セキュリティ : Cisco Security Manager

ACS との Security Manager の統合

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料に Cisco Secure Access Control Server (ACS)と Cisco Security Manager を統合方法を記述されています。

Cisco Secure ACS は管理された ネットワーク デバイスを設定するために管理アプリケーションを、Cisco Security Manager のような、利用するユーザ向けにコマンド許可を提供します。 コマンド許可のためのサポートは一組の権限が含まれている Cisco Security Manager のロールと呼ばれるユニークなコマンド許可セット型によって提供されます。 これらの権限は、また呼出された特権、特定のロールのユーザが Cisco Security Manager の内で行うことができる操作を判別します。

Cisco Secure ACS 使用 TACACS+ 管理アプリケーションと通信するため。 Cisco Secure ACS と通信する Cisco Security Manager に関しては TACACS+ を使用する AAA クライアントで Cisco Secure ACS の CiscoWorksサーバを設定して下さい。 さらに、Cisco Secure ACS にログイン するために使用するパスワードおよび管理者名前を CiscoWorksサーバに与えて下さい。 これらの必要条件を満たすとき、それは Cisco Security Manager と Cisco Secure ACS 間の通信の有効性を確認します。

Cisco Security Manager が Cisco Secure ACS と最初に通信するとき、Cisco ACS に Cisco Secure ACS HTMLインターフェイスの共有プロファイル コンポーネント セクションに現われる既定のロールの作成を定めます。 それはまた TACACS+ が承認されるカスタム サービスを定めます。 このカスタム サービスは HTMLインターフェイスのインターフェイスコンフィギュレーション セクションの TACACS+ (Cisco IOS か。)ページで書かれています。 そして各 Cisco Security Manager ロールに含まれている権限を修正し、ユーザおよびユーザグループにこれらのロールを適用できます。

それがサポートされないので ACS 5.2 と CSM を統合できません。

前提条件

要件

ことを Cisco Secure ACS を使用するために、確かめて下さい:

  • Cisco Security Manager で必要な機能を行うために必要なコマンドを含むロールを定義します。

  • プロファイルに NAR を適用する場合ネットワーク アクセス 制約事項(NAR)はそのデバイス グループ(かデバイスが)管理したいと思います含まれています。

  • 管理対象装置デバイス名は Cisco Secure ACS と Cisco Security Manager で全く同じに綴られ、大文字で書かれています。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Security Manager バージョン 3.0

  • Cisco Secure ACS バージョン 3.3

ネットワーク環境でインストールする前に互換性のある CSM および ACS バージョンを選択することを確かめて下さい。 たとえば、Cisco は CSM だけ 3.0 の ACS 3.3 をテストし、新しい CSM バージョンのために停止しました。 このように、ACS 3.3 と CSM 3.0 を使用するために推奨されます。 さまざまなソフトウェア バージョンに関する詳細については Compatabilty マトリクス テーブルを参照して下さい。

Cisco Security Manager バージョン テストされる CS ACS バージョン
3.0.0 3.0.0 SP1 Windows 3.3(3)および 4.0(1)
3.0.1 3.0.1 SP1 3.0.1 SP2 ソリューション エンジン 4.0(1) Windows 4.0(1)
3.1.0 3.0.2 ソリューション エンジン 4.0(1) Windows 4.1(1)および 4.1(3)
3.1.1 3.0.2 SP1 3.0.2 SP2 ソリューション エンジン v4.0(1) Windows 4.1(2)、4.1(3) および 4.1(4)
3.1.1 SP1 ソリューション エンジン 4.0(1) Windows 4.1(4)
3.1.1 SP2 ソリューション エンジン 4.0(1) Windows 4.1(4)および 4.2(0)
3.2.0 ソリューション エンジン 4.1(4) Windows 4.1(4)および 4.2(0)
3.2.1 ソリューション エンジン 4.1(4) Windows 4.2(0)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Cisco Secure ACS と Cisco Security Manager を統合

このセクションが Cisco Secure ACS と Cisco Security Manager を統合ために必要なステップを記述します。 いくつかのステップは複数の substeps が含まれています。 これらのステップおよび substeps は順序で実行された必要があります。 このセクションはまた各ステップを実行するために使用される特定の手順への参照を紹介しています。

次の手順を実行します。

  1. 管理認証および許可 モデルを計画して下さい。

    Cisco Security Manager を使用する前に管理モデルで決定して下さい。 使用するために計画するアカウントおよびこれにはは管理上 の 役割の定義が含まれています。

    ヒント: 潜在的な管理者のロールおよび権限を定義するとき、また作業の流れを有効に するためにかどうか考慮して下さい。 アクセスをどのように制限できるかこの選択影響。

  2. Cisco Secure ACS、Cisco Security Manager および CiscoWorks Common Services をインストールして下さい。

    Windows 2000 /2003 サーバで Cisco Secure ACS バージョン 3.3 をインストールして下さい。 別の Windows 2000 /Windows 2003 サーバで CiscoWorks Common Services および Cisco Security Manager をインストールして下さい。

    詳細は、次のドキュメントを参照してください。

  3. Cisco Secure ACS で統合手順を行って下さい。

    Cisco Security Manager ユーザを ACS ユーザと定義し、計画されたロールに基づいてユーザグループに割り当てて下さい AAA クライアントとして管理対象装置すべて(、また CiscoWorks/Security Manager サーバを)追加し、管理 制御 ユーザを作成して下さい。 Cisco Secure ACS で実行された詳細については統合手順を参照して下さい。

  4. CiscoWorks Common Services で統合手順を行って下さい。

    Cisco Secure ACS で定義される管理者と一致するローカルユーザを定義しことシステム識別セットアップ用の同じユーザ、AAA セットアップモードで設定します ACS を設定して下さい。

    CiscoWorks で実行された詳細については統合手順を参照して下さい。

  5. Cisco Secure ACS のユーザグループにロールを割り当てて下さい。

    Cisco Secure ACS の設定される各ユーザグループにロールを割り当てて下さい。 構成されたネットワーク デバイス グループ(NDGs)があるかどうかに左右される使用するプロシージャ。

    Cisco Secure ACS のユーザグループにロールを詳細については割り当てるために参照して下さい。

Cisco Secure ACS で実行された 統合手順

このセクションは Cisco Security Manager によってそれを統合ために Cisco Secure ACS で完了する必要があるステップを記述します:

  1. Cisco Secure ACS のユーザおよびユーザグループを定義して下さい

  2. Cisco Secure ACS の AAA クライアントとして管理対象装置を追加して下さい

  3. Cisco Secure ACS の管理 制御 ユーザを作成して下さい

Cisco Secure ACS のユーザおよびユーザグループを定義して下さい

Cisco Security Manager のすべてのユーザは Cisco Secure ACS で定義する必要があり、職務 権限に適切なロールを割り当てました。 これをする最も簡単な方法は ACS で利用可能 な各既定のロールに基づいて異なるグループにユーザを分けることです。 たとえば、別のグループに 1 グループにシステム アドミニストレータ全員を、すべてのネットワーク オペレータ、等割り当てて下さい。 ACS の既定のロールに関する詳細については Cisco Secure ACS 既定のロールを参照して下さい。

さらに、完全な権限によってシステム管理者ロールが割り当てられる追加ユーザを作成して下さい。 このユーザ向けに確立される資格情報は CiscoWorks でシステム識別セットアップページで使用される以降です。 システム識別ユーザを詳細については定義するために参照して下さい。

この段階で異なるグループにただユーザを割り当てることに注目して下さい。 これらのグループへのロールの実際の割り当ては、CiscoWorks の後に、実行された 以降 Cisco Security Manager であり、他のどのアプリケーションも Cisco Secure ACS に登録されています。

ヒント: 続行する前に、1 Windows 2000 /2003 サーバのインストール CiscoWorks Common Services および Cisco Security Manager。 別の Windows 2000 /2003 サーバで Cisco Secure ACS をインストールして下さい。

  1. Cisco Secure ACS へのログイン。

  2. 完全な権限でユーザを設定して下さい:

    1. ナビゲーション バーで『User Setup』 をクリック して下さい。

    2. User Setup ページで、新規 ユーザ向けの名前を入力し、そして『Add/Edit』 をクリック して下さい。

    3. ユーザセットアップの下でパスワード認証リストから認証方式を選択して下さい。

    4. 新規 ユーザ向けのパスワードを入力し、確認して下さい。

    5. 1 つをのでユーザが割り当てられるグループ 『Group』 を選択 して下さい。

    6. ユーザアカウントを作成するために『SUBMIT』 をクリック して下さい。

  3. 各 Cisco Security Manager ユーザ向けのステップ 2 を繰り返して下さい。 Cisco は各ユーザが割り当てられるロールに基づいてグループにユーザを分けることを推奨します:

    • グループ 1 —システム アドミニストレータ

    • グループ 2 —セキュリティ管理者

    • Group 3 —セキュリティ アプルーバ

    • グループ 4 —ネットワーク管理者

    • グループ 5 —アプルーバ

    • グループ 6 —ネットワーク オペレータ

    • グループ 7 —ヘルプ デスク

    各ロールと関連付けられるデフォルト 許可に関する詳細については表を参照して下さい。 ユーザの役割のカスタマイズに関する詳細については Cisco Secure ACS ロールのカスタマイズを参照して下さい。

    権限 ロール
    System Admin セキュリティ Admin(ACS) セキュリティ Approver(ACS) ネットワーク Admin(CW) ネットワーク Admin(ACS) アプルーバ ネットワーク オペレータ ヘルプ デスク
    表示権限
    デバイスを表示して下さい
    ポリシーを表示して下さい
    ビュー オブジェクト
    トポロジーを表示して下さい
    CLI を表示して下さい なし
    Admin を表示して下さい なし
    Config Archive を表示して下さい
    デバイスマネージャを表示して下さい なし
    修正する権限
    修正する デバイス なし なし なし なし なし
    修正する階層 なし なし なし なし なし
    修正する ポリシー なし なし なし なし なし
    修正する イメージ なし なし なし なし なし
    修正するオブジェクト なし なし なし なし なし
    修正する トポロジー なし なし なし なし なし
    修正する Admin なし なし なし なし なし なし なし
    修正する Config Archive なし なし なし
    追加権限
    ポリシーを割り当てて下さい なし なし なし なし なし
    ポリシーを承認して下さい なし なし なし なし なし なし
    CLI を承認して下さい なし なし なし なし なし なし
    Discover(Import) なし なし なし なし なし
    導入 なし なし なし なし なし
    Control なし なし なし なし
    Submit なし なし なし なし なし

    この段階では、グループ自身はロール定義なしにユーザの収集です。 統合プロセスを完了した後各グループにロールを割り当てます。 Cisco Secure ACS のユーザグループにロールを詳細については割り当てるために参照して下さい。

  4. 追加ユーザを作成し、システム アドミニストレータ グループにこのユーザを割り当てて下さい。 このユーザ向けに確立される資格情報は CiscoWorks でシステム識別セットアップページで使用される以降です。 システム識別ユーザを詳細については定義するために参照して下さい。

  5. 追加します Cisco Secure ACS の AAA クライアントとして管理対象装置を続けて下さい。

Cisco Secure ACS の AAA クライアントとして管理対象装置を追加して下さい

Cisco Security Manager にデバイスをインポートし始めることができる前に Cisco Secure ACS の AAA クライアントで最初に各デバイスを設定して下さい。 さらに、AAA クライアントで CiscoWorks/Security Manager サーバを設定して下さい。

Cisco Security Manager がファイアウォール デバイスで設定されるセキュリティ コンテキストを管理する場合 Catalyst 6500/7600 デバイスのための FWSMs でセキュリティ コンテキストが設定した含まれている、各コンテキストは Cisco Secure ACS にそれぞれ追加する必要があります。

ネットワーク デバイス グループ(NDGs)が付いているデバイスの特定のセットを管理するためにユーザを制限したいと思うかどうか管理対象装置を追加するためにに左右される使用する方式。 これらのセクションの 1 つを参照して下さい:

NDGs なしで AAA クライアントとしてデバイスを追加して下さい

このプロシージャは Cisco Secure ACS の AAA クライアントとしてデバイスを追加する方法を記述します。 すべての利用可能 な オプションについての完全情報に関してはネットワークコンフィギュレーションAAA Client Configuration セクションを参照して下さい。

AAA クライアントとして CiscoWorks/Security Manager サーバを追加することを忘れないようにして下さい。

  1. Cisco Secure ACS ナビゲーション バーで『Network Configuration』 をクリック して下さい。

  2. AAA クライアント 表の下で『Add Entry』 をクリック して下さい。

  3. Client ページ追加 AAA の AAA クライアント ホスト名を- (32 文字まで)入力して下さい。 AAA クライアントのホスト名は Cisco Security Manager でデバイスのために使用するために計画する表示名を一致する必要があります。

    たとえば、Cisco Security Manager のデバイス名にドメイン名を追加 するように意図すれば ACS の AAA クライアント ホスト名は <device_name>.<domain_name> である必要があります。

    CiscoWorksサーバを指名するとき、完全修飾ホスト名を使用することを推奨します。 ホスト名を正しく綴ることを忘れないでいて下さい。 ホスト名は大文字/小文字の区別がありません。

    セキュリティ コンテキストを指名するとき、デバイス名にコンテキストネーム(_<context_name>)を追加 して下さい。 FWSMs に関しては、これは命名規則です:

    • FWSM ブレード— <chassis_name>_FW_<slot_number>

    • セキュリティ context — <chassis_name>_FW_<slot_number>_<context_name>

  4. AAA クライアントIPアドレス フィールドでネットワークデバイスの IP アドレスを入力して下さい。

  5. Key フィールドで共有秘密を入力して下さい。

  6. リストを使用して認証するから『TACACS+ (Cisco IOS)』 を選択 して下さい。

  7. 変更を保存するために『SUBMIT』 をクリック して下さい。 追加したデバイスは AAA クライアント 表に現われます。

  8. ステップ 1 〜 7 を追加デバイスを追加するために繰り返して下さい。

  9. すべてのデバイスを追加した後、『Submit + Restart』 をクリック して下さい。

  10. 作成します Cisco Secure ACS の管理 制御 ユーザを続けて下さい。

Security Manager の使用のためのネットワーク デバイス グループを設定して下さい

Cisco Secure ACS は管理されるべき特定のデバイスが含まれているネットワーク デバイス グループ(NDGs)を設定することを可能にします。 たとえば、組織構造を一致する各地域のための NDGs を作成できます。 デバイスに基づいて権限の異なるレベルをユーザに Cisco Security Manager によって使用されたとき、与えるのに、NDGs イネーブル管理する必要があります。 たとえば、NDGs とアジアでいるデバイスにヨーロッパおよびヘルプ デスク権限にいるデバイスにユーザ A システム管理者の権限を割り当てることができます。 ユーザ B.にそれから反対権限を割り当てることができます。

NDGs はユーザに直接割り当てられません。 むしろ、NDGs は各ユーザグループのために定義するロールに割り当てられます。 各 NDG は単一ロールだけに割り当てることができます各ロールは多重 NDGs を含むことができます。 これらの定義は選択したユーザ グループのための設定の一部として保存されます。

これらのトピックが NDGs を設定するために必要な基本的な手順の輪郭を描きます:

NDG 機能をアクティブにして下さい

NDGs を作成し、デバイスによってそれらを読み込むことができる前に NDG 機能をアクティブにして下さい。

  1. Cisco Secure ACS ナビゲーション バーで『Interface Configuration』 をクリック して下さい。

  2. 『Advanced Options』 をクリック して下さい。

  3. スクロールし、そしてネットワーク デバイス グループ チェックボックスをチェックして下さい。

  4. [Submit] をクリックします。

  5. 作成します NDGs を続けて下さい。

NDGs を作成して下さい

このプロシージャは NDGs を作成しデバイスによってそれらを読み込む方法を記述します。 各デバイスは 1 NDG だけに属することができます。

Cisco は CiscoWorks/Security Manager サーバが含まれている特別な NDG を作成することを推奨します。

  1. ナビゲーション バーで『Network Configuration』 をクリック して下さい。

    すべてのデバイスは割り当てられないの下で最初に配置されます、NDG で配置されなかったすべてのデバイスを保持する。 留意して下さい割り当てられなくて NDG が。

  2. NDGs を作成して下さい:

    1. 『Add Entry』 をクリック して下さい。

    2. 新しいネットワーク デバイス グループ ページの NDG の名前を入力して下さい。 最大長は 24 文字です。 領域は許可されます。

    3. バージョン 4.0 または それ 以降と場合のオプションの: すべてのデバイスが使用される NDG でキーを入力して下さい。 NDG のためのキーを定義する場合、NDG の個々のデバイスのために定義されるキーを無効にします。

    4. NDG を保存するために『SUBMIT』 をクリック して下さい。

    5. ステップ a から d をより多くの NDGs を作成するために繰り返して下さい。

  3. デバイスとの NDGs を読み込んで下さい:

    1. ネットワーク デバイス グループ エリアの NDG の名前をクリックして下さい。

    2. AAA クライアント エリアで『Add Entry』 をクリック して下さい。

    3. NDG に追加するためにデバイスの点を定義しそして『SUBMIT』 をクリック して下さい。 NDGs なしで AAA クライアントとしてデバイスを詳細については追加するために参照して下さい。

    4. NDGs にデバイスの残りを追加するためにステップ b および c を繰り返して下さい。 割り当てられなかったカテゴリに離れることができる唯一のデバイスはデフォルト AAAサーバです。

    5. 最後のデバイスを設定した後、『Submit + Restart』 をクリック して下さい。

  4. 作成します Cisco Secure ACS の管理 制御 ユーザを続けて下さい。

Cisco Secure ACS の管理 制御 ユーザを作成して下さい

使用する管理者 アカウントを定義するために Cisco Secure ACS で管理 制御 ページを使用して下さい CiscoWorks Common Services の AAA セットアップモードを定義した場合。 CiscoWorks の AAA セットアップモードを詳細については設定するために参照して下さい。

  1. Cisco Secure ACS ナビゲーション バーのコントロールを『管理』 をクリック して下さい。

  2. 管理者を『Add』 をクリック して下さい。

  3. 追加管理者 ページで、管理者のための名前およびパスワードを入力して下さい。

  4. この管理者に完全な管理許可を提供するためにアドミニストレーター特権 エリアのアクセス許可をすべてクリックして下さい。

  5. 管理者を作成するために『SUBMIT』 をクリック して下さい。

管理者を設定するとき利用可能 な オプションに関する詳細については管理者および管理方針を参照して下さい。

CiscoWorks で実行された 統合手順

このセクションは CiscoWorks Common Services で完了するようにステップを Cisco Security Manager によってそれを統合ために記述します:

Cisco Secure ACS で実行された 統合手順を完了した後これらのステップを完了して下さい。 Common Services は Cisco Secure ACS に Cisco Security Manager、Auto Update Server および IPS マネージャのようなあらゆるインストール アプリケーションの実際の登録を、行います。

CiscoWorks のローカルユーザを作成して下さい

Cisco Secure ACS で以前に作成した管理者を複写するローカルユーザアカウントを作成するために CiscoWorks Common Services でローカルユーザ セットアップページを使用して下さい。 このローカルユーザアカウントはシステム識別セットアップに使用する以降です。 詳細については参照して下さい。

続行する前に、Cisco Secure ACS の管理者を作成して下さい。 Cisco Secure ACS のユーザおよびユーザグループを手順については定義するために参照して下さい。

  1. デフォルト管理者ユーザ ユーザー アカウントの CiscoWorks にログイン して下さい。

  2. > Security を Common Services から『Server』 を選択 し、そして TOC から設定されるローカルユーザを選択して下さい。

  3. [Add] をクリックします。

  4. Cisco Secure ACS の管理者を作成したときに入力した同じ名前をおよびパスワードを入力して下さい。 ステップ 4 が Cisco Secure ACS のユーザおよびユーザグループを定義するのを参照して下さい。

  5. エクスポート データを除くロールの下ですべてのチェックボックスをチェックして下さい。

  6. ユーザを作成するために『OK』 をクリック して下さい。

システム識別ユーザを定義して下さい

同じサーバにある申込 手続きおよび同じドメインの一部であるサーバ間のコミュニケーションを有効に する システム識別ユーザとして知られている信頼ユーザを作成するために CiscoWorks Common Services でシステム識別セットアップページを使用して下さい。 アプリケーションはローカルかリモート CiscoWorksサーバのプロセスを認証するためにシステム識別ユーザを使用します。 これはどのユーザでもログオンした前にアプリケーションが同期する必要があるとき特に役立ちます。

さらにサブタスクを行うため、プライマリ タスクがログイン ユーザ向けに既に承認されているときシステム識別ユーザは頻繁に使用されるです。 たとえば、Cisco Security Manager のデバイスを編集するために、Cisco Security Manager と Common Services DCR の間で interapplication 通信が必要となります。 ユーザが編集タスクを行うために許可された後 DCR を呼び出すためにシステム識別ユーザは使用されます。

ここに設定するシステム識別ユーザは ACS で設定した管理上の(完全な)権限のユーザと同一いる必要があります。 そうする失敗は Cisco Security Manager で設定されるすべてのデバイスおよびポリシーを表示する不可能という結果に終る場合があります。

続行する前に、CiscoWorks Common Services のこの管理者と同じ名前およびパスワードでローカルユーザを作成して下さい。 CiscoWorks のローカルユーザを手順については作成するために参照して下さい。

  1. > Security を『Server』 を選択 し、そして TOC から設定されるマルチサーバ信頼管理 > システム識別を選択して下さい。

  2. Cisco Secure ACS のために作成した管理者の名前を入力して下さい。 ステップ 4 が Cisco Secure ACS のユーザおよびユーザグループを定義するのを参照して下さい。

  3. このユーザ向けのパスワードを入力し、確認して下さい。

  4. [Apply] をクリックします。

CiscoWorks の AAA セットアップモードを設定して下さい

AAAサーバと Cisco Secure ACS を定義するために必須ポートおよび共有秘密 キーが含まれている CiscoWorks Common Services で AAA セットアップモード ページを使用して下さい。 さらに、2 つまでのバックアップサーバを定義できます。

これらのステップは Cisco Secure ACS に CiscoWorks の実際の登録を、Cisco Security Manager、IPS マネージャ(オプションで、Auto Update Server)行い。

  1. > Security を『Server』 を選択 し、そして TOC から設定される AAA モードを選択して下さい。

  2. 利用可能 な ログイン モジュールの下で TACACS+ チェックボックスをチェックして下さい。

  3. AAA 型として ACS を選択して下さい。

  4. サーバ 詳細 エリアで 3 つまでの Cisco Secure ACS サーバの IP アドレスを入力して下さい。 プライマリ サーバが壊れたセカンダリおよび第三サーバはバックアップとして機能します。

    すべての設定された TACACS+ サーバが応答しない場合 AAA モードを戻して下さい非 ACS/CiscoWorks ローカルに admin CiscoWorks ローカルアカウントのログイン。 TACACS+ サーバが保守するために復元する後 ACS に AAA モードを戻して下さい。

  5. ログイン エリアでは、Cisco Secure ACS の管理 制御 ページで定義した管理者の名前を入力して下さい。 Cisco Secure ACS の管理 制御 ユーザを詳細については作成するために参照して下さい。

  6. この管理者のためのパスワードを入力し、確認して下さい。

  7. Cisco Secure ACS の AAA クライアントとして Security Manager サーバを追加したときに入力した共有秘密 キーを入力し、確認して下さい。 ステップ 5 が NDGs なしで AAA クライアントとしてデバイスを追加するのを参照して下さい。

  8. Cisco Secure ACS の Cisco Security Manager および他のどのインストール アプリケーションも登録するために ACS チェックボックスによってレジスタをすべてのインストール アプリケーション チェックして下さい。

  9. Apply をクリックして、設定を保存します。 経過表示バーは登録の進行状況を表示する。 登録が完了するとメッセージが現れます。

  10. あらゆる ACS バージョンと Cisco Security Manager を統合場合、Cisco Security Manager デーモン 管理 プログラム サービスを再開して下さい。 手順については再始動をデーモン 管理 プログラム参照して下さい。

    CSM 3.0.0 の後で、Cisco は ACS 3.3(x) ともはや重く修正され、End of Life (EOL)がアナウンスされたのでテストしません。 従って、CSM バージョン 3.0.1 および それ 以降のために適切な ACS バージョンを使用する必要があります。 詳細については互換性マトリクス テーブルを参照して下さい。

  11. 各ユーザグループにロールを割り当てるために Cisco Secure ACS に再び記録 して下さい。 Cisco Secure ACS のユーザグループにロールを手順については割り当てるために参照して下さい。

    ここに設定される AAA セットアップは CiscoWorks Common Services か Cisco Security Manager をアンインストールする場合保たれません。 さらに、この設定は再インストールの後でバックアップされ、復元することができません。 従って、どちらかのアプリケーションの新しい バージョンにアップグレードすれば、AAA セットアップモードを再構成し、ACS の Cisco Security Manager を再登録して下さい。 差分更新にこのプロセスが必要となりません。 CiscoWorks の上に追加アプリケーションを、AUS のような、インストールすれば、新規アプリケーションおよび Cisco Security Manager を再登録して下さい。

デーモン 管理 プログラムを再起動して下さい

このプロシージャは Cisco Security Manager サーバのデーモン 管理 プログラムを再起動する方法を記述します。 実施されるために設定した AAA 設定のためにこれをして下さい。 Cisco Secure ACS で定義される資格情報が付いている CiscoWorks に再びそれから記録できます。

  1. Cisco Security Manager サーバがインストールされているマシンにログイン して下さい。

  2. Services ウィンドウを開くために Start > Programs > Administrative Tools > Services の順に選択 して下さい。

  3. 右のペインで表示する サービスのリストから Security Manager デーモン 管理 プログラムを『Cisco』 を選択 して下さい。

  4. ツールバーの Restart Service ボタンをクリックして下さい。

  5. 割り当てます Cisco Secure ACS のユーザグループにロールを続けて下さい。

Cisco Secure ACS のユーザグループにロールを割り当てて下さい

Cisco Secure ACS に CiscoWorks、Cisco Security Manager および他のインストール アプリケーションを登録した後、Cisco Secure ACS で前もって設定したユーザグループのそれぞれにロールを割り当てることができます。 これらのロールは各グループのユーザが Cisco Security Manager で実行することができる操作を判別します。

NDGs は使用されるかどうかユーザグループにロールを割り当てるためにに左右される使用するプロシージャ:

NDGs なしでユーザグループにロールを割り当てて下さい

このプロシージャは NDGs が定義されないときユーザグループに既定のロールを割り当てる方法を記述します。 詳細については Cisco Secure ACS 既定のロールを参照して下さい。

続行する前に:

次の手順を実行します。

  1. Cisco Secure ACS へのログイン。

  2. ナビゲーション バーで『Group Setup』 をクリック して下さい。

  3. リストからシステム アドミニストレータにユーザグループを選択して下さい。 Cisco Secure ACS の Define ユーザおよびユーザグループのステップ 2 を参照し、そして『Edit Settings』 をクリック して下さい。

ユーザグループと NDGs およびロールを関連付けて下さい

Cisco Security Manager に於いての使用のための役割と NDGs を関連付けるとき、Group Setup ページの 2 つの場所の定義を作成して下さい:

  • CiscoWorks エリア

  • Cisco Security Manager エリア

各 エリアの定義はできるだけ確実に一致する必要があります。 CiscoWorks Common Services にないカスタム ロールをか ACS ロールを関連付けるとき、そのロールに割り当てられる権限に可能な限り基づいてとしてと閉じます等量定義することを試みて下さい。

Cisco Security Manager によって使用されるべき各ユーザグループのためのアソシエーションを作成して下さい。 たとえば、西部領域のためのサポート 要員が含まれているユーザグループがあれば、そのユーザグループを選択できましたりそしてヘルプ デスク ロールのその領域でデバイスが含まれている NDG を関連付けます。

続行する前に、NDG 機能をアクティブにし、NDGs を作成して下さい。 ネットワーク デバイス グループを詳細については Security Manager の使用については設定するために参照して下さい。

  1. ナビゲーション バーで『Group Setup』 をクリック して下さい。

  2. ユーザグループをグループ リストから選択し、そして『Edit Settings』 をクリック して下さい。

  3. CiscoWorks の使用のための NDGs およびロールをマッピング して下さい:

    1. Group Setup ページで、TACACS+ 設定の下で CiscoWorks エリアにスクロールして下さい。

    2. 割り当てますネットワーク デバイス グループ基礎ごとの a の CiscoWorks を選択して下さい。

    3. デバイス グループ リストから NDG を選択して下さい。

    4. この NDG が第 2 リストから関連付けられるロールを選択して下さい。

    5. アソシエーションを『Add』 をクリック して下さい。 アソシエーションはデバイス グループ グループ ボックスに現われます。

    6. ステップ c から e を追加アソシエーションを作成するために繰り返して下さい。

      アソシエーションを取除くために、それをデバイス グループから選択し、そしてアソシエーションを『Remove』 をクリック して下さい。

  4. Cisco Security Manager エリアにスクロールし、ステップ 3.で定義されたアソシエーションできるだけ確実に一致したアソシエーションを作成して下さい。

    Cisco Secure ACS のセキュリティ アプルーバまたはセキュリティ管理者ロールを選択するとき、CiscoWorks 最も密接な同等のロールとしてネットワーク管理者を選択することが推奨されます。

  5. 設定を保存するために『SUBMIT』 をクリック して下さい。

  6. ステップ 2 〜 5 をユーザグループの残りのための NDGs を定義するために繰り返して下さい。

  7. 各ユーザグループと NDGs およびロールを関連付けた後、『Submit + Restart』 をクリック して下さい。

トラブルシューティング

  1. Cisco Security Manager にデバイスをインポートし始めることができる前に Cisco Secure ACS の AAA クライアントで最初に各デバイスを設定して下さい。 さらに、AAA クライアントで CiscoWorks/Security Manager サーバを設定して下さい。

  2. 受け取れば試行失敗は Cisco Secure ACS のエラーとの失敗する記録 しましたり、書きます。

    "service=Athena cmd=OGS authorize-deviceGroup*(Not Assigned) authorize-deviceGroup*Test
    Devices authorize-deviceGroup*HQ Routers authorize-deviceGroup*HQ Switches
    authorize-deviceGroup*HQ Security Devices authorize-deviceGroup*Agent Routers authoriz"

    ACS のデバイスの名前が完全修飾ドメイン ネームである必要があることをこの問題を解決するために、確かめて下さい。


関連情報


Document ID: 99749