Ejemplo de configuración de la réplica de base de datos del Secure ACS

Transcripción

1 Ejemplo de configuración de la réplica de base de datos del Secure ACS Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Productos Relacionados Convenciones Antecedentes Escenario I Escenario II Escenario I: Réplica de base de datos de la configuración sin el Firewall de intervención Escenario II: Réplica de base de datos de la configuración con el Firewall de intervención (configuración del NAT) Procedimientos Configure el servidor ACS primario Configure el servidor ACS secundario Invoque la réplica de base de datos con el Secure ACS Configure la réplica de base de datos a través de un dispositivo NAT Verifique la Configuración Resolver problemas con la configuración Copia de respuesta El servidor ACS secundario no recomienza el servicio Procedimientos Consejos Información Relacionada Introducción Cisco Secure Access Control Server (ACS) es una potente herramienta que permite que los administradores de red gestionen centralmente la AAA (autenticación, autorización y contabilidad) en una amplia gama de dispositivos de Cisco. Puede implementar un servidor ACS en una configuración independiente o en una topología redundante. Para proporcionar la capacidad de failover, dos o más equipos ACS comparten los componentes de la base de datos a horas preconfiguradas. Los clientes de AAA, como routers, switches y firewalls deben enumerar dos o más servidores ACS en su configuración para beneficiarse de una implementación redundante. Un administrador solamente tiene que realizar cambios en el servidor ACS primario. Un servidor ACS secundario configurado recibe la información de la base de datos a través de la réplica de base de datos manual o automática. Los clientes AAA intentan comunicar con el primer servidor ACS enumerado en su configuración. Si un cliente no puede alcanzar este servidor después de una determinada cantidad de hora, intenta comunicar con el segundo servidor ACS enumerado en su configuración. Usted no puede forzar a un cliente a intentar comunicar con el segundo servidor primero. Si el cliente AAA recibe una respuesta del primer servidor, no intentará comunicar con el segundo servidor. Este documento describe dos escenarios de configuración para la réplica de base de datos entre dos servidores ACS: Escenario I Réplica de base de datos de las configuraciones del escenario I entre dos servidores ACS sin un Firewall de intervención. Escenario II Réplica de base de datos de las configuraciones del escenario II entre dos servidores ACS con un Firewall de intervención que actúa como dispositivo del Network Address Translation (NAT). Para entender mejor los procedimientos descritos en estos escenarios, usted debe ser familiar con estas definiciones: Servidor ACS primario El servidor del Cisco Secure ACS que se configura para enviar los componentes de su base de datos a uno o más servidores del Cisco Secure ACS. Servidor ACS secundario El servidor del Cisco Secure ACS que se configura para recibir los componentes de la base de datos de otro servidor del Cisco Secure ACS. Réplica de base de datos Copia la base de datos o las porciones de la base de datos a otros servidores ACS secundarios. Estos servidores ACS secundarios proporcionan la Redundancia. La replicación ocurre sobre una conexión TCP usando el puerto La sesión TCP utiliza un 128-bit cifrada, protocolo de propiedad de Cisco para la replicación.

2 Backup de la base de datos Sostiene las bases de datos ACS en un archivo de volcado. Usted puede utilizar este archivo para restablecer la funcionalidad del ACS en caso de sistema operativo o de falla de hardware. Sincronización del Sistema de administración de la base de datos de la relación (RDBMS) Permite que sus bases de datos ACS sincronicen con las bases de datos externas. Usted puede ingresar la configuración de ACS en una base de datos obediente ODBC para permitir que sus bases de datos ACS sincronicen con las bases de datos externas. Por ejemplo, en los despliegues a gran escala sus servidores ACS necesitan solamente la punta a las base de dato de ODBC externas recibir sus configuraciones. Nota: La replicación bidireccional no se soporta. Un servidor del Cisco Secure ACS puede actuar como un primario y secundario al mismo tiempo que se configura de largo con diversos partneres de replicación. Nota: El dispositivo ACS se puede replicar con el ACS para Windows. Sin embargo, ambos dispositivos deben estar en la misma versión y nivel de la corrección. prerrequisitos Requisitos Asegúrese de cumplir estos requisitos antes de intentar esta configuración: Todas las máquinas deben utilizar la misma versión del software del Secure ACS. El puerto TCP 2000 (puerto destino usado para la replicación) no se debe bloquear dondequiera a lo largo de la trayectoria entre los servidores ACS. También, el examen del puerto TCP se debe inhabilitar para que la replicación ocurra con éxito. Nota: Aseegurese que el puerto 2000 y cualquier otro puerto necesario son parados por cualquier otra aplicación. Si no, puede parar los servicios como el csauth, el CSRadius, y el CSTacacs. Aseegurese que el Network Interface Cards (NIC) no firewalled dentro del sistema operativo. Habilite las Javas y el Javascript; inhabilite el proxy de HTTP. Asegúrese de que el Acceso Remoto a la interfaz de usuario del Secure ACS utilice el puerto TCP Por ejemplo, ipaddress:2002 Nota: Si usted utiliza la Versión de Microsoft Internet Explorer 6.0 para acceder la interfaz de usuario del Secure ACS HTML, asegúrese de que su navegador cumpla estos requisitos: Service Pack 1 (versiones de idioma inglesas y japonesas) de Microsoft Windows Versión de la Máquina virtual de Java de Microsoft (JVM) Sun módulo Java, versión 1.5 Nota: Para más información, refiérase soportado y los dispositivos interoperables para el Cisco Secure ACS for Windows 4.0. Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Servidor de Windows 2003 Versión 4.x del Cisco Secure ACS Versión 6.x del Cisco PIX Firewall 515e La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Productos Relacionados Usted puede también utilizar esta configuración con estas versiones de software y hardware: Servidor ACS 3.x de Windows o más adelante Cualquier dispositivo del Network Address Translation (NAT) Convenciones Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos. Antecedentes Escenario I El escenario I utiliza esta configuración de red:

3 Escenario II El escenario II utiliza esta configuración de red: Escenario I: Réplica de base de datos de la configuración sin el Firewall de intervención En el escenario I, los datos no transitan un dispositivo NAT cuando los dos servidores del Cisco Secure ACS comunican. Los datos se cifran con un protocolo de propietario de Cisco, y entonces el TCP se utiliza para enviar los datos al puerto destino Para configurar la réplica de base de datos sin un Firewall de intervención, complete estos procedimientos: Configure el servidor ACS primario Configure el servidor ACS secundario Invoque la réplica de base de datos con el Secure ACS Escenario II: Réplica de base de datos de la configuración con el Firewall de intervención (configuración del NAT) La réplica de base de datos acertada puede ocurrir solamente si el servidor ACS secundario no percibe ningún cambio en el encabezado IP o el contenido de los datos que recibe. El servidor ACS primario utiliza una clave para hacer los cálculos en las encabezados y para contentarlos enviado al servidor secundario. El servidor secundario utiliza la misma clave para calcular los resultados. Si ocurren las diferencias en estos cálculos, se niega la réplica de base de datos. El Cisco Secure ACS no soporta las implementaciones distribuidas en un entorno NAT. Si traducen un primario o a una dirección secundaria a través de un dispositivo NAT, el archivo del registro de la réplica de base de datos indica la discordancía del secreto compartido. Si un dispositivo NAT está situado entre el primario y los servidores secundarios, las diferencias en los cálculos hacen la replicación ser rechazadas. Sin embargo, varias opciones existen que desvían la influencia del dispositivo NAT en el tráfico de la red y alcanzan una réplica de base de datos acertada: Túneles del Generic Routing Encapsulation (GRE) Redes privadas virtuales (VPN) con la seguridad IP (IPSec) en el modo túnel Túneles GRE+IPsec

4 Túneles IPsec directamente entre los Servidores Windows con la seguridad de Internet de Microsoft y el servidor de la aceleración (ISA). Para más información, refiera al servidor TechCenter de la seguridad de Internet de Microsoft y de la aceleración (ISA). El escenario II utiliza un túnel GRE simple para alcanzar la réplica de base de datos, puesto que el tráfico se cifra ya cuando se envía a partir de un servidor ACS a otro. El servidor ACS secundario está situado fuera del Firewall del PIX/ASA, y un túnel GRE se construye del router al router. Este túnel oculta la información de dirección y los datos del dispositivo NAT, que permite que proceda la réplica de base de datos normalmente. Nota: Si usted tiene túneles VPN con el IPSec en el lugar, usted puede agregar los servidores ACS a las Listas de acceso crypto y alcanzar el mismo resultado. Para configurar la réplica de base de datos con un Firewall de intervención (configuración del NAT), complete estos procedimientos: Configure el servidor ACS primario Configure el servidor ACS secundario Configure la réplica de base de datos a través de un dispositivo NAT Procedimientos Los procedimientos en esta sección describen cómo configurar la réplica de base de datos. Usted debe completar estos procedimientos según lo descrito en el escenario I o el escenario II. Configure el servidor ACS primario Para configurar el servidor ACS primario, complete estos pasos: 1. En el servidor ACS primario, abra la interfaz de usuario del Cisco Secure ACS. La interfaz del Cisco Secure ACS aparece. 2. En el panel izquierdo, haga clic el botón Interface Configuration Button. La página de la configuración de la interfaz aparece.

5 3. Haga clic el link avanzado de las opciones. La página opciones avanzada aparece En la página opciones avanzada, marque la casilla de verificación de la replicación de las bases de datos internas ACS, y después haga clic someten. En el panel izquierdo, haga clic el botón Network Configuration Button. La página de la configuración de red aparece. 6. En el área de los servidores de AAA, el tecleo agrega la entrada para agregar un servidor ACS secundario. La página del servidor de AAA del agregar aparece.

6 7. 8. Ingrese los valores para el servidor ACS secundario, y después haga clic someten + se aplican. En el panel izquierdo, haga clic el botón de la configuración del sistema. La página de la configuración del sistema aparece. 9. Haga clic el link de la replicación de las bases de datos internas ACS. Aparece la página de configuración de réplica de base de datos.

7 En el área de los componentes de replicación, marque la casilla de verificación del envío para los componentes que usted quiere replicar al servidor ACS secundario. En el área del Scheduling de la reiteración de salida, haga clic manualmente el botón de radio. Nota: Si usted prefiere, usted puede programar la reiteración de salida para ocurrir en los intervalos temporizados En el área de los Partners de la reiteración de salida, seleccione de la lista de los servidores de AAA el servidor que usted agregó en la página del servidor de AAA del agregar, y después haga clic el botón de la flecha correcta ( replicación. ) para mover el servidor a la lista de la Deje los valores predeterminados para las configuraciones enumeradas en las áreas entrantes de la replicación y de las configuraciones de la replicación. Haga clic en Submit (Enviar). Configure el servidor ACS secundario Para configurar el servidor ACS secundario, complete estos pasos: 1. En el servidor secundario, abra la interfaz de usuario del Cisco Secure ACS.

8 La interfaz del Cisco Secure ACS aparece. 2. En el panel izquierdo, haga clic el botón Interface Configuration Button. La página de la configuración de la interfaz aparece. 3. Haga clic el link avanzado de las opciones. La página opciones avanzada aparece.

9 4. 5. En la página opciones avanzada, marque la casilla de verificación de la replicación de las bases de datos internas ACS, y después haga clic someten. En el panel izquierdo, haga clic el botón Network Configuration Button. La página de la configuración de red aparece. 6. En el área de los servidores de AAA, el tecleo agrega la entrada para agregar un servidor ACS primario. La página del servidor de AAA del agregar aparece.

10 7. Ingrese los valores para el servidor ACS primario, y después haga clic someten + se aplican. Nota: La clave para el primario y el servidor secundario debe ser lo mismo. 8. En el panel izquierdo, haga clic el botón de la configuración del sistema. La página de la configuración del sistema aparece. 9. En la página de la configuración del sistema, haga clic el link de la replicación de las bases de datos internas ACS. Aparece la página de configuración de réplica de base de datos.

11 10. En el área de los componentes de replicación, marque la casilla de verificación de la recepción para los componentes que usted quiere replicar al servidor ACS primario. Nota: Los componentes que usted marca para saber si hay el servidor primario deben hacer juego los componentes usted marca para saber si hay el servidor secundario. 11. En el área del Scheduling de la reiteración de salida, haga clic manualmente el botón de radio. Nota: En el área de los Partners de la reiteración de salida, deje el espacio en blanco de la lista de la replicación. Porque el servidor secundario recibe los componentes de la base de datos, usted no necesita agregar un servidor primario a la lista de la replicación En el área entrante de la replicación, elija el servidor de AAA primario de la replicación del validar del menú desplegable. En el área de las configuraciones de la replicación, deje la configuración predeterminada para este valor. Haga clic en Submit (Enviar). Invoque la réplica de base de datos con el Secure ACS Este procedimiento se aplica solamente al escenario I. Para invocar la réplica de base de datos con el Cisco Secure ACS, complete estos pasos:

12 1. En el servidor ACS primario, haga clic el botón de la configuración del sistema situado en el panel izquierdo. La página de la configuración del sistema aparece. 2. Haga clic el link de la replicación de las bases de datos internas ACS. Aparece la página de configuración de réplica de base de datos.

13 3. 4. Haga clic la réplica ahora abotonan. Verifique la configuración. Para más información sobre cómo verificar su configuración, vea para verificar la configuración. Configure la réplica de base de datos a través de un dispositivo NAT Este procedimiento se aplica solamente al escenario II. Para configurar la réplica de base de datos a través de un dispositivo NAT, complete estos pasos: Configure el túnel GRE en el Routers Ausnml y Ausnml Realice la replicación como normal. Estas tablas proporcionan las configuraciones del túnel GRE de la muestra: AUSNML AUSNML show run Building configuration... show run Building configuration...

14 Current configuration : 1218 bytes version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname AUSNML boot-start-marker boot-end-marker enable secret 5 $1$dLun$g726j7YEccX.qw9YNA8I1. enable password cisco no aaa new-model resource policy ip cef voice-card 0 no dspfarm --- GRE tunnel configuration interface Tunnel0 ip address ip mtu 1438 tunnel source GigabitEthernet0/0 tunnel destination interface GigabitEthernet0/0 ip address duplex auto speed auto media-type rj45 no mop enabled interface GigabitEthernet0/1 ip address duplex auto speed auto media-type rj45 ip route ip route Tunnel0 --- Route ACS database traffic ip http server no ip http secure-server control-plane line con 0 stopbits 1 line aux 0 line vty 0 4 exec-timeout 0 0 password cisco login transport input telnet scheduler allocate end AUSNML # Current configuration : 1222 bytes version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname AUSNML ip subnet-zero ip cef call rsvp-sync --- GRE tunnel configuration interface Tunnel0 ip address ip mtu 1438 tunnel source FastEthernet0/0 tunnel destination interface FastEthernet0/0 ip address duplex half interface ATM2/0 no ip address shutdown no atm ilmi-keepalive interface Ethernet3/0 ip address duplex half interface Ethernet3/1 ip address duplex half interface Ethernet3/2 no ip address shutdown duplex half interface Ethernet3/3 no ip address shutdown duplex half ip classless ip route ip route Tunnel0 --- Route ACS database traffic no ip http server ip pim bidir-enable dial-peer cor custom gatekeeper shutdown line con 0 line aux 0 line vty 0 4 password cisco123 login end AUSNML # Esta tabla proporciona la configuración de escudo de protección que es relevante a este escenario: ausnml-pix-515e show run

15 : Saved PIX Version 6.3(5) hostname ausnml-pix-515e domain-name cisco.com fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h fixup protocol h323 ras fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names --- Permit GRE tunnel protocol access-list 101 permit gre host host no pager mtu outside 1500 mtu inside 1500 ip address outside ip address inside global (outside) netmask global (outside) netmask global (outside) 1 interface nat (inside) Static endpoint translation for tunnel and others static (inside,outside) netmask static (inside,outside) netmask static (inside,outside) netmask access-group 101 in interface outside --- Static route to Perimeter router route outside Route to ACS Servers route inside route inside aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http inside floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 vpdn username wvshaw password ********* store-local terminal width 80 Cryptochecksum:f23dd725f24bb68e8ce8710f0d7bb58f : end ausnml-pix-515e(config)# Verifique la Configuración Esta sección describe cómo verificar la configuración. Para verificar que usted configurara con éxito la réplica de base de datos, complete estos pasos: 1. En el servidor ACS primario, haga clic el botón de los informes y de la actividad situado en el panel izquierdo.

16 La página de los informes y de la actividad aparece. 2. Haga clic el link de la réplica de base de datos. El selecto un área del archivo del registro de la réplica de base de datos aparece. 3. Del selecto un área del archivo del registro de la réplica de base de datos, Replication.csv de la base de datos del tecleo. En el archivo del registro, la réplica de base de datos acertada parece similar a esta imagen. Además, el archivo del registro en el servidor ACS secundario no debe contener ningún error, similar a esta imagen.

17 Resolver problemas con la configuración Use esta sección para resolver problemas de configuración. Copia de respuesta La configuración tiene un primario y un servidor secundario. El servidor primario recibe el mensaje de error como se muestra. Solución Primary(hostname): ACS 'hostname' has denied replication request Secondary(hostname): Inbound database replication from ACS 'hostname' denied Quite la entrada para el servidor ACS primario en el servidor ACS secundario puesto que el ACS no soporta la replicación bidireccional. También, aseegurese que las opciones recibidas de los componentes en el ACS secundario son diferentes de las opciones de los componentes del envío en el ACS primario. Aseegurese que la clave secreta compartida es lo mismo en primario y secundario. Nota: La carga a compartir no se soporta en el ACS y trabaja solamente como Conmutación por falla. Si el primario falla, el secundario asume el control. El servidor ACS secundario no recomienza el servicio Después de la replicación DB entre el ACS primario y las máquinas secundarias ACS con el procesador dual, no comienzan a los servicios ACS en el plazo de 30 minutos después de reiniciar la máquina secundaria ACS. Solución Usted puede reparar esto reiniciando el ACS secundario sólo después de 30 minutos si hay replicación DB. Procedimientos Para resolver problemas su configuración, complete uno o más de estos procedimientos: Consejos Para asegurarse de que la réplica de base de datos haya completado con éxito, vea el informe de la réplica de base de datos sobre el primario y los servidores ACS secundarios como descrito adentro verifique la configuración. Vea los registros de eventos de Windows para los mensajes de error posible. El servidor primario debe tener todos los servidores secundarios enumerados Si usted utiliza una cascada de un servidor primario que envíe los datos a un servidor secundario, que a su vez envía a otro servidor, usted debe configurar todos los servidores en el servidor primario. Este requisito debe ser realizado incluso si el servidor primario no replica directamente al servidor. Lista de acceso para el puerto TCP 2000 Si su servidor primario está fuera de un Firewall, usted debe asegurarse de que el puerto 2000 del TCP de destino esté permitido con ese Firewall. El servidor primario utiliza un puerto del origen aleatorio y un puerto destino de 2000 para la réplica de base de datos. Lista de acceso para el GRE o IPSec en el Firewall las listas de acceso que permiten el GRE o el IPSec son necesarias si su tráfico debe atravesar un Firewall. Clave de la réplica de base de datos La clave del servidor ACS primario es muy importante para la réplica de base de datos acertada. El valor de la clave debe hacer juego exactamente dondequiera que se defina el servidor ACS primario. Error ACS - El archivo de base de datos no se puede leer en la memoria este error ocurre cuando el espacio en disco en el servidor se agota. Para resolver este error, espacio en disco adicional libre en el servidor. Mensaje de error en las bases de datos externas El primario o el servidor ACS secundario no autentica con las bases de datos externas, tales como LDAP, pero el otro trabaja muy bien. También, usted recibe el código de la autenticación del error, el externo DB

18 no operativo, que está situado en el cuadro de diálogo de los informes y de la actividad > de los intentos fallidos del ACS. Para resolver este problema, elegir las bases de datos externas > la Política de usuario desconocido, y verificarle tiene las bases de datos de LDAP en el top y no las bases de datos de Windows. Imagen base Asegúrese de que el primarios y los servidores ACS secundarios utilicen la misma versión de la imagen base. Error ACS - No puede replicar <server name> - servidor que no responde a este mensaje de error aparece en el registro del informe de la replicación cuando la réplica de base de datos falla. Se causa este error cuando se habilita el examen flaco mientras que el Skinny Protocol y la réplica de base de datos en el ACS utiliza el mismo puerto TCP Para resolver el problema, inhabilite el examen flaco como se muestra abajo: hostname# configure terminal hostname(config)# policy-map global-policy hostname(config-pmap)# class inspection_default hostname(config-pmap-c)# no inspect skinny El error ACS - replicación de base de datos entrante del ERROR acs1 si usted recibe este error, verifica que los IP Addresses estén correctos. acs1 ERROR Inbound database replication from ACS 'csacs1' denied - shared secret mismatch Información Relacionada Ejemplos de Configuración y Lista de Notas Técnicas Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 18 Octubre