Sécurité : Cisco Security Manager

Intégration de Security Manager à ACS

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment intégrer le Cisco Security Manager avec le Cisco Secure Access Control Server (ACS).

Le Cisco Secure ACS fournit l'autorisation de commande pour les utilisateurs qui utilisent des applications d'administration, telles que le Cisco Security Manager, afin de configurer des périphériques de réseau administré. Le soutien de l'autorisation de commande est fourni par de seuls sets types d'autorisation de commande, appelés les rôles dans le Cisco Security Manager, qui contiennent un ensemble d'autorisations. Ces autorisations, des privilèges également appelés, déterminent les actions que les utilisateurs avec des rôles particuliers peuvent exécuter chez le Cisco Security Manager.

Le Cisco Secure ACS emploie TACACS+ afin de communiquer avec des applications d'administration. Pour que le Cisco Security Manager communique avec le Cisco Secure ACS, vous devez configurer le serveur de CiscoWorks dans le Cisco Secure ACS en tant que client d'AAA qui utilise TACACS+. En outre, vous devez fournir au serveur de CiscoWorks le nom et le mot de passe d'administrateur que vous employez afin de se connecter dans le Cisco Secure ACS. Quand vous remplissez ces conditions, il assure la validité des transmissions entre le Cisco Security Manager et le Cisco Secure ACS.

Quand le Cisco Security Manager communique au commencement avec le Cisco Secure ACS, il dicte à Cisco ACS la création des rôles par défaut, qui apparaissent dans la section partagée de composants de profil de l'interface HTML de Cisco Secure ACS. Il dicte également un service des douanes à autoriser par TACACS+. Ce service des douanes apparaît à la page TACACS+ (Cisco IOSÝ) dans la section de configuration d'interface de l'interface HTML. Vous pouvez alors modifier les autorisations incluses dans chaque rôle de Cisco Security Manager et s'appliquer ces rôles aux utilisateurs et aux groupes d'utilisateurs.

Remarque: Il n'est pas possible d'intégrer le CSM avec ACS 5.2 car il n'est pas pris en charge.

Conditions préalables

Conditions requises

Afin d'utiliser le Cisco Secure ACS, assurez-vous que :

  • Vous définissez les rôles qui incluent les commandes exigées afin de remplir des fonctions nécessaires dans le Cisco Security Manager.

  • La restriction d'accès au réseau (NAR) inclut le groupe de périphériques (ou les périphériques) ces vous veulent gérer, si vous vous appliquez un NAR au profil.

  • Des noms de périphérique géré sont orthographiés et profités identiquement dans le Cisco Secure ACS et dans le Cisco Security Manager.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 3.0 de Cisco Security Manager

  • Version 3.3 de Cisco Secure ACS

Remarque: Assurez-vous que vous choisissez les versions compatibles CSM et ACS avant que vous installiez sur votre environnement de réseau. Par exemple, Cisco a testé ACS 3.3 avec seulement CSM 3.0 et a arrêté pour des versions postérieures CSM. Ainsi, vous êtes recommandé pour utiliser CSM 3.0 avec ACS 3.3. Voyez la table de matrice de Compatabilty pour plus d'informations sur de diverses versions de logiciel.

Versions de Cisco Security Manager Versions du CS ACS testées
3.0.0 3.0.0 SP1 Windows 3.3(3) et 4.0(1)
3.0.1 3.0.1 SP1 3.0.1 SP2 Engine de solutions 4.0(1) Windows 4.0(1)
3.1.0 3.0.2 Engine de solutions 4.0(1) Windows 4.1(1) et 4.1(3)
3.1.1 3.0.2 SP1 3.0.2 SP2 Engine de solutions v4.0(1) Windows 4.1(2), 4.1(3) et 4.1(4)
3.1.1 SP1 Engine de solutions 4.0(1) Windows 4.1(4)
3.1.1 SP2 Engine de solutions 4.0(1) Windows 4.1(4) et 4.2(0)
3.2.0 Engine de solutions 4.1(4) Windows 4.1(4) et 4.2(0)
3.2.1 Engine de solutions 4.1(4) Windows 4.2(0)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Intégrez le Cisco Security Manager avec le Cisco Secure ACS

Cette section décrit l'étape nécessaire pour intégrer le Cisco Security Manager avec le Cisco Secure ACS. Quelques étapes contiennent plusieurs substeps. Ces étapes et substeps doivent être exécutés dans la commande. Cette section contient également des références aux procédures spécifiques utilisées afin d'exécuter chaque étape.

Procédez comme suit :

  1. Prévoyez votre modèle administratif d'authentification et d'autorisation.

    Vous devez décider de votre modèle administratif avant que vous utilisiez le Cisco Security Manager. Ceci inclut la définition des rôles administratifs et les comptes que vous prévoyez d'utiliser.

    Conseil : Quand vous définissez les rôles et les autorisations des administrateurs potentiels, considérez également si activer le processus. Affects de cette sélection comment vous pouvez limiter l'accès.

  2. Installez le Cisco Secure ACS, le Cisco Security Manager, et les services de terrain communal de CiscoWorks.

    Installez la version 3.3 de Cisco Secure ACS sur Windows 2000/2003 serveur. Installez les services et le Cisco Security Manager communs de CiscoWorks sur un serveur différent de Windows 2000/Windows 2003.

    Référez-vous à ces documents pour plus d'informations :

  3. Exécutez les procédures d'intégration dans le Cisco Secure ACS.

    Définissez les utilisateurs de Cisco Security Manager comme utilisateurs ACS et affectez-les aux groupes d'utilisateurs basés sur leur rôle prévu, ajoutez tous vos périphériques gérés (aussi bien que le serveur de CiscoWorks/directeur de la sécurité) comme clients d'AAA, et créez un utilisateur de contrôle de gestion. Voir les procédures d'intégration exécutées dans le pour en savoir plus de Cisco Secure ACS.

  4. Exécutez les procédures d'intégration dans des services de terrain communal de CiscoWorks.

    Configurez un utilisateur local qui apparie l'administrateur défini dans le Cisco Secure ACS, définissent que le même utilisateur pour l'installation d'identité de système, et configurent ACS comme mode d'installation d'AAA.

    Voir les procédures d'intégration exécutées dans le pour en savoir plus de CiscoWorks.

  5. Assignez les rôles aux groupes d'utilisateurs dans le Cisco Secure ACS.

    Assignez les rôles à chaque groupe d'utilisateurs configuré dans le Cisco Secure ACS. La procédure que vous utilisez dépend de si vous avez configuré des groupes de périphériques réseau (NDGs).

    Voyez pour assigner des rôles aux groupes d'utilisateurs dans le pour en savoir plus de Cisco Secure ACS.

Procédures d'intégration exécutées dans le Cisco Secure ACS

Cette section décrit les étapes que vous devez se terminer dans le Cisco Secure ACS afin de l'intégrer avec le Cisco Security Manager :

  1. Définissez les utilisateurs et les groupes d'utilisateurs dans le Cisco Secure ACS

  2. Ajoutez les périphériques gérés comme clients d'AAA dans le Cisco Secure ACS

  3. Créez un utilisateur de contrôle de gestion dans le Cisco Secure ACS

Définissez les utilisateurs et les groupes d'utilisateurs dans le Cisco Secure ACS

Tous les utilisateurs de Cisco Security Manager doivent être définis dans le Cisco Secure ACS et ont assigné un rôle approprié à leur fonction. Le moyen le plus simple de faire ceci est de diviser les utilisateurs en différents groupes basés sur chaque rôle par défaut disponible dans ACS. Par exemple, affectez tous les administrateurs système à un groupe, tous les opérateurs réseau à un autre groupe, et ainsi de suite. Référez-vous aux rôles par défaut de Cisco Secure ACS pour plus d'informations sur les rôles par défaut dans ACS.

En outre, vous devez créer un utilisateur supplémentaire qui est assigné le rôle d'administrateur système avec de pleines autorisations. Les qualifications établies pour cet utilisateur plus tard sont utilisées à la page d'installation d'identité de système dans les CiscoWorks. Voyez pour définir le pour en savoir plus d'utilisateur d'identité de système.

Notez qu'à ce stade vous affectez simplement des utilisateurs à différents groupes. L'attribution réelle des rôles à ces groupes est exécutée plus tard, après des CiscoWorks, Cisco Security Manager, et toutes les autres applications sont enregistrées au Cisco Secure ACS.

Conseil : Avant que vous poursuiviez, installez les services et le Cisco Security Manager communs de CiscoWorks sur un Windows 2000/2003 serveur. Installez le Cisco Secure ACS sur différent Windows 2000/2003 serveur.

  1. Procédure de connexion au Cisco Secure ACS.

  2. Configurez un utilisateur avec de pleines autorisations :

    1. Cliquez sur User Setup sur la barre de navigation.

    2. À la page d'installation utilisateur, écrivez un nom pour le nouvel utilisateur, puis cliquez sur Add/l'éditez.

    3. Sélectionnez une méthode d'authentification de la liste d'authentification de mot de passe sous l'installation utilisateur.

    4. Entrez et confirmez le mot de passe pour le nouvel utilisateur.

    5. Groupe choisi 1 comme le groupe auquel l'utilisateur est assigné.

    6. Cliquez sur Submit afin de créer le compte utilisateur.

  3. Répétez l'étape 2 pour chaque utilisateur de Cisco Security Manager. Cisco recommande que vous divisiez les utilisateurs en groupes basés sur le rôle que chaque utilisateur est assigné :

    • Groupe 1 — Administrateurs système

    • Groupe 2 — Administrateurs de Sécurité

    • Groupe 3 — Approbateurs de Sécurité

    • Groupe 4 — Administrateurs réseau

    • Groupe 5 — Approbateurs

    • Groupe 6 — Opérateurs réseau

    • Groupe 7 — Centre d'assistance

    Voyez le Tableau pour plus d'informations sur les autorisations par défaut associées avec chaque rôle. Référez-vous à personnaliser des rôles de Cisco Secure ACS pour plus d'informations sur personnaliser des rôles de l'utilisateur.

    Autorisations Rôles
    Admin de système Sécurité Admin(ACS) Sécurité Approver(ACS) Réseau Admin(CW) Réseau Admin(ACS) Approbateur Opérateur réseau Centre d'assistance
    Autorisations de vue
    Périphérique de vue Oui Oui Oui Oui Oui Oui Oui Oui
    Stratégie de vue Oui Oui Oui Oui Oui Oui Oui Oui
    Vues standard Oui Oui Oui Oui Oui Oui Oui Oui
    Topologie de vue Oui Oui Oui Oui Oui Oui Oui Oui
    Vue CLI Oui Oui Oui Oui Oui Oui Oui Non
    Admin de vue Oui Oui Oui Oui Oui Oui Oui Non
    Config Archive de vue Oui Oui Oui Oui Oui Oui Oui Oui
    Gestionnaires de périphériques de vue Oui Oui Oui Oui Oui Oui Oui Non
    Modifiez les autorisations
    Modifiez le périphérique Oui Oui Non Oui Non Non Non Non
    Modifiez la hiérarchie Oui Oui Non Oui Non Non Non Non
    Modifiez la stratégie Oui Oui Non Oui Non Non Non Non
    Modifiez l'image Oui Oui Non Oui Non Non Non Non
    Modifiez les objets Oui Oui Non Oui Non Non Non Non
    Modifiez la topologie Oui Oui Non Oui Non Non Non Non
    Modifiez l'admin Oui Non Non Non Non Non Non Non
    Modifiez le Config Archive Oui Oui Non Oui Oui Non Oui Non
    Autorisations supplémentaires
    Assignez la stratégie Oui Oui Non Oui Non Non Non Non
    Approuvez la stratégie Oui Non Oui Non Non Non Non Non
    Approuvez le CLI Oui Non Non Non Non Oui Non Non
    Discover(Import) Oui Oui Non Oui Non Non Non Non
    Déployez-vous Oui Non Non Oui Oui Non Non Non
    Contrôle Oui Non Non Oui Oui Non Oui Non
    Soumettez Oui Oui Non Oui Non Non Non Non

    Remarque: À ce stade, les groupes eux-mêmes sont des collections d'utilisateurs sans aucune définition de rôle. Vous assignez des rôles à chaque groupe après que vous complétiez le processus d'intégration. Voyez pour assigner des rôles aux groupes d'utilisateurs dans le pour en savoir plus de Cisco Secure ACS.

  4. Créez un utilisateur supplémentaire et affectez cet utilisateur au groupe d'administrateurs système. Les qualifications établies pour cet utilisateur plus tard sont utilisées à la page d'installation d'identité de système dans les CiscoWorks. Voyez pour définir le pour en savoir plus d'utilisateur d'identité de système.

  5. Continuez avec ajoutent des périphériques gérés comme clients d'AAA dans le Cisco Secure ACS.

Ajoutez les périphériques gérés comme clients d'AAA dans le Cisco Secure ACS

Avant que vous puissiez commencer à importer des périphériques dans le Cisco Security Manager, vous devez d'abord configurer chaque périphérique en tant que client d'AAA dans votre Cisco Secure ACS. En outre, vous devez configurer le serveur de CiscoWorks/directeur de la sécurité en tant que client d'AAA.

Si le Cisco Security Manager gère des contextes de sécurité configurés sur des périphériques de Pare-feu, qui inclut des contextes de sécurité a configuré sur FWSMs pour des périphériques du Catalyst 6500/7600, chaque contexte doit être ajouté individuellement au Cisco Secure ACS.

La méthode que vous utilisez afin d'ajouter des périphériques gérés dépend de si vous voulez limiter des utilisateurs pour gérer un ensemble particulier de périphériques avec des groupes de périphériques réseau (NDGs). Voyez une de ces sections :

Ajoutez les périphériques comme clients d'AAA sans NDGs

Cette procédure décrit comment ajouter des périphériques comme clients d'AAA d'un Cisco Secure ACS. Référez-vous à la section de configuration de client d'AAA de la configuration réseau pour des informations complètes sur toutes les options disponibles.

Remarque: Souvenez-vous pour ajouter le serveur de CiscoWorks/directeur de la sécurité en tant que client d'AAA.

  1. Cliquez sur Network Configuration sur la barre de navigation de Cisco Secure ACS.

  2. Cliquez sur Add l'entrée sous la table de clients d'AAA.

  3. Entrez dans l'adresse Internet de client d'AAA (jusqu'à 32 caractères) à la page de client d'AAA d'ajouter. L'adresse Internet du client d'AAA doit apparier le nom d'affichage que vous prévoyez de utiliser pour le périphérique dans le Cisco Security Manager.

    Par exemple, si vous avez l'intention d'ajouter un nom de domaine au nom du périphérique dans le Cisco Security Manager, l'adresse Internet de client d'AAA dans ACS doit être <device_name>.<domain_name>.

    Quand vous nommez le serveur de CiscoWorks, il est recommandé pour utiliser l'adresse Internet plein-qualifiée. Soyez sûr d'orthographier l'adresse Internet correctement. L'adresse Internet ne distingue pas les majuscules et minuscules.

    Quand vous nommez un contexte de sécurité, ajoutez le nom de contexte (_<context_name>) au nom du périphérique. Pour FWSMs, c'est la convention nommante :

    • Lame FWSM — <chassis_name>_FW_<slot_number>

    • Contexte de sécurité — <chassis_name>_FW_<slot_number>_<context_name>

  4. Écrivez l'adresse IP du périphérique de réseau dans le champ IP Address de client d'AAA.

  5. Écrivez le secret partagé dans la zone de tri.

  6. TACACS+ choisi (Cisco IOS) de l'authentifier utilisant la liste.

  7. Cliquez sur Submit afin de sauvegarder vos modifications. Le périphérique que vous avez ajouté apparaît dans la table de clients d'AAA.

  8. Répétez les étapes 1 à 7 afin d'ajouter des périphériques supplémentaires.

  9. Après que vous ajoutiez tous les périphériques, cliquez sur Submit + reprise.

  10. Continuez avec créent un utilisateur de contrôle de gestion dans le Cisco Secure ACS.

Groupes de périphériques de configure network pour l'usage dans le directeur de la sécurité

Le Cisco Secure ACS vous active aux groupes de périphériques de configure network (NDGs) qui contiennent des appareils spécifiques à gérer. Par exemple, vous pouvez créer NDGs pour chaque zone géographique ou NDGs qui apparient votre structure organisationnelle. Une fois utilisés avec le Cisco Security Manager, enable de NDGs vous pour fournir à des utilisateurs des différents niveaux des autorisations, basés sur les périphériques ils doivent gérer. Par exemple, avec NDGs vous pouvez assigner des autorisations d'administrateur système de l'utilisateur A aux périphériques situés dans des autorisations de l'Europe et de centre d'assistance aux périphériques situés dans l'Asie. Vous pouvez alors assigner les autorisations opposées à l'utilisateur B.

NDGs ne sont pas assignés directement aux utilisateurs. En revanche, NDGs sont assignés aux rôles que vous définissez pour chaque groupe d'utilisateurs. Chaque NDG peut être assigné à un rôle simple seulement, mais chaque rôle peut inclure plusieurs NDGs. Ces définitions sont enregistrées en tant qu'élément de la configuration pour le groupe d'utilisateur sélectionné.

Ces thèmes tracent les grandes lignes de l'étape nécessaire de base afin de configurer NDGs :

Lancez la caractéristique NDG

Vous devez lancer la caractéristique NDG avant que vous puissiez créer NDGs et les remplir avec des périphériques.

  1. Configuration d'interface de clic sur la barre de navigation de Cisco Secure ACS.

  2. Options avancées de clic.

  3. Faites descendre l'écran, puis cochez la case de groupes de périphériques réseau.

  4. Cliquez sur Submit.

  5. Continuez avec créent NDGs.

Créez NDGs

Cette procédure décrit comment créer NDGs et les remplir avec des périphériques. Chaque périphérique peut appartenir à seulement un NDG.

Remarque: Cisco recommande que vous créiez une offre spéciale NDG qui contient le serveur de CiscoWorks/directeur de la sécurité.

  1. Cliquez sur Network Configuration sur la barre de navigation.

    Tous les périphériques sont au commencement placés sous non assigné, qui tient tous les périphériques qui n'ont pas été placés dans un NDG. Maintenez dans l'esprit que pas Assigned n'est pas un NDG.

  2. Créez NDGs :

    1. Cliquez sur Add l'entrée.

    2. Écrivez un nom pour le NDG à la nouvelle page de groupe de périphériques réseau. La longueur maximale est 24 caractères. On permet les espaces.

    3. Facultatif quand avec la version 4.0 ou ultérieures : Introduisez une clé à utiliser par tous les périphériques dans le NDG. Si vous définissez une clé pour le NDG, il ignore toutes les clés définies pour les différents périphériques dans le NDG.

    4. Cliquez sur Submit afin de sauvegarder le NDG.

    5. Répétez les étapes a à d afin de créer plus de NDGs.

  3. Remplissez NDGs avec des périphériques :

    1. Cliquez sur le nom du NDG dans la région de groupes de périphériques réseau.

    2. Cliquez sur Add l'entrée dans la région de clients d'AAA.

    3. Définissez les conditions particulières du périphérique pour ajouter au NDG, puis cliquez sur Submit. Voyez pour ajouter des périphériques comme clients d'AAA sans pour en savoir plus de NDGs.

    4. Répétez les étapes b et c afin d'ajouter le reste des périphériques à NDGs. Le seul périphérique que vous pouvez laisser dans la catégorie non assignée est le serveur par défaut d'AAA.

    5. Après que vous configuriez le dernier périphérique, cliquez sur Submit + reprise.

  4. Continuez avec créent un utilisateur de contrôle de gestion dans le Cisco Secure ACS.

Créez un utilisateur de contrôle de gestion dans le Cisco Secure ACS

Employez la page de contrôle de gestion dans le Cisco Secure ACS afin de définir le compte administrateur qui est utilisé en définissant l'AAA installez le mode dans des services de terrain communal de CiscoWorks. Voyez pour configurer le mode d'installation d'AAA dans le pour en savoir plus de CiscoWorks.

  1. Cliquez sur le contrôle de gestion sur la barre de navigation de Cisco Secure ACS.

  2. Cliquez sur Add l'administrateur.

  3. À la page d'administrateur d'ajouter, entrez un nom et un mot de passe pour l'administrateur.

  4. Cliquez sur Grant tout dans la région de privilèges d'administrateur afin de fournir de pleines autorisations administratives à cet administrateur.

  5. Cliquez sur Submit afin de créer l'administrateur.

Remarque: Référez-vous aux administrateurs et à la stratégie administrative pour plus d'informations sur les options disponibles quand vous configurez un administrateur.

Procédures d'intégration exécutées dans les CiscoWorks

Cette section décrit les étapes pour se terminer dans des services communs de CiscoWorks afin de les intégrer avec le Cisco Security Manager :

Terminez-vous ces étapes après que vous remplissiez les procédures d'intégration exécutées dans le Cisco Secure ACS. Les services communs exécutent l'enregistrement réel de toutes les applications installées, telles que le Cisco Security Manager, le serveur d'Automatique-mise à jour, et le gestionnaire IPS dans le Cisco Secure ACS.

Créez un utilisateur local dans les CiscoWorks

Employez la page d'installation d'utilisateur local dans des services communs de CiscoWorks afin de créer un compte d'utilisateur local qui reproduit l'administrateur que vous avez précédemment créé dans le Cisco Secure ACS. Ce compte d'utilisateur local plus tard est utilisé pour l'installation d'identité de système. Voir le pour en savoir plus.

Remarque: Avant que vous poursuiviez, créez un administrateur dans le Cisco Secure ACS. Voyez pour définir des utilisateurs et des groupes d'utilisateurs dans le Cisco Secure ACS pour des instructions.

  1. Connectez-vous dans des CiscoWorks avec le compte utilisateur par défaut d'admin.

  2. Choisissez le serveur > la Sécurité des services communs, puis choisissez l'utilisateur local installé du TOC.

  3. Cliquez sur Add.

  4. Entrez le mêmes nom et mot de passe que vous avez entré quand vous avez créé l'administrateur dans le Cisco Secure ACS. Voir l'étape 4 dedans définir des utilisateurs et des groupes d'utilisateurs dans le Cisco Secure ACS.

  5. Vérifiez toutes les cases sous des rôles excepté des données d'exportation.

  6. Cliquez sur OK pour créer l'utilisateur.

Définissez l'utilisateur d'identité de système

Employez la page d'installation d'identité de système dans des services communs de CiscoWorks afin de créer un utilisateur de confiance, connu sous le nom d'utilisateur d'identité de système, qui active la transmission entre les serveurs qui font partie du même domaine et des processus d'application qui se trouvent sur le même serveur. Les applications utilisent l'utilisateur d'identité de système afin d'authentifier des processus sur les serveurs locaux ou distants de CiscoWorks. C'est particulièrement utile quand les applications doivent synchroniser avant que tous les utilisateurs aient ouvert une session.

En outre, l'utilisateur d'identité de système est employé souvent afin d'exécuter une sous tâche quand la tâche primaire est déjà autorisée pour l'utilisateur ouvert une session. Par exemple, afin d'éditer un périphérique dans le Cisco Security Manager, la transmission d'interapplication est exigée entre le Cisco Security Manager et le DCR de services de terrain communal. Après que l'utilisateur soit autorisé à effectuer la tâche de retouche, l'utilisateur d'identité de système est utilisé afin d'appeler le DCR.

L'utilisateur d'identité de système que vous configurez ici doit être identique à l'utilisateur avec (les pleines) autorisations administratives que vous avez configurées dans ACS. Le manque de faire ainsi peut avoir comme conséquence une incapacité de visualiser tous les périphériques et stratégies configurés dans le Cisco Security Manager.

Remarque: Avant que vous poursuiviez, créez un utilisateur local avec le mêmes nom et mot de passe que cet administrateur dans des services de terrain communal de CiscoWorks. Voyez pour créer un utilisateur local dans les CiscoWorks pour des instructions.

  1. Choisissez le serveur > la Sécurité, puis choisissez la Gestion de confiance multiserveuse > l'identité de système installées du TOC.

  2. Écrivez le nom de l'administrateur que vous avez créé pour le Cisco Secure ACS. Voir l'étape 4 dedans définir des utilisateurs et des groupes d'utilisateurs dans le Cisco Secure ACS.

  3. Entrez et vérifiez le mot de passe pour cet utilisateur.

  4. Cliquez sur Apply.

Configurez le mode d'installation d'AAA dans les CiscoWorks

Employez la page de mode d'installation d'AAA dans des services communs de CiscoWorks afin de définir votre Cisco Secure ACS en tant que serveur d'AAA, qui inclut le port prié et a partagé la clé secrète. En outre, vous pouvez définir jusqu'à deux serveurs de sauvegarde.

Ces étapes exécutent l'enregistrement réel des CiscoWorks, Cisco Security Manager, gestionnaire IPS (et sur option, serveur d'Automatique-mise à jour) dans le Cisco Secure ACS.

  1. Choisissez le serveur > la Sécurité, puis choisissez le mode d'AAA installé du TOC.

  2. Cochez la case TACACS+ sous les modules disponibles de procédure de connexion.

  3. ACS choisi comme type d'AAA.

  4. Écrivez les adresses IP de jusqu'à trois serveurs de Cisco Secure ACS dans la région de petits groupes de serveur. Les serveurs secondaires et tertiaires agissent en tant que sauvegardes au cas où le serveur primaire échouerait.

    Remarque: Si tous les serveurs configurés TACACS+ ne répondent pas, vous devez ouvrir une session avec le compte local de CiscoWorks d'admin, alors changez le mode d'AAA de nouveau à Non-ACS/à CiscoWorks locaux. Après que les serveurs TACACS+ soient restaurés pour entretenir, vous devez changer le mode d'AAA de nouveau à ACS.

  5. Dans la région de procédure de connexion, écrivez le nom de l'administrateur que vous avez défini à la page de contrôle de gestion du Cisco Secure ACS. Voyez pour créer un utilisateur de contrôle de gestion dans le pour en savoir plus de Cisco Secure ACS.

  6. Entrez et vérifiez le mot de passe pour cet administrateur.

  7. Introduisez et vérifiez la clé secrète partagée que vous avez écrite quand vous avez ajouté le serveur de directeur de la sécurité en tant que client d'AAA de Cisco Secure ACS. Voir l'étape 5 dedans ajouter des périphériques comme clients d'AAA sans NDGs.

  8. Cochez le registre toutes les applications installées avec la case ACS afin d'enregistrer le Cisco Security Manager et toutes les autres applications installées avec le Cisco Secure ACS.

  9. Cliquez sur Apply afin de sauvegarder vos paramètres. Une barre de progression affiche la progression de l'enregistrement. Un message apparaît quand l'enregistrement est complet.

  10. Si vous intégrez le Cisco Security Manager avec n'importe quelle version ACS, redémarrez le service de gestionnaire de démon de Cisco Security Manager. Voir la reprise le gestionnaire de démon pour des instructions.

    Remarque: Après CSM 3.0.0, Cisco ne teste plus avec ACS 3.3(x) parce qu'il est fortement corrigé et sa fin de vie (EOL) a été annoncé. Par conséquent, vous devez utiliser la version appropriée ACS pour la version 3.0.1 et ultérieures CSM. Voyez le pour en savoir plus de table de matrice de compatibilité.

  11. Connectez-vous de nouveau dans le Cisco Secure ACS afin d'assigner des rôles à chaque groupe d'utilisateurs. Voyez pour assigner des rôles aux groupes d'utilisateurs dans le Cisco Secure ACS pour des instructions.

    Remarque: L'installation d'AAA configurée ici n'est pas retenue si vous désinstallez les services ou le Cisco Security Manager communs de CiscoWorks. En outre, cette configuration ne peut pas être sauvegardée et restaurée après réinstallation. Par conséquent, si vous améliorez à une nouvelle version de l'un ou l'autre d'application, vous devez modifier le mode d'installation d'AAA et reregister le Cisco Security Manager avec ACS. Ce processus n'est pas exigé pour des mises à jour incrémentielles. Si vous installez des applications supplémentaires, telles qu'AUS, sur des CiscoWorks, vous devez reregister les nouvelles applications et le Cisco Security Manager.

Redémarrez le gestionnaire de démon

Cette procédure décrit comment redémarrer le gestionnaire de démon du serveur de Cisco Security Manager. Vous devez faire ceci afin des configurations d'AAA que vous avez configuré pour prendre effet. Vous pouvez alors se connecter de nouveau dans des CiscoWorks avec les qualifications définies dans le Cisco Secure ACS.

  1. Connectez-vous dans l'ordinateur sur lequel le serveur de Cisco Security Manager est installé.

  2. Choisissez le Start > Programs > Administrative Tools > Services afin d'ouvrir la fenêtre de services.

  3. De la liste des services affichée dans le volet de droite, gestionnaire de démon choisi de Cisco Security Manager.

  4. Cliquez sur le bouton de service de reprise sur la barre d'outils.

  5. Continuez avec assignent des rôles aux groupes d'utilisateurs dans le Cisco Secure ACS.

Assignez les rôles aux groupes d'utilisateurs dans le Cisco Secure ACS

Après que vous enregistriez les CiscoWorks, le Cisco Security Manager et d'autres applications installées au Cisco Secure ACS, vous pouvez assigner des rôles à chacun des groupes d'utilisateurs que vous avez précédemment configurés dans le Cisco Secure ACS. Ces rôles déterminent les actions qu'on permet aux les utilisateurs dans chaque groupe pour exécuter dans le Cisco Security Manager.

La procédure que vous utilisez afin d'assigner des rôles aux groupes d'utilisateurs dépend de si NDGs sont utilisés :

Assignez les rôles aux groupes d'utilisateurs sans NDGs

Cette procédure décrit comment assigner les rôles par défaut aux groupes d'utilisateurs quand NDGs ne sont pas définis. Référez-vous au pour en savoir plus par défaut de rôles de Cisco Secure ACS.

Remarque: Avant que vous poursuiviez :

Procédez comme suit :

  1. Procédure de connexion au Cisco Secure ACS.

  2. Group Setup de clic sur la barre de navigation.

  3. Sélectionnez le groupe d'utilisateurs pour des administrateurs système de la liste. Voir l'étape 2 des utilisateurs et des groupes d'utilisateurs Define dans le Cisco Secure ACS, puis cliquez sur Edit les configurations.

Associé NDGs et rôles avec des groupes d'utilisateurs

Quand vous associez NDGs avec des rôles pour l'usage dans le Cisco Security Manager, vous devez créer des définitions dans deux endroits sur la page de Group Setup :

  • Région de CiscoWorks

  • Région de Cisco Security Manager

Les définitions dans chaque zone doivent s'assortir aussi près que possible. Quand vous associez les rôles faits sur commande ou les rôles ACS qui n'existent pas dans des services communs de CiscoWorks, essayez de définir en tant que se ferment un équivalent comme possible basé sur les autorisations assignées à ce rôle.

Vous devez créer des associations pour que chaque groupe d'utilisateurs soit utilisé avec le Cisco Security Manager. Par exemple, si vous avez un groupe d'utilisateurs qui contient le personnel de support pour la région occidentale, vous pouvez sélectionner ce groupe d'utilisateurs, puis associez le NDG qui contient les périphériques dans cette région avec le rôle de centre d'assistance.

Remarque: Avant que vous poursuiviez, lancez la caractéristique NDG et créez NDGs. Voir les groupes de périphériques de configure network pour l'usage dans le pour en savoir plus de directeur de la sécurité.

  1. Group Setup de clic sur la barre de navigation.

  2. Sélectionnez un groupe d'utilisateurs de la liste de groupe, puis cliquez sur Edit les configurations.

  3. Tracez NDGs et rôles pour l'usage dans les CiscoWorks :

    1. À la page de Group Setup, faites descendre l'écran à la région de CiscoWorks sous des configurations TACACS+.

    2. Choisi assignez les CiscoWorks sur a par base de groupe de périphériques réseau.

    3. Sélectionnez un NDG de la liste de groupe de périphériques.

    4. Sélectionnez le rôle auquel ce NDG doit être associé de la deuxième liste.

    5. Cliquez sur Add l'association. L'association apparaît dans la case de groupe de périphériques.

    6. Répétez les étapes c à e afin de créer des associations supplémentaires.

      Remarque: Afin de retirer une association, la sélectionner du groupe de périphériques, pour cliquer sur alors retirent l'association.

  4. Faites descendre l'écran à la région de Cisco Security Manager et créez les associations qui apparient aussi près que possible les associations définies dans l'étape 3.

    Remarque: Quand vous sélectionnez l'approbateur de Sécurité ou les rôles administrateur de Sécurité dans le Cisco Secure ACS, il est recommandé que vous sélectionnez l'administrateur réseau comme rôle de CiscoWorks équivalent le plus étroit.

  5. Cliquez sur Submit afin de sauvegarder vos configurations.

  6. Répétez les étapes 2 à 5 afin de définir NDGs pour le reste des groupes d'utilisateurs.

  7. Après que vous associiez NDGs et rôles avec chaque groupe d'utilisateurs, cliquez sur Submit + reprise.

Dépannez

  1. Avant que vous puissiez commencer à importer des périphériques dans le Cisco Security Manager, vous devez d'abord configurer chaque périphérique en tant que client d'AAA dans votre Cisco Secure ACS. En outre, vous devez configurer le serveur de CiscoWorks/directeur de la sécurité en tant que client d'AAA.

  2. Si vous recevez les essais ratés se connectent, écrivent manqué avec l'erreur dans le Cisco Secure ACS.

    "service=Athena cmd=OGS authorize-deviceGroup*(Not Assigned) authorize-deviceGroup*Test
    Devices authorize-deviceGroup*HQ Routers authorize-deviceGroup*HQ Switches
    authorize-deviceGroup*HQ Security Devices authorize-deviceGroup*Agent Routers authoriz"

    Afin de résoudre ce problème, assurez-vous que le nom du périphérique dans ACS doit être un nom de domaine complet.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 99749