セキュリティ : Cisco Security Manager

CSM 3.x: ユーザユーザ権限およびロールのセットアップ

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Security Manager(CSM)のユーザに権限とロールをセットアップする方法について説明します。

前提条件

要件

この資料は CSM がインストールされている仮定し、ときちんとはたらきます。

使用するコンポーネント

この文書に記載されている情報は CSM 3.1 に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ユーザー権限を設定して下さい

Cisco Security Manager はログインできる前にユーザ名 および パスワードを認証します。 彼らが認証された後、Security Manager はアプリケーション内のロールを確立します。 このロールは実行するために承認されるオペレーションまたはタスクのセットである権限(また呼出された特権)を定義します。 ある特定のタスクかデバイスのために承認されない場合、関連メニュー項目、TOC 項目およびボタンは隠れるか、またはディセーブルにされます。 さらに、メッセージは指定情報を表示するか、または指定オペレーションを行う権限がないことを告げます。

Security Manager のための認証 および 権限は CiscoWorksサーバか Cisco Secure Access Control Server (ACS)によって管理されます。 デフォルトで、CiscoWorks は認証 および 権限を管理します、Cisco Secure ACS に CiscoWorks Common Services で AAA モード セットアップページを使用することによって変更できます。

Cisco Secure ACS を使用する主要な長所は専門にされた権限セットで非常に細かいユーザの役割を作成する機能(たとえば、ある特定のポリシーの種類他を設定することをユーザを許可します)およびネットワーク デバイス グループ(NDGs)の設定によってある特定のデバイスにユーザを制限する機能でありではない。

次のトピックはユーザー権限を記述します:

Security Manager 権限

Security Manager は示されているようにカテゴリーに権限を分類します:

  1. 表示して下さい—現在の設定を表示することを許可します。 詳細については、表示権限を参照して下さい

  2. 修正する—現在の設定を変更することを許可します。 詳細については、修正する権限を参照して下さい。

  3. 割り当てて下さい—デバイスおよび VPN トポロジーにポリシーを割り当てることを許可します。 詳細については、権限を割り当てるために参照して下さい

  4. 承認して下さい—ポリシーの変更および配備ジョブを承認することを許可します。 詳細については、権限を承認するために参照して下さい。

  5. import — コンフィギュレーションをインポートすることを許可します Security Manager にデバイスで既に展開されている。

  6. 導入—コンフィギュレーション変更をネットワークのデバイスに展開し、以前に展開された設定に戻るためにロールバックを行うことを許可します。

  7. コントロール— PING のようなデバイスにコマンドを、発行することを許可します。

  8. 送信する—承認のためにコンフィギュレーション変更を入れることを許可します。

  • 『Modify』 を選択 するとき、権限を、また対応した表示権限を選択しなければなりません割り当てますか、承認しますか、インポートしますか、制御するか、または展開して下さい; さもなければ、Security Manager は適切に機能しません。

  • ポリシー権限を『Modify』 を選択 するとき、また割り当て、表示しますポリシー権限を対応したを選択して下さい。

  • またこれらのオブジェクト タイプに定義の一部としてポリシー オブジェクトを使用する割り当てポリシー、表示権限を与える必要がある時。 たとえば、ルーティングポリシーを修正するために権限を選択すれば、また表示ネットワーク オブジェクトに権限を選択し、ルーティングポリシーによって必要なオブジェクト タイプであるロールをインターフェイスさせて下さい。

  • 定義の一部として他のオブジェクトを使用する同じはオブジェクトを許可すると当てはまります。 たとえば、ユーザグループを修正するために権限を選択すれば、またビュー ネットワーク オブジェクト、ACL オブジェクトおよび AAA サーバ グループに権限を選択して下さい。

表示権限

(Security Manager の読み取り専用)権限を分けられます示されているようにカテゴリーに表示して下さい:

ポリシー権限を表示して下さい

Security Manager はポリシーのための次の表示権限が含まれています:

  1. > ポリシー > ファイアウォール表示して下さい。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスのファイアウォールサービス ポリシーを(ファイアウォールの下にポリシー セレクタにある)表示することを許可します。 ファイアウォールサービス ポリシーの例はアクセス規則、AAA ルールおよびインスペクション ルールが含まれています。

  2. > ポリシー > 侵入防御 システム表示して下さい。 IOSルータで動作する IPS のためのポリシーを含む IPS ポリシーを(IPS の下にポリシー セレクタにある)、表示することを許可します。

  3. > ポリシー > イメージ表示して下さい。 また修正する > ポリシー > イメージ 権限がなければ適用 IPS Updates ウィザードのシグニチャアップデート パッケージを(ツールの下に > IPS アップデートを適用して下さいある)選択することを許可しましたりしかし特定のデバイスにパッケージを割り当てることを許可しません。

  4. > ポリシー > NAT 表示して下さい。 PIX/ASA/FWSM デバイスおよび IOSルータのネットワークアドレス変換ポリシーを表示することを許可します。 NAT ポリシーの例は静的なルールおよびダイナミック ルールが含まれています。

  5. > ポリシー > サイト間VPN 表示して下さい。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスのサイト間VPN ポリシーを表示することを許可します。 サイト間VPN ポリシーの例は IKEプロポーザル、IPsec 提案および事前共有キーが含まれています。

  6. > ポリシー > リモートアクセス VPN 表示して下さい。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスのリモートアクセス VPN ポリシーを表示することを許可します。 リモートアクセス VPN ポリシーの例は IKEプロポーザル、IPsec 提案および PKI ポリシーが含まれています。

  7. > ポリシー > SSL VPN 表示して下さい。 SSL VPN ウィザードのような PIX/ASA/FWSM デバイスおよび IOSルータの SSL VPN ポリシーを、表示することを許可します。

  8. > ポリシー > インターフェイス表示して下さい。 PIX/ASA/FWSM デバイス、IOSルータ、IPS センサーおよび Catalyst 6500/7600 デバイスのインターフェイス ポリシーを(インターフェイスの下にポリシー セレクタにある)表示することを許可します。

    1. PIX/ASA/FWSM デバイスで、この権限はハードウェア ポートおよびインターフェイス設定をカバーします。

    2. IOSルータで、この権限は DSL、PVC、PPP およびダイヤラ ポリシーのような基本的な、高度インターフェイス設定、また他のインターフェース関連のポリシーを、カバーします。

    3. IPS センサーで、この権限は物理インターフェイスおよび概略マップをカバーします。

    4. Catalyst 6500/7600 デバイスで、この権限はインターフェイスおよび VLAN の 設定をカバーします。

  9. > ポリシー > ブリッジ表示して下さい。 PIX/ASA/FWSM デバイスの ARPテーブル ポリシーを(プラットフォーム > ブリッジの下にポリシー セレクタにある)表示することを許可します。

  10. > ポリシー > デバイス 管理表示して下さい。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスのデバイス 管理ポリシーを(プラットフォーム > デバイス Admin の下にポリシー セレクタにある)表示することを許可します:

    1. PIX/ASA/FWSM デバイスで、例はデバイスアクセスがポリシングを行ないます、サーバアクセス ポリシーおよびフェールオーバー ポリシー含まれています。

    2. IOSルータで、例はデバイスアクセスが(を含む行アクセス)ポリシングを行ない、サーバアクセス ポリシー、AAA、保護しますデバイス提供を含まれています。

    3. IPS センサーで、この権限はデバイスアクセス ポリシーおよびサーバアクセス ポリシーをカバーします。

    4. Catalyst 6500/7600 デバイスで、この権限は IDSM 設定および VLANアクセス リストをカバーします。

  11. > ポリシー > 識別表示して下さい。 802.1X およびネットワーク アドミッション コントロール(NAC)ポリシーを含む Cisco IOS ルータの識別ポリシーを(プラットフォーム > 識別の下にポリシー セレクタにある)、表示することを許可します。

  12. > ポリシー > ロギング表示して下さい。 PIX/ASA/FWSM デバイス、IOSルータおよび IPS センサーのロギング ポリシーを(プラットフォーム > ロギングの下にポリシー セレクタにある)表示することを許可します。 ロギング ポリシーの例はロギング セットアップ、サーバセットアップおよび syslog サーバ ポリシーが含まれています。

  13. > ポリシー > マルチキャスト表示して下さい。 PIX/ASA/FWSM デバイスのマルチキャスト ポリシーを(プラットフォーム > マルチキャストの下にポリシー セレクタにある)表示することを許可します。 マルチキャスト ポリシーの例はマルチキャストルーティングおよび IGMP ポリシーが含まれています。

  14. > ポリシー > QoS 表示して下さい。 Cisco IOS ルータの QoS ポリシーを(プラットフォーム > Quality of Service の下にポリシー セレクタにある)表示することを許可します。

  15. > ポリシー > ルーティング表示して下さい。 PIX/ASA/FWSM デバイスおよび IOSルータのルーティングポリシーを(プラットフォーム > ルーティングの下にポリシー セレクタにある)表示することを許可します。 ルーティングポリシーの例は OSPF、RIP およびスタティック ルーティング ポリシーが含まれています。

  16. > ポリシー > Security 表示して下さい。 PIX/ASA/FWSM デバイスおよび IPS センサーのセキュリティポリシーを(プラットフォーム > Security の下にポリシー セレクタにある)表示することを許可します:

    1. PIX/ASA/FWSM デバイスで、セキュリティポリシーはアンチスプーフィング、フラグメントおよびタイムアウト の 設定が含まれています。

    2. IPS センサーで、セキュリティポリシーはブロッキング設定が含まれています。

  17. > ポリシー > サービス ポリシー ルール表示して下さい。 PIX 7.x/ASA デバイスのサービス ポリシー ルール ポリシーを(プラットフォーム > サービス ポリシー ルールの下にポリシー セレクタにある)表示することを許可します。 例はプライオリティキューがおよび IPS、QoS および接続ルール含まれています。

  18. > ポリシー > ユーザ設定表示して下さい。 PIX/ASA/FWSM デバイスの配備ポリシーを(プラットフォーム > ユーザ設定の下にポリシー セレクタにある)表示することを許可します。 このポリシーは配備のすべての NAT 変換をクリアするためのオプションが含まれています。

  19. > ポリシー > 仮想デバイス表示して下さい。 IPS デバイスの仮想 なセンサー ポリシーを表示することを許可します。 このポリシーが仮想 なセンサーを作成するのに使用されています。

  20. > ポリシー > FlexConfig 表示して下さい。 FlexConfigs を表示することを許可します PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスに展開することができる指示および追加 CLI コマンドである。

ビュー オブジェクト権限

Security Manager はオブジェクトのための次の表示権限が含まれています:

  1. > オブジェクト > AAA サーバ グループ表示して下さい。 AAAサーバグループ オブジェクトを表示することを許可します。 これらのオブジェクトは AAA サービス(認証、許可、会計)を必要とするポリシーで使用されます。

  2. > オブジェクト > AAA サーバ表示して下さい。 AAAサーバ オブジェクトを表示することを許可します。 これらのオブジェクトは AAAサーバグループの一部として定義される個々の AAA サーバを表します。

  3. 表示して下さい > オブジェクト > アクセスコントロール アクセス・コントロール・リスト-標準/伸びました。 規格および拡張 ACL オブジェクトを表示することを許可します。 拡張 ACL オブジェクトはいろいろなポリシーのために、NAT および NAC のような、および VPN アクセスを確立するために使用されます。 標準 ACL オブジェクトはポリシーのために、また VPN アクセスを確立するために OSPF および SNMP のような使用されます。

  4. 表示して下さい > オブジェクト > アクセスコントロール アクセス・コントロール・リスト- Web。 Web ACL オブジェクトを表示することを許可します。 Web ACL オブジェクトが SSL VPN ポリシーでコンテンツフィルタリングを行うのに使用されています。

  5. > オブジェクト > ASA ユーザグループ表示して下さい。 ASA ユーザグループ オブジェクトを表示することを許可します。 これらのオブジェクトは Easy VPN、リモートアクセス VPN および SSL VPN コンフィギュレーションの ASA セキュリティ アプライアンス モデルで設定されます。

  6. > オブジェクト > カテゴリー表示して下さい。 カテゴリ オブジェクトを表示することを許可します。 これらのオブジェクトはカラーの使用によってルール表のルールおよびオブジェクトを識別するのを容易に助けます。

  7. > オブジェクト > 資格情報表示して下さい。 クレデンシャル オブジェクトを表示することを許可します。 これらのオブジェクトは IKE Extended Authentication(Xauth)の間に Easy VPN 設定で使用されます。

  8. > オブジェクト > FlexConfigs 表示して下さい。 FlexConfig オブジェクトを表示することを許可します。 追加スクリプト言語指示を含む設定コマンドが含まれているこれらのオブジェクトは Security Manager ユーザインターフェイスによってサポートされない configure コマンドに使用することができます。

  9. > オブジェクト > IKE Proposals 表示して下さい。 IKEプロポーザル オブジェクトを表示することを許可します。 リモートアクセス VPN ポリシーでこれらのオブジェクトが IKEプロポーザルに必要なパラメータが含まれています。

  10. 表示して下さい > オブジェクト > Inspect -クラスマップ- DNS. DNS クラスマップ オブジェクトを表示することを許可します。 これらのオブジェクトは操作がそのトラフィックで実行されたことができるように特定の基準の DNS トラフィックを一致する。

  11. 表示して下さい > オブジェクト > Inspect -クラスマップ- FTP。 FTP クラスマップ オブジェクトを表示することを許可します。 これらのオブジェクトは操作がそのトラフィックで実行されたことができるように特定の基準の FTP トラフィックを一致する。

  12. 表示して下さい > オブジェクト > Inspect -クラスマップ- HTTP. HTTP クラスマップ オブジェクトを表示することを許可します。 これらのオブジェクトは操作がそのトラフィックで実行されたことができるように特定の基準の HTTPトラフィックを一致する。

  13. 表示して下さい > オブジェクト > Inspect -クラスマップ- IM。 IM クラスマップ オブジェクトを表示することを許可します。 これらのオブジェクトは操作がそのトラフィックで実行されたことができるように特定の基準の IM トラフィックを一致する。

  14. 表示して下さい > オブジェクト > Inspect -クラスマップ- SIP. SIP クラスマップ オブジェクトを表示することを許可します。 これらのオブジェクトは操作がそのトラフィックで実行されたことができるように特定の基準の SIP トラフィックを一致する。

  15. 表示して下さい > オブジェクト > Inspect -ポリシーマップ- DNS. DNS ポリシーマップ オブジェクトを表示することを許可します。 これらのオブジェクトが DNS トラフィックのためのインスペクション マップを作成するのに使用されています。

  16. 表示して下さい > オブジェクト > Inspect -ポリシーマップ- FTP。 FTP ポリシーマップ オブジェクトを表示することを許可します。 これらのオブジェクトが FTP トラフィックのためのインスペクション マップを作成するのに使用されています。

  17. 表示して下さい > オブジェクト > Inspect -ポリシーマップ- GTP. GTP ポリシーマップ オブジェクトを表示することを許可します。 これらのオブジェクトが GTP トラフィックのためのインスペクション マップを作成するのに使用されています。

  18. 表示して下さい > オブジェクト > Inspect -ポリシーマップ- HTTP (ASA7.1.x/PIX7.1.x/IOS)。 ASA/PIX 7.1.x デバイスおよび IOSルータのために作成されたオブジェクト HTTP ポリシーマップを表示することを許可します。 これらのオブジェクトが HTTPトラフィックのためのインスペクション マップを作成するのに使用されています。

  19. 表示して下さい > オブジェクト > Inspect -ポリシーマップ- HTTP (ASA7.2/PIX7.2)。 ASA 7.2/PIX 7.2 デバイスのために作成されたオブジェクト HTTP ポリシーマップを表示することを許可します。 これらのオブジェクトが HTTPトラフィックのためのインスペクション マップを作成するのに使用されています。

  20. 表示して下さい > オブジェクト > Inspect -ポリシーマップ- IM (ASA7.2/PIX7.2)。 ASA 7.2/PIX 7.2 デバイスのために作成されたオブジェクト IM ポリシーマップを表示することを許可します。 これらのオブジェクトが IM トラフィックのためのインスペクション マップを作成するのに使用されています。

  21. 表示して下さい > オブジェクト > Inspect -ポリシーマップ- IM (IOS)。 IOSデバイスのために作成されたオブジェクト IM ポリシーマップを表示することを許可します。 これらのオブジェクトが IM トラフィックのためのインスペクション マップを作成するのに使用されています。

  22. 表示して下さい > オブジェクト > Inspect -ポリシーマップ- SIP. SIP ポリシーマップ オブジェクトを表示することを許可します。 これらのオブジェクトが SIP トラフィックのためのインスペクション マップを作成するのに使用されています。

  23. 表示して下さい > オブジェクト > Inspect -正規表現。 正規表現オブジェクトを表示することを許可します。 これらのオブジェクトは正規表現 グループの一部として定義される個々の正規表現を表します。

  24. 表示して下さい > オブジェクト > Inspect -正規表現グループ。 正規表現 グループ オブジェクトを表示することを許可します。 これらのオブジェクトはある特定のクラスマップによって使用され、パケットの中のテキストを一致するためにマップを点検します。

  25. 表示して下さい > オブジェクト > Inspect - TCP マップ。 TCP マップ オブジェクトを表示することを許可します。 両方向の TCP フローのこれらのオブジェクト カスタマイズ インスペクション。

  26. > オブジェクト > インターフェイス ロール表示して下さい。 インターフェイス オブジェクト ロールの表示することを許可します。 これらのオブジェクトはデバイスの異なる型のマルチプルインターフェイスを表すことができる名前付けパターンを定義します。 インターフェイス イネーブル ロールの適用する各インターフェイスの名前を定義しない手動でで多数のデバイスの特定のインターフェイスにポリシーを。

  27. > オブジェクト > IPsec トランスフォーム セット表示して下さい。 IPsec トランスフォーム セット オブジェクトを表示することを許可します。 これらのオブジェクトはセキュリティプロトコル、アルゴリズムおよび他の設定で IPSecトンネルのデータがどのように暗号化され、認証されるか丁度規定 する 組み合せを構成します。

  28. > オブジェクト > LDAP アトリビュート マップ表示して下さい。 LDAP アトリビュート マップ オブジェクトを表示することを許可します。 これらのオブジェクトが Cisco LDAP 属性名にカスタム(ユーザが定義する)属性名をマッピング するのに使用されています。

  29. > オブジェクト > ネットワーク/ホスト表示して下さい。 ネットワーク/ホスト オブジェクトを表示することを許可します。 これらのオブジェクトはネットワークか、ホスト、またはその両方を表す IP アドレスの論理的な集まりです。 ネットワークは/ホスト オブジェクトはポリシーを各ネットワークを規定 しないで定義するか、またはそれぞれホストすることを可能にします。

  30. > オブジェクト > PKI 登録表示して下さい。 PKI 登録オブジェクトを表示することを許可します。 これらのオブジェクトは公開鍵インフラストラクチャの内で動作する Certification Authority (CA)サーバを定義します。

  31. > オブジェクト > ポート フォワーディング リスト表示して下さい。 ポート フォワーディング リスト オブジェクトを表示することを許可します。 これらのオブジェクトはアプリケーションの IP アドレスにリモートクライアントおよび SSL VPNゲートウェイの背後にあるポートのポート番号のマッピングを定義します。

  32. > オブジェクト > Secure Desktop コンフィギュレーション表示して下さい。 Secure Desktop 構成オブジェクトを表示することを許可します。 これらのオブジェクトは SSL VPN セッションの間に共有される機密データのすべてのトレースの除去の信頼できる手段(方法)を提供するために SSL VPN ポリシーによって参照することができる再使用可能な、ネームド コンポーネントです。

  33. 表示して下さい > オブジェクト > Services -ポートリスト。 ポートリスト オブジェクトを表示することを許可します。 1つ以上のポート 番号 の 範囲が含まれているこれらのオブジェクトがサービス オブジェクトの作成のプロセスを効率化するのに使用されています。

  34. > オブジェクト > Services/サービス グループ サービスおよびサービス グループ オブジェクトを表示することを許可します表示して下さい。 これらのオブジェクトはポリシーによって、Kerberos のような、SSH 使用されるネットワークサービスをおよび POP3 記述するプロトコルおよびポート 定義の定義されたマッピングです。

  35. > オブジェクト > サーバの単一 サイン表示して下さい。 サーバー オブジェクトの単一 サインを表示することを許可します。 単一 サインオン(SSO)は SSL VPN ユーザが倍数によって保護されるサービスおよび Webサーバにアクセス ユーザ名 および パスワードを一度入力し、できることを可能にします。

  36. > オブジェクト > SLA 監視表示して下さい。 SLA モニタ オブジェクトを表示することを許可します。 これらのオブジェクトはルート トラッキングを行うためにバージョン 7.2 または それ 以降を実行する PIX/ASA セキュリティ アプライアンス モデルによって使用されます。 この機能はプライマリ ルートが失敗する場合プライマリ ルートのアベイラビリティをトラッキングし、バックアップルートをインストールするために方式を提供します。

  37. > オブジェクト > SSL VPN カスタマイズ表示して下さい。 SSL VPN カスタマイゼーション オブジェクトを表示することを許可します。 これらのオブジェクトはログイン/ログアウトおよびホーム ページのようなユーザに、表示する SSL VPN ページの外観を変更する方法を定義します。

  38. > オブジェクト > SSL VPNゲートウェイ表示して下さい。 SSL VPNゲートウェイ オブジェクトを表示することを許可します。 これらのオブジェクトは SSL VPN で保護されたリソースへの接続のためにプロキシとして使用するべきゲートウェイを有効に する パラメータを定義します。

  39. > オブジェクト > スタイル オブジェクト表示して下さい。 ビュー スタイル オブジェクトに許可します。 これらのオブジェクトは VPN ページ セキュリティ アプライアンス モデルに接続するとき SSL VPN ユーザに現われる SSL の出現をカスタマイズするためにスタイル要素を、フォント特性およびカラーのような設定することを可能にします。

  40. > オブジェクト > テキスト オブジェクト表示して下さい。 自由形式のテキスト オブジェクトを表示することを許可します。 これらのオブジェクトは値がストリングの一つの文字列、リスト、またはストリングの表のどちらである場合もある名前および値のペアから成り立ちます。

  41. > オブジェクト > 時間 範囲表示して下さい。 時間 範囲オブジェクトを表示することを許可します。 これらのオブジェクトは時間ベース ACL およびインスペクション ルールを作成するとき使用されます。 ASA ユーザグループを定義するとき VPN を制限するのに週の間に特定時にそれらもアクセスします使用されています。

  42. > オブジェクト > トラフィックフロー表示して下さい。 トラフィックフロー オブジェクトを表示することを許可します。 これらのオブジェクトは PIX 7.x/ASA 7.x デバイスによる使用のための特定のトラフィックフローを定義します。

  43. > オブジェクト > URLリスト表示して下さい。 URLリスト オブジェクトを表示することを許可します。 これらのオブジェクトは正常なログインの後で門脈ページで表示する URL を定義します。 これは操作するとき Clientless アクセス モードで SSL VPN Webサイトで可能にします利用可能 なリソースにアクセスすることをユーザが。

  44. > オブジェクト > ユーザグループ表示して下さい。 ユーザグループ オブジェクトを表示することを許可します。 これらのオブジェクトは Easy VPN トポロジー、リモートアクセス VPN および SSL VPN で使用するリモートクライアントのグループを定義します。

  45. > オブジェクト > WINS サーバ リスト表示して下さい。 WINS Server リスト オブジェクトを表示することを許可します。 これらのオブジェクトはリモート システムのファイルにアクセスするか、または共有するのに SSL VPN によって使用されている WINS サーバを表します。

  46. 表示して下さい > オブジェクト > 内部- DN は支配します。 DN ポリシーによって使用される DN ルールを表示することを許可します。 これはポリシー オブジェクト マネージャに現われない Security Manager が使用する内部オブジェクトです。

  47. > オブジェクト > 内部クライアント更新表示して下さい。 これがユーザグループ オブジェクトによって必要でポリシー オブジェクト マネージャに現われない内部オブジェクトです。

  48. 表示して下さい > オブジェクト > 内部-標準 ACE。 これは ACL オブジェクトによって使用される標準アクセス制御エントリのための内部オブジェクトです。

  49. 表示して下さい > オブジェクト > 内部-拡張 ACE。 これは ACL オブジェクトによって使用される拡張アクセス制御エントリのための内部オブジェクトです。

追加表示権限

Security Manager は次の表示権限が含まれています:

  1. > Admin 表示して下さい。 Security Manager 管理上の設定を表示することを許可します。

  2. > CLI 表示して下さい。 デバイスで設定される CLI コマンドを表示し、展開されることを約あるコマンドを下検分することを許可します。

  3. > Config Archive 表示して下さい。 設定 の アーカイブに含まれているコンフィギュレーションのリストを表示することを許可します。 デバイスコンフィギュレーションか CLI コマンドを表示できません。

  4. > デバイス表示して下さい。 割り当て、等デバイス ビューおよびすべての関連情報のデバイスを、デバイス設定を含んで、プロパティ表示することを、許可します。

  5. > デバイスマネージャ表示して下さい。 Cisco IOS ルータのための Cisco Router and Security Device Manager (SDM)のような個々のデバイスのためのデバイスマネージャの読み取り専用バージョンを、起動させることを許可します。

  6. > トポロジー表示して下さい。 マップ ビューで設定されるマップを表示することを許可します。

修正する権限

Security Manager の修正する(読み取りと書き込み)権限は示されているようにカテゴリーに分けられます:

修正するポリシー権限

注: 修正する ポリシー権限を規定 するとき、対応したを割り当てる選択した確かめ、ポリシー権限をことを同様に表示して下さい。

Security Manager はポリシーのための次の修正する権限が含まれています:

  1. 修正する > ポリシー > ファイアウォール。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスのファイアウォールサービス ポリシーを(ファイアウォールの下にポリシー セレクタにある)修正することを許可します。 ファイアウォールサービス ポリシーの例はアクセス規則、AAA ルールおよびインスペクション ルールが含まれています。

  2. 修正する > ポリシー > 侵入防御 システム。 IOSルータで動作する IPS のためのポリシーを含む IPS ポリシーを(IPS の下にポリシー セレクタにある)、修正することを許可します。 この権限はまたシグニチャアップデート ウィザードのシグニチャを可能にします(ツールの下に > IPS アップデートを適用して下さいある)調整することを。

  3. 修正する > ポリシー > イメージ。 適用 IPS Updates ウィザードのデバイスにシグニチャアップデート パッケージを許可します(ツールの下に > IPS アップデートを適用して下さいある)割り当てることを。 この権限はまた特定のデバイスにオート アップデート設定を可能にします(Tools > Security マネージャ管理 > IPS 更新の下にある)割り当てることを。

  4. 修正する > ポリシー > NAT。 PIX/ASA/FWSM デバイスおよび IOSルータのネットワークアドレス変換ポリシーを修正することを許可します。 NAT ポリシーの例は静的なルールおよびダイナミック ルールが含まれています。

  5. 修正する > ポリシー > サイト間VPN。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスのサイト間VPN ポリシーを修正することを許可します。 サイト間VPN ポリシーの例は IKEプロポーザル、IPsec 提案および事前共有キーが含まれています。

  6. 修正する > ポリシー > リモートアクセス VPN。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスのリモートアクセス VPN ポリシーを修正することを許可します。 リモートアクセス VPN ポリシーの例は IKEプロポーザル、IPsec 提案および PKI ポリシーが含まれています。

  7. 修正する > ポリシー > SSL VPN。 SSL VPN ウィザードのような PIX/ASA/FWSM デバイスおよび IOSルータの SSL VPN ポリシーを、修正することを許可します。

  8. 修正する > ポリシー > インターフェイス。 PIX/ASA/FWSM デバイス、IOSルータ、IPS センサーおよび Catalyst 6500/7600 デバイスのインターフェイス ポリシーを(インターフェイスの下にポリシー セレクタにある)修正することを許可します:

    1. PIX/ASA/FWSM デバイスで、この権限はハードウェア ポートおよびインターフェイス設定をカバーします。

    2. IOSルータで、この権限は DSL、PVC、PPP およびダイヤラ ポリシーのような基本的な、高度インターフェイス設定、また他のインターフェース関連のポリシーを、カバーします。

    3. IPS センサーで、この権限は物理インターフェイスおよび概略マップをカバーします。

    4. Catalyst 6500/7600 デバイスで、この権限はインターフェイスおよび VLAN の 設定をカバーします。

  9. 修正する > ポリシー > ブリッジ。 PIX/ASA/FWSM デバイスの ARPテーブル ポリシーを(プラットフォーム > ブリッジの下にポリシー セレクタにある)修正することを許可します。

  10. 修正する > ポリシー > デバイス 管理。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスのデバイス 管理ポリシーを(プラットフォーム > デバイス Admin の下にポリシー セレクタにある)修正することを許可します:

    1. PIX/ASA/FWSM デバイスで、例はデバイスアクセスがポリシングを行ないます、サーバアクセス ポリシーおよびフェールオーバー ポリシー含まれています。

    2. IOSルータで、例はデバイスアクセスが(を含む行アクセス)ポリシングを行ない、サーバアクセス ポリシー、AAA、保護しますデバイス提供を含まれています。

    3. IPS センサーで、この権限はデバイスアクセス ポリシーおよびサーバアクセス ポリシーをカバーします。

    4. Catalyst 6500/7600 デバイスで、この権限は IDSM 設定および VLANアクセス リストをカバーします。

  11. 修正する > ポリシー > 識別。 802.1X およびネットワーク アドミッション コントロール(NAC)ポリシーを含む Cisco IOS ルータの識別ポリシーを(プラットフォーム > 識別の下にポリシー セレクタにある)、修正することを許可します。

  12. 修正する > ポリシー > ロギング。 PIX/ASA/FWSM デバイス、IOSルータおよび IPS センサーのロギング ポリシーを(プラットフォーム > ロギングの下にポリシー セレクタにある)修正することを許可します。 ロギング ポリシーの例はロギング セットアップ、サーバセットアップおよび syslog サーバ ポリシーが含まれています。

  13. 修正する > ポリシー > マルチキャスト。 PIX/ASA/FWSM デバイスのマルチキャスト ポリシーを(プラットフォーム > マルチキャストの下にポリシー セレクタにある)修正することを許可します。 マルチキャスト ポリシーの例はマルチキャストルーティングおよび IGMP ポリシーが含まれています。

  14. 修正する > ポリシー > QoS。 Cisco IOS ルータの QoS ポリシーを(プラットフォーム > Quality of Service の下にポリシー セレクタにある)修正することを許可します。

  15. 修正する > ポリシー > ルーティング。 PIX/ASA/FWSM デバイスおよび IOSルータのルーティングポリシーを(プラットフォーム > ルーティングの下にポリシー セレクタにある)修正することを許可します。 ルーティングポリシーの例は OSPF、RIP およびスタティック ルーティング ポリシーが含まれています。

  16. 修正する > ポリシー > Security。 PIX/ASA/FWSM デバイスおよび IPS センサーのセキュリティポリシーを(プラットフォーム > Security の下にポリシー セレクタにある)修正することを許可します:

    1. PIX/ASA/FWSM デバイスで、セキュリティポリシーはアンチスプーフィング、フラグメントおよびタイムアウト の 設定が含まれています。

    2. IPS センサーで、セキュリティポリシーはブロッキング設定が含まれています。

  17. 修正する > ポリシー > サービス ポリシー ルール。 PIX 7.x/ASA デバイスのサービス ポリシー ルール ポリシーを(プラットフォーム > サービス ポリシー ルールの下にポリシー セレクタにある)修正することを許可します。 例はプライオリティキューがおよび IPS、QoS および接続ルール含まれています。

  18. 修正する > ポリシー > ユーザ設定。 PIX/ASA/FWSM デバイスの配備ポリシーを(プラットフォーム > ユーザ設定の下にポリシー セレクタにある)修正することを許可します。 このポリシーは配備のすべての NAT 変換をクリアするためのオプションが含まれています。

  19. 修正する > ポリシー > 仮想デバイス。 IPS デバイスの仮想 なセンサー ポリシーを修正することを許可します。 仮想 なセンサーを作成するのにこのポリシーを使用して下さい。

  20. 修正する > ポリシー > FlexConfig。 FlexConfigs を修正することを許可します PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスに展開することができる指示および追加 CLI コマンドである。

修正するオブジェクト権限

Security Manager はオブジェクトのための次の表示権限が含まれています:

  1. 修正する > オブジェクト > AAA サーバ グループ。 AAAサーバグループ オブジェクトを表示することを許可します。 これらのオブジェクトは AAA サービス(認証、許可、会計)を必要とするポリシーで使用されます。

  2. 修正する > オブジェクト > AAA サーバ。 AAAサーバ オブジェクトを表示することを許可します。 これらのオブジェクトは AAAサーバグループの一部として定義される個々の AAA サーバを表します。

  3. 修正する > オブジェクト > アクセスコントロール アクセス・コントロール・リスト-標準/伸びました。 規格および拡張 ACL オブジェクトを表示することを許可します。 拡張 ACL オブジェクトはいろいろなポリシーのために、NAT および NAC のような、および VPN アクセスを確立するために使用されます。 標準 ACL オブジェクトはポリシーのために、また VPN アクセスを確立するために OSPF および SNMP のような使用されます。

  4. 修正する > オブジェクト > アクセスコントロール アクセス・コントロール・リスト- Web。 Web ACL オブジェクトを表示することを許可します。 Web ACL オブジェクトが SSL VPN ポリシーでコンテンツフィルタリングを行うのに使用されています。

  5. 修正する > オブジェクト > ASA ユーザグループ。 ASA ユーザグループ オブジェクトを表示することを許可します。 これらのオブジェクトは Easy VPN、リモートアクセス VPN および SSL VPN コンフィギュレーションの ASA セキュリティ アプライアンス モデルで設定されます。

  6. 修正する > オブジェクト > カテゴリー。 カテゴリ オブジェクトを表示することを許可します。 これらのオブジェクトはカラーの使用によってルール表のルールおよびオブジェクトを識別するのを容易に助けます。

  7. 修正する > オブジェクト > 資格情報。 クレデンシャル オブジェクトを表示することを許可します。 これらのオブジェクトは IKE Extended Authentication(Xauth)の間に Easy VPN 設定で使用されます。

  8. 修正する > オブジェクト > FlexConfigs。 FlexConfig オブジェクトを表示することを許可します。 追加スクリプト言語指示を含む設定コマンドが含まれているこれらのオブジェクトは Security Manager ユーザインターフェイスによってサポートされない configure コマンドに使用することができます。

  9. 修正する > オブジェクト > IKE Proposals。 IKEプロポーザル オブジェクトを表示することを許可します。 リモートアクセス VPN ポリシーでこれらのオブジェクトが IKEプロポーザルに必要なパラメータが含まれています。

  10. 修正する > オブジェクト > Inspect -クラスマップ- DNS. DNS クラスマップ オブジェクトを表示することを許可します。 これらのオブジェクトは操作がそのトラフィックで実行されたことができるように特定の基準の DNS トラフィックを一致する。

  11. 修正する > オブジェクト > Inspect -クラスマップ- FTP。 FTP クラスマップ オブジェクトを表示することを許可します。 これらのオブジェクトは操作がそのトラフィックで実行されたことができるように特定の基準の FTP トラフィックを一致する。

  12. 修正する > オブジェクト > Inspect -クラスマップ- HTTP. HTTP クラスマップ オブジェクトを表示することを許可します。 これらのオブジェクトは操作がそのトラフィックで実行されたことができるように特定の基準の HTTPトラフィックを一致する。

  13. 修正する > オブジェクト > Inspect -クラスマップ- IM。 IM クラスマップ オブジェクトを表示することを許可します。 これらのオブジェクトは操作がそのトラフィックで実行されたことができるように特定の基準の IM トラフィックを一致する。

  14. 修正する > オブジェクト > Inspect -クラスマップ- SIP. SIP クラスマップ オブジェクトを表示することを許可します。 これらのオブジェクトは操作がそのトラフィックで実行されたことができるように特定の基準の SIP トラフィックを一致する。

  15. 修正する > オブジェクト > Inspect -ポリシーマップ- DNS. DNS ポリシーマップ オブジェクトを表示することを許可します。 これらのオブジェクトが DNS トラフィックのためのインスペクション マップを作成するのに使用されています。

  16. 修正する > オブジェクト > Inspect -ポリシーマップ- FTP。 FTP ポリシーマップ オブジェクトを表示することを許可します。 これらのオブジェクトが FTP トラフィックのためのインスペクション マップを作成するのに使用されています。

  17. 修正する > オブジェクト > Inspect -ポリシーマップ- HTTP (ASA7.1.x/PIX7.1.x/IOS)。 ASA/PIX 7.x デバイスおよび IOSルータのために作成されたオブジェクト HTTP ポリシーマップを表示することを許可します。 これらのオブジェクトが HTTPトラフィックのためのインスペクション マップを作成するのに使用されています。

  18. 修正する > オブジェクト > Inspect -ポリシーマップ- HTTP (ASA7.2/PIX7.2)。 ASA 7.2/PIX 7.2 デバイスのために作成されたオブジェクト HTTP ポリシーマップを表示することを許可します。 これらのオブジェクトが HTTPトラフィックのためのインスペクション マップを作成するのに使用されています。

  19. 修正する > オブジェクト > Inspect -ポリシーマップ- IM (ASA7.2/PIX7.2)。 ASA 7.2/PIX 7.2 デバイスのために作成されたオブジェクト IM ポリシーマップを表示することを許可します。 これらのオブジェクトが IM トラフィックのためのインスペクション マップを作成するのに使用されています。

  20. 修正する > オブジェクト > Inspect -ポリシーマップ- IM (IOS)。 IOSデバイスのために作成されたオブジェクト IM ポリシーマップを表示することを許可します。 これらのオブジェクトが IM トラフィックのためのインスペクション マップを作成するのに使用されています。

  21. 修正する > オブジェクト > Inspect -ポリシーマップ- SIP. SIP ポリシーマップ オブジェクトを表示することを許可します。 これらのオブジェクトが SIP トラフィックのためのインスペクション マップを作成するのに使用されています。

  22. 修正する > オブジェクト > Inspect -正規表現。 正規表現オブジェクトを表示することを許可します。 これらのオブジェクトは正規表現 グループの一部として定義される個々の正規表現を表します。

  23. 修正する > オブジェクト > Inspect -正規表現グループ。 正規表現 グループ オブジェクトを表示することを許可します。 これらのオブジェクトはある特定のクラスマップによって使用され、パケットの中のテキストを一致するためにマップを点検します。

  24. 修正する > オブジェクト > Inspect - TCP マップ。 TCP マップ オブジェクトを表示することを許可します。 両方向の TCP フローのこれらのオブジェクト カスタマイズ インスペクション。

  25. 修正する > オブジェクト > インターフェイス ロール。 インターフェイス オブジェクト ロールの表示することを許可します。 これらのオブジェクトはデバイスの異なる型のマルチプルインターフェイスを表すことができる名前付けパターンを定義します。 インターフェイス イネーブル ロールの適用する各インターフェイスの名前を定義しない手動でで多数のデバイスの特定のインターフェイスにポリシーを。

  26. 修正する > オブジェクト > IPsec トランスフォーム セット。 IPsec トランスフォーム セット オブジェクトを表示することを許可します。 これらのオブジェクトはセキュリティプロトコル、アルゴリズムおよび他の設定で IPSecトンネルのデータがどのように暗号化され、認証されるか丁度規定 する 組み合せを構成します。

  27. 修正する > オブジェクト > LDAP アトリビュート マップ。 LDAP アトリビュート マップ オブジェクトを表示することを許可します。 これらのオブジェクトが Cisco LDAP 属性名にカスタム(ユーザが定義する)属性名をマッピング するのに使用されています。

  28. 修正する > オブジェクト > ネットワーク/ホスト。 ネットワーク/ホスト オブジェクトを表示することを許可します。 これらのオブジェクトはネットワークか、ホスト、またはその両方を表す IP アドレスの論理的な集まりです。 ネットワークは/ホスト オブジェクトはポリシーを各ネットワークを規定 しないで定義するか、またはそれぞれホストすることを可能にします。

  29. 修正する > オブジェクト > PKI 登録。 PKI 登録オブジェクトを表示することを許可します。 これらのオブジェクトは公開鍵インフラストラクチャの内で動作する Certification Authority (CA)サーバを定義します。

  30. 修正する > オブジェクト > ポート フォワーディング リスト。 ポート フォワーディング リスト オブジェクトを表示することを許可します。 これらのオブジェクトはアプリケーションの IP アドレスにリモートクライアントおよび SSL VPNゲートウェイの背後にあるポートのポート番号のマッピングを定義します。

  31. 修正する > オブジェクト > Secure Desktop コンフィギュレーション。 Secure Desktop 構成オブジェクトを表示することを許可します。 これらのオブジェクトは SSL VPN セッションの間に共有される機密データのすべてのトレースの除去の信頼できる手段(方法)を提供するために SSL VPN ポリシーによって参照することができる再使用可能な、ネームド コンポーネントです。

  32. 修正する > オブジェクト > Services -ポートリスト。 ポートリスト オブジェクトを表示することを許可します。 1つ以上のポート 番号 の 範囲が含まれているこれらのオブジェクトがサービス オブジェクトの作成のプロセスを効率化するのに使用されています。

  33. 修正する > オブジェクト > Services/サービス グループ。 サービスおよびサービス グループ オブジェクトを表示することを許可します。 これらのオブジェクトはポリシーによって、Kerberos のような、SSH 使用されるネットワークサービスをおよび POP3 記述するプロトコルおよびポート 定義の定義されたマッピングです。

  34. 修正する > オブジェクト > サーバの単一 サイン。 サーバー オブジェクトの単一 サインを表示することを許可します。 単一 サインオン(SSO)は SSL VPN ユーザが倍数によって保護されるサービスおよび Webサーバにアクセス ユーザ名 および パスワードを一度入力し、できることを可能にします。

  35. 修正する > オブジェクト > SLA 監視。 SLA モニタ オブジェクトを表示することを許可します。 これらのオブジェクトはルート トラッキングを行うためにバージョン 7.2 または それ 以降を実行する PIX/ASA セキュリティ アプライアンス モデルによって使用されます。 この機能はプライマリ ルートが失敗する場合プライマリ ルートのアベイラビリティをトラッキングし、バックアップルートをインストールするために方式を提供します。

  36. 修正する > オブジェクト > SSL VPN カスタマイズ。 SSL VPN カスタマイゼーション オブジェクトを表示することを許可します。 これらのオブジェクトはログイン/ログアウトおよびホーム ページのようなユーザに、表示する SSL VPN ページの外観を変更する方法を定義します。

  37. 修正する > オブジェクト > SSL VPNゲートウェイ。 SSL VPNゲートウェイ オブジェクトを表示することを許可します。 これらのオブジェクトは SSL VPN で保護されたリソースへの接続のためにプロキシとして使用するべきゲートウェイを有効に する パラメータを定義します。

  38. 修正する > オブジェクト > スタイル オブジェクト。 ビュー スタイル オブジェクトに許可します。 これらのオブジェクトは VPN ページ セキュリティ アプライアンス モデルに接続するとき SSL VPN ユーザに現われる SSL の出現をカスタマイズするためにスタイル要素を、フォント特性およびカラーのような設定することを可能にします。

  39. 修正する > オブジェクト > テキスト オブジェクト。 自由形式のテキスト オブジェクトを表示することを許可します。 これらのオブジェクトは値がストリングの一つの文字列、リスト、またはストリングの表のどちらである場合もある名前および値のペアから成り立ちます。

  40. 修正する > オブジェクト > 時間 範囲。 時間 範囲オブジェクトを表示することを許可します。 これらのオブジェクトは時間ベース ACL およびインスペクション ルールを作成するとき使用されます。 ASA ユーザグループを定義するとき VPN を制限するのに週の間に特定時にそれらもアクセスします使用されています。

  41. 修正する > オブジェクト > トラフィックフロー。 トラフィックフロー オブジェクトを表示することを許可します。 これらのオブジェクトは PIX 7.x/ASA 7.x デバイスによる使用のための特定のトラフィックフローを定義します。

  42. 修正する > オブジェクト > URLリスト。 URLリスト オブジェクトを表示することを許可します。 これらのオブジェクトは正常なログインの後で門脈ページで表示する URL を定義します。 これは操作するとき Clientless アクセス モードで SSL VPN Webサイトで可能にします利用可能 なリソースにアクセスすることをユーザが。

  43. 修正する > オブジェクト > ユーザグループ。 ユーザグループ オブジェクトを表示することを許可します。 これらのオブジェクトは Easy VPN トポロジー、リモートアクセス VPN および SSL VPN で使用するリモートクライアントのグループを定義します

  44. 修正する > オブジェクト > WINS サーバ リスト。 WINS Server リスト オブジェクトを表示することを許可します。 これらのオブジェクトはリモート システムのファイルにアクセスするか、または共有するのに SSL VPN によって使用されている WINS サーバを表します。

  45. 修正する > オブジェクト > 内部- DN ルール。 DN ポリシーによって使用される DN ルールを表示することを許可します。 これはポリシー オブジェクト マネージャに現われない Security Manager が使用する内部オブジェクトです。

  46. 修正する > オブジェクト > 内部クライアント更新。 これがユーザグループ オブジェクトによって必要でポリシー オブジェクト マネージャに現われない内部オブジェクトです。

  47. 修正する > オブジェクト > 内部-標準 ACE。 これは ACL オブジェクトによって使用される標準アクセス制御エントリのための内部オブジェクトです。

  48. 修正する > オブジェクト > 内部-拡張 ACE。 これは ACL オブジェクトによって使用される拡張アクセス制御エントリのための内部オブジェクトです。

追加修正する権限

Security Manager は示されているように追加修正する権限が含まれています:

  1. 修正する > Admin。 Security Manager 管理上の設定を修正することを許可します。

  2. 修正する > Config Archive。 設定 の アーカイブのデバイスコンフィギュレーションを修正することを許可します。 さらに、それはコンフィギュレーションをアーカイブに追加し、設定 の アーカイブ ツールをカスタマイズすることを可能にします。

  3. 修正する > デバイス。 デバイスを追加し、削除することを許可しましたり、またデバイスのプロパティおよび属性を修正します。 追加されるデバイスのポリシーを検出するためにまたインポート権限を有効に して下さい。 さらに修正する > デバイス 権限を有効に したら、また割り当て > ポリシー > インターフェイス 権限を有効に することを確かめて下さい。

  4. 修正する > 階層。 デバイス グループを修正することを許可します。

  5. 修正する > トポロジー。 マップ ビューのマップを修正することを許可します。

権限を割り当てて下さい

Security Manager は示されているようにポリシー 割り当て権限が含まれています:

  1. > ポリシー > ファイアウォール割り当てて下さい。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスにファイアウォールサービス ポリシーを(ファイアウォールの下にポリシー セレクタにある)割り当てることを許可します。 ファイアウォールサービス ポリシーの例はアクセス規則、AAA ルールおよびインスペクション ルールが含まれています。

  2. > ポリシー > 侵入防御 システム割り当てて下さい。 IOSルータで動作する IPS にポリシーを含む IPS ポリシーを(IPS の下にポリシー セレクタにある)、割り当てることを許可します。

  3. > ポリシー > イメージ割り当てて下さい。 この権限は Security Manager によって現在使用されません。

  4. > ポリシー > NAT 割り当てて下さい。 PIX/ASA/FWSM デバイスおよび IOSルータにネットワークアドレス変換ポリシーを割り当てることを許可します。 NAT ポリシーの例は静的なルールおよびダイナミック ルールが含まれています。

  5. > ポリシー > サイト間VPN 割り当てて下さい。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスにサイト間VPN ポリシーを割り当てることを許可します。 サイト間VPN ポリシーの例は IKEプロポーザル、IPsec 提案および事前共有キーが含まれています。

  6. > ポリシー > リモートアクセス VPN 割り当てて下さい。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスにリモートアクセス VPN ポリシーを割り当てることを許可します。 リモートアクセス VPN ポリシーの例は IKEプロポーザル、IPsec 提案および PKI ポリシーが含まれています。

  7. > ポリシー > SSL VPN 割り当てて下さい。 SSL VPN ウィザードのような PIX/ASA/FWSM デバイスおよび IOSルータに SSL VPN ポリシーを、割り当てることを許可します。

  8. > ポリシー > インターフェイス割り当てて下さい。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスにインターフェイス ポリシーを(インターフェイスの下にポリシー セレクタにある)割り当てることを許可します:

    1. PIX/ASA/FWSM デバイスで、この権限はハードウェア ポートおよびインターフェイス設定をカバーします。

    2. IOSルータで、この権限は DSL、PVC、PPP およびダイヤラ ポリシーのような基本的な、高度インターフェイス設定、また他のインターフェース関連のポリシーを、カバーします。

    3. Catalyst 6500/7600 デバイスで、この権限はインターフェイスおよび VLAN の 設定をカバーします。

  9. > ポリシー > ブリッジ割り当てて下さい。 PIX/ASA/FWSM デバイスに ARPテーブル ポリシーを(プラットフォーム > ブリッジの下にポリシー セレクタにある)割り当てることを許可します。

  10. > ポリシー > デバイス 管理割り当てて下さい。 PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスにデバイス 管理ポリシーを(プラットフォーム > デバイス Admin の下にポリシー セレクタにある)割り当てることを許可します:

    1. PIX/ASA/FWSM デバイスで、例はデバイスアクセスがポリシングを行ないます、サーバアクセス ポリシーおよびフェールオーバー ポリシー含まれています。

    2. IOSルータで、例はデバイスアクセスが(を含む行アクセス)ポリシングを行ない、サーバアクセス ポリシー、AAA、保護しますデバイス提供を含まれています。

    3. IPS センサーで、この権限はデバイスアクセス ポリシーおよびサーバアクセス ポリシーをカバーします。

    4. Catalyst 6500/7600 デバイスで、この権限は IDSM 設定および VLANアクセス リストをカバーします。

  11. > ポリシー > 識別割り当てて下さい。 802.1X およびネットワーク アドミッション コントロール(NAC)ポリシーを含む Cisco IOS ルータに識別ポリシーを(プラットフォーム > 識別の下にポリシー セレクタにある)、割り当てることを許可します。

  12. > ポリシー > ロギング割り当てて下さい。 PIX/ASA/FWSM デバイスおよび IOSルータにロギング ポリシーを(プラットフォーム > ロギングの下にポリシー セレクタにある)割り当てることを許可します。 ロギング ポリシーの例はロギング セットアップ、サーバセットアップおよび syslog サーバ ポリシーが含まれています。

  13. > ポリシー > マルチキャスト割り当てて下さい。 PIX/ASA/FWSM デバイスにマルチキャスト ポリシーを(プラットフォーム > マルチキャストの下にポリシー セレクタにある)割り当てることを許可します。 マルチキャスト ポリシーの例はマルチキャストルーティングおよび IGMP ポリシーが含まれています。

  14. > ポリシー > QoS 割り当てて下さい。 Cisco IOS ルータに QoS ポリシーを(プラットフォーム > Quality of Service の下にポリシー セレクタにある)割り当てることを許可します。

  15. > ポリシー > ルーティング割り当てて下さい。 PIX/ASA/FWSM デバイスおよび IOSルータにルーティングポリシーを(プラットフォーム > ルーティングの下にポリシー セレクタにある)割り当てることを許可します。 ルーティングポリシーの例は OSPF、RIP およびスタティック ルーティング ポリシーが含まれています。

  16. > ポリシー > Security 割り当てて下さい。 PIX/ASA/FWSM デバイスにセキュリティポリシーを(プラットフォーム > Security の下にポリシー セレクタにある)割り当てることを許可します。 セキュリティポリシーはアンチスプーフィング、フラグメントおよびタイムアウト の 設定が含まれています。

  17. > ポリシー > サービス ポリシー ルール割り当てて下さい。 PIX 7.x/ASA デバイスにサービス ポリシー ルール ポリシーを(プラットフォーム > サービス ポリシー ルールの下にポリシー セレクタにある)割り当てることを許可します。 例はプライオリティキューがおよび IPS、QoS および接続ルール含まれています。

  18. > ポリシー > ユーザ設定割り当てて下さい。 PIX/ASA/FWSM デバイスに配備ポリシーを(プラットフォーム > ユーザ設定の下にポリシー セレクタにある)割り当てることを許可します。 このポリシーは配備のすべての NAT 変換をクリアするためのオプションが含まれています。

  19. > ポリシー > 仮想デバイス割り当てて下さい。 IPS デバイスに仮想 なセンサー ポリシーを割り当てることを許可します。 仮想 なセンサーを作成するのにこのポリシーを使用して下さい。

  20. > ポリシー > FlexConfig 割り当てて下さい。 FlexConfigs を割り当てることを許可します PIX/ASA/FWSM デバイス、IOSルータおよび Catalyst 6500/7600 デバイスに展開することができる指示および追加 CLI コマンドである。

注: 規定 するとき対応した表示権限を同様に選択したことを権限を、確かめます割り当てて下さい。

権限を承認して下さい

Security Manager は示されているように承認権限を提供します:

  1. > CLI 承認して下さい。 配置ジョブに含まれている CLI コマンド変更を承認することを許可します。

  2. > ポリシー承認して下さい。 ワークフロー アクティビティで設定されたポリシーに含まれているコンフィギュレーション変更を承認することを許可します。

CiscoWorks ロールの概要

ユーザが CiscoWorks Common Services で作成されるとき、彼ら 1つ以上のロールは割り当てられます。 各ロールと関連付けられる権限は各ユーザが Security Manager で実行するために許可されるオペレーションを判別します。

次のトピックは CiscoWorks ロールを記述します:

CiscoWorks Common Services 既定のロール

CiscoWorks Common Services は次の既定のロールが含まれています:

  1. ヘルプ デスク—ヘルプ デスク ユーザは(ない修正する)デバイス、ポリシー、オブジェクトおよびトポロジ マップを表示できます。

  2. ネットワーク オペレータ—ビュー許可に加えて、ネットワーク オペレータは CLI コマンドおよび Security Manager 管理上の設定を表示できます。 ネットワーク オペレータはまたデバイスに設定 の アーカイブおよび問題コマンドを(PING のような)修正できます。

  3. アプルーバ—表示権限に加えて、アプルーバは配備ジョブを承認するか、または拒否できます。 それらは配備を行うことができません。

  4. ネットワーク管理者—ネットワーク管理者に完全なビューがあり、管理上の設定の修正を除いて権限を、修正します。 彼らはおよびデバイスに問題コマンドをデバイスに割り当てるためにデバイスおよびこれらのデバイスで、ポリシー設定される検出、ポリシーをできます。 ネットワーク管理者はアクティビティか配備ジョブを承認できません; ただし、彼らは他の人々承認されたジョブを展開できます。

  5. システム アドミニストレータ—システム アドミニストレータにすべての Security Manager 権限に完全なアクセスが、デバイスへ修正を含んで、ポリシー 割り当て、アクティビティおよび Job Approval、ディスカバリ、配備、およびコマンドを発行することあります。

注: Common Services の追加ロールは、エクスポート データのような、追加アプリケーションがサーバでインストールされている場合表示するかもしれません。 エクスポート データ ロールはサードパーティの開発者のため、Security Manager によって使用されません。

ヒント:  CiscoWorks ロールの定義を変更できないがどのロールが各ユーザに割り当てられるか定義できます。 詳細については、CiscoWorks Common Services のユーザにロールを割り当てる方法を参照して下さい。

CiscoWorks Common Services のユーザにロールを割り当てる方法

CiscoWorks Common Services はどのロールが各ユーザに割り当てられるか定義することを可能にします。 ユーザ向けのロール定義の変更によって、このユーザが Security Manager で実行する許可されるオペレーションの種類を変更します。 たとえば、ヘルプ デスク ロールを割り当てればオペレーションを表示するために、ユーザは制限され、データを修正できません。 ただし、ネットワーク オペレータ ロールを割り当てれば、ユーザは設定 の アーカイブを変更またできます。 各ユーザに複数のロールを割り当てることができます。

注: ユーザー権限への変更を行なった後 Security Manager を再起動して下さい。

手順:

  1. Common Services で、> Security を『Server』 を選択 し、そして TOC から設定されるシングルサーバー信頼管理 > ローカルユーザを選択して下さい。

    ヒント: Security Manager 内からのローカルユーザ セットアップページに達するために、> Security マネージャ管理 > サーバ セキュリティを『Tools』 を選択 し、そしてローカルユーザ セットアップをクリックして下さい。

  2. チェックボックスを既存のユーザの隣で選択し、そして『Edit』 をクリック して下さい。

  3. User Information ページで、チェックボックスをクリックしてこのユーザに割り当てるためにロールを選択して下さい。

    各ロールに関する詳細については、CiscoWorks Common Services 既定のロールを参照して下さい。

  4. 変更を保存するために『OK』 をクリック して下さい。

  5. Security Manager を再起動して下さい。

Cisco Secure ACS ロールの概要

Cisco Secure ACS は Security Manager 権限をに設定できるアプリケーション特有のロールをサポートするので CiscoWorks がより柔軟性を管理すること提供します。 各ロールは Security Manager タスクに許可のレベルを判別する一組の権限より構成されています。 Cisco Secure ACS では、オペレーションを行うことをそのロールのために定義される権限によってそのグループの各ユーザが承認した可能にする各ユーザグループにロールを(オプションで、個々のユーザに同様に)割り当て。

さらに、Cisco Secure ACS デバイス グループにこれらのロールを割り当てることができまデバイスの異なるセットで区別されるように権限がします。

注: Cisco Secure ACS デバイス グループは Security Manager デバイス グループの依存しないです。

次のトピックは Cisco Secure ACS ロールを記述します:

Cisco Secure ACS 既定のロール

Cisco Secure ACS はこれらの追加ロールと CiscoWorks と同じロールが(CiscoWorks ロールを理解することを参照して下さい)、含まれています:

  1. セキュリティ アプルーバ—セキュリティ アプルーバは(ない修正する)デバイス、ポリシー、オブジェクト、マップ、CLI コマンドおよび管理上の設定を表示できます。 さらに、セキュリティ アプルーバはアクティビティに含まれているコンフィギュレーション変更を承認するか、または拒否できます。 彼らは配備ジョブを承認するか、または拒否できません配備を行うことができます。

  2. セキュリティ管理者—表示権限を持っていることに加えて、セキュリティ管理者はデバイス、デバイス グループ、ポリシー、オブジェクトおよびトポロジ マップを修正できます。 彼らはデバイスおよび VPN トポロジーにまたポリシーを割り当てることができシステムに新しいデバイスをインポートするためにディスカバリを行います。

  3. ネットワーク管理者—表示権限に加えて、ネットワーク管理者は設定 の アーカイブを変更し、デバイスに配備および問題コマンドを実行できます。

注: Cisco Secure ACS ネットワーク管理者の役割に含まれている権限は CiscoWorks ネットワーク管理者の役割に含まれているそれらと異なっています。 詳細については、CiscoWorks ロールの理解を参照して下さい。

CiscoWorks とは違って、Cisco Secure ACS は各 Security Manager ロールと関連付けられる権限をカスタマイズすることを可能にします。 既定のロールの修正に関する詳細については、Cisco Secure ACS ロールをカスタマイズすることを参照して下さい。

注: Cisco Secure ACS 3.3 またはそれ以降は Security Manager 許可のためにインストールする必要があります。

Cisco Secure ACS ロールのカスタマイズ

Cisco Secure ACS は各 Security Manager ロールと関連付けられる権限を修正することを可能にします。 また特定の Security Manager タスクに目標とされる権限で専門にされたユーザの役割を作成することによって Cisco Secure ACS をカスタマイズできます。

注: ユーザー権限への変更を行なった後 Security Manager を再起動して下さい。

手順:

  1. Cisco Secure ACS で、ナビゲーション バーで『Shared Profile Components』 をクリック して下さい。

  2. 共有コンポーネント ページの Security Manager を『Cisco』 をクリック して下さい。 Security Manager のために設定されるロールは表示する。

  3. 次のいずれかを実行してください。

    • ロールを作成するために、『Add』 をクリック して下さい。 ステップ 4 に進みます。

    • 既存のロールを修正するために、ロールをクリックして下さい。 手順 5 に進みます。

  4. ロールおよび、オプションで、説明の名前を入力して下さい。

  5. 権限ツリーのチェックボックスを選択し、このロールのための権限を定義するために選択解除して下さい

    ツリーのブランチにチェックボックスを選択することはそのブランチのすべての権限を選択します。 たとえば、選択は選択しますすべての割り当て権限を割り当てます

    Security Manager 権限の完全なリストに関しては、Security Manager 権限を参照して下さい。

    注: 『Modify』 を選択 するとき、権限を、また対応した表示権限を選択しなければなりません承認しますか、割り当てますか、インポートしますか、制御するか、または展開して下さい; さもなければ、Security Manager は適切に機能しません。

  6. Submit をクリックして、変更を保存します。

  7. Security Manager を再起動して下さい。

Security Manager の権限とロール間のアソシエーションをディフォルトして下さい

Security Manager 権限が Cisco Secure ACS の CiscoWorks Common Services ロールおよび既定のロールとどのように関連付けられるかこの表に示されています。

権限 ロール
System Admin セキュリティ Admin (ACS) セキュリティ アプルーバ(ACS) ネットワーク Admin (CW) ネットワーク Admin (ACS) アプルーバ ネットワーク オペレータ ヘルプ デスク
表示権限
デバイスを表示して下さい はい はい はい はい はい はい はい はい
ポリシーを表示して下さい はい はい はい はい はい はい はい はい
ビュー オブジェクト はい はい はい はい はい はい はい はい
トポロジーを表示して下さい はい はい はい はい はい はい はい はい
CLI を表示して下さい はい はい はい はい はい はい はい いいえ
Admin を表示して下さい はい はい はい はい はい はい はい いいえ
Config Archive を表示して下さい はい はい はい はい はい はい はい はい
デバイスマネージャを表示して下さい はい はい はい はい はい はい はい いいえ
修正する権限
修正する デバイス はい はい いいえ はい いいえ いいえ いいえ いいえ
修正する階層 はい はい いいえ はい いいえ いいえ いいえ いいえ
修正する ポリシー はい はい いいえ はい いいえ いいえ いいえ いいえ
修正する イメージ はい はい いいえ はい いいえ いいえ いいえ いいえ
修正するオブジェクト はい はい いいえ はい いいえ いいえ いいえ いいえ
修正する トポロジー はい はい いいえ はい いいえ いいえ いいえ いいえ
修正する Admin はい いいえ いいえ いいえ いいえ いいえ いいえ いいえ
修正する Config Archive はい はい いいえ はい はい いいえ はい いいえ
追加権限
ポリシーを割り当てて下さい はい はい いいえ はい いいえ いいえ いいえ いいえ
ポリシーを承認して下さい はい いいえ はい いいえ いいえ いいえ いいえ いいえ
CLI を承認して下さい はい いいえ いいえ いいえ いいえ はい いいえ いいえ
検出する(インポート) はい はい いいえ はい いいえ いいえ いいえ いいえ
導入 はい いいえ いいえ はい はい いいえ いいえ いいえ
Control はい いいえ いいえ はい はい いいえ はい いいえ
Submit はい はい いいえ はい いいえ いいえ いいえ いいえ

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 91762