PTT職涯區 / MIS (IT資訊人員)

[已解] RSA Token passcode reuse

看板MIS (IT資訊人員)作者 (InfoSEC)時間10年前 (2014/12/17 09:43), 10年前編輯推噓3(3013)
留言16則, 4人參與, 最新討論串1/1
上週把ACS 5.6弄起來,把SWITCH AAA 導至ACS驗証 ACS上新增RSA Authentication Manager 用意是要登入switch時,用員編+token做one time password login 使用上也都正常,但是有個小問題,就是無法在短時間內登入多台設備 也就是說,同組passcode只能登入一台設備,下一台設備要等passcode 變成另一組才能登入,不然會驗証失敗,去查RSA Log 會出現 Passcode reuse or previous token code detected for user "xxxxx"的訊息 我不是很清楚這是RSA的限制或是哪方面設定要修正 還需再找資料看看,假若這是RSA的限制,萬一碰到需要除錯的情境 可能需要登入多台設備交互查找問題時,顯然會是個問題.. 不知各位前輩有沒有經驗可以分享? CISCO Catalyst Switch -> CISCO Secure ACS -> RSA Authentication Manager (AAA) (TACACS+) 剛剛另一位大神指點 在ACS 5.6中 RSA SecurID Token Server的設定裡 有一個選項叫 Passcode caching enables the user to perform more than one authentication using the same passcode. □ Enable passcode caching Aging Time: _30_ seconds 這個功能如果勾選的話,第一次驗証會去問RSA AM,然後30秒內用同個passcode去 登入其它設備,是不會再去問RSA AM,而是直接給予放行 這樣也就解了我一開始的問題~ 這是ACS的功能,OTP依舊是OTP ACS中間做了手腳就方便網管做事 CISCO ACS的Release Notes如下 ACS 5.5 provides a new feature called passcode caching, where ACS 5.5 stores user credentials and their passcodes in a cache. The passcode cache in ACS is available for a configurable amount of time from 1 to 300 seconds. After a first successful authentication against an RSA Secure ID token server, ACS stores the user credentials in its cache. The RSA passcode cache will be available for the amount of time that you have configured. If the user accesses the network within this time period again, ACS checks for the user credentials in its cache and processes the request. 分享給大家 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 211.21.123.187 ※ 文章網址: http://www.ptt.cc/bbs/MIS/M.1418780626.A.ABE.html
12/17 10:05, , 1F
剛某位大神開示:one time password可以reuse就不叫
12/17 10:05, 1F
12/17 10:08, , 2F
one time password了 一語驚醒夢中人哪~
12/17 10:08, 2F
12/17 10:11, , 3F
我的經驗是,需要管理者另外手動重新產生一次密碼
12/17 10:11, 3F
12/17 10:11, , 4F
想想也應該是要這樣,不然就不叫one time password XD
12/17 10:11, 4F
12/17 10:12, , 5F
如果確定是工作需要同時登入多數設備,另外用個policy
12/17 10:12, 5F
12/17 10:13, , 6F
不要用token也是一種解法
12/17 10:13, 6F
12/17 10:16, , 7F
yes.. 當然有個帳號是不用token登入的 不然忘了帶就糗了.
12/17 10:16, 7F
※ 編輯: infosec (211.21.123.187), 12/17/2014 16:20:52 ※ 編輯: infosec (211.21.123.187), 12/17/2014 16:29:30 ※ 編輯: infosec (211.21.123.187), 12/17/2014 16:30:28
12/17 19:00, , 8F
怪不得我的user都只能手動,因為版本有差XD
12/17 19:00, 8F
12/17 19:06, , 9F
沒關係,就升級啊...花吧花吧
12/17 19:06, 9F
12/18 10:20, , 10F
為什麼不直接吃RSA認證就好? 還要前面多掛一個 ACS?
12/18 10:20, 10F
12/18 12:48, , 11F
RSA沒有TACACS+
12/18 12:48, 11F
12/18 12:48, , 12F
而且acs好用很多
12/18 12:48, 12F
12/22 09:07, , 13F
我的意思是cisco設備可以直接吃RSA server的認證不需要
12/22 09:07, 13F
12/22 09:08, , 14F
不需要經過 tacas+ 轉一手
12/22 09:08, 14F
12/22 09:29, , 15F
還是tacas是已經佈好了?
12/22 09:29, 15F
12/22 14:00, , 16F
會這樣做的,本來就一開始有ACS 了啊....
12/22 14:00, 16F
更多 infosec 的文章
文章代碼(AID): #1KaD_Ig- (MIS)
MIS 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 infosec 的文章
文章代碼(AID): #1KaD_Ig- (MIS)