Mandantenfähiger TACACS-Server

7

Kann Cisco ACS 5.4 (oder eine andere Version) in einer Umgebung mit mehreren Mandanten arbeiten?

Ich hätte gerne zwei ACS-Server, einen primären und einen sekundären Server mit völlig unterschiedlichem Routing (aber natürlich für die Replikation weiterhin Zugriff aufeinander).

Dies würde mir eine zentralisierte Verwaltung von ACS ermöglichen, aber ich benötige ACS, um Clientgeräteanforderungen zu akzeptieren, die von möglicherweise überlappenden IP-Adressen stammen.

Wenn ich ACS5.4 anprobiere, beschwert es sich einfach über die IP-Konflikte des zweiten Clientgeräts mit dem ersten.

cisco Steve Wright
quelle
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

3

Ich kann nicht für ACS sprechen, da ich nur den Open-Source-TACACS-Dämon verwende, aber wir verwenden ein SQL-Backend, mit dem verschiedene Boxen völlig unterschiedliche Routing- / Richtlinien haben und dennoch eine konsistente Benutzer-DB beibehalten können.

David Rothera
quelle
In diesem Fall würden Sie trotzdem 2 TACACS-Dämonen ausführen, richtig? Wir verwenden tac_plus und ich sehe keine einfache Möglichkeit, doppelte IP-Adressen für Clients zuzulassen, ohne mehrere Bereiche an verschiedenen Ports einzurichten. Dies würde weiterhin eine einheitliche Benutzerdatenbank ermöglichen, würde jedoch eine Anpassung auf dem Client erfordern, um mit einem nicht standardmäßigen Port zu kommunizieren.
Smithsche
Dies wäre für mich nicht wichtig, da die beiden Gruppen von Clientgeräten (in meinem Beispiel) eine Verbindung zu einem TACACS-Server herstellen würden. So lange die Datenbank halten kann: CustArouter1 = IP 192.168.1.1 CustBrouter1 = IP 192.168.1.1 und Richtlinien basierend auf dem Router (oder der Gruppe, in der sich der Router befindet?), Die für mich funktionieren würde. Ich vermute, ich bin an die Verwendung von Ciscos ACS gebunden ...
Steve Wright
0

Soweit ich das sehe:

1) Verwenden Sie die Richtlinie NAT für die überlappenden IP-Adressen. Geben Sie beim Hinzufügen des Geräts Pre-NAT- und Post-NAT-Adressen an. Ich weiß nichts über die Lizenzierung hier, aber meiner Erfahrung nach kostet dies das gleiche wie das Hinzufügen von zwei verschiedenen Geräten.

2) Verwenden Sie gemeinsam ein gemeinsames Geheimnis für überlappende IPs. Schlechte Idee, da dies gegen Richtlinienregeln verstößt.

sergejv
quelle
1) NAT ist aufgrund der Anzahl der Geräte möglicherweise keine Option für uns. 2) Ein anderes gemeinsames Geheimnis wäre für uns kein Problem.
Steve Wright