Segurança : Cisco Security Manager

Integração do Security Manager ao ACS

8 Abril 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (25 Setembro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Integração do Cisco Security Manager ao Cisco Secure ACS
Procedimentos de Integração Executados no Cisco Secure ACS
      Definição de Usuários e Grupos de Usuários no Cisco Secure ACS
      Adição de Dispositivos Gerenciados como Clientes AAA no Cisco Secure ACS
      Adição de Dispositivos como Clientes AAA sem NDGs
      Configuração de Grupos de Dispositivos de Rede para Utilização no Security Manager
Procedimentos de Integração Executados no CiscoWorks
      Criação de um Usuário Local no CiscoWorks
      Definição do Usuário System Identity
      Definição do Modo de Configuração AAA no CiscoWorks
      Reinicialização do Daemon Manager
Atribuição de Funções a Grupos de Usuários no Cisco Secure ACS
      Atribuição de Funções a Grupos de Usuários Sem NDGs
      Associação de NDGs e Funções a Grupos de Usuários
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como integrar o Cisco Security Manager ao Cisco Secure Access Control Server (ACS).

O Cisco Secure ACS oferece autorização de comandos para usuários que utilizam aplicativos de gerenciamento, como o Cisco Security Manager, a fim de configurar dispositivos de rede gerenciados. O suporte à autorização de comandos é oferecido pelos tipos de conjuntos de autorização de comandos, chamados funções no Cisco Security Manager, que contêm um conjunto de permissões. Essas permissões, também chamadas privilégios, determinam as ações que os usuários com funções específicas podem executar no Cisco Security Manager.

O Cisco Secure ACS usa o TACACS+ para se comunicar com os aplicativos de gerenciamento. Para que o Cisco Security Manager se comunique com o Cisco Secure ACS, você deve configurar o servidor CiscoWorks no Cisco Secure ACS como um cliente AAA que utiliza o TACACS+. Além disso, você deve fornecer ao servidor CiscoWorks o nome e a senha de administrador utilizados para fazer login no Cisco Secure ACS. Quando esses requisitos forem satisfeitos, a validade das comunicações entre o Cisco Security Manager e o Cisco Secure ACS será garantida.

Quando o Cisco Security Manager inicialmente se comunica com o Cisco Secure ACS, ele faz com que o Cisco ACS crie funções padrão que são exibidas na seção Shared Profile Components da interface HTML do Cisco Secure ACS. Ele também faz com que um serviço personalizado seja autorizado pelo TACACS+. Esse serviço personalizado é exibido na página TACACS+ (Cisco IOS®) na seção Interface Configuration da interface HTML. Você poderá, em seguida, modificar as permissões incluídas em cada função do Cisco Security Manager e aplicar essas funções a usuários e grupos de usuários.

Pré-requisitos

Requisitos

Para utilizar o Cisco Secure ACS, verifique se:

  • Você definiu funções que incluem os comandos exigidos para executar as funções necessárias no Cisco Security Manager.

  • A Restrição de Acesso à Rede (NAR) inclui o grupo de dispositivos que você deseja administrar, se você aplicar uma NAR ao perfil.

  • A ortografia e o uso de maiúsculas/minúsculas nos nomes de dispositivos gerenciados são idênticos no Cisco Secure ACS e no Cisco Security Manager.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Security Manager 3.0.1 e versões posteriores.

  • Cisco Secure ACS 3.3 e versões posteriores.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Integração do Cisco Security Manager ao Cisco Secure ACS

Esta seção descreve os passos necessários para integrar o Cisco Security Manager ao Cisco Secure ACS. Alguns passos contém vários subpassos. Esses passos e subpassos devem ser executados em ordem. Esta seção também contém referências a procedimentos específicos utilizados para executar cada passo.

Execute estes passos:

  1. Planeje seu modelo de autorização e autenticação administrativo.

    Você deve decidir sobre o modelo administrativo antes de utilizar o Cisco Security Manager. Isso inclui a definição das contas e funções administrativas que você planeja utilizar.

    Dica: Ao definir as funções e as permissões de administradores em potencial, também considere se o fluxo de trabalho deve ser ativado. Essa seleção afeta como você pode restringir o acesso.

  2. Instale o Cisco Secure ACS, o Cisco Security Manager e o CiscoWorks Common Services.

    Instale o Cisco Secure ACS 3.3 ou versões posteriores em um servidor Windows 2000/2003. Instale o CiscoWorks Common Services e o Cisco Security Manager em um servidor Windows 2000/Windows 2003 diferente.

    Consulte estes documentos para obter mais informações:

  3. Execute os procedimentos de integração no Cisco Secure ACS.

    Defina os usuários do Cisco Security Manager como usuários do ACS e os atribua a grupos de usuários com base nas suas funções planejadas, adicione todos os dispositivos gerenciados (bem como o servidor CiscoWorks/Security Manager) como clientes AAA e crie um usuário de controle de administração. Consulte Procedimentos de Integração Executados no Cisco Secure ACS para obter mais informações.

  4. Execute procedimentos de integração no CiscoWorks Common Services.

    Configure um usuário local que corresponda ao administrador definido no Cisco Secure ACS, defina o mesmo usuário para a configuração de identidade do sistema e configure o ACS como o modo de configuração AAA.

    Consulte Procedimentos de Integração Executados no CiscoWorks para obter mais informações.

  5. Atribua funções a grupos de usuários no Cisco Secure ACS.

    Atribua funções a cada grupo de usuários configurado no Cisco Secure ACS. O procedimento utilizado depende da configuração dos grupos de dispositivos de rede (NDGs).

    Consulte Atribuição de Funções a Grupos de Usuários no Cisco Secure ACS para obter mais informações.

Procedimentos de Integração Executados no Cisco Secure ACS

Esta seção descreve os passos que devem ser executados no Cisco Secure ACS para integrá-lo ao Cisco Security Manager:

  1. Definição de Usuários e Grupos de Usuários no Cisco Secure ACS

  2. Adição de Dispositivos Gerenciados como Clientes AAA no Cisco Secure ACS

  3. Criação de um Usuário de Controle de Administração no Cisco Secure ACS

Definição de Usuários e Grupos de Usuários no Cisco Secure ACS

Todos os usuários do Cisco Security Manager devem ser definidos no Cisco Secure ACS e associados a uma função adequada às funções de seus cargos. A maneira mais fácil de fazer isso é dividir os usuários em diferentes grupos com base em cada função padrão disponível no ACS. Por exemplo, atribua todos os administradores do sistema a um grupo, todos os operadores de rede a outro grupo e assim por diante. Consulte Funções Padrão do Cisco Secure ACS para obter mais informações sobre as funções padrão no ACS

Além disso, você deve criar um usuário adicional atribuído à função de administrador do sistema com todas as permissões. As credenciais estabelecidas para este usuário serão posteriormente utilizadas na página System Identity Setup no CiscoWorks. Consulte Definição do Usuário System Identity para obter mais informações.

Observe que, neste estágio, você simplesmente atribui usuários a diferentes grupos. A atribuição real de funções a esses grupos é executada posteriormente, após o CiscoWorks, o Cisco Security Manager e outros aplicativos serem registrados no Cisco Secure ACS.

Dica: Antes de prosseguir, instale o CiscoWorks Common Services e o Cisco Security Manager em um servidor Windows 2000/2003. Instale o Cisco Secure ACS em um servidor Windows 2000/2003 diferente.

  1. Faça login no Cisco Secure ACS.

  2. Configure um usuário com todas as permissões.

    1. Clique em User Setup na barra de navegação.

    2. Na página User Setup, insira um nome para o novo usuário e, em seguida, clique em Add/Edit.

    3. Selecione um método de autenticação na lista Password Authentication em User Setup.

    4. Insira e confirme a senha para o novo usuário.

    5. Selecione Group 1 como o grupo ao qual o usuário foi atribuído.

    6. Clique em Submit para criar a conta de usuário.

  3. Repita o passo 2 para cada usuário do Cisco Security Manager. A Cisco recomenda que você divida os usuários em grupos com base na função atribuída a cada usuário:

    • Grupo 1 — Administradores do sistema

    • Grupo 2 — Administradores de segurança

    • Grupo 3 — Aprovadores de segurança

    • Grupo 4 — Administradores de rede

    • Grupo 5 — Aprovadores

    • Grupo 6 — Operadores de rede

    • Grupo 7 — Help Desk

    Consulte a Tabela para obter mais informações sobre as permissões padrão associadas a cada função. Consulte Personalização das Funções do Cisco Secure ACS para obter mais informações sobre a personalização de funções de usuários.

    Permissões

    Funções

    System Admin

    Security Admin(ACS)

    Security Approver(ACS)

    Network Admin(CW)

    Network Admin(ACS)

    Approver

    Network Operator

    Help Desk

    Permissões de Exibição

    Exibir Dispositivo

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Exibir Política

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Exibir Objetos

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Exibir Topologia

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Exibir CLI

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Não

    Exibir Administração

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Não

    Exibir Arquivo de Configuração

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Exibir Gerenciadores de Dispositivos

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Sim

    Não

    Permissões de Modificação

    Modificar Dispositivo

    Sim

    Sim

    Não

    Sim

    Não

    Não

    Não

    Não

    Modificar Hierarquia

    Sim

    Sim

    Não

    Sim

    Não

    Não

    Não

    Não

    Modificar Política

    Sim

    Sim

    Não

    Sim

    Não

    Não

    Não

    Não

    Modificar Imagem

    Sim

    Sim

    Não

    Sim

    Não

    Não

    Não

    Não

    Modificar Objetos

    Sim

    Sim

    Não

    Sim

    Não

    Não

    Não

    Não

    Modificar Topologia

    Sim

    Sim

    Não

    Sim

    Não

    Não

    Não

    Não

    Modificar Administração

    Sim

    Não

    Não

    Não

    Não

    Não

    Não

    Não

    Modificar Arquivo de Configuração

    Sim

    Sim

    Não

    Sim

    Sim

    Não

    Sim

    Não

    Permissões Adicionais

    Atribuir Política

    Sim

    Sim

    Não

    Sim

    Não

    Não

    Não

    Não

    Aprovar Política

    Sim

    Não

    Sim

    Não

    Não

    Não

    Não

    Não

    Aprovar CLI

    Sim

    Não

    Não

    Não

    Não

    Sim

    Não

    Não

    Descobrir (Importar)

    Sim

    Sim

    Não

    Sim

    Não

    Não

    Não

    Não

    Implementar

    Sim

    Não

    Não

    Sim

    Sim

    Não

    Não

    Não

    Controle

    Sim

    Não

    Não

    Sim

    Sim

    Não

    Sim

    Não

    Enviar

    Sim

    Sim

    Não

    Sim

    Não

    Não

    Não

    Não

    Nota: Neste estágio, os grupos em si são coleções de usuários sem definições de funções. Você atribuirá funções a cada grupo após concluir o processo de integração. Consulte Atribuição de Funções a Grupos de Usuários no Cisco Secure ACS para obter mais informações.

  4. Crie um usuário adicional e atribua-o ao grupo de administradores do sistema. As credenciais estabelecidas para este usuário serão posteriormente utilizadas na página System Identity Setup no CiscoWorks. Consulte Definição do Usuário System Identity para obter mais informações.

  5. Continue em Adição de Dispositivos Gerenciados como Clientes AAA no Cisco Secure ACS.

Adição de Dispositivos Gerenciados como Clientes AAA no Cisco Secure ACS

Antes de começar a importar dispositivos no Cisco Security Manager, você deverá configurar cada dispositivo como um cliente AAA no seu Cisco Secure ACS. Além disso, você deverá configurar o servidor CiscoWorks/Security Manager como um cliente AAA.

Se o Cisco Security Manager gerenciar contextos de segurança configurados em dispositivos de firewall, que inclui contextos de segurança configurados em FWSMs para dispositivos Catalyst 6500/7600, cada contexto deverá ser adicionado individualmente ao Cisco Secure ACS.

O método utilizado para adicionar dispositivos gerenciados dependerá da restrição ou não do gerenciamento de um conjunto específico de dispositivos com grupos de dispositivos de rede (NDGs) por usuários. Consulte uma destas seções:

Adição de Dispositivos como Clientes AAA Sem NDGs

Este procedimento descreve como adicionar dispositivos como clientes AAA de um Cisco Secure ACS. Consulte a seção Configuração de Cliente AAA em Configuração de Rede para obter informações completas sobre todas as opções disponíveis.

Nota: Lembre-se de adicionar o servidor CiscoWorks/Security Manager como um cliente AAA.

  1. Clique em Network Configuration na barra de navegação do Cisco Secure ACS.

  2. Clique em Add Entry abaixo da tabela AAA Clients.

  3. Insira o nome de host do cliente AAA (até 32 caracteres) na página Add AAA Client. O nome de host do cliente AAA deve corresponder ao nome de exibição que você planeja usar para o dispositivo no Cisco Security Manager.

    Por exemplo, se você pretende anexar um nome de domínio ao nome de dispositivo no Cisco Security Manager, o nome de host do cliente AAA no ACS deverá ser <nome_dispositivo>.<nome_domínio>.

    Ao nomear o servidor CiscoWorks, é recomendável usar o nome de host completamente qualificado. Certifique-se de usar a ortografia correta do nome de host. O nome de host não diferencia maiúsculas de minúsculas.

    Ao nomear um contexto de segurança, anexe o nome de contexto (_<nome_contexto>) ao nome do dispositivo. Para FWSMs, esta é a convenção de nomes:

    • Blade FWSM — <nome_chassi>_FW_<número_slot>

    • Contexto de segurança — <nome_chassi>_FW_<número_slot>_<nome_contexto>

  4. Insira o endereço IP do dispositivo de rede no campo AAA Client IP Address.

  5. Insira o segredo compartilhado no campo Key.

  6. Selecione TACACS+ (Cisco IOS) na lista Authenticate Using.

  7. Clique em Submit para salvar suas alterações. O dispositivo adicionado será exibido na tabela AAA Clients.

  8. Repita os passos de 1 a 7 para adicionar outros dispositivos.

  9. Após adicionar todos os dispositivos, clique em Submit + Restart.

  10. Continue em Criação de um Usuário de Controle de Administração no Cisco Secure ACS.

Configuração de Grupos de Dispositivos de Rede para Utilização no Security Manager

O Cisco Secure ACS permite que você configure grupos de dispositivos de rede (NDGs) que contêm dispositivos específicos a serem gerenciados. Por exemplo, você pode criar NDGs para cada região geográfica ou NDGs que correspondam à sua estrutura organizacional. Quando utilizados com o Cisco Security Manager, os NDGs permitem que você forneça aos usuários diferentes níveis de permissões com base nos dispositivos que eles precisam gerenciar. Por exemplo, com os NDGs, você pode atribuir ao Usuário A permissões de administrador do sistema para dispositivos localizados na Europa e permissões de Help Desk para dispositivos localizados na Ásia. Em seguida, você pode atribuir permissões opostas ao Usuário B.

Os NDGs não são atribuídos diretamente aos usuários. Em vez disso, os NDGs são atribuídos a funções que você define para cada grupo de usuários. Cada NDG pode ser atribuído somente a uma única função, mas cada função pode incluir vários NDGs. Essas definições são salvas como parte da configuração para cada grupo de usuários selecionado.

Estes tópicos descrevem os passos básicos necessários para configurar os NDGs:

Ativação do Recurso NDG

Você deve ativar o recurso NDG antes de poder criar NDGs e preenchê-los com dispositivos.

  1. Clique em Interface Configuration na barra de navegação do Cisco Secure ACS.

  2. Clique em Advanced Options.

  3. Role para baixo e, em seguida, marque a caixa de seleção Network Device Groups.

  4. Clique em Submit.

  5. Continue em Criação de NDGs.

Criação de NDGs

Este procedimento descreve como criar NDGs e preenchê-los com dispositivos. Cada dispositivo pode pertencer somente a um NDG.

Nota: A Cisco recomenda que você crie um NDG especial que contenha o servidor CiscoWorks/Security Manager.

  1. Clique em Network Configuration na barra de navegação.

    Todos os dispositivos são inicialmente atribuídos a Not Assigned, o que contém todos os dispositivos que não estão inseridos em um NDG. Esteja ciente de que Not Assigned não é um NDG.

  2. Crie NDGs:

    1. Clique em Add Entry.

    2. Insira um nome para o NDG na página New Network Device Group. O comprimento máximo é 24 caracteres. Espaços são permitidos.

    3. Opcional na versão 4 ou posteriores: Insira uma chave a ser utilizada por todos os dispositivos no NDG. Se você definir uma chave para o NDG, ela substituirá as chaves definidas para dispositivos individuais no NDG.

    4. Clique em Submit para salvar o NDG.

    5. Repita os passos de a a d para criar mais NDGs.

  3. Preencha os NDGs com dispositivos:

    1. Clique no nome do NDG na área Network Device Groups.

    2. Clique em Add Entry na área AAA Clients.

    3. Defina as configurações específicas do dispositivo para adicionar o NDG e, em seguida, clique em Submit. Consulte Adição de Dispositivos como Clientes AAA Sem NDGs para obter mais informações.

    4. Repita os passos b e c para adicionar os dispositivos remanescentes aos NDGs. O único dispositivo que você pode manter na categoria Not Assigned é o servidor AAA padrão.

    5. Após configurar o último dispositivo, clique em Submit + Restart.

  4. Continue em Criação de um Usuário de Controle de Administração no Cisco Secure ACS.

Criação de um Usuário de Controle de Administração no Cisco Secure ACS

Utilize a página Administration Control no Cisco Secure ACS para definir a conta de administrador utilizada ao definir o modo de configuração AAA no CiscoWorks Common Services. Consulte Definição do Modo de Configuração AAA no CiscoWorks para obter mais informações.

  1. Clique em Administration Control na barra de navegação do Cisco Secure ACS.

  2. Clique em Add Administrator.

  3. Na página Add Administrator, insira um nome e uma senha para o administrador.

  4. Clique em Grant All na área Administrator Privileges para fornecer permissões administrativas completas a este administrador.

  5. Clique em Submit para criar o administrador.

Nota: Consulte Administradores e Política de Administração para obter mais informações sobre as opções disponíveis ao configurar um administrador.

Procedimentos de Integração Executados no CiscoWorks

Esta seção descreve os passos que devem ser executados no CiscoWorks Common Services para integrá-lo ao Cisco Security Manager:

Execute estes passos após concluir os procedimentos de integração executados no Cisco Secure ACS. O Common Services executa o registro real de quaisquer aplicativos instalados, como o Cisco Security Manager, o Auto-Update Server e o IPS Manager no Cisco Secure ACS.

Criação de um Usuário Local no CiscoWorks

Utilize a página Local User Setup no CiscoWorks Common Services para criar uma conta de usuário local que duplique o administrador criado anteriormente no Cisco Secure ACS. Essa conta de usuário local será posteriormente utilizada para a configuração da identidade do sistema. Consulte para obter mais informações.

Nota: Antes de prosseguir, crie um administrador no Cisco Secure ACS. Consulte Definição de Usuários e Grupos de Usuários no Cisco Secure ACS para obter instruções.

  1. Faça login no CiscoWorks com a conta de usuário admin padrão.

  2. Selecione Server > Security do Common Services e, em seguida, escolha Local User Setup no Índice.

  3. Clique em Add.

  4. Digite os mesmos nome e senha inseridos ao criar o administrador no Cisco Secure ACS. Consulte o passo 4 na Definição de Usuários e Grupos de Usuários no Cisco Secure ACS.

  5. Marque todas as caixas de seleção em Roles, exceto Export Data.

  6. Clique em OK para criar o usuário.

Definição do Usuário System Identity

Utilize a página System Identity Setup no CiscoWorks Common Services para criar um usuário de confiança, conhecido como usuário System Identity, que permite a comunicação entre os servidores que são parte do mesmo domínio e os processos de aplicativos que estão localizados no mesmo servidor. Os aplicativos utilizam o usuário System Identity para autenticar os processos em servidores CiscoWorks locais ou remotos. Isso é especialmente útil quando é necessário que os aplicativos sincronizem antes que os usuários façam login.

Além disso, o usuário System Identity é freqüentemente utilizado para executar uma subtarefa quando uma tarefa primária já está autorizada para o usuário conectado. Por exemplo, para editar um dispositivo no Cisco Security Manager, a comunicação entre aplicativos é necessária para o Cisco Security Manager e o Common Services DCR. Após o usuário ser autorizado a executar a tarefa de edição, o usuário System Identity será utilizado para chamar o DCR.

O usuário System Identity aqui configurado deve ser idêntico aos usuários com permissões administrativas (completas) configuradas no ACS. Caso contrário, talvez não seja possível exibir todos os dispositivos e políticas configurados no Cisco Security Manager.

Nota: Antes de prosseguir, crie um usuário local com os mesmos nome e senha que este administrador no CiscoWorks Common Services. Consulte Criação de um Usuário Local no CiscoWorks para obter instruções.

  1. Selecione Server > Security e, em seguida, escolha Multi-Server Trust Management > System Identity Setup no Índice.

  2. Insira o nome do administrador criado para o Cisco Secure ACS. Consulte o passo 4 na Definição de Usuários e Grupos de Usuários no Cisco Secure ACS.

  3. Insira e verifique a senha para este usuário.

  4. Clique em Apply.

Definição do Modo de Configuração AAA no CiscoWorks

Utilize a página AAA Setup Mode no CiscoWorks Common Services para definir o seu Cisco Secure ACS como o servidor AAA que inclui a porta e a chave secreta compartilhada necessárias. Além disso, você pode definir até dois servidores de backup.

Estes passos executam o registro real do CiscoWorks, Cisco Security Manager, IPS Manager (e opcionalmente, Auto-Update Server) no Cisco Secure ACS.

  1. Selecione Server > Security e, em seguida, escolha AAA Mode Setup no Índice

  2. Marque a caixa de seleção TACACS+ em Available Login Modules.

  3. Selecione ACS como o tipo AAA.

  4. Insira os endereços IP de até três servidores Cisco Secure ACS na área Server Details. Os servidores secundário e terciário agem como backups em caso de falha do servidor primário.

    Nota: Se todos os servidores TACACS+ configurados não responderem, você deverá fazer login com a conta administrativa CiscoWorks Local e, em seguida, restaurar o modo AAA para Non-ACS/CiscoWorks Local. Após o funcionamento dos servidores TACACS+ ser restaurado, você deverá reverter o modo AAA para o ACS.

  5. Na área Login, insira o nome do administrador definido na página Administration Control do Cisco Secure ACS. Consulte Criação de um Usuário de Controle de Administração no Cisco Secure ACS para obter mais informações.

  6. Digite e verifique a senha deste administrador.

  7. Digite e verifique a chave secreta compartilhada inserida ao adicionar o servidor Security Manager como um cliente AAA do Cisco Secure ACS. Consulte o passo 5 em Adição de Dispositivos como Clientes AAA sem NDGs.

  8. Marque a caixa de seleção Register all installed applications with ACS para registrar o Cisco Security Manager e outros aplicativos instalados com o Cisco Secure ACS.

  9. Clique em Apply para salvar suas configurações. Uma barra de progresso exibe o andamento do registro. Uma mensagem é exibida quando o registro é concluído.

  10. Se você integrar o Cisco Security Manager com o ACS 3.3(x), reinicie o serviço Daemon Manager do Cisco Security Manager. Consulte Reinicialização do Daemon Manager para obter instruções.

  11. Faça login novamente no Cisco Secure ACS para atribuir funções a cada grupo de usuários. Consulte Atribuição de Funções a Grupos de Usuários no Cisco Secure ACS para obter instruções.

    Nota: A definição de AAA aqui configurada não será retida se você desinstalar o CiscoWorks Common Services ou o Cisco Security Manager. Além disso, o backup e a restauração dessa configuração não poderão ser feitos após a reinstalação. Portanto, se você atualizar para uma nova versão do aplicativo, será necessário redefinir o modo de configuração AAA e registrar o Cisco Security Manager novamente com o ACS. Esse processo não é necessário para atualizações incrementais. Se instalar aplicativos adicionais, como AUS, no CiscoWorks, você deverá registrar novamente os novos aplicativos e o Cisco Security Manager.

Reinicialização do Daemon Manager

Este procedimento descreve como reiniciar o Daemon Manager do servidor Cisco Security Manager. Isso deve ser feito para que as configurações AAA definidas tenham efeito. Você poderá, em seguida, fazer login novamente no CiscoWorks com as credenciais definidas no Cisco Secure ACS.

Nota: Estes passos devem ser executados somente quando o Cisco Security Manager é integrado ao Cisco Secure ACS 3.3(x). Esse procedimento não é necessário ao utilizar o ACS 4.0(x).

  1. Faça login no equipamento no qual o servidor Cisco Security Manager está instalado.

  2. Selecione Start > Programs > Administrative Tools > Services para abrir a janela Services.

  3. Na lista de serviços exibida no painel direito, selecione Cisco Security Manager Daemon Manager.

  4. Clique no botão Restart Service na barra de ferramentas.

  5. Continue em Atribuição de Funções a Grupos de Usuários no Cisco Secure ACS.

Atribuição de Funções a Grupos de Usuários no Cisco Secure ACS

Após registrar o CiscoWorks, o Cisco Security Manager e outros aplicativos instalados para o Cisco Secure ACS, você poderá atribuir funções a cada grupo de usuários anteriormente configurados no Cisco Secure ACS. Essas funções determinam as ações que os usuários em cada grupo podem executar no Cisco Security Manager.

O procedimento utilizado para atribuir funções a grupos de usuários depende da utilização ou não de NDGs:

Atribuição de Funções a Grupos de Usuários Sem NDGs

Este procedimento descreve como atribuir funções padrão a grupos de usuários quando NDGs não estão definidos. Consulte Funções Padrão do Cisco Secure ACS para obter mais informações.

Nota: Antes de você prosseguir:

Execute estes passos:

  1. Faça login no Cisco Secure ACS.

  2. Clique em Group Setup na barra de navegação.

  3. Selecione o grupo de usuários para os administradores de sistema na lista. Consulte o passo 2 da Definição de Usuários e Grupos de Usuários no Cisco Secure ACS e, em seguida, clique em Edit Settings.

Associação de NDGs e Funções a Grupos de Usuários

Ao associar NDGs a funções para uso no Cisco Security Manager, você deverá criar definições em dois locais na página Group Setup:

  • Área CiscoWorks

  • Área Cisco Security Manager

As definições em cada área devem ser as mais parecidas possíveis. Quando você associar funções personalizadas ou funções do ACS que não existem no CiscoWorks Common Services, tente defini-las da forma mais semelhante possível com base nas permissões atribuídas a essas funções.

Você deve criar associações para cada grupo de usuários que será usado com o Cisco Security Manager. Por exemplo, se você possuir um grupo de usuários que contenha a equipe de suporte da região oeste, você poderá selecionar esse grupo de usuários e, em seguida, associar o NDG que contém os dispositivos nessa região à função Help Desk.

Nota: Antes de prosseguir, ative o recurso NDG e crie NDGs. Consulte Configuração de Grupos de Dispositivos de Rede para Utilização no Security Manager para obter mais informações.

  1. Clique em Group Setup na barra de navegação.

  2. Selecione um grupo de usuários na lista Group e, em seguida, clique em Edit Settings.

  3. Mapeie os NDGs e as funções para utilização no CiscoWorks:

    1. Na página Group Setup, role para baixo para a área CiscoWorks em TACACS+ Settings.

    2. Selecione Assign a CiscoWorks on a per Network Device Group Basis.

    3. Selecione um NDG na lista Device Group.

    4. Selecione a função à qual este NDG está associado na segunda lista.

    5. Clique em Add Association. A associação será exibida na caixa Device Group.

    6. Repita os passos de c a e para criar associações adicionais.

      Nota: Para remover uma associação, selecione-a em Device Group e clique em Remove Association.

  4. Role para baixo para a área Cisco Security Manager e crie associações da forma mais semelhante possível às associações definidas no passo 3.

    Nota: Ao selecionar as funções Security Approver ou Security Administrator no Cisco Secure ACS, é recomendável que você escolha Network Administrator da forma mais semelhante possível à função do CiscoWorks.

  5. Clique em Submit para salvar suas configurações.

  6. Repita os passos de 2 a 5 para definir os NDGs para o restante dos grupos de usuários.

  7. Após associar os NDGs e as funções a cada grupo de usuários, clique em Submit + Restart.

Troubleshooting

Antes de começar a importar dispositivos no Cisco Security Manager, você deverá configurar cada dispositivo como um cliente AAA no seu Cisco Secure ACS. Além disso, você deverá configurar o servidor CiscoWorks/Security Manager como um cliente AAA.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 99749