Configuracion Del Sso Con El Directorio Activo De Windows Server 2003
Windows 2000 Server • Service Pack4 • Windows 2003 Enterprise Service Pack 1 • Windows 2003 R2 Enterprise Windows 2003 Standard Service Pack 1 de 2
1 AD SSO requiere la Clean Access agente que se instala en los sistemas cliente (por ejemplo, no se puede utilizar un cliente de Kerberos Linux para el TDA SSO con CCA.) 2 de Windows 2003 sin SP1 no es compatible.
Nota Puede configurar AD SSO para todos los tipos de despliegue(L2/L3, in-band/out-of-band). Por fuera de banda, puertos de cliente se ponen en la VLAN de autenticación primero antes de la autenticación de dominio de Windows. Con AD SSO, Cisco NAC Appliance autentica al usuario con Kerberos, pero autoriza al usuario con LDAP. Cisco NAC Appliance aplica la credenciales almacenadas en caché / vale de Kerberos de la entrada de la máquina cliente y lo utilizapara validar la autenticación del usuario con el servidor Windows 2000/2003 Server Active Directory. Después de la autenticación de usuario se valida, la autorización (role-mapping) entonces se realiza como un archivo de búsqueda en Active Directory mediante LDAP.
Nota La cuenta de usuario LDAP debe tener privilegios suficientes para proporcionar una "búsqueda DN / Contraseña" que se puedeutilizar para buscar cualquier atributo. De procesos de Windows SSO (Bolsa de Kerberos Ticket) Windows SSO es la capacidad de la CCA para autenticar automáticamente a los usuarios ya autenticado en un motor de Kerberos del controlador de dominio (el servidor de Active Directory). Figura 1.10 muestra el proceso general para el intercambio de vale de Kerberos. Figura 10-1 Proceso General de KerberosIntercambio de entradas
Cuando el Clean Access Server está configurado para el TDA SSO, esencialmente reemplaza los "Servicios de red" componente se muestra en la Figura 10-1 . La secuencia general es la siguiente: • Cliente y CAS ambos tienen una cuenta en el servidor de Active Directory. • Cliente inicia sesión en Windows AD (o utiliza credenciales almacenadas en caché). • Credenciales se envían ala AD. El AD autentica y le da un billete de concesión de vales (TGT) al cliente.
El Clean Access agente en el cliente le pide al cliente para una Venta de entradas (ST) con el nombre de usuario CAS para comunicarse con el CAS. - El cliente solicita una Venta de entradas de la AD. - El AD da la ST para el cliente, el cliente da el ST para el agente. - El agente es ahora capaz de comunicarse...
Regístrate para leer el documento completo.