上周把ACS 5.6弄起来，把SWITCH AAA 导至ACS验证 ACS上新增RSA Authentication Manager 用意是要登入switch时，用员编+token做one time password login 使用上也都正常，但是有个小问题，就是无法在短时间内登入多台设备 也就是说，同组passcode只能登入一台设备，下一台设备要等passcode 变成另一组才能登入，不然会验证失败，去查RSA Log 会出现 Passcode reuse or previous token code detected for user "xxxxx"的讯息 我不是很清楚这是RSA的限制或是哪方面设定要修正 还需再找资料看看，假若这是RSA的限制，万一碰到需要除错的情境 可能需要登入多台设备交互查找问题时，显然会是个问题.. 不知各位前辈有没有经验可以分享？ CISCO Catalyst Switch -> CISCO Secure ACS -> RSA Authentication Manager (AAA) (TACACS+) 刚刚另一位大神指点 在ACS 5.6中 RSA SecurID Token Server的设定里 有一个选项叫 Passcode caching enables the user to perform more than one authentication using the same passcode. □ Enable passcode caching Aging Time: _30_ seconds 这个功能如果勾选的话，第一次验证会去问RSA AM，然後30秒内用同个passcode去 登入其它设备，是不会再去问RSA AM，而是直接给予放行 这样也就解了我一开始的问题~ 这是ACS的功能，OTP依旧是OTP ACS中间做了手脚就方便网管做事 CISCO ACS的Release Notes如下 ACS 5.5 provides a new feature called passcode caching, where ACS 5.5 stores user credentials and their passcodes in a cache. The passcode cache in ACS is available for a configurable amount of time from 1 to 300 seconds. After a first successful authentication against an RSA Secure ID token server, ACS stores the user credentials in its cache. The RSA passcode cache will be available for the amount of time that you have configured. If the user accesses the network within this time period again, ACS checks for the user credentials in its cache and processes the request. 分享给大家 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 211.21.123.187 ※ 文章网址: http://webptt.com/cn.aspx?n=bbs/MIS/M.1418780626.A.ABE.html ※ 编辑: infosec (211.21.123.187), 12/17/2014 16:20:52 ※ 编辑: infosec (211.21.123.187), 12/17/2014 16:29:30 ※ 编辑: infosec (211.21.123.187), 12/17/2014 16:30:28