Segurança : Cisco Security Manager

Autenticação CS com ACS e autorização com exemplo de configuração local RBAC

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve as etapas exigidas a fim autenticar as versões 4.3/4.4 do Cisco Security Manager (CS) com versão 5.x do Access Control Server (ACS). Nesta configuração, a autenticação de usuário está controlada pelo ACS quando a autorização estiver controlada no CS com papel local a característica baseada do controle de acesso (RBAC).

Contribuído por Aastha Chaudhary, por Harisha Gunna, e por Pula de Todd, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento básico do Authentication, Authorization, and Accounting (AAA)
  • Server CS e administração do dispositivo
  • Configuração das políticas da authentication e autorização na versão de ACS 5.x

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão de CSM 4.4
  • Versão de ACS 5.4

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Nas versões anterior do CS, os serviços da autenticação externa e da autorização eram possíveis com versão de ACS 4.x somente. O uso da versão de ACS 5.x não foi testado nem foi apoiado oficialmente. A integração da versão de ACS 4.x era frequentemente difícil de escalar porque exigiu a sincronização manual das configurações de dispositivo de rede ACS e CS. A fim superar esta sobrecarga administrativa, as capacidades locais RBAC são integradas diretamente na versão de CSM 4.3 e mais atrasado. Nas distribuições do produto onde as versões de CSM 4.3/4.4 e a versão de ACS 5.x são distribuídas, é agora possível integrar externamente a autenticação de usuário de serviço dois e manter localmente políticas granuladas da autorização no CS.

Configurar

Configurar o servidor ACS

Termine estas etapas a fim configurar o servidor ACS:

  1. Da versão de ACS 5.x GUI administrativo, navegue aos recursos de rede > aos dispositivos de rede e os clientes de AAA > criam, e adicionam o server CS como um dispositivo do acesso de rede (NAD). Embora o TACACS+ seja mais de uso geral para a autenticação do dispositivo de rede, o ACS e o CS podem ser configurados a fim usar se for necessário o RAIO.

  2. Navegue aos usuários e a identidade armazena > identidade interna armazena > usuários, e cria um usuário local novo para o acesso CS. Associe a conta de usuário com um grupo da identidade como necessário, como CSM_Admins. Alternativamente, uma loja externo da identidade, tal como o diretório ativo, pode ser usada.

  3. Navegue ao dispositivo das políticas de acesso > dos serviços > do padrão do acesso Admin > identidade, e associe a fonte da identidade a ser usada para a autenticação de usuário. Neste exemplo, a fonte da identidade dos usuários internos é escolhida porque as contas de usuário CS são definidas localmente no ACS. Uma fonte externo da identidade pode ser selecionada quando você a integra com diretório ativo.

  4. Navegue ao dispositivo das políticas de acesso > dos serviços > do padrão do acesso Admin > autorização, e configurar uma política da autorização que permita o acesso ao grupo da identidade do usuário definido previamente (CSM_Admins). Isto é exigido para o processamento de ordem de operação ACS mesmo que a política real da autorização seja definida/reforçada localmente no server CS.

Configurar o CiscoWorks Common Services CS

Termine estas etapas a fim configurar o CiscoWorks Common Services CS: 

  1. Fazer duplo clique o ícone do Cisco Security Manager no desktop de servidor CS. Alternativamente, navegue à Segurança da administração do gerenciador > do server do ferramentas > segurança com o cliente do gerente da configuração de CSM a fim cruzar o lançamento as ferramentas de segurança do server dentro dos serviços comuns CS backend.

  2. Incorpore as credenciais administrativas do usuário CS, e clique o início de uma sessão. Escolha a opção da administração de servidor da página do lançamento da suite de gerenciamento do Cisco Security.

  3. Navegue ao > segurança do server > à instalação do modo AAA, e escolha RBAC local e TACACS+ ou RAIO. Clique a mudança a fim editar as configurações de servidor do início de uma sessão.

  4. Entre no IP de servidor do início de uma sessão ou o nome de domínio totalmente qualificado (FQDN), as portas, e a chave pré-compartilhada. Sob operações normal, não mude os ajustes das opções de recuo do início de uma sessão a fim permitir o acesso da reserva ao CS caso o servidor ACS for inacessível. À revelia, a conta de usuário administrativa local CS é definida para o acesso da reserva. Se a mudança é necessária, o cuidado deve ser ordem recolhida para impedir o fechamento acidental do server CS.

  5. Navegue ao Gerenciamento do server > do servidor único > à instalação do usuário local, e o clique adiciona a fim criar as contas de usuário local que combinam as contas internas ou de usuário externo definidas no ACS. Os nomes de usuário são diferenciando maiúsculas e minúsculas e devem combinar o ACS exatamente. Estas contas local-definidas são traçadas então aos papéis locais da autorização CS RBAC. Os papéis específicos tais como o administrador de sistema podem ser escolhidos para a separação da autorização da tarefa ou o usuário pode ser fornecido completamente ou acesso restrito a um subconjunto dos dispositivos. Refira a seção dos papéis do padrão do CiscoWorks Common Services do Guia de Instalação CS 4.4 para mais detalhes sobre a autorização e os papéis da tarefa.


Configurar papéis da autorização do padrão para os usuários indeterminados (opcionais)

Termine estas etapas a fim configurar papéis da autorização do padrão para usuários indeterminados:

  1. Em algumas disposições CS, não é conveniente manter a um-para-um o mapeamento do usuário entre o CS e o ACS. Um abordagem alternativa é atribuir um grupo do padrão de papéis da autorização no CS para os usuários não atuais no banco de dados local CS.

  2. A fim configurar os papéis da autorização do padrão, fazer duplo clique o ícone do Cisco Security Manager no desktop de servidor CS e selecionar a opção da administração de servidor da página do lançamento.

  3. Navegue à instalação do Gerenciamento do server > do servidor único > do Gerenciamento do papel. À revelia, o papel do help desk é atribuído a designação do papel do padrão. A fim mudar esta designação, verificar uns ou vários papéis, e clicar o grupo como o botão Default Button.

  4. A fim permitir esta característica, para navegar à Segurança da administração do gerenciador > do server do ferramentas > segurança com o cliente de Mananger da configuração, e para verificar a caixa de verificação etiquetada permite o fazer logon para o usuário - os ids não disponíveis na base de dados de usuário local. Salvaguarda do clique a fim salvar a configuração.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

  • Reveja o TACACS+ ou a autenticação RADIUS entra o servidor ACS a fim identificar se o usuário CS pode autenticar contra a loja configurada da identidade.

  • Verifique que o usuário CS pode executar uma tarefa disponível dentro do papel da autorização da tarefa definido. Por exemplo, entre como um usuário com o papel do administrador de sistema e tente adicionar um dispositivo novo ao inventário CS.

Troubleshooting

Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

  1. Os erros tais estes indicam que você tentou executar uma tarefa que você não seja autorizado executar conforme a política local RBAC.


  2. Entre à relação da administração de servidor CS como um usuário administrativo e navegue ao Gerenciamento do server > do servidor único > à instalação do usuário local. Edite a conta de usuário na pergunta e reveja a política da autorização da tarefa definida para o usuário. Quando você usa os papéis CS-definidos, assegure-se de que você rever a seção dos papéis do padrão do CiscoWorks Common Services do Guia de Instalação CS 4.4 a fim compreender melhor as permissões para cada papel. Por exemplo, o papel do administrador de sistema fornece o acesso completo a todas as funções do cliente CSM quando o Admin super fornecer somente o acesso às operações backend dos CiscoWorks.

  3. Se desejados, os papéis novos podem ser definidos e os papéis do padrão editados a fim fornecer um controle de política mais granulado da autorização. A fim adicionar/edite, entre à relação do gerenciador do servidor CS e navegue à instalação do Gerenciamento do server > do servidor único > do Gerenciamento do papel.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116209