安全 : Cisco Security Manager

与ACS的CSM与本地RBAC配置示例的验证和授权

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述要求的步骤为了验证与访问控制服务器(ACS)版本5.x的Cisco Security Manager (CSM)版本4.3/4.4。在此配置中,用户认证由ACS管理,当授权在与本地角色的CSM管理基于访问控制(RBAC)时功能。

贡献由Aastha Chaudhary, Harisha贡纳岛和托德普拉, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • 验证、授权和统计(AAA)基础知识
  • CSM服务器和设备管理
  • 认证和授权在ACS版本5.x的策略配置

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • CSM版本4.4
  • ACS版本5.4

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

在CSM中以前版本,外部验证和授权服务对ACS版本4.x是仅可能的。使用ACS版本5.x未正式测试也不支持。因为要求ACS和CSM网络设备配置的手工的同步, ACS版本4.x集成经常是难扩展。为了解决此管理负担,本地RBAC功能集成直接地到CSM版本4.3和以上。在CSM版本4.3/4.4和ACS版本5.x部署的生产部署,集成两为了服务用户验证外部和维护粒状授权策略本地在CSM当前是可能的。

配置

配置ACS服务器

完成这些步骤为了配置ACS服务器:

  1. 从ACS版本5.x管理GUI,请导航到网络资源>网络设备,并且AAA客户端>创建,并且添加CSM服务器作为网络接入设备(NAD)。虽然TACACS+通常使用网络设备验证, ACS和CSM可以配置为了如果必须使用RADIUS。

  2. 导航给用户,并且标识存储>内部标识存储> Users,并且创建CSM访问的一个新的本地用户。连结用户帐户与一标识组如所需求,例如CSM_Admins。或者,可以使用外部标识存储,例如活动目录。

  3. 导航到访问策略>Access Services>默认设备Admin >标识,并且关联将用于用户认证标识来源。在本例中,因为CSM用户帐户本地在ACS,定义内部用户标识来源选择。当您集成它与活动目录时,一外部标识来源可以选择。

  4. 导航到访问策略>Access Services>默认设备Admin >授权,并且配置允许对以前定义的用户标识组的访问的授权策略(CSM_Admins)。这为处理ACS的运算顺序要求,即使实际授权策略在CSM服务器定义/被强制执行本地。

配置CSM CiscoWorks Common Services

完成这些步骤为了配置CSM CiscoWorks Common Services : 

  1. 双击在CSM服务器桌面的Cisco Security Manager图标。或者,请导航对Tools > Security管理器管理>Server安全以CSM配置管理器客户端为了交叉启动服务器安全工具在CSM普通的服务内后端处理。

  2. 输入CSM管理用户凭证,并且点击“Login”。从Cisco安全管理套件启动页选择服务器管理选项。

  3. 导航对Server>安全>AAA模式设置,并且选择本地RBACTACACS+RADIUS。点击崔凡吉莱为了编辑登录服务器设置。

  4. 输入登录服务器IP或完全合格的域名(FQDN)、端口和预先共享密钥。在正常操作下,在ACS服务器是不可得到的情况下,请勿更改洛金回退选项设置为了允许对CSM的fallback访问。默认情况下,本地CSM管理用户帐户定义fallback访问的。如果更改是必要的,应该采取注意为了防止CSM服务器的偶然中断。

  5. 导航对Server>单服务器Management>本地用户设置,并且单击添加为了创建匹配在ACS定义的内部或外部用户用户帐号的本地用户帐户。用户名区分大小写,并且应该完全地匹配ACS。这些本地定义的帐户然后被映射对CSM本地RBAC授权角色。特定角色例如系统管理员可以为任务授权分离选择或用户可以是提供的对设备的一子集的全双工或限制访问。欲了解更详细的信息参考CiscoWorks Common Services CSM 4.4安装指南的默认角色部分关于任务授权和角色。


配置默认未确定用户的授权角色(可选)

完成这些步骤为了配置默认未确定用户的授权角色:

  1. 在一些CSM部署,维护CSM和ACS之间的一一对一的用户映射是不方便的。备选方法是分配在CSM的一套缺省的授权角色用户的不当前在本地CSM数据库。

  2. 为了配置默认授权角色,双击在CSM服务器桌面的Cisco Security Manager图标和选择从启动页的服务器管理选项。

  3. 导航对Server>单服务器Management>角色管理设置。默认情况下,支持中心角色分配默认角色指定。为了更改此指定,请检查一个或更多角色,并且单击集如DEFAULT按钮

  4. 为了启用此功能,导航到Tools > Security管理器管理>Server安全以配置Mananger客户端和检查被标记的复选框允许登录用户ID不可用在本地用户数据库。点击“Save”为了保存配置。

验证

使用本部分可确认配置能否正常运行。

  • 查看TACACS+或RADIUS验证注册ACS服务器为了识别CSM用户是否能验证已配置的标识存储。

  • 验证CSM用户能执行在定义的任务授权角色内的一可用的任务。例如,请登陆作为有系统管理员角色的一个用户并且尝试添加新设备对CSM库存。

故障排除

本部分提供了可用于对配置进行故障排除的信息。

  1. 这样的错误这些表明您尝试执行您没有授权根据本地RBAC策略执行的任务。


  2. 登陆对CSM服务器管理接口作为一个管理用户并且导航对Server>单服务器Management>本地用户设置。编辑有问题的用户帐户并且查看为用户定义的任务授权策略。当您使用CSM定义的角色时,请保证您查看CiscoWorks Common Services CSM 4.4安装指南的默认角色部分为了改善了解每个角色的权限。例如,当特级Admin只提供存取对于后端CiscoWorks操作时,对所有CSM客户端的系统管理员角色提供完整访问作用。

  3. 如果需要,新建的角色可以定义和编辑的默认角色为了提供更加粒状的授权策略控制。为了添加/请编辑,登陆对CSM服务器管理器接口并且导航对Server>单服务器Management>角色管理设置

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116209