安全 : Cisco Security Manager

使用ACS的安全经理集成

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文描述如何集成Cisco Security Manager用思科安全访问控制服务器(ACS)。

Cisco Secure ACS为使用管理应用,例如Cisco Security Manager,为了配置可管理的网络设备的用户提供authorization命令。唯一authorization命令set type提供authorization命令的支持,呼叫在Cisco Security Manager的角色,包含一套权限。这些权限,也呼叫权限,确定有特定的角色的用户可在Cisco Security Manager内进行的操作。

Cisco Secure ACS用途TACACS+为了通信与管理应用。为了使Cisco Security Manager通信与Cisco Secure ACS,您必须配置在Cisco Secure ACS的CiscoWorks服务器作为使用TACACS+的AAA客户端。另外,您必须提供CiscoWorks服务器您使用为了登录Cisco Secure ACS的管理员名称和密码。当您完成这些需求时,它保证通信正确性Cisco Security Manager和Cisco Secure ACS之间的。

当Cisco Security Manager最初通信与Cisco Secure ACS时,指明到Cisco ACS默认角色的创建,在Cisco Secure ACS HTML界面的共享配置文件组件部分出现。它也指明TACACS+将授权的海关。此海关出现在HTML界面的接口配置部分的TACACS+ (思科IOSï ¿  ½)页。您能然后修改在每个Cisco Security Manager角色包括的权限和应用这些角色对用户和用户组。

注意: 因为不支持,集成与ACS 5.2的CSM是不可能的它。

先决条件

要求

为了使用Cisco Secure ACS,请确保:

  • 您定义了在Cisco Security Manager包括required命令为了执行必要的功能的角色。

  • 网络访问限制(NAR)包括该的设备组(或设备)您要管理,如果应用NAR对配置文件。

  • 受管理设备设备名称相等地拼写并且大写在Cisco Secure ACS和在Cisco Security Manager。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco Security Manager版本3.0

  • Cisco Secure ACS版本3.3

注意: 确保您选择兼容的CSM和ACS版本,在您在您的网络环境前安装。例如,思科测试了与仅CSM 3.0的ACS 3.3并且为最新CSM版本终止了。因此,推荐您以ACS 3.3使用CSM 3.0。参见Compatabilty矩阵表关于多种软件版本的更多信息。

Cisco Security Manager版本 CS测试的ACS版本
3.0.0 3.0.0 SP1 Windows 3.3(3)和4.0(1)
3.0.1 3.0.1 SP1 3.0.1 SP2 解决方案引擎4.0(1) Windows 4.0(1)
3.1.0 3.0.2 解决方案引擎4.0(1) Windows 4.1(1)和4.1(3)
3.1.1 3.0.2 SP1 3.0.2 SP2 解决方案引擎v4.0(1) Windows 4.1(2), 4.1(3)和4.1(4)
3.1.1 SP1 解决方案引擎4.0(1) Windows 4.1(4)
3.1.1 SP2 解决方案引擎4.0(1) Windows 4.1(4)和4.2(0)
3.2.0 解决方案引擎4.1(4) Windows 4.1(4)和4.2(0)
3.2.1 解决方案引擎4.1(4) Windows 4.2(0)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

集成有Cisco Secure ACS的Cisco Security Manager

此部分描述要求的步骤集成有Cisco Secure ACS的Cisco Security Manager。一些步骤包含几子步聚。按顺序必须执行这些步骤和子步聚。此部分也包含对使用的特定步骤的参考为了执行每个步骤。

完成这些步骤:

  1. 计划您的管理认证和授权型号。

    在您使用Cisco Security Manager前,您必须决定您的管理模型。您计划使用的这包括管理角色的定义和帐户。

    提示: 当您定义了潜在的管理员时角色和权限,是否也请考虑启用工作流。此选择影响您如何能限制访问。

  2. 安装Cisco Secure ACS、Cisco Security Manager和CiscoWorks Common Services。

    安装在Windows的Cisco Secure ACS版本3.3 2000/2003服务器。安装CiscoWorks Common Services和Cisco Security Manager一个不同的Windows 2000/Windows 2003服务器的。

    有关详细信息,请参阅以下文档:

  3. 执行集成步骤在Cisco Secure ACS。

    定义Cisco Security Manager用户作为ACS用户并且分配他们到根据他们的计划的角色的用户组,添加所有您的受管理设备(以及CiscoWorks/安全经理服务器)作为AAA客户端,并且创建管理控制用户。欲知更多信息,请参阅在Cisco Secure ACS执行的集成步骤

  4. 执行集成步骤在CiscoWorks Common Services。

    配置匹配在Cisco Secure ACS定义的管理员的本地用户,定义了系统标识设置的同样用户,并且配置ACS作为AAA设置模式。

    欲知更多信息,请参阅在CiscoWorks执行的集成步骤

  5. 分配作用到用户组在Cisco Secure ACS。

    分配作用到每个用户组配置在Cisco Secure ACS。您使用的步骤取决于您是否有配置的网络设备组(NDGs)。

    欲知更多信息,请参阅分配作用到用户组在Cisco Secure ACS

在Cisco Secure ACS执行的集成步骤

此部分描述您在Cisco Secure ACS必须完成为了集成它与Cisco Security Manager的步骤:

  1. 定义用户和用户组Cisco Secure ACS的

  2. 添加受管理设备作为Cisco Secure ACS的AAA客户端

  3. 创建Cisco Secure ACS的一个管理控制用户

定义用户和用户组Cisco Secure ACS的

Cisco Security Manager的所有用户在Cisco Secure ACS必须定义并且分配适当的角色到他们的工作职能。要执行此的简便的方法是分开用户成根据每个默认角色的不同的组联机在ACS。例如,请分配所有系统管理员到一组,所有网络操作员到另一组,等等。参考Cisco Secure ACS默认角色关于在ACS的默认角色的更多信息。

另外,分配与全双工权限的系统管理员角色的您必须创建额外用户。在系统标识设置页设立为此用户以后使用的凭证在CiscoWorks。欲知更多信息,请参阅定义系统标识用户

注意您仅仅在此阶段分配用户到不同的组。角色的实际分配对这些组的执行的以后,在CiscoWorks以后, Cisco Security Manager,并且所有其他应用程序注册对Cisco Secure ACS。

提示: 在您继续前,安装CiscoWorks Common Services和Cisco Security Manager一Windows的2000/2003服务器。在一不同的Windows的安装Cisco Secure ACS 2000/2003服务器。

  1. Cisco Secure ACS的洛金。

  2. 配置有全双工权限的一个用户:

    1. 点击在导航条的用户设置

    2. 在User Setup页,请输入一名称对于新用户,然后单击添加/编辑

    3. 选择从密码验证列表的一认证方法在用户设置下。

    4. 输入并且证实新用户的密码。

    5. 选择Group1,因为用户分配的组。

    6. 单击提交为了创建用户帐户。

  3. 重复每个Cisco Security Manager用户的步骤2。思科建议您分开用户成根据每个用户分配的角色的组:

    • Group1 —系统管理员

    • 第2组—安全管理员

    • Group3 —安全审批人

    • Group4 —网络管理员

    • Group5 —审批人

    • Group6 —网络操作员

    • 组7 —支持中心

    参见关于默认权限的更多信息关联与每个角色。参考定制Cisco Secure ACS角色关于定制用户角色的更多信息。

    权限 角色
    系统管理员 安全Admin(ACS) 安全Approver(ACS) 网络Admin(CW) 网络Admin(ACS) 审批人 网络操作员 帮助台
    查看权限
    查看设备
    查看策略
    视图对象
    查看拓扑
    查看CLI
    查看Admin
    查看配置存档
    查看设备管理器
    修改权限
    修改设备
    修改层级
    修改策略
    修改镜像
    修改对象
    修改拓扑
    修改Admin
    修改配置存档
    另外的权限
    分配策略
    审批策略
    审批CLI
    Discover(Import)
    部署
    控制
    提交

    注意: 在此阶段,组是用户的集没有任何角色定义。在您完成综合进程后,您分配角色到每组。欲知更多信息,请参阅分配作用到用户组在Cisco Secure ACS

  4. 创建额外用户并且分配此用户到系统管理员组。在系统标识设置页设立为此用户以后使用的凭证在CiscoWorks。欲知更多信息,请参阅定义系统标识用户

  5. 继续添加受管理设备作为Cisco Secure ACS的AAA客户端

添加受管理设备作为Cisco Secure ACS的AAA客户端

在您能开始插入设备到Cisco Security Manager前,您必须首先配置每个设备作为您的Cisco Secure ACS的一个AAA客户端。另外,您必须配置CiscoWorks/安全经理服务器作为AAA客户端。

如果Cisco Security Manager管理在防火墙设备配置的安全上下文,在Catalyst 6500/7600设备的FWSMs包括安全上下文配置,必须单个添加每上下文到Cisco Secure ACS。

您使用为了添加受管理设备的方法取决于您是否要限制用户管理有网络设备组的(NDGs)特定的一套的设备。请参阅这些部分之一:

添加设备作为AAA客户端,不用NDGs

此步骤如何描述添加设备作为Cisco Secure ACS的AAA客户端。参考网络配置的AAA Client Configuration部分关于所有可用的选项的全部信息。

注意: 切记添加CiscoWorks/安全经理服务器作为AAA客户端。

  1. 点击在Cisco Secure ACS导航条的网络配置

  2. 点击Add条目在AAA客户端表下。

  3. 进入AAA客户端主机名(32个字符)在添加AAA客户端页。AAA客户端的主机名必须匹配您计划使用设备在Cisco Security Manager的显示名称。

    例如,如果打算添附域名到设备名在Cisco Security Manager,在ACS的AAA客户端主机名必须是<device_name>.<domain_name>

    当您命名CiscoWorks服务器时,推荐使用完全合格的主机名。请务必正确地拼写主机名。主机名不区分大小写。

    当您命名安全上下文时,请添附上下文名称(_<context_name>)对设备名。对于FWSMs,这是命名规则:

    • FWSM刀片— <chassis_name>_FW_<slot_number>

    • 安全上下文— <chassis_name>_FW_<slot_number>_<context_name>

  4. 在AAA客户端IP地址字段输入网络设备的IP地址。

  5. 在密钥字段输入共享机密。

  6. 选择TACACS+ (Cisco IOS)使用列表,从验证。

  7. 单击提交为了保存您的更改。您添加的设备在AAA客户端表里出现。

  8. 重复步骤1至7为了添加另外的设备。

  9. 在您添加所有设备后,请点击Submit+Restart

  10. 继续创建Cisco Secure ACS的一个管理控制用户

Configure network设备组用于安全经理

Cisco Secure ACS启用您给包含将管理的特定设备的configure network设备组(NDGs)。例如,您能创建匹配您的组织结构每个地区的NDGs或NDGs。当过去常常与Cisco Security Manager, NDGs enable (event)您提供用户不同的级别权限,根据设备他们需要管理。例如,与NDGs您能分配用户A系统管理员权限到在欧洲和支持中心权限查找的设备对在亚洲查找的设备。您能然后分配相反的权限到用户B。

NDGs没有分配直接地到用户。相反, NDGs分配到您为每个用户组定义了的角色。每NDG可以分配到仅单个角色,但是每个角色能包括多个NDGs。作为所选的用户用户组的,配置一部分这些定义保存。

这些主题概述要求的基本步骤为了配置NDGs :

激活NDG功能

在您能创建NDGs和用设备前,填充他们您必须激活NDG功能。

  1. 点击在Cisco Secure ACS导航条的接口配置

  2. 点击高级选项

  3. 把,然后检查网络设备组复选框移下来。

  4. 单击 submit

  5. 继续创建NDGs

创建NDGs

此步骤描述如何创建NDGs和用设备填充他们。每个设备只能属于一NDG。

注意: 思科建议包含CiscoWorks/安全经理服务器的您创建一特殊NDG。

  1. 点击在导航条的网络配置

    所有设备最初被放置在不已分配下,拿着所有设备在NDG未安置。记住不是Assigned不是NDG。

  2. 创建NDGs :

    1. 点击Add条目

    2. 输入一名称对于在新的网络设备组页的NDG。最大长度是24个字符。空间允许。

    3. 可选,当与版本4.0或以上:输入所有设备将使用的密钥在NDG。如果定义了NDG的一密钥,改写为在NDG的各台设备定义的所有密钥。

    4. 单击提交为了保存NDG。

    5. 重复步骤a至d为了创建更多NDGs。

  3. 填充NDGs用设备:

    1. 在网络设备组地区点击NDG的名称。

    2. 在AAA客户端区域点击Add条目

    3. 定义设备添加的特殊性对NDG,然后单击提交。欲知更多信息,请参阅添加设备作为AAA客户端,不用NDGs

    4. 重复步骤b和c为了添加设备的剩余到NDGs。把留在您在不已分配类别能的唯一的设备是默认AAA服务器。

    5. 在您配置最后设备后,请点击Submit+Restart

  4. 继续创建Cisco Secure ACS的一个管理控制用户

创建Cisco Secure ACS的管理控制用户

请使用管理控制页在Cisco Secure ACS为了定义使用,当定义在CiscoWorks Common Services时的AAA设置模式的管理员帐户。欲知更多信息,请参阅配置在CiscoWorks的AAA设置模式

  1. 点击在Cisco Secure ACS导航条的管理控制

  2. 单击添加管理员

  3. 在添加管理员页,请输入一个名称和密码管理员的。

  4. 在管理员权限地区点击格兰特全部为了提供全双工管理权限给此管理员。

  5. 单击提交为了创建管理员。

注意: 参考的管理员和管理策略关于选项联机的更多信息,当您配置管理员。

在CiscoWorks执行的集成步骤

此部分在CiscoWorks Common Services描述步骤完成为了集成它与Cisco Security Manager :

在您完成在Cisco Secure ACS后,执行的集成步骤请完成这些步骤。普通的服务进行所有已安装应用程序的实际注册,例如Cisco Security Manager、Auto Update服务器和IPS管理器到Cisco Secure ACS。

创建CiscoWorks的本地用户

请使用本地用户设置页在CiscoWorks Common Services为了创建复制管理员您在Cisco Secure ACS以前创建的本地用户帐户。用于系统标识设置以后的此本地用户帐户。有关详细信息,请参阅。

注意: 在您继续前,请创建Cisco Secure ACS的一个管理员。请参阅定义用户和用户组Cisco Secure ACS的关于说明。

  1. 登录与默认管理员用户用户帐号的CiscoWorks。

  2. 从普通的服务选择Server>安全,然后从TOC选择本地用户设置

  3. 单击 Add

  4. 输入您输入的同一个名称和密码,当您创建Cisco Secure ACS的管理员。请参阅步骤4定义用户和用户组Cisco Secure ACS的

  5. 检查所有复选框在除了出口数据的角色下。

  6. 点击OK键创建用户。

定义系统标识用户

请使用系统标识设置页在CiscoWorks Common Services为了创建信任用户,叫作系统标识用户,启用服务器之间的通信是同一个域的一部分和应用进程在同一个服务器查找。应用程序使用系统标识用户为了验证在本地或远程CiscoWorks服务器的进程。这是特别有用的,当应用程序必须同步时,在所有用户登陆前。

另外,当主要的任务为登录用户时,已经授权系统标识用户是常用的为了执行子任务。例如,为了编辑在Cisco Security Manager的一个设备, interapplication通信要求在Cisco Security Manager和共同性服务DCR之间。在用户授权执行编辑的任务后,系统标识用户用于为了调用DCR。

您配置此处的系统标识用户在ACS一定是相同的与有该管理(全双工)的权限的用户您配置。失败能导致无法查看在Cisco Security Manager和策略配置的所有设备。

注意: 在您继续前,请创建一个本地用户用名称和密码和CiscoWorks Common Services的此管理员一样。请参阅创建CiscoWorks的一个本地用户关于说明。

  1. 选择Server>安全,然后从TOC选择设置的多服务器的托拉斯Management>系统标识

  2. 输入该的管理员的名称您为Cisco Secure ACS创建。请参阅步骤4定义用户和用户组Cisco Secure ACS的

  3. 输入并且验证此用户的密码。

  4. 单击 Apply

配置在CiscoWorks的AAA设置模式

请使用AAA设置模式页在CiscoWorks Common Services为了定义您的Cisco Secure ACS作为AAA服务器,包括所需端口和共享密钥。另外,您能定义两个备份服务器。

这些步骤进行CiscoWorks的实际注册, Cisco Security Manager, IPS管理器(和或者, Auto Update服务器)到Cisco Secure ACS。

  1. 选择Server>安全,然后从TOC选择设置的AAA模式

  2. 检查TACACS+复选框在可用的洛金模块下。

  3. 选择ACS作为AAA类型。

  4. 在服务器详细信息地区输入三个Cisco Secure ACS服务器的IP地址。万一主服务器出故障,第二和第三服务器作为备份。

    注意: 如果所有已配置的TACACS+服务器不能回应,您必须登陆与admin CiscoWorks本地帐户,则更改AAA模式回到本地非ACS/CiscoWorks。在TACACS+服务器恢复服务后,您必须更改AAA模式回到ACS。

  5. 在洛金地区中,请输入该的管理员的名称您定义在Cisco Secure ACS管理控制页。欲知更多信息,请参阅创建Cisco Secure ACS的一个管理控制用户

  6. 输入并且验证此管理员的密码。

  7. 输入并且验证您输入的共享密钥,当您添加了安全经理服务器作为Cisco Secure ACS的AAA客户端。请参阅步骤5添加设备作为AAA客户端,不用NDGs

  8. 用ACS复选框检查寄存器所有已安装应用程序为了注册Cisco Security Manager和所有其他已安装应用程序与Cisco Secure ACS。

  9. 单击 Apply 以保存设置。进度条显示注册的进度。当注册完成,消息出现。

  10. 如果集成有任何ACS版本的Cisco Security Manager,请重新启动Cisco Security Manager守护程序管理器服务。请参阅重新启动守护程序管理器关于说明。

    注意: 在CSM 3.0.0以后,思科不再测试与ACS 3.3(x),因为大量地被修补,并且其到期(EOL)宣布。所以,您需要使用适当的ACS版本CSM版本3.0.1和以上。欲知更多信息,参见兼容性矩阵表

  11. 回到Cisco Secure ACS的日志为了分配角色到每个用户组。请参阅分配作用到用户组在Cisco Secure ACS关于说明。

    注意: 如果卸载CiscoWorks Common Services或Cisco Security Manager,设置配置的AAA此处没有保留。另外,此配置不可能在重新安装以后被备份了和恢复。所以,如果升级对任一应用程序新版本,您必须重新配置AAA设置模式和再注册有ACS的Cisco Security Manager。此进程没有为逐步更新要求。如果安装另外的应用程序,例如AUS,在CiscoWorks顶部,您必须再注册新应用和Cisco Security Manager。

重新启动守护程序管理器

此步骤描述如何重新启动Cisco Security Manager服务器的守护程序管理器。您必须执行此为了您配置生效的AAA设置。您能然后记录回到与在Cisco Secure ACS定义的凭证的CiscoWorks。

  1. 登录Cisco Security Manager服务器安装的计算机。

  2. 选择Start > Programs > Administrative Tools > Services为了打开Services窗口。

  3. 从在右窗格显示的服务列表,请选择Cisco Security Manager守护程序管理器

  4. 点击在工具栏的重新启动服务按钮。

  5. 继续分配作用到用户组在Cisco Secure ACS

分配作用到用户组在Cisco Secure ACS

在您注册CiscoWorks、Cisco Security Manager和其他已安装应用程序对Cisco Secure ACS后,您在Cisco Secure ACS能分配角色到该的用户组中的每一个您以前配置。这些角色确定用户在每组中在Cisco Security Manager允许实行的操作。

您使用为了分配角色到用户组的步骤取决于是否使用NDGs :

分配角色到用户组,不用NDGs

当NDGs没有定义时,此步骤如何描述分配默认角色给用户组。参考的Cisco Secure ACS默认角色欲知更多信息。

注意: 在您继续前:

完成这些步骤:

  1. 登陆对Cisco Secure ACS。

  2. 点击在导航条的组建立

  3. 选择系统管理员的用户组从列表。请参阅步骤2 Define用户和用户组Cisco Secure ACS的,然后单击编辑设置

连结NDGs和角色与用户组

当您连结NDGs与角色为使用在Cisco Security Manager时,您必须创建定义在GROUP SETUP页的两个地方:

  • CiscoWorks地区

  • Cisco Security Manager地区

在各个领域的定义必须越紧密越好配比。当您关联在CiscoWorks Common Services不存在的自定义角色或ACS角色时,请设法定义作为close等同如可能根据权限分配到该角色。

您必须创建每个用户组的关联能与Cisco Security Manager一起使用。例如,如果有包含西部区域的技术支持人员的一个用户组,您能选择在有支持中心角色的该区域包含设备的该用户组,然后关联NDG。

注意: 在您继续前,请激活NDG功能并且创建NDGs。请参阅Configure network设备组用于安全经理欲知更多信息。

  1. 点击在导航条的组建立

  2. 选择从组列表的一个用户组,然后单击编辑设置

  3. 映射NDGs和角色为使用在CiscoWorks :

    1. 在GROUP SETUP页,请移下来到CiscoWorks地区在TACACS+设置下。

    2. 选择分配在a的CiscoWorks每个网络设备组基本类型

    3. 选择从设备组列表的一NDG。

    4. 选择此NDG将从第二列表关联的角色。

    5. 单击添加关联。关联在设备组组框出现。

    6. 重复步骤c至e为了创建另外的关联。

      注意: 为了从设备组取消关联,选择它,然后单击删除关联。

  4. 移下来到Cisco Security Manager地区并且创建越紧密越好匹配在步骤定义的关联3.的关联。

    注意: 当您选择在Cisco Secure ACS时的安全审批人或安全管理员作用,推荐您选择网络管理员作为最接近的等同的CiscoWorks角色。

  5. 单击提交为了保存您的设置。

  6. 重复步骤2至5为了定义用户组的剩余的NDGs。

  7. 在您连结NDGs和角色与每个用户组后,请点击Submit+Restart

故障排除

  1. 在您能开始插入设备到Cisco Security Manager前,您必须首先配置每个设备作为您的Cisco Secure ACS的一个AAA客户端。另外,您必须配置CiscoWorks/安全经理服务器作为AAA客户端。

  2. 如果接收失败的尝试记录,创作失败与在Cisco Secure ACS的错误。

    "service=Athena cmd=OGS authorize-deviceGroup*(Not Assigned) authorize-deviceGroup*Test
    Devices authorize-deviceGroup*HQ Routers authorize-deviceGroup*HQ Switches
    authorize-deviceGroup*HQ Security Devices authorize-deviceGroup*Agent Routers authoriz"

    为了解决此问题,请确保设备的名称在ACS的需要是完全限定域名。


相关信息


Document ID: 99749