Sécurité : Cisco Security Manager

Authentification CSM avec ACS et autorisation avec l'exemple local de configuration RBAC

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit l'étape nécessaire afin d'authentifier les versions 4.3/4.4 du Cisco Security Manager (CSM) avec la version 5.x du serveur de contrôle d'accès (ACS). Dans cette configuration, l'authentification de l'utilisateur est gérée par ACS tandis que l'autorisation est gérée sur le CSM avec la configuration basée par rôle local du contrôle d'accès (RBAC).

Contribué par Aastha Chaudhary, Harisha Gunna, et Pula de Todd, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Connaissance de base d'Authentification, autorisation et comptabilité (AAA)
  • Serveur CSM et gestion de périphérique
  • Configuration de stratégies d'authentification et d'autorisation sur la version 5.x ACS

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 4.4 CSM
  • Version 5.4 ACS

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Dans des versions précédentes de CSM, les services d'authentification externe et d'autorisation étaient possibles avec la version 4.x ACS seulement. L'utilisation de la version 5.x ACS n'a pas été officiellement testée ou a été prise en charge. Il était souvent difficile mesurer l'intégration de version 4.x ACS parce qu'elle a exigé la synchronisation manuelle des configurations de périphérique ACS et CSM de réseau. Afin de surmonter cette charge administrative, des capacités locales RBAC sont intégrées directement dans la version 4.3 et ultérieures CSM. Dans des déploiements de production où les versions 4.3/4.4 CSM et la version 5.x ACS sont déployées, il est maintenant possible d'intégrer l'authentification d'utilisateur du service deux extérieurement et de mettre à jour des stratégies granulaires d'autorisation localement sur le CSM.

Configurez

Configurez le serveur ACS

Terminez-vous ces étapes afin de configurer le serveur ACS :

  1. Du GUI administratif de version 5.x ACS, naviguez vers des ressources de réseau > des périphériques de réseau et les clients d'AAA > créent, et ajoutent le serveur CSM comme périphérique d'accès de réseau (NAD). Bien que TACACS+ soit généralement utilisé pour l'authentification de périphérique de réseau, ACS et CSM peuvent être configurés afin d'utiliser le RAYON s'il y a lieu.

  2. Naviguez vers des utilisateurs et l'identité enregistre > identité interne enregistre > des utilisateurs, et crée un nouvel utilisateur local pour l'accès CSM. Associez le compte utilisateur avec un groupe d'identité au besoin, comme CSM_Admins. Alternativement, une mémoire externe d'identité, telle que le Répertoire actif, peut être utilisée.

  3. Naviguez pour accéder à des stratégies > des services d'accès > l'admin > l'identité de périphérique de par défaut, et associez la source d'identité à utiliser pour l'authentification de l'utilisateur. Dans cet exemple, la source d'identité d'utilisateurs internes est choisie parce que les comptes utilisateurs CSM sont localement définis sur ACS. Une source extérieure d'identité peut être sélectionnée quand vous l'intégrez avec le Répertoire actif.

  4. Naviguez pour accéder à des stratégies > des services d'accès > l'admin > l'autorisation de périphérique de par défaut, et configurez une stratégie d'autorisation qui permet l'accès au groupe d'identité de l'utilisateur défini précédemment (CSM_Admins). Ceci est exigé pour des commande-de-exécutions ACS traitant quoique la stratégie réelle d'autorisation soit définie/imposée localement sur le serveur CSM.

Configurez les services de terrain communal de CiscoWorks CSM

Terminez-vous ces étapes afin de configurer des services communs de CiscoWorks CSM : 

  1. Double-cliquer l'icône de Cisco Security Manager sur l'appareil de bureau de serveur CSM. Alternativement, naviguez vers les outils > la gestion de directeur de la sécurité > le degré de sécurité de serveur avec le client de Configuration Manager CSM afin de croiser le lancement les outils de degré de sécurité de serveur dans les services communs CSM centralisent.

  2. Écrivez les identifiants utilisateurs administratifs CSM, et cliquez sur la procédure de connexion. Choisissez l'option d'administration de serveur de la page de lancement de suite logicielle de gestion de sécurité Cisco.

  3. Naviguez installation vers le serveur > la Sécurité > d'AAA mode, et choisissez les gens du pays RBAC et TACACS+ ou RAYON. Cliquez sur la modification afin d'éditer les configurations de serveur de procédure de connexion.

  4. Écrivez l'IP de serveur de procédure de connexion ou le nom de domaine complet (FQDN), les ports, et la clé pré-partagée. Sous des fonctionnement normal, ne changez pas les configurations d'options de repli de procédure de connexion afin de permettre l'accès de retour au CSM au cas où le serveur ACS serait inaccessible. Par défaut, le compte utilisateur administratif CSM de gens du pays est défini pour l'accès de retour. Si la modification est nécessaire, le soin devrait être commande rentrée pour empêcher le verrouillage accidentel du serveur CSM.

  5. Naviguez vers la Gestion de serveur > de serveur unique > l'installation d'utilisateur local, et cliquez sur Add afin de créer les comptes d'utilisateur local qui apparient les comptes internes ou d'utilisateur externe définis dans ACS. Les noms d'utilisateur distinguent les majuscules et minuscules et devraient apparier ACS exactement. Ces comptes local-définis sont alors tracés aux rôles locaux d'autorisation CSM RBAC. Des rôles spécifiques tels que l'administrateur système peuvent être choisis pour la séparation d'autorisation de tâche ou l'utilisateur peut être fourni complètement ou accès limité à un sous-ensemble de périphériques. Référez-vous à la section commune de rôles de par défaut de services de CiscoWorks du guide d'installation CSM 4.4 pour plus de détails au sujet de l'autorisation et des rôles de tâche.


Configurez les rôles par défaut d'autorisation pour les utilisateurs non définis (facultatifs)

Terminez-vous ces étapes afin de configurer des rôles par défaut d'autorisation pour les utilisateurs non définis :

  1. Dans quelques déploiements CSM, il n'est pas commode de mettre à jour un mappage d'un pour l'autre d'utilisateur entre le CSM et l'ACS. Une approche alternative est d'assigner un ensemble par défaut de rôles d'autorisation dans le CSM pour des utilisateurs non présents dans la base de données CSM de gens du pays.

  2. Afin de configurer les rôles par défaut d'autorisation, double-cliquer l'icône de Cisco Security Manager sur l'appareil de bureau de serveur CSM et sélectionner l'option d'administration de serveur de la page de lancement.

  3. Naviguez vers l'installation de Gestion de serveur > de serveur unique > de Gestion de rôle. Par défaut, le rôle de centre d'assistance est assigné la désignation par défaut de rôle. Afin de changer cette désignation, vérifier un ou plusieurs rôles, et cliquer sur le positionnement comme bouton par défaut.

  4. Afin d'activer cette caractéristique, naviguer vers les outils > la gestion de directeur de la sécurité > le degré de sécurité de serveur avec le client de Mananger de configuration, et cocher la case étiquetée permettent la connexion pour des user-id non disponibles dans la base de données locale des utilisateurs. Sauvegarde de clic afin de sauvegarder la configuration.

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

  • Passez en revue l'authentification TACACS+ ou de RAYON ouvre une session le serveur ACS afin de l'identifier si l'utilisateur CSM peut authentifier contre la mémoire configurée d'identité.

  • Vérifiez que l'utilisateur CSM peut effectuer une tâche disponible dans le rôle d'autorisation de tâche défini. Par exemple, procédure de connexion en tant qu'utilisateur avec le rôle et l'essai d'administrateur système pour ajouter un nouveau périphérique à l'inventaire CSM.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

  1. Les erreurs telles ceux-ci indiquent que vous avez tenté d'effectuer une tâche que vous n'êtes pas autorisé à exécuter selon la stratégie des gens du pays RBAC.


  2. Ouvrez une session à l'interface d'administration de serveur CSM en tant qu'utilisateur administratif et naviguez vers la Gestion de serveur > de serveur unique > l'installation d'utilisateur local. Éditez le compte utilisateur en question et passez en revue la stratégie d'autorisation de tâche définie pour l'utilisateur. Quand vous utilisez les rôles CSM-définis, assurez-vous que vous examinez la section commune de rôles de par défaut de services de CiscoWorks du guide d'installation CSM 4.4 afin de comprendre mieux les autorisations pour chaque rôle. Par exemple, le rôle d'administrateur système fournit l'accès complet à toutes les fonctions de client CSM tandis que l'admin superbe permet d'accéder seulement aux exécutions principales de CiscoWorks.

  3. Si désirés, de nouveaux rôles peuvent être définis et des rôles par défaut être édités afin de fournir un contrôle plus granulaire de stratégie d'autorisation. Afin d'ajouter/éditez, ouvrez une session à l'interface de gestionnaire du serveur CSM et naviguez vers l'installation de Gestion de serveur > de serveur unique > de Gestion de rôle.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116209