tất cả thiết bị như vậy là AAA client. Cisco Secure ACS chạy trên nền Windows sử dụng giao thức TACACS+/RADIUS để cung cấp dịch vụ AAA nhằm bảo đảm một môi trường an toàn tuyệt đối.
    Cisco Secure ACS chạy trên nền Windows giúp tập trung việc điều khiển truy cập và tính cước, thêm vào đó là quản lý việc truy cập vào router và switch. Với Cisco Secure ACS chạy trên nền Windows, các nhà quản trị mạng có thể nhanh chóng quản lý tài khoản và thay đổi toàn bộ mức độ yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.
    Cisco Secure ACS chạy trên nền Windows là một ACS dễ sử dụng bởi tính dễ cài đặt và quản trị. Nó thường chạy trên nền Windows NT Server hoặc Windows 2000 Server. Cisco Secure ACS chạy trên nền Windows cho phép xác thực username và password lưu trong cơ sở dữ liệu của Windows NT/2000, của chính cơ sở dữ liệu trong Cisco Secure ACS, cơ sở dữ liệu từ bên ngoài,...
    Các mức độ bảo mật khác nhau có thể dùng với Cisco Secure ACS chạy trên nền Windows với các yêu cầu khác nhau. Mức độ bảo mật người dùng-mạng là PAP. Mặc dù nó không trình bày dạng bảo mật cao nhất của tính chất mã hóa bí mật, PAP đem lại nhiều sự tiện lợi và đơn giản cho khách hàng. Xác thực PAP có thể xác thực với cơ sở dữ liệu trong Windows NT/2000. Xác thực CHAP cho phép một mức độ cao hơn về tính bảo mật cho các password mã hóa khi giao tiếp từ khách hàng cho đến thiết bị truy cập mạng (NAS). Microsoft CHAP (MS-CHAP) là một phiên bản của CHAP được đưa ra bởi Microsoft để làm việc gần gũi, dễ dàng hơn trong hệ điều hành Microsoft Windows.
    PAP, CHAP và MS-CHAP là các giao thức xác thực được dùng để mã hóa password. Tuy nhiên, mỗi giao thức cung cấp một mức độ bảo mật khác nhau:
      • PAP: sử dụng password dạng clear-text và là giao thức ít bảo đảm tính xác thực nhất. Nếu ta sử dụng cơ sở dữ liệu trong Windows NT/2000 để xác thực người dùng, ta phải mã hóa PAP password.
      • CHAP: sử dụng kĩ thuật “thách thức-phúc đáp” (challenge-response) với việc mã hóa một chiều khi phúc đáp. CHAP cho phép Cisco Secure ACS khởi tạo với độ an toàn cao. CHAP password có thể tái dùng lại. Nếu sử dụng Windows database để xác thực, ta có thể sử dụng PAP hoặc CHAP.
      • MS-CHAP: Cisco Secure ACS chạy trên nền Windows hỗ trợ MS-CHAP để xác thực người dùng. MS-CHAP khác biệt so với CHAP ở chỗ:
    -Các gói phúc đáp của MS-CHAP thì tương thích vói Microsoft Windows và quản lý mạng LAN. Dạng MS-CHAP không cung cấp cách xác thực và lưu trữ một mật khẩu dạng clear-text hay được mã hóa.
    -MS-CHAP cung cấp kĩ thuật xác thực điều khiển bởi người xác thực.
    -MS-CHAP ver 2 cung cấp các mã lỗi thêm vào trong trường “Thông điệp lỗi của gói” (Failure Packet Message)

    3.2.1.Các tính chất chung



    Hình 3.2: Sơ đồ kết nối giữa NAS và Cisco Secure ACS.

    Cisco Secure ACS chạy trên nền Windows, như mô tả trong hình 3.2, có các đặc tính chung như sau:
    ·Hỗ trợ đồng thời TACACS+ và RADIUS giữa Cisco Secure ACS và NAS
    ·Hỗ trợ cơ sở dữ liệu trong Windows NT/2000 Server như:
    - Quản lý hợp nhất username/password tích hợp với Windows NT hoặc Windows 2000.
    - Cho phép đăng nhập vào mạng và Windows NT/2000 domain.
    - Chạy độc lập với Windows NT/2000, điểu khiển tên miền, điều khiển backup tên miền, ....
    ·Hỗ trợ việc dùng với cơ sở dữ liệu bên ngoài người dùng:
    -Các server token card
    -NDS
    -ACS database
    -Các thứ khác
    ·Hỗ trợ các giao thức xác thực sau:
    -ASCII/PAP
    -CHAP
    -MS-CHAP
    -LEAP
    -EAP-CHAP
    -EAP-TLS
    -ARAP
    ·Hỗ trợ đặc tính callback của NAS để gia tăng tính bảo mật.

    3.2.2.Các dịch vụ AAA
    Cisco Secure ACS hỗ trợ các đặc tính AAA:
    ·Hỗ trợ TACACS+ như:
    -Access list, named access list, hoặc numbered accesslist
    -Giới hạn truy cập từng giờ trong ngày hay theo các ngày trong tuần.
    -Hỗ trợ ARA
    -Các mức phân quyền cho phép
    -Xác thực vào LDAP server
    ·Các phiên bản RADIUS:
    -IETF RADIUS
    -Cặp giá trị thuộc tính (Atribute-Value) RADIUS
    -Các mở rộng của RADIUS
    ·Hỗ trợ đồng thời cơ sở dữ liệu TACACS+/RADIUS riêng lẻ

    Các đặc tính khác được Cisco Secure ACS hỗ trợ như là:
    ·Hỗ trợ VPN và VPDN phù hợp với các tunnel nguồn cũng như đầu cuối
    ·Giới hạn người dùng có thể dựa vào địa chỉ gọi CLID (Calling Line Identification)
    ·Có thể ngăn cấm một account trong khoảng thời gian xác định nào đó

    3.2.3.Các đặc tính quản trị

    Cisco Secure ACS trên nền Windows có nhiều đặc tính gần gũi với người dùng, như là:
    ·Giao diện dựa vào trình duyệt web cho phép quản trị từ một web browser thông qua LAN hay quay số vào. Đơn giản hóa và phân phối cấu hình của ACS, thông tin người dùng, và thông tin nhóm:
    -Tài liệu giúp đỡ online giúp giải quyết vấn đề và mọi thắc mắc
    -Cho phép quản trị người dùng dễ dàng nhất cùng với các chính sách bảo mật
    -Quản trị từ xa có thể cho phép/từ chối bằng việc quản lý username/password duy nhất.
    -Các phiên làm việc quản trị từ xa có giá trị timeout.
    -Có thể biết được danh sách người dùng đã login vào.
    ·Tạo các file TACACS+ và RADIUS riêng biệt có đuôi là .CSV để dễ dàng import vào cơ sở dữ liệu và các ứng dụng dạng bảng tính.
    ·Có trình cài đặt tiện lợi để có thể thu thập được một lượng lớn người dùng.

    3.2.4.Các đặc tính của hệ thống phân tán



    Hình 3.3: Cisco Secure ACS với hệ thống phân tán

    Như ta thấy trong hình 3.3, Cisco Secure ACS có thể dùng trong hệ thống phân tán. Nhiều chức năng Cisco Secure ACS cho Windows Server hoặc AAA Server có thể được cấu hình để giao tiếp với một thứ khác như master, client, peer. Cisco Secure ACS cũng chấp nhận giới hạn truy cập mạng của Cisco Secure ACS chạy trên các server khác trong hệ thống phân tán.
    Cisco Secure ACS trên nền Windows có các đặc tính mạnh mẽ như:
    ·Chuyển tiếp việc xác thực: Điều này cho phép Cisco Secure ACS tự động chuyển tiếp một yêu cầu xác thực từ NAS đến một Cisco Secure ACS khác. Sau khi xác thực, các mức phân quyền được ứng dụng vào NAS cho việc xác thực người dùng đó.
    ·Fallback trên các kết nối thất bại: Ta có thể cấu hình để yêu cầu Cisco Secure ACS kiểm tra một Cisco Secure ACS từ xa khác nếu một kết nối mạng đến Cisco Secure ACS đầu tiên với Windows Server bị lỗi. Nếu một yêu cầu xác thực không thể gửi đến server đầu tiên, thì server liệt kê kế tiếp sẽ được kiểm tra theo thứ tự từ trên xuống dưới, cho đến khi Cisco Secure ACS có thể xác thực được thành công. Nếu Cisco Secure ACS không kết nối được với bất kì server nào có trong danh sách thì việc xác thực sẽ thất bại.
    ·Tính cước tập trung và từ xa: Cisco Secure ACS có thể cấu hình để chỉ ra một Cisco Secure ACS trung tâm được dùng như một server tính cước. Cisco Secure ACS trung tâm sẽ vẫn có tất cả đặc tính mà một Cisco Secure ACS khác có, ngoài ra nó có thể đặc tính là tập trung tất cả file log từ các Cisco Secure ACS khác gửi về.

    3.2.5.Hỗ trợ cơ sở dữ liệu từ bên ngoài
    Ta có thể cấu hình Cisco Secure ACS để chuyển tiếp việc xác thực người dùng đến một hoặc nhiều cơ sở dữ liệu của người dùng từ bên ngoài. Việc hỗ trợ cơ sở dữ liệu người dùng từ bên ngoài có nghĩa là Cisco Secure ACS không bắt buộc ta phải tạo một entry của người dùng trong cơ sở dữ liệu người dùng CiscoSecure. Người dùng có thể xác thực bằng cách sử dụng bất kì một trong các cách sau:
    ·Windows NT/2000 database
    ·LDAP
    ·NDS
    ·ODBC
    ·LEAP Proxy RADIUS server
    ·RSA SecureID token server
    ·Token server dựa vào RADIUS, gồm:
    -ActivCard token server
    -CRYPTOCard token server
    -VASCO token server
    -Generic RADIUS token server
    Bất kể dùng cơ sở dữ liệu nào để xác thực người dùng, thì Cisco Secure ACS cũng sẽ xác thực các dịch vụ yêu cầu.
    Cisco Secure ACS yêu cầu giao diện lập trình ứng dụng (API) để hỗ trợ xác thực. Cisco Secure ACS trên nền Windows cho phép giao tiếp với cơ sở dữ liệu từ bên ngoài bằng cách sử dụng API. Với Windows NT/2000, Generic LDAP, xác thực Novell NDS, thì việc dùng API để xác thực bên ngoài được xem là cục bộ đối với Cisco Secure ACS, và được cung cấp bởi hệ điều hành cục bộ. Trong những trường hợp như vậy, không đòi hỏi thêm bất kì một component nào khác nữa.
    Trong trường hợp tài nguyên xác thực ODBC, thì ODBC driver phải được cài đặt vào Cisco Secure ACS.
    Để giao tiếp với token server truyền thống, ta phải có phần mềm cung cấp bởi khách hàng OTP cùng với các component thêm vào Cisco Secure ACS. Ta cũng phải xác định “cài đặt người dùng” mà một token card được sử dụng. Với các server dùng token dựa vào RADIUS như ActivCard, CRYPTOCard, và VASCO thì giao diện RADIUS chuẩn được phục vụ như là API thứ ba.
    Email : vnpro@vnpro.org
    ---------------------------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  • #2
    Đặc tính quản trị cơ sở dữ liệu

    3.1.1.Đặc tính quản trị cơ sở dữ liệu

    Cisco Secure ACS có các đặc tính tiện ích như sau:

    *Nhân bản cơ sở dữ liệu

    *Đồng bộ hóa cơ sở dữ liệu

    *Backup và restore cơ sở dữ liệu.

    Hai đặc tính: “nhân bản cơ sở dữ liệu” (Database Replication) và “đồng bộ hóa hệ quản trị cơ sở dữ liệu quan hệ” (RDBMS Synchronization) được giới thiệu trong Cisco Secure ACS. Những đặc tính tiện ích đó cho phép tự động đồng bộ hóa giữa cơ sở dữ liệu của chính Cisco Secure ACS với cơ sở dữ liệu bên ngoài. Đặc tính thứ ba, “CSUtil.exe”, cho phép backup cơ sở dữ liệu và restore cơ sở dữ liệu.

    Hình 3.4 cho thấy việc cài đặt có thể hỗ trợ cho việc nhân bản CSDL, đồng bộ hóa hệ quản trị CSDL quan hệ và cài đặt ODBC.



    Hình 3.4: Cisco Secure ACS với ODBC Database


    3.1.1.1.Nhân bản cơ sở dữ liệu

    Nhân bản cơ sở dữ liệu là một đặc tính mạnh được thiết kế để đơn giản hóa việc xây dựng môi trường dịch vụ có khả năng chịu lỗi AAA dựa trên Cisco Secure ACS. Mục đích đầu tiên của vấn đề nhân bản cơ sở dữ liệu, đó là cung cấp những tiện lợi để nhân bản các phần khác nhau của việc cài đặt trên một Cisco Secure ACS master server đến một hoặc nhiều Cisco Secure ACS client, cho phép nhà quản trị tự động tạo ra một hệ thống “mirror”. Những hệ thống “mirror” này có thể được sử dụng để cung cấp sự dư thừa như fallback hoặc server thứ hai để hỗ trợ thao tác chịu lỗi nếu master hoặc hệ thống đầu tiên bị hỏng hóc.
    Nhân bản cơ sở dữ liệu khác với backup cơ sở dữ liệu hay backup hệ thống. Nhân bản cơ sở dữ liệu không hoàn toàn là sự thay thế cho vấn đề backup cơ sở dữ liệu. Do vậy, ta nên có một chiến lược backup cơ sở dữ liệu tin cậy để bảo đảm tính toàn vẹn dữ liệu.

    3.1.1.2.Đồng bộ hóa hệ quản trị cơ sở dữ liệu quan hệ

    Đồng bộ hóa hệ quản trị cơ sở dữ liệu quan hệ (RDBMS Synchronization) là một đặc tính kết hợp, được thiết kế để đơn giản hóa việc tích hợp Cisco Secure ACS với ứng dụng RDBMS thứ ba. Sự đồng bộ hóa RDBMS sẽ tự động đồng bộ hóa dữ liệu từ các nguồn như SQL, Oracle, Sybase bằng cách cung cấp các chức năng như sau:
    ·Đặc tính của dữ liệu nguồn ODBC dùng để sử dụng cho việc đồng bộ hóa dữ liệu được chia sẻ bởi Cisco Secure ACS và ứng dụng RDBMS khác và để cung cấp cách thức điều khiển việc cập nhật từ Cisco Secure ACS đến các ứng dụng bên ngoài.
    ·Cách thức điều khiển thời gian cho tiến trình cài đặt hay đồng bộ hóa, bao gồm cả việc tạo ra các bộ lập lịch.
    ·Cách thức điều khiển xem thử hệ thống nào sẽ được đồng bộ hóa.

    Đặc tính đồng bộ hóa hệ quản trị cơ sở dữ liệu quan hệ có hai thành phần chính:

    ·CSDBSync: CSDBSync là một dịch vụ tin cậy của Windows NT/2000 dùng để thiết lập các dịch vụ quản lý của một user hay một nhóm cho Cisco Secure ACS.

    ·Bảng lưu trữ dữ liệu ODBC: bảng này xác định định dạng của một record. Mỗi record nắm giữ thông tin của một user hay một nhóm tương ứng với dữ liệu được lưu trữ cho mỗi user bên trong cơ sở dữ liệu của Cisco Secure ACS. Thêm vào đó, mỗi record chứa đựng các trường khác, bao gồm “mã hành động” (action code) cho record đó. Bất kì ứng dụng nào cũng đều có thể ghi vào bảng này, và CSDBSync đọc từ nó và thực hiện hành động tùy thuộc vào từng record mà nó tìm thấy trong bảng (ví dụ, thêm user, xóa user, ...) mà “mã hành động” quy định.

    3.1.1.3.Định nghĩa cài đặt ODBC

    Cisco Secure ACS hỗ trợ việc cài đặt dữ liệu từ cơ sở dữ liệu tương thích với ODBC như MS Access, SQL hay Oracle. Việc cài đặt hoàn tất với một bảng đơn để cài đặt thông tin user/nhóm vào trong một hay nhiều ACS server.
    Dịch vụ CSAccupdate xử lý các bảng và cập nhật việc cài đặt ACS cục bộ/từ xa theo như cấu hình của nó.

    3.1.2.Kiến trúc Windows

    Cisco Secure ACS cung cấp dịch vụ AAA cho nhiều NAS hoặc nhiều router bên ngoài. Nó gồm bảy module dịch vụ như hình 3.5. Mỗi module có thể khởi tạo hoặc kết thúc riêng biệt từ bên trong MS Control Panel hoặc từ một nhóm bên trong browser của Cisco Secure ACS.




    Hình 3.5: Kiến trúc Windows

    Cisco Secure ACS cài đặt các dịch vụ sau cho Windows trên server:


    *Administration service (CSAdmin): Cisco Secure ACS được trang bị một web server từ bên trong chính nó. Sau khi Cisco Secure ACS được cài đặt, ta phải cấu hình giao diện HTML/Java, để yêu cầu CSAdmin luôn luôn cho phép.

    *Dịch vụ xác thực và cấp thẩm quyền (CSAuth): trách nhiệm đầu tiên của Cisco Secure ACS là xác thực và cấp quyền cho một số yêu cầu từ các thiết bị để cho phép hoặc từ chối quyền truy cập vào một user xác định. CSAuth là một dịch vụ có trách nhiệm xác định cách truy cập nào nên dùng để xác định các mức phân quyền cho từng user. CSAuth là trình quản lý cơ sở dữ liệu.

    *Dịch vụ TACACS (CSTacacs) và dịch vụ RADIUS (CSRadius): những dịch vụ này giao tiếp giữa module CSAuth và thiết bị truy cập đòi hỏi các yêu cầu xác thực và cấp quyền. CSTacacs thường dùng để giao tiếp với các thiết bị TACACS+ và CSRadius thường dùng để giao tiếp với các thiết bị RADIUS. Cả hai dịch vụ đều có thể chạy đồng thời. Chỉ khi một giao thức bảo mật được sử dụng, thì chỉ một dịch vụ tương ứng sẽ chạy mà thôi.

    *Dịch vụ log (CSLog):
    CSLog là một dịch vụ dùng để nắm giữ thông tin về các sự kiện đã xảy ra (log thông tin). CSLog tập hợp dữ liệu từ các gói TACACS+/RADIUS và CSAuth rồi ghi dữ liệu vào file CSV. File CSV được tạo ra hằng ngày hoặc hàng giờ tùy theo ta chọn thời gian log hệ thống.

    *Dịch vụ CSDBSync:
    Dịch vụ này thiết lập một user tự động hoặc dịch vụ quản lý account của một nhóm trong Cisco Secure ACS. CSDBSync là một dịch vụ dùng để đồng bộ hóa cơ sở dữ liệu trong Cisco Secure ACS với các hệ quản trị cơ sở dữ liệu khác bên ngoài thông qua ODBC.

    *Dịch vụ CSMon: CSMon là một chức năng giúp cho Cisco Secure ACS tự giám sát và sửa lỗi các dịch vụ của chính bản thân nó. CSMon làm việc với đồng thời cả TACACS+ lẫn RADIUS và tự động xác định được giao thức nào sẽ được sử dụng. CSMon tối ưu hóa thời gian chết trong môi trường truy cập mạng từ xa bằng bốn cách sau:


    ·Giám sát (Monitoring): Nó giám sát tất cả trạng thái của Cisco Secure ACS và host server mà nó đang chạy. CSMon giám sát trạng thái hệ thống của host chung, các đặc tính ứng dụng xác định và cả tập hợp tài nguyên hệ thống của chính Cisco Secure ACS.
    ·Thu nhận (Recording): thu nhận lại và báo cáo tất cả những trường hợp ngoại lệ cho CSMon Log hoặc Window Event Log.
    ·Cảnh báo (Notification): cảnh báo với nhà quản trị về các vấn đề tiềm tàng của những sự kiện xảy ra đối với Cisco Secure ACS và ghi lại các trạng thái đó. CSMon có thể được cấu hình để gửi thông điệp liên quan đến các sự kiện ngoại lệ, các phúc đáp, và các hành động trả lời phúc đáp ra bên ngoài.
    ·Phúc đáp (Response): CSMon tự động sửa chữa lỗi một cách chính xác và thông minh. CSMon có thể trả lời cho các sự kiện cảnh báo và các sự kiện có lỗi bằng cách đưa ra hành động đã xác định trước cũng như hành động được định nghĩa bởi người dùng.
    Email : vnpro@vnpro.org
    ---------------------------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #3
      Admin có thể cho tôi một bảng so sánh giữa ACS với IAS trong việc chứng thực cho wireless được không, chúng hơn kém nhau ở những điểm nào?
      Như hiện tại tôi thấy ACS3.2 hỗ trợ hơn ở LEAP so với IAS, nhưng khi có nhiều loại client khác nhau với các group khác nhau thì việc phân biệt quyền truy cập giữa các group hình như không thỏa đáng. Ví dụ, group VPN chi chứng thực trên Client 1, group Wireless chỉ chứng thực trên Client 2 thì ACS hình như không làm được. Và liệu dùng ACS có an toàn không khi nó không có khả năng update như của Window IAS?

      Ngoài ra tôi muốn hỏi thêm là ACS liệu có chức năng "cache" thông tin chứng thực hay không? Ví dụ khi dùng external database là Window Domain, sau khi user đăng nhập thì thông tin về user có được "cache" trên ACS không? Để khi ACS mất kết nối với database của Domain thì nó vẫn có thể tự lấy "cache" của user đó cho lần đăng nhập khác của user.

      Vài thắc mắc mong được giải đáp. :X

      Comment


      • #4
        Originally posted by Alpha5 View Post

        Như hiện tại tôi thấy ACS3.2 hỗ trợ hơn ở LEAP so với IAS, nhưng khi có nhiều loại client khác nhau với các group khác nhau thì việc phân biệt quyền truy cập giữa các group hình như không thỏa đáng. Ví dụ, group VPN chi chứng thực trên Client 1, group Wireless chỉ chứng thực trên Client 2 thì ACS hình như không làm được. Và liệu dùng ACS có an toàn không khi nó không có khả năng update như của Window IAS?

        Vài thắc mắc mong được giải đáp. :X
        Chưa hiểu lắm yêu cầu của alpha5. Client 1 và Client 2 mà bạn đề cập ở đây nghĩa là gì? là một thiết bị như AP, muốn dùng ACS để xác thực?
        Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

        Email : dangquangminh@vnpro.org
        https://www.facebook.com/groups/vietprofessional/

        Comment


        • #5
          Đúng vậy anh Minh ạ. Ở đây em có 2 loại AAA Client khác nhau trong Network Configuration của ACS. Một là Access Point, một là PIX. Đồng thời có 2 group là wireless user và vpn user. Yêu cầu đặt ra là mỗi group sẽ chỉ chứng thực trên 1 loại AAA tương ứng. Wireless user --> AP ; VPN user --> PIX.

          Nếu 1 user chỉ thuộc 1 group thì không sao, dùng Network Access Restrictions có thể giới hạn loại AAA cho từng group được. Vấn đề nảy sinh khi 1 user (me) thuộc cả 2 group đó thì tùy theo thứ tự group được tạo trong ACS sẽ khiến ACS chỉ hiểu user đó trong group có thứ tự ưu tiên hơn (nhỏ hơn) mà thôi. Và do đó không sử dụng để chứng thực cả 2 loại được.

          Comment


          • #6
            xác thực cho VPN Remote and Access routing của W2k3 được kg

            Cisco Secure Acs có thể xác thực cho VPN Remote and Access routing của W2k3 được kg, nhờ các huynh hướng dẫn dùm!

            Khi kết nối vào chứng thực xong, tới bước thiết lập ip cho client thì báo lỗi.
            Khi bắt gói tin thì báo lỗi sau:
            MPPE required, but keys are not available. Possible plugin problem?
            sent [LCP TermReq id=0x6 "MPPE required but not available"]

            Comment


            • #7
              em đang dùng win7 nên ko cài được phần mềm này.
              các a có thể giúp e được ko.
              e cảm ơn.

              Comment


              • #8
                Thầy có thể giúp em về việc config phân quyền cho 1 số user chỉ vào được 1 số thiết bị mạng do người quản trị chỉ định được không? hoặc cho em xin tài liệu tham khảo cũng được
                sống trên đời cần có một tấm lòng.....để làm j em biết không?.....để gió cuốn đi.......

                Welcome to my blog.....www.360.yahoo.com/longphi11

                Comment


                • #9
                  Liên quan đến cấu hình Cisco ACS 4.1 mọi người cho mình hỏi chút:

                  Mình muốn cấu hình làm sao để chỉ có một nhóm user(Group Users) có quyền vào cấu hình thiết bị cho một số thiết bị(Network Device Groups), nhóm còn lại thì chỉ có quyền view. Mình xin lấy ví dụ cho dễ hình dung:
                  - User A, B thì có quyền cấu hình thiết bị thuộc vùng Core, DMZ chẳng hạn còn C, D thì chỉ có quyền view.
                  - User C, D thì có quyền cấu hình thiết bị vùng Intranet còn A, B thì chỉ có quyền view.
                  - User E, F thì có quyền cấu hình tất cả các vùng
                  - User G, H thì chỉ có quyền view duy nhất cho tất cả các vùng.

                  Trên ACS mình không nhìn thấy chỗ nào để mapping giữa "Network Device Groups" và "Group Users" để làm được việc này. Mong mọi người chỉ giúp với!. :D

                  Thanks!

                  Comment


                  • #10
                    Trên ACS mình không nhìn thấy chỗ nào để mapping giữa "Network Device Groups" và "Group Users" để làm được việc này. Mong mọi người chỉ giúp với!
                    --> bạn cài phần mềm acs4.1 lên 1 server, máy server này phải join domain thì mới thực hiện mapping được.
                    Hugo

                    Comment


                    • #11
                      bài viết mất hết hình ảnh nên mất cả thú vị

                      Comment


                      • #12
                        Bác nào làm cả guide về ISE đi :D

                        Comment


                        • #13
                          THAY MẶT KÍNH SAMSUNG NOTE 1,THAY MẶT KÍNH SAMSUNG NOTE 2

                          Comment

                          Working...
                          X