Segurança : Cisco Security Manager

Integração do gerenciador de segurança com ACS

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (8 Abril 2009) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como integrar o Cisco Security Manager com Serviço de controle de acesso Cisco Secure (ACS).

O Cisco Secure ACS fornece o comando authorization para os usuários que utilizam aplicativos de gerenciamento, tais como o Cisco Security Manager, a fim configurar dispositivos da rede gerenciada. O apoio para o comando authorization é fornecido pelos tipos ajustados do comando authorization original, chamados os papéis no Cisco Security Manager, que contêm um grupo de permissões. Estas permissões, privilégios igualmente chamados, determinam as ações que os usuários com papéis particulares podem executar dentro do Cisco Security Manager.

Usos TACACS+ do Cisco Secure ACS a fim comunicar-se com os aplicativos de gerenciamento. Para que o Cisco Security Manager comunique-se com o Cisco Secure ACS, você deve configurar o servidor ciscoworks no Cisco Secure ACS como um cliente de AAA que use o TACACS+. Além, você deve fornecer o servidor ciscoworks o nome e a senha do administrador que você usa a fim registrar no Cisco Secure ACS. Quando você cumpre estas exigências, assegura a validez das comunicações entre o Cisco Security Manager e o Cisco Secure ACS.

Quando o Cisco Security Manager se comunica inicialmente com o Cisco Secure ACS, dita a Cisco ACS a criação dos papéis do padrão, que aparecem na seção dos componentes de perfil compartilhado da interface HTML do Cisco Secure ACS. Igualmente dita um serviço feito sob encomenda a ser autorizado pelo TACACS+. Este serviço feito sob encomenda aparece na página TACACS+ (½ do ¿  de Cisco IOSïÂ) na seção de configuração da interface da interface HTML. Você pode então alterar as permissões incluídas em cada papel do Cisco Security Manager e aplicar estes papéis aos usuários e aos grupos de usuário.

Nota: Não é possível integrar o CS com ACS 5.2 porque não é apoiada.

Pré-requisitos

Requisitos

A fim usar o Cisco Secure ACS, certifique-se de que:

  • Você define os papéis que incluem os comandos required a fim executar funções necessárias no Cisco Security Manager.

  • A limitação do acesso de rede (NAR) inclui o grupo do dispositivo (ou os dispositivos) esse você quer administrar, se você aplica um NAR ao perfil.

  • Os nomes de dispositivo gerenciado são soletrados e capitalizados identicamente no Cisco Secure ACS e no Cisco Security Manager.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 3.0 do Cisco Security Manager

  • Versão 3.3 do Cisco Secure ACS

Nota: Certifique-se de que você escolhe o CS e as versões de ACS compatíveis antes que você instale em seu ambiente de rede. Por exemplo, Cisco testou ACS 3.3 com somente o 3.0 CS e parou-o para umas versões de CSM mais atrasadas. Assim, você é recomendado usar o 3.0 CS com ACS 3.3. Veja a tabela de matriz de Compatabilty para obter mais informações sobre das várias versões de software.

Versões do Cisco Security Manager Versões de ACS CS testadas
3.0.0 3.0.0 SP1 Windows 3.3(3) e 4.0(1)
3.0.1 3.0.1 SP1 3.0.1 SP2 Motor das soluções 4.0(1) Windows 4.0(1)
3.1.0 3.0.2 4.1(1) do motor das soluções 4.0(1) Windows e 4.1(3)
3.1.1 3.0.2 SP1 3.0.2 SP2 Motor das soluções v4.0(1) Windows 4.1(2), 4.1(3) e 4.1(4)
3.1.1 SP1 Motor das soluções 4.0(1) Windows 4.1(4)
3.1.1 SP2 Motor das soluções 4.0(1) Windows 4.1(4) e 4.2(0)
3.2.0 Motor das soluções 4.1(4) Windows 4.1(4) e 4.2(0)
3.2.1 Motor das soluções 4.1(4) Windows 4.2(0)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Integre o Cisco Security Manager com Cisco Secure ACS

Esta seção descreve as etapas exigidas para integrar o Cisco Security Manager com Cisco Secure ACS. Algumas etapas contêm diversos substeps. Estes etapas e substeps devem ser executados em ordem. Esta seção igualmente contém referências aos procedimentos específicos usados a fim executar cada etapa.

Conclua estes passos:

  1. Planeie seu modelo da autenticação administrativa e da autorização.

    Você deve decidir em seu modelo administrativo antes que você use o Cisco Security Manager. Isto incluem a definição dos papéis administrativos e as contas que você planeia usar.

    Dica: Quando você define os papéis e as permissões de administradores potenciais, igualmente considere mesmo se permitir trabalhos. Influências desta seleção como você pode restringir o acesso.

  2. Instale o Cisco Secure ACS, o Cisco Security Manager, e o CiscoWorks Common Services.

    Instale a versão 3.3 do Cisco Secure ACS em Windows 2000/2003 de server. Instale o CiscoWorks Common Services e o Cisco Security Manager em um server diferente de Windows 2000/Windows 2003.

    Consulte estes documentos para obter outras informações:

  3. Execute procedimentos da integração no Cisco Secure ACS.

    Defina usuários do Cisco Security Manager como usuários ACS e atribua-os aos grupos de usuário baseados em seu papel de planeamento, adicionar-lo todos seus dispositivos gerenciado (assim como o server dos CiscoWorks/gerenciador de segurança) como clientes de AAA, e crie-o um usuário do controle de administração. Veja os procedimentos da integração executados no Cisco Secure ACS para mais informação.

  4. Execute procedimentos da integração no CiscoWorks Common Services.

    Configurar um usuário local que combine o administrador definido no Cisco Secure ACS, definem que o mesmo usuário para a instalação da identidade do sistema, e configuram o ACS como o modo de inicialização AAA.

    Veja os procedimentos da integração executados nos CiscoWorks para mais informação.

  5. Atribua papéis aos grupos de usuário no Cisco Secure ACS.

    Atribua papéis a cada grupo de usuário configurado no Cisco Secure ACS. O procedimento que você se usa depende sobre se você tem grupos do dispositivo da rede configurada (NDGs).

    Veja para atribuir papéis aos grupos de usuário no Cisco Secure ACS para mais informação.

Procedimentos da integração executados no Cisco Secure ACS

Esta seção descreve as etapas que você deve terminar no Cisco Secure ACS a fim o integrar com Cisco Security Manager:

  1. Defina usuários e grupos de usuário no Cisco Secure ACS

  2. Adicionar dispositivos gerenciado como clientes de AAA no Cisco Secure ACS

  3. Crie um usuário do controle de administração no Cisco Secure ACS

Defina usuários e grupos de usuário no Cisco Secure ACS

Todos os usuários do Cisco Security Manager devem ser definidos no Cisco Secure ACS e atribuíram um papel apropriado a sua função do trabalho. A maneira a mais fácil de fazer isto é dividir os usuários nos grupos diferentes baseados em cada papel do padrão disponível no ACS. Por exemplo, atribua todos os administradores de sistema a um grupo, todos os operadores de rede a um outro grupo, e assim por diante. Refira papéis do padrão do Cisco Secure ACS para obter mais informações sobre dos papéis do padrão no ACS.

Além, você deve criar um usuário adicional que seja atribuído o papel do administrador de sistema com permissões completas. As credenciais estabelecidas para este usuário são usadas mais tarde na página de instalação da identidade do sistema nos CiscoWorks. Veja para definir o usuário da identidade do sistema para mais informação.

Note que nesta fase você atribui meramente usuários aos grupos diferentes. A atribuição real dos papéis a estes grupos é executada mais tarde, após CiscoWorks, Cisco Security Manager, e todos os outros aplicativos são registrados ao Cisco Secure ACS.

Dica: Antes que você continue, instale o CiscoWorks Common Services e o Cisco Security Manager em um Windows 2000/2003 de server. Instale o Cisco Secure ACS em Windows diferente 2000/2003 de server.

  1. Entre ao Cisco Secure ACS.

  2. Configurar um usuário com permissões completas:

    1. Clique a instalação de usuário na barra de navegação.

    2. Na página da instalação de usuário, dê entrada com um nome para o novo usuário, a seguir clique-o adicionam/editam.

    3. Selecione um método de autenticação da lista da autenticação de senha sob a instalação de usuário.

    4. Incorpore e confirme a senha para o novo usuário.

    5. Selecione o grupo1 porque o grupo a que o usuário é atribuído.

    6. O clique submete-se a fim criar a conta de usuário.

  3. Repita etapa 2 para cada usuário do Cisco Security Manager. Cisco recomenda que você divide os usuários nos grupos baseados no papel que cada usuário é atribuído:

    • Grupo1 — Administradores de sistema

    • Grupo2 — Administradores de segurança

    • Group3 — Segurança Approvers

    • Grupo 4 — Administradores de rede

    • Grupo 5 — Approvers

    • Grupo 6 — Operadores de rede

    • Grupo 7 — Help desk

    Veja a tabela para obter mais informações sobre das permissões padrão associadas com cada papel. Refira a personalização de papéis do Cisco Secure ACS para obter mais informações sobre de personalizar papéis de usuário.

    Permissões Papéis
    System Admin Segurança Admin(ACS) Segurança Approver(ACS) Rede Admin(CW) Rede Admin(ACS) Approver Operador de rede Help desk
    Permissões da vista
    Dispositivo da vista Sim Sim Sim Sim Sim Sim Sim Sim
    Política da vista Sim Sim Sim Sim Sim Sim Sim Sim
    Objetos de vista Sim Sim Sim Sim Sim Sim Sim Sim
    Topologia da vista Sim Sim Sim Sim Sim Sim Sim Sim
    Vista CLI Sim Sim Sim Sim Sim Sim Sim Não
    Vista Admin Sim Sim Sim Sim Sim Sim Sim Não
    Arquivo de configuração da vista Sim Sim Sim Sim Sim Sim Sim Sim
    Gerenciadores de dispositivo da vista Sim Sim Sim Sim Sim Sim Sim Não
    Altere permissões
    Altere o dispositivo Sim Sim Não Sim Não Não Não Não
    Altere a hierarquia Sim Sim Não Sim Não Não Não Não
    Altere a política Sim Sim Não Sim Não Não Não Não
    Altere a imagem Sim Sim Não Sim Não Não Não Não
    Altere objetos Sim Sim Não Sim Não Não Não Não
    Altere a topologia Sim Sim Não Sim Não Não Não Não
    Altere o Admin Sim Não Não Não Não Não Não Não
    Altere o arquivo de configuração Sim Sim Não Sim Sim Não Sim Não
    Permissões adicionais
    Atribua a política Sim Sim Não Sim Não Não Não Não
    Aprove a política Sim Não Sim Não Não Não Não Não
    Aprove o CLI Sim Não Não Não Não Sim Não Não
    Discover(Import) Sim Sim Não Sim Não Não Não Não
    Distribua Sim Não Não Sim Sim Não Não Não
    Controle Sim Não Não Sim Sim Não Sim Não
    Submeta Sim Sim Não Sim Não Não Não Não

    Nota: Nesta fase, os grupos eles mesmos são coleções de usuários sem nenhumas definições do papel. Você atribui papéis a cada grupo depois que você termina o processo de integração. Veja para atribuir papéis aos grupos de usuário no Cisco Secure ACS para mais informação.

  4. Crie um usuário adicional e atribua este usuário ao grupo dos administradores de sistema. As credenciais estabelecidas para este usuário são usadas mais tarde na página de instalação da identidade do sistema nos CiscoWorks. Veja para definir o usuário da identidade do sistema para mais informação.

  5. Continue com adicionam dispositivos gerenciado como clientes de AAA no Cisco Secure ACS.

Adicionar dispositivos gerenciado como clientes de AAA no Cisco Secure ACS

Antes que você possa começar a importar dispositivos no Cisco Security Manager, você deve primeiramente configurar cada dispositivo como um cliente de AAA em seu Cisco Secure ACS. Além, você deve configurar o server dos CiscoWorks/gerenciador de segurança como um cliente de AAA.

Se o Cisco Security Manager controla os contextos de segurança configurados em dispositivos de firewall, que inclui contextos de segurança configurou em FWSM para dispositivos do catalizador 6500/7600, cada contexto deve ser adicionado individualmente ao Cisco Secure ACS.

O método que você se usa a fim adicionar dispositivos gerenciado depende sobre se você quer restringir usuários para controlar um conjunto de dispositivo particular com grupos de dispositivo de rede (NDGs). Veja uma destas seções:

Adicionar dispositivos como clientes de AAA sem NDGs

Este procedimento descreve como adicionar dispositivos como clientes de AAA de um Cisco Secure ACS. Refira a seção de configuração do cliente de AAA da configuração de rede para obter informações completas sobre de todas as opções disponíveis.

Nota: Recorde adicionar o server dos CiscoWorks/gerenciador de segurança como um cliente de AAA.

  1. Clique a configuração de rede na barra de navegação do Cisco Secure ACS.

  2. O clique adiciona a entrada abaixo da tabela dos clientes de AAA.

  3. Entre no nome de host do cliente AAA (até 32 caráteres) na página do cliente de AAA adicionar. O hostname do cliente de AAA deve combinar o nome que do indicador você planeia se usar para o dispositivo no Cisco Security Manager.

    Por exemplo, se você pretende adicionar um Domain Name ao nome de dispositivo no Cisco Security Manager, o nome de host do cliente AAA no ACS deve ser <device_name>.<domain_name>.

    Quando você nomeia o servidor ciscoworks, recomenda-se usar o hostname totalmente qualificado. Seja certo soletrar corretamente o hostname. O hostname não é diferenciando maiúsculas e minúsculas.

    Quando você nomeia um contexto de segurança, adicione o nome de contexto (_<context_name>) ao nome de dispositivo. Para FWSM, esta é a convenção de nomeação:

    • Lâmina FWSM — <chassis_name>_FW_<slot_number>

    • Contexto de segurança — <chassis_name>_FW_<slot_number>_<context_name>

  4. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do dispositivo de rede ao campo do endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente de AAA.

  5. Incorpore o segredo compartilhado ao campo chave.

  6. Selecione TACACS+ (Cisco IOS) da autenticação usando a lista.

  7. O clique submete-se a fim salvar suas mudanças. O dispositivo que você adicionou aparece na tabela dos clientes de AAA.

  8. Repita etapas 1 com 7 a fim adicionar dispositivos adicionais.

  9. Depois que você adiciona todos os dispositivos, clique Submit + Restart.

  10. Continue com criam um usuário do controle de administração no Cisco Secure ACS.

Configurar grupos de dispositivo de rede para o uso no gerenciador de segurança

O Cisco Secure ACS permite-o de configurar os grupos de dispositivo de rede (NDGs) que contêm os dispositivos específicos a ser controlados. Por exemplo, você pode criar NDGs para cada região geográfica ou NDGs que combinam sua estrutura de organização. Quando usado com Cisco Security Manager, NDGs permite-o de fornecer usuários os níveis diferentes das permissões, com base nos dispositivos que precisam de controlar. Por exemplo, com NDGs você pode atribuir permissões do administrador de sistema do usuário A aos dispositivos situados em permissões de Europa e de help desk aos dispositivos situados em Ásia. Você pode então atribuir as permissões opostas ao usuário B.

NDGs não é atribuído diretamente aos usuários. Um pouco, NDGs é atribuído aos papéis que você define para cada grupo de usuário. Cada NDG pode ser atribuído a um único papel somente, mas cada papel pode incluir NDGs múltiplo. Estas definições salvar como parte da configuração para o grupo de usuário selecionado.

Estes assuntos esboçam as etapas básicas exigidas a fim configurar NDGs:

Ative a característica NDG

Você deve ativar a característica NDG antes que você possa criar NDGs e os povoar com dispositivos.

  1. Configuração da interface do clique na barra de navegação do Cisco Secure ACS.

  2. Clique em Opções Avançadas.

  3. Enrole para baixo, a seguir verifique a caixa de verificação dos grupos de dispositivo de rede.

  4. Clique em Submit.

  5. Continue com criam NDGs.

Crie NDGs

Este procedimento descreve como criar NDGs e povoá-los com dispositivos. Cada dispositivo pode pertencer a somente um NDG.

Nota: Cisco recomenda que você cria um NDG especial que contenha o server dos CiscoWorks/gerenciador de segurança.

  1. Configuração de rede do clique na barra de navegação.

    Todos os dispositivos são colocados inicialmente sob não atribuído, que guarda todos os dispositivos que não foram colocados em um NDG. Mantenha na mente que não atribuído não é um NDG.

  2. Crie NDGs:

    1. O clique adiciona a entrada.

    2. Dê entrada com um nome para o NDG na página nova do grupo de dispositivo de rede. O comprimento máximo é 24 caráteres. Os espaços são permitidos.

    3. Opcional quando com versão 4.0 ou mais recente: Incorpore uma chave a ser usada por todos os dispositivos ao NDG. Se você define uma chave para o NDG, cancela todas as chaves definidas para os dispositivos individuais no NDG.

    4. O clique submete-se a fim salvar o NDG.

    5. Repita as etapas à d a fim criar mais NDGs.

  3. Povoe o NDGs com dispositivos:

    1. Clique o nome do NDG na área dos grupos de dispositivo de rede.

    2. O clique adiciona a entrada na área dos clientes de AAA.

    3. Defina os detalhes do dispositivo para adicionar ao NDG, a seguir clique-os submetem-se. Veja para adicionar dispositivos como clientes de AAA sem o NDGs para mais informação.

    4. Repita as etapas b e c a fim adicionar o restante dos dispositivos a NDGs. O único dispositivo que você pode deixar na categoria não atribuída é o servidor AAA do padrão.

    5. Depois que você configura o último dispositivo, clique Submit + Restart.

  4. Continue com criam um usuário do controle de administração no Cisco Secure ACS.

Crie um usuário do controle de administração no Cisco Secure ACS

Use a página do controle de administração no Cisco Secure ACS a fim definir a conta de administrador que é usada ao definir o modo de inicialização AAA no CiscoWorks Common Services. Veja para configurar o modo de inicialização AAA nos CiscoWorks para mais informação.

  1. Clique o controle de administração na barra de navegação do Cisco Secure ACS.

  2. O clique adiciona o administrador.

  3. Na página do administrador adicionar, incorpore um nome e uma senha para o administrador.

  4. Clique Grant todo na área dos privilégios do administrado a fim fornecer permissões administrativas completas a este administrador.

  5. O clique submete-se a fim criar o administrador.

Nota: Refira administradores e a política administrativa para obter mais informações sobre das opções disponíveis quando você configura um administrador.

Procedimentos da integração executados nos CiscoWorks

Esta seção descreve as etapas para terminar no CiscoWorks Common Services a fim integrá-lo com Cisco Security Manager:

Termine estas etapas depois que você termina os procedimentos da integração executados no Cisco Secure ACS. Os serviços comuns executam o registro real de todos os aplicativos instalados, tais como o Cisco Security Manager, o Auto Update Server, e o gerente IPS no Cisco Secure ACS.

Crie um usuário local nos CiscoWorks

Use a página de instalação do usuário local no CiscoWorks Common Services a fim criar uma conta de usuário local que duplique o administrador que você criou previamente no Cisco Secure ACS. Esta conta de usuário local é usada mais tarde para a instalação da identidade do sistema. Veja para mais informação.

Nota: Antes que você continue, crie um administrador no Cisco Secure ACS. Veja para definir usuários e grupos de usuário no Cisco Secure ACS para instruções.

  1. Log em CiscoWorks com a conta de usuário admin do padrão.

  2. Escolha o > segurança do server dos serviços comuns, a seguir escolha o usuário local Setup do TOC.

  3. Clique em Add.

  4. Incorpore o mesmos nome e senha que você incorporou quando você criou o administrador no Cisco Secure ACS. Veja etapa 4 dentro definir usuários e grupos de usuário no Cisco Secure ACS.

  5. Verifique todas as caixas de seleção sob papéis exceto dados da exportação.

  6. Clique a APROVAÇÃO para criar o usuário.

Defina o usuário da identidade do sistema

Use a página de instalação da identidade do sistema no CiscoWorks Common Services a fim criar um usuário da confiança, conhecido como o usuário da identidade do sistema, que permite uma comunicação entre os server que são parte do mesmos domínio e processos de aplicativo que são ficados situados no mesmo server. Os aplicativos usam o usuário da identidade do sistema a fim autenticar processos em servidores ciscoworks locais ou remotos. Isto é especialmente útil quando os aplicativos devem sincronizar antes que todos os usuários entrem.

Além, o usuário da identidade do sistema é usado frequentemente a fim executar um subtask quando a tarefa preliminar é autorizada já para o usuário conectado. Por exemplo, a fim editar um dispositivo no Cisco Security Manager, uma comunicação do interapplication é exigida entre o Cisco Security Manager e o RCI dos serviços da terra comum. Depois que o usuário é autorizado executar a tarefa da edição, o usuário da identidade do sistema está usado a fim invocar o RCI.

O usuário que da identidade do sistema você configura aqui deve ser idêntico ao usuário com permissões (completas) administrativas que você configurou no ACS. A falha fazer assim pode conduzir a uma incapacidade ver todos os dispositivos e políticas configurados no Cisco Security Manager.

Nota: Antes que você continue, crie um usuário local com o mesmos nome e senha que este administrador no CiscoWorks Common Services. Veja para criar um usuário local nos CiscoWorks para instruções.

  1. Escolha o > segurança do server, a seguir escolha o Gerenciamento de confiança do Multi-server > a identidade do sistema Setup do TOC.

  2. Dê entrada com o nome do administrador que você criou para o Cisco Secure ACS. Veja etapa 4 dentro definir usuários e grupos de usuário no Cisco Secure ACS.

  3. Incorpore e verifique a senha para este usuário.

  4. Clique em Apply.

Configurar o modo de inicialização AAA nos CiscoWorks

Use a página do modo de inicialização AAA no CiscoWorks Common Services a fim definir seu Cisco Secure ACS como o servidor AAA, que inclui a porta exigida e compartilhou da chave secreta. Além, você pode definir até dois servidores de backup.

Estas etapas executam o registro real dos CiscoWorks, Cisco Security Manager, gerente IPS (e opcionalmente, Auto Update Server) no Cisco Secure ACS.

  1. Escolha o > segurança do server, a seguir escolha o modo AAA Setup do TOC.

  2. Verifique a caixa de verificação TACACS+ sob os módulos disponíveis do início de uma sessão.

  3. Selecione o ACS como o tipo AAA.

  4. Incorpore os endereços IP de Um ou Mais Servidores Cisco ICM NT de até três server do Cisco Secure ACS à área dos detalhes do server. Os server secundários e terciários atuam como backup caso que o servidor primário falha.

    Nota: Se todos os server configurados TACACS+ não respondem, você deve entrar com a conta local dos CiscoWorks admin, a seguir muda o modo AAA de volta ao NON-ACS/CiscoWorks locais. Depois que os server TACACS+ são restaurados para prestar serviços de manutenção, você deve mudar o modo AAA de volta ao ACS.

  5. Na área do início de uma sessão, dê entrada com o nome do administrador que você definiu na página do controle de administração do Cisco Secure ACS. Veja para criar um usuário do controle de administração no Cisco Secure ACS para mais informação.

  6. Incorpore e verifique a senha para este administrador.

  7. Incorpore e verifique a chave secreta compartilhada que você incorporou quando você adicionou o server do gerenciador de segurança como um cliente de AAA do Cisco Secure ACS. Veja a etapa 5 dentro adicionar dispositivos como clientes de AAA sem NDGs.

  8. Verifique o registro todos os aplicativos instalados com a caixa de verificação ACS a fim registrar o Cisco Security Manager e todos os outros aplicativos instalados com Cisco Secure ACS.

  9. O clique aplica-se a fim salvar seus ajustes. Uma barra do progresso indica o progresso do registro. Uma mensagem aparece quando o registro está completo.

  10. Se você integra o Cisco Security Manager com qualquer versão de ACS, reinicie o serviço do daemon manager do Cisco Security Manager. Veja o reinício o daemon manager para instruções.

    Nota: Após CS 3.0.0, Cisco já não testa com ACS 3.3(x) porque é remendado pesadamente e seu fim da vida útil (EOL) foi anunciado. Consequentemente, você precisa de usar a versão de ACS apropriada para a versão de CSM 3.0.1 e mais atrasado. Veja a tabela da matriz de compatibilidade para mais informação.

  11. Log de novo no Cisco Secure ACS a fim atribuir papéis a cada grupo de usuário. Veja para atribuir papéis aos grupos de usuário no Cisco Secure ACS para instruções.

    Nota: A instalação AAA configurada aqui não é retida se você desinstala o CiscoWorks Common Services ou o Cisco Security Manager. Além, esta configuração não pode ser suportada e restaurado após a reinstalação. Consequentemente, se você promove a uma nova versão de um ou outro aplicativo, você deve reconfigurar o modo de inicialização AAA e registrar novamente o Cisco Security Manager com ACS. Este processo não é exigido para atualizações de acréscimo. Se você instala aplicativos adicionais, tais como AU, sobre CiscoWorks, você deve registrar novamente os aplicativos novos e o Cisco Security Manager.

Reinicie o daemon manager

Este procedimento descreve como reiniciar o daemon manager do server do Cisco Security Manager. Você deve fazer este para que os ajustes que AAA você configurou para tomar o efeito. Você pode então registrar de novo em CiscoWorks com as credenciais definidas no Cisco Secure ACS.

  1. Log na máquina em que o server do Cisco Security Manager é instalado.

  2. Escolha o iniciar > programas > ferramentas administrativas > serviços a fim abrir o indicador dos serviços.

  3. Da lista de serviços indicados no painel correto, selecione o daemon manager do Cisco Security Manager.

  4. Clique o botão do serviço do reinício na barra de ferramentas.

  5. Continue com atribuem papéis aos grupos de usuário no Cisco Secure ACS.

Atribua papéis aos grupos de usuário no Cisco Secure ACS

Depois que você registra CiscoWorks, Cisco Security Manager e outros aplicativos instalados ao Cisco Secure ACS, você pode atribuir papéis a cada um dos grupos de usuário que você configurou previamente no Cisco Secure ACS. Estes papéis determinam as ações que os usuários em cada grupo são permitidos para executar no Cisco Security Manager.

O procedimento que você se usa a fim atribuir papéis aos grupos de usuário depende sobre se NDGs está usado:

Atribua papéis aos grupos de usuário sem NDGs

Este procedimento descreve como atribuir os papéis do padrão aos grupos de usuário quando NDGs não é definido. Refira papéis do padrão do Cisco Secure ACS para mais informação.

Nota: Antes que você continuar:

Conclua estes passos:

  1. Entre ao Cisco Secure ACS.

  2. Clique a instalação de grupo na barra de navegação.

  3. Selecione o grupo de usuário para administradores de sistema da lista. Veja etapa 2 de usuários e de grupos de usuário Define no Cisco Secure ACS, a seguir clique-a editam ajustes.

Associe NDGs e papéis com os grupos de usuário

Quando você associa NDGs com os papéis para o uso no Cisco Security Manager, você deve criar definições em dois lugares na página da instalação de grupo:

  • Área dos CiscoWorks

  • Área do Cisco Security Manager

As definições na cada área devem combinar de tão perto quanto possível. Quando você associa os papéis personalizados ou os papéis ACS que não existem no CiscoWorks Common Services, tente definir como fecham-se um equivalente como possível baseado nas permissões atribuídas a esse papel.

Você deve criar associações para que cada grupo de usuário seja usado com Cisco Security Manager. Por exemplo, se você tem um grupo de usuário que contenha pessoais de suporte para a região ocidental, você pode selecionar esse grupo de usuário, a seguir associa o NDG que contém os dispositivos nessa região com o papel do help desk.

Nota: Antes que você continue, ative a característica NDG e crie NDGs. Veja para configurar grupos de dispositivo de rede para o uso no gerenciador de segurança para mais informação.

  1. Clique a instalação de grupo na barra de navegação.

  2. Selecione um grupo de usuário da lista do grupo, a seguir clique-o editam ajustes.

  3. Trace NDGs e papéis para o uso nos CiscoWorks:

    1. Na página da instalação de grupo, enrole para baixo a área dos CiscoWorks sob ajustes TACACS+.

    2. Seleto atribua CiscoWorks na pela base do grupo de dispositivo de rede.

    3. Selecione um NDG da lista do grupo do dispositivo.

    4. Selecione o papel a que este NDG deve ser associada da segunda lista.

    5. O clique adiciona a associação. A associação aparece na caixa de grupo do dispositivo.

    6. Repita as etapas c a e a fim criar associações adicionais.

      Nota: A fim remover uma associação, para selecioná-la do grupo do dispositivo, para clicar então remove a associação.

  4. Enrole para baixo a área do Cisco Security Manager e crie as associações que combinam de tão perto quanto possível as associações definidas em etapa 3.

    Nota: Quando você seleciona os papéis da Segurança Approver ou do administrador de segurança no Cisco Secure ACS, recomenda-se que você seleciona o administrador de rede como o papel equivalente o mais próximo dos CiscoWorks.

  5. O clique submete-se a fim salvar seus ajustes.

  6. Repita etapas 2 com 5 a fim definir NDGs para o restante dos grupos de usuário.

  7. Depois que você associa NDGs e papéis com cada grupo de usuário, clique Submit + Restart.

Troubleshooting

  1. Antes que você possa começar a importar dispositivos no Cisco Security Manager, você deve primeiramente configurar cada dispositivo como um cliente de AAA em seu Cisco Secure ACS. Além, você deve configurar o server dos CiscoWorks/gerenciador de segurança como um cliente de AAA.

  2. Se você recebe um log das falhas de tentativa, o autor falhou com erro no Cisco Secure ACS.

    "service=Athena cmd=OGS authorize-deviceGroup*(Not Assigned) authorize-deviceGroup*Test
    Devices authorize-deviceGroup*HQ Routers authorize-deviceGroup*HQ Switches
    authorize-deviceGroup*HQ Security Devices authorize-deviceGroup*Agent Routers authoriz"

    A fim resolver esta edição, certifique-se de que o nome do dispositivo no ACS precisa de ser um nome de domínio totalmente qualificado.


Informações Relacionadas


Document ID: 99749