SecurID^® Discussions

MichaelGilik · ‎2016-07-05

Eine Cisco ASA ist nicht in der Lage mit dem Secure ID Server zu kommunizieren.

der Port 5500 ist offen und mittels CLI kommen Antworten auch zurück. Die ASA erhält bei der Kommunikation jedesmal einen Time-Out.

Noch zur Konfiguration:

- Secure ID Server auf HyperV installiert (reine Installation ohne Updates)

- 2 CPUs

- 5020 MB Ram

- ASA 5525-x

Es hat eine Zeitlang funktioniert und auf anschliessend Zeitweise nicht mehr, und jetzt ist der TimeOut jedesmal bei der Kommunikation.

Hat jemand Erfahrungen, oder Ideen dieses Aufgabe zu lösen?!

Danke für Anregungen.

MHelmy · ‎2016-07-05

Entschuldigung für mein schlechtes deutsch, ich bin mit Google Translate .

Ich habe ein paar Fragen:

1. Was ist die Version der Cisco ASA iOS?

2. Haben Sie die Ausgabe des Authentifizierungs Activity Monitor haben? Wenn nicht, können Sie die Security Console öffnen> Berichterstattung> Echtzeitaktivität Monitore> Authentication Activity Monitor> Start Monitor> Test Authentifizierung vom ASA-Server uns dann die Ausgabe senden.

MichaelGilik · ‎2016-07-05

These are the Answers/results you asked for.

THX

1. ASA Software Version 9.6(1)3

2. Log Level: ERROR

Activity Key: Resolve principal by userid/alias

Description: Attempting to resolve user by userid or alias “test”. Request originated from agent “192.168.1.1” with IP address “192.168.1.1” in security domain “SystemDomain”

Action Result Key: Failure

Result Key: AUTH_RESOLUTION_FAILED_BY_ID_ALIAS

Result: Unable to resolve user by login ID and/or alias, or authenticator not assigned to user

User ID: test

User First Name: N/A

User Last Name: N/A

User Security Domain: N/A

User Identity Source Name: N/A

Agent Type: 1

Agent Name: 192.168.1.1

Agent IP: 192.168.1.1

Agent Security Domain: SystemDomain

Authentication Method: N/A

Policy Expression: N/A

Argument 1: N/A

Argument 2: N/A

Argument 3: 1

Argument 4: N/A

Argument 5: N/A

Argument 6: N/A

Argument 7: N/A

Argument 8: N/A

Argument 9: N/A

Argument 10: N/A

Instance Name: seucreID.domain.local

Client IP: 192.168.1.1

Server Node IP: 192.168.1.10

Von: Mostafa Helmy

Gesendet: Dienstag, 5. Juli 2016 15:25

An: Gilik, Michael <m.gilik@ta-recycling.de>

Betreff: Re: - asa kann keine verbindung zu secure id herstellen

<https://community.rsa.com/?et=watches.email.thread>

asa kann keine verbindung zu secure id herstellen

reply from Mostafa Helmy<https://community.rsa.com/people/42B0Q5pyTegv4YJXrqq5C7OpnXdeEPBcwn5gGf7LXiE%3D?et=watches.email.thread> in RSA SecurID - View the full discussion<https://community.rsa.com/message/875041?et=watches.email.thread#comment-875041>

JayGuillette · ‎2016-07-05

Michael,

Ich entschuldige mich, als mein Deutsch nur Google ist gut

"Unable to resolve user by login ID and/or alias, or authenticator not assigned to user" - Benutzer konnte nicht zu lösen, indem Anmelde-ID und / oder Alias oder Authenticator nicht auf Benutzer zugewiesen bezieht sich auf Benutzer "Test", der nicht entweder in der internen SecurID-Datenbank

oder in einer externen Authentication Manager Identität Quelle wie Active Directory gefunden wird

MichaelGilik · ‎2016-07-05

The Communication running still in a timeout.

This is the answer from the Cisco ASA during the logon try….

CISCO# show run aaa-server

aaa-server SDI protocol sdi

aaa-server SDI (Internal) host 192.168.1.10

CISCO# test aaa-server authentication SDI host 192.168.1.10 username test pass test123

INFO: Attempting Authentication test to IP address <192.168.1.10> (timeout: 12 seconds)

ERROR: No response from Authentication server.

CISCO# show aaa-server

Server Group: LOCAL

Server Protocol: Local database

Server Address: None

Server port: None

Server status: ACTIVE, Last transaction at 15:40:31 CEDT Tue Jul 5 2016

Number of pending requests 0

Average round trip time 0ms

Number of authentication requests 20

Number of authorization requests 0

Number of accounting requests 0

Number of retransmissions 0

Number of accepts 7

Number of rejects 13

Number of challenges 0

Number of malformed responses 0

Number of bad authenticators 0

Number of timeouts 0

Number of unrecognized responses 0

Server Group: SDI

Server Protocol: sdi

Server Address: 192.168.1.10

Server port: 5500

Server status: ACTIVE, Last transaction at 15:42:01 CEDT Tue Jul 5 2016

Number of pending requests 0

Average round trip time 2782ms

Number of authentication requests 3

Number of authorization requests 0

Number of accounting requests 0

Number of retransmissions 0

Number of accepts 0

Number of rejects 0

Number of challenges 0

Number of malformed responses 0

Number of bad authenticators 0

Number of timeouts 3

Number of unrecognized responses 0

SDI Server List:

Active Address: 192.168.1.10

Server Address: 192.168.1.1

Server port: 5500

Priority: 0

Proximity: 0

Status: SUSPENDED

Number of accepts 0

Number of rejects 0

Number of bad next token codes 0

Number of bad new pins sent 0

Number of retries 2

Number of timeouts 2

CISCO#

CISCO# ping 192.168.1.10

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.10, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

CISCO# show version

Cisco Adaptive Security Appliance Software Version 9.6(1)3

Von: Jay Guillette

Gesendet: Dienstag, 5. Juli 2016 17:10

An: Gilik, Michael <m.gilik@ta-recycling.de>

Betreff: Re: - asa kann keine verbindung zu secure id herstellen

<https://community.rsa.com/?et=watches.email.thread>

asa kann keine verbindung zu secure id herstellen

reply from Jay Guillette<https://community.rsa.com/people/kC9GFjHEN2Z1B7g58ni3bNsbNCOoeJAic0rgdU3j8bI%3D?et=watches.email.thread> in RSA SecurID - View the full discussion<https://community.rsa.com/message/875036?et=watches.email.thread#comment-875036>

JayGuillette · ‎2016-07-05

You could use TCPDump on the Authentication Manager Primary or Replica to see network packet traffic from the Cisco ASA

Sie könnten TCPDump auf dem Authentication Manager Primary oder Replica verwenden Netzwerk-Paketverkehr von der Cisco ASA zu sehen

SSH to the Virtual Appliance with the operating system account rsaadmin.

sudo su -

<same password again> This makes you root

# cd /usr/sbin

./tcpdump -i eth0 -s 1514 -Z root port 5500 -w /tmp/auth.pcap

This writes output to a file in /tmp and

filters on port 5500 which is authentication – modify to 389 for LDAP, 636 for LDAPS etc…

chmod 777 /tmp/auth.pcap This grants full permissions to everyone, makes it easy to copy file off with WinSCP

We can see if there are any authentication packets from the Cisco ASA or from any network device.

Wir können sehen, ob es irgendwelche Authentifizierungspakete von der Cisco ASA sind oder von einem Gerät im Netzwerk.

We can also see if the Authentication Manger responds, which could mean the Cisco ASA requests is allowed through the network, but the Authentication Manager Response is not allowed back, so the Cisco ASA says

Wir können auch sehen, ob die Authentifizierung Manger reagiert, die die Cisco ASA-Anforderungen bedeuten könnte, wird durch das Netzwerk erlaubt, aber der Authentication Manager Antwort zurück nicht erlaubt, so dass die Cisco ASA sagt

"ERROR: No response from Authentication server."

MichaelGilik · ‎2016-07-05

Actually there is no way to Access the RSA Remote Manager 8.2 via WinSCP nor with PUTTY to download the file. What would be the best way to enable SSH?

Thx in Advance

JayGuillette · ‎2016-07-05

In the Authentication Manager Operations Console, which would be something like

https://rsa01.gilik.de:7072/operations-console under Adminsitration - Operating System Access

This enables SSH, which uses port 22, so can also be used by SCP products such as WinSCP

MichaelGilik · ‎2016-07-06

In my menue is this Option not available...

MichaelGilik · ‎2016-07-06

Sorry my mistake, I found the setting to enable the ssh service.

Attached you will find the Log from the RSA SecureID Server.

Regards

Michael

Von: Jay Guillette

Gesendet: Mittwoch, 6. Juli 2016 04:17

An: Gilik, Michael <m.gilik@ta-recycling.de>

Betreff: Re: - asa kann keine verbindung zu secure id herstellen

<https://community.rsa.com/?et=watches.email.thread>

asa kann keine verbindung zu secure id herstellen

reply from Jay Guillette<https://community.rsa.com/people/kC9GFjHEN2Z1B7g58ni3bNsbNCOoeJAic0rgdU3j8bI%3D?et=watches.email.thread> in RSA SecurID - View the full discussion<https://community.rsa.com/message/875047?et=watches.email.thread#comment-875047>

SecurID® Discussions

asa kann keine verbindung zu secure id herstellen

Agents

SecurID^® Discussions