11554
Apr 04, 2005, updated at 16:04:53 (UTC)
5228
9
0
Loadbalancing/Redundanz bei Cisco Secure ACS?
Ich hab die Vorgabe das mehrere Netzwerkkomponenten mit TACACS+ abgesichert werden sollen, da TAC+ wesentlich sicherer als RADIUS sein soll. Nun soll der TAC+Server natürlich hochverfügbar sein und redundant ausgelegt werden. Wenn eine Maschine ausfällt soll die andere sofort übernehmen. Außerdem soll Syslogging auf eine externe Maschine möglich sein.
Cisco Secure ACS scheint auf den ersten Blick geeignet. Aber ich find weder bei Cisco noch bei Google geeignete Whitepaper die etwas über die Redundanz bei diesen Kisten aussagen.
Bleiben also einige Fragen:
Kennt jemand eine Quelle für die Infos zur Redundanz beim Einsatz von 2 ACS?
Ist Syslogging auf eine externe Maschine möglich (Quelle)?
Ist Ciscos Secure ACS die einzige Lösung oder gibt es Alternativen?
Vielleicht hat hier ja jemand schon Erfahrung in der Richtung. Ist nicht mein Hauptjob, ich bin eigentlich nur Projektunterstützer, deswegen bitte ich um Nachsicht ;)
Gruß Thomas
Bleiben also einige Fragen:
Kennt jemand eine Quelle für die Infos zur Redundanz beim Einsatz von 2 ACS?
Ist Syslogging auf eine externe Maschine möglich (Quelle)?
Ist Ciscos Secure ACS die einzige Lösung oder gibt es Alternativen?
Vielleicht hat hier ja jemand schon Erfahrung in der Richtung. Ist nicht mein Hauptjob, ich bin eigentlich nur Projektunterstützer, deswegen bitte ich um Nachsicht ;)
Gruß Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8907
Url: https://administrator.de/contentid/8907
Printed on: April 20, 2024 at 04:04 o'clock
9 Comments
Latest comment
guckst du hier:
http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_literature.h ...
da findest du u.a daß Failover und Backup möglich ist. Syslog wird sicher auch gehen..
An deiner Stelle würde ich mich aber erstmal über die Preise informieren. Nicht das das gleich zum KO Kriterium wird. Ich würde mit einen 5 stelligen Betrag rechnen und vorne keine eins erwarten.
http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_literature.h ...
da findest du u.a daß Failover und Backup möglich ist. Syslog wird sicher auch gehen..
An deiner Stelle würde ich mich aber erstmal über die Preise informieren. Nicht das das gleich zum KO Kriterium wird. Ich würde mit einen 5 stelligen Betrag rechnen und vorne keine eins erwarten.
Ah, danke für den Link - muss ich mir mal genauer anschauen.
Preise kenn ich schon, bei der Appliance rechne ich mit ~ 12k/Stk. ;)
Preise kenn ich schon, bei der Appliance rechne ich mit ~ 12k/Stk. ;)
rechne ich mit ~ 12k/Stk. ;)
War mir nicht mehr so sicher..aber das wird passen.Ich weiss nur noch meinen Kommentar dazu genau.. Vergiss es!
Ich weiss ja nicht was du da wie genau absichern willst, aber ob es Sinn macht soviel Geld in eine TACAS Lösung zu stecken möchte ich doch bezweifeln.
TACACS+ ist Forderung des Auftraggebers und schon einiges sicherer als Radius. Da sollen die Eingaben der User genauer erfasst werden als es mit RADIUS möglich wäre. Abgesehen davon steht TCP gegen UDP und da ist dann noch die Verschlüsselung der kompletten Datenpakete. Insgesamt ist die Forderung schon begründet
Jetzt erinner ich mich. Dir hatte man doch für das Krankenhaus ein Angebot mit 2x ACS gemacht, richtig?
Jetzt erinner ich mich. Dir hatte man doch für das Krankenhaus ein Angebot mit 2x ACS gemacht, richtig?
die Eingaben der User genauer erfasst werden
als es mit RADIUS möglich wäre.
als es mit RADIUS möglich wäre.
Eingaben der User??
TACAS macht doch nur die Authentifizierung?!
Abgesehen davon steht TCP gegen UDP und da
ist dann noch die Verschlüsselung der
kompletten Datenpakete. Insgesamt ist die
Forderung schon begründet
ist dann noch die Verschlüsselung der
kompletten Datenpakete. Insgesamt ist die
Forderung schon begründet
Na, so genau hab ich mich damit noch nicht auseinander gesetzt, aber man kann da auch mit Hausmitteln und Radius ne Menge machen.
Dazu kommt noch, dass ich dann meine Userverwaltung an noch einer Ecke habe. Sowas versuche ich immer zu vermeiden
Jetzt erinner ich mich. Dir hatte man doch
für das Krankenhaus ein Angebot mit 2x
ACS gemacht, richtig?
für das Krankenhaus ein Angebot mit 2x
ACS gemacht, richtig?
ja, genau..
TACACS+ loggt unter anderem jeden Befehl mit, der eingegeben wird. Ist notwendig um Fehleingaben oder Manipulationen nachvollziehbar machen zu können. Deswegen auch das (zusätzliche )Logging auf eine externe Maschine. Das ganze ist ja auch nicht für "normale" User gedacht., die sich irgendwo einwählen. Hier gehts ausschließlich darum, dass Netzwerkkomponenten fernkonfiguriert werden.
TACACS+ loggt unter anderem jeden Befehl mit,
Bist du da sicher??????Deswegen auch das (zusätzliche )Logging
Das wird ja über Syslog gehen und nicht Tacacs+
Ja, da bin ich mir sicher ;)
Hier ist übrigens eine Gegenüberstellung TACACS+ vs. RADIUS:
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009 ...
Insbesondere der Punkt "Router Management" ist bei uns für die Entscheidung zugunsten von TACACS+ wichtig gewesen.
Hier ist übrigens eine Gegenüberstellung TACACS+ vs. RADIUS:
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009 ...
Insbesondere der Punkt "Router Management" ist bei uns für die Entscheidung zugunsten von TACACS+ wichtig gewesen.
Das gelernte nehmen wir mit nach Hause..
Dann machen sie also ein Quasilogging indem sie bei jedem Befehl abfragen ob der User darf oder nicht?!
Da versucht Cisco doch nicht etwa seine bevorzugten Standards durchzudrücken..
Dann machen sie also ein Quasilogging indem sie bei jedem Befehl abfragen ob der User darf oder nicht?!
Da versucht Cisco doch nicht etwa seine bevorzugten Standards durchzudrücken..
