|
|
|
|
摘要:
HWTACACS协议与RADIUS协议都实现了认证、授权、计费的功能,它们有很多相似点:结构上都采用客户端/服务器模式;都使用公共密钥对传输的用户信息进行加密;都有较好的灵活性和可扩展性。两者之间存在的主要区别如下所示。 HWTACACS RADIUS 使用TCP,网络传输更可靠 使用UDP,网络传输效率更高 除了HWTACACS报文头,对报文主体全部进行加密 只对验证报文中的密码字段进行加... 阅读全文
posted @ 2009-12-20 11:52 忆龙2009 阅读(529) 评论(0) 推荐(0) 编辑
摘要:
配置Portal服务器 登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。 输入Portal认证主页地址,形式为http://ip:port/portal,其中ip和port在安装iMC UAM的时候确定,一般使用缺省值即可。 配置IP地址组 单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进入Portal I... 阅读全文
posted @ 2009-12-20 11:52 忆龙2009 阅读(1916) 评论(0) 推荐(0) 编辑
摘要:
以Telnet用户为例,说明使用HWTACACS对用户进行认证、授权和计费的过程。基本消息交互流程图如下所示。 在整个过程中的基本消息交互流程如下: (1) Telnet用户请求登录设备。 (2) HWTACACS客户端收到请求之后,向HWTACACS服务器发送认证开始报文。 (3) HWTACACS服务器发送认证回应报文,请求用户名。 (4) HWTACACS客户端收到回应报文后,向用户询问用户... 阅读全文
posted @ 2009-12-20 11:51 忆龙2009 阅读(339) 评论(0) 推荐(0) 编辑
摘要:
在整个通讯过程中,为实现SSH的安全连接,服务器端与客户端要经历如下五个阶段: 版本号协商阶段 密钥和算法协商阶段 认证阶段 会话请求阶段 交互会话阶段 1. 版本号协商阶段 具体步骤如下: (1) 服务器打开端口22,等待客户端连接。 (2) 客户端向服务器端发起TCP初始连接请求,TCP连接建立后,服务器向客户端发送第一个报文,包括版本标志字符串,格式为“SSH-<主协议版本... 阅读全文
posted @ 2009-12-20 11:50 忆龙2009 阅读(2182) 评论(0) 推荐(0) 编辑
摘要:
URPF(Unicast Reverse Path Forwarding,单播反向路径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行为。 源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限,甚至是以管理员权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。 在Switch... 阅读全文
posted @ 2009-12-20 11:50 忆龙2009 阅读(193) 评论(0) 推荐(0) 编辑
摘要:
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP的RADIUS帧格式及其消息传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。 RADIUS... 阅读全文
posted @ 2009-12-20 11:49 忆龙2009 阅读(690) 评论(0) 推荐(0) 编辑
摘要:
1. 直接认证和三层Portal认证的流程 (1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。 (2) Portal服务器与接入设备之间进行CHA... 阅读全文
posted @ 2009-12-20 11:48 忆龙2009 阅读(2280) 评论(0) 推荐(0) 编辑
摘要:
如果用户丢失了Telnet登录口令,可以使用Console口登录到控制台界面,对Telnet的口令配置进行查看和修改。 (1) 使用配置线缆将计算机的串口与H3C系列交换机的Console口进行连接,配置终端仿真程序,登录到交换机控制台界面。 (2) 使用display current-configuration命令查看当前配置文件中对于用户界面的认证配置。 <H3C> display... 阅读全文
posted @ 2009-12-20 11:47 忆龙2009 阅读(455) 评论(0) 推荐(0) 编辑
摘要:
如果用户设置的控制台登录口令丢失,可以通过使用BOOT菜单中的“跳过配置文件启动”功能进行恢复。 (1) 使用配置线缆将计算机的串口与H3C系列交换机的Console口进行连接,配置终端仿真程序,重新启动交换机。 (2) 在交换机完成自检后,在下面的界面键入进入BOOT菜单。 Board checking.......................................LSA1LTS... 阅读全文
posted @ 2009-12-20 11:45 忆龙2009 阅读(429) 评论(0) 推荐(0) 编辑
摘要:
代理访问规则(ACS)可以由管理员来决定用户是否能够停止代理安全访问。要停止某个访问,在Windows下是通过 net stop 命令来完成的;在UNIX下是通过 /etc/init.d/ciscosec stop来完成。另外,用户还可以通过代理软件的UI界面来关闭这个功能。如果你关闭了代理安全功能,你只能手工恢复,或者下次系统启动后自动恢复。 如果你不想让用户自己停止或卸载这个服务,通过以下步... 阅读全文
posted @ 2009-12-20 11:44 忆龙2009 阅读(151) 评论(0) 推荐(0) 编辑
摘要:
在一个存在多个森林的AD环境中,如果使用PEAP协议进行机器认证,会出现认证失败现象,原因是机器名称是以DNS格式发送的。这种格式在ACS 4.1.1.23之前是不被支持的。 例如:如果ACS处于 Forest1,而 host/machine.com 处于 Forest2,会出现类似下面的错误信息: CSWinAgent 03/05/2007 09:26:26 A 0063 2708 NTLI... 阅读全文
posted @ 2009-12-20 11:43 忆龙2009 阅读(308) 评论(0) 推荐(0) 编辑
摘要:
ACS上对下载IP ACLs的配置数量进行了限制,如果需要配置更多数量的downloadable access control lists (ACLs) ,可以使用 object-group 命令,具体的设置方法如下描述: 在 PIX/ASA 上的配置: name 192.6.x.x HOST_SERVER object-group service SVC_GROUP tcp port-obj... 阅读全文
posted @ 2009-12-20 11:42 忆龙2009 阅读(223) 评论(0) 推荐(0) 编辑
摘要:
这是ACS的一个BUG,该BUG出现在3.3.1及3.3.2版本中。 当将最大会话数设为1时,ACS只允许1个用户登陆,但将其设为大于1的任何值时,登陆的用户数由于BUG而不受限制。 要解决这个问题,请将版本升级到3.3.3及之后的版本。 阅读全文
posted @ 2009-12-20 11:41 忆龙2009 阅读(154) 评论(0) 推荐(0) 编辑
摘要:
当XP客户端通过IP Phone连接到CISCO交换机,其802.1x认证为何无法成功?而当XP客户端直接连接到交换机上时,认证是可以正常完成的。 如果802.1x客户端通过IP Phone连接到交换机,交换机就无法感知到端口的UP事件。这样,交换机就无法知道PC什么时候连上来,也就无法初始化一个认证过程。 如果交换机上配置了GUEST VLAN功能,当EAPOL-Identity-Request... 阅读全文
posted @ 2009-12-20 11:40 忆龙2009 阅读(284) 评论(0) 推荐(0) 编辑
摘要:
在采用ACS+Windows Vista的环境中,虽然ACS的日志显示用户已经认证成功了,但实际上Vista客户端并没有认证成功。 一旦出现这种问题,请确认在WLC/AP上没有开启Cisco Centralized Key Management (CCKM) 功能。如果开启了该功能,将会导致Vista用户认证失败。 阅读全文
posted @ 2009-12-20 11:39 忆龙2009 阅读(137) 评论(0) 推荐(0) 编辑
摘要:
ACS的WEB访问页面其默认监听端口号为2002,能否将其修改为其他值?答案是否定的。 当你连接到2002端口时,系统会随机地将其改变为1024~65535中的一个端口。但是ACS总是使用2002作为监听端口。每个管理会话都会分配到一个不同的端口号。 阅读全文
posted @ 2009-12-20 11:39 忆龙2009 阅读(353) 评论(0) 推荐(0) 编辑
摘要:
下面我们将介绍在ASA上如何利用配置Cisco ACS TACACS 服务器以对TELNET管理用户的密码进行修改。 注意:以下方法对SSH及ASDM管理用户的密码修改无效。 ASA上的配置: 1. 定义 TACACS aaa-server 5580-20-1(config)# show runn aaa-server TACACS17aaa-server TACACS17 protocol t... 阅读全文
posted @ 2009-12-20 11:38 忆龙2009 阅读(812) 评论(0) 推荐(0) 编辑
摘要:
英国的NISCC发布236929安全公告:按照RFC 793实现的TCP协议存在安全漏洞,正常的TCP连接可以被非法的第三方复位。在已知TCP连接的四元组(源地址、目的地址、源端口号、目的端口号)的情况下,攻击者可以伪造带有RST/SYN标志的TCP报文或普通数据报文,当其sequence number落在TCP连接的滑动窗口(window size)范围内,可能导致以下攻击后果: 1.伪造RS... 阅读全文
posted @ 2009-12-20 11:37 忆龙2009 阅读(793) 评论(0) 推荐(0) 编辑
摘要:
iNode版本支持自动升级的功能,除了通过iNode和客户端管理中心进行通信实现版本升级以外,还可以CAMS来实现客户端认证的时候进行自动升级。 客户端自动升级包括“可选升级”和“强制升级”两种。具体的实现方法是在客户端认证时检查其版本是否比要升级的版本低,如果低于要求版本即进行升级。配置方法是: 1、 使用iNode客户端管理中心定制升级包,定制时根据需要包含组件和基本配置项; 2、 进入C... 阅读全文
posted @ 2009-12-20 11:37 忆龙2009 阅读(228) 评论(0) 推荐(0) 编辑 |
|