セキュリティ : Cisco Security Manager

ACS の CSM 認証およびローカル RBAC 設定例の許可

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料が Access Control Server (ACS)バージョン 5.x との Cisco Security Manager (CSM)バージョン 4.3/4.4 を認証するために必要なステップを記述したものです。 この設定では、ユーザ認証は ACS によって許可が基づいたアクセスコントロール(RBAC)機能ローカル ロールのの CSM で管理される間、管理されます。

Aastha Chaudhary、Harisha Gunna、およびタッド プーラによって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • 認証、許可、アカウンティング(AAA)の基本的な知識
  • CSM サーバおよびデバイス 管理
  • ACS バージョン 5.x の認証 および 権限ポリシー設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • CSM バージョン 4.4
  • ACS バージョン 5.4

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

CSM の前のバージョンでは、外部認証および許可 サービスは ACS バージョン 4.x だけと可能性のあるでした。 ACS バージョン 5.x の使用はテストされませんでしたし、または公式のサポートを提供されませんでした。 ACS バージョン 4.x 統合は頻繁に ACS および CSM ネットワーク デバイス の 設定の手動同期を必要としたのでスケーリングしにくかったです。 この管理上の負担を克服するために、ローカル RBAC 機能は CSM バージョン 4.3 および それ 以降に直接統合。 CSM 両方バージョン 4.3/4.4 および ACS バージョン 5.x が展開される実働配置では、2 サービス ユーザー 認証を外部に統合、CSM で粒状許可ポリシーをローカルで維持することは現在可能性のあるです。

設定

ACS サーバを設定して下さい

ACS サーバを設定するためにこれらのステップを完了して下さい:

  1. ACS バージョン 5.x 管理上の GUI から、ネットワークリソース > ネットワークデバイスおよび AAA クライアントへのナビゲートはネットワーク アクセス デバイス(NAD)として > 作成し、CSM サーバを追加します。 TACACS+ がネットワークデバイス 認証のために一般には、RADIUS を必要であれば使用するために使用されるが ACS および CSM は両方設定することができます。

  2. ユーザおよび識別へのナビゲートは > 内部識別ストア > Users 保存し、CSM アクセスのための新しいローカルユーザを作成します。 CSM_Admins のような識別グループとユーザアカウントを、要求に応じて関連付けて下さい。 また、外部識別ストアは、アクティブ ディレクトリのような、使用することができます。

  3. アクセスポリシー > アクセスへのナビゲートは > デフォルト デバイ Admin > 識別保守し、ユーザ認証に使用するべき識別ソースを関連付けます。 この例では、内部ユーザ識別ソースは CSM ユーザアカウントが ACS でローカルで定義されるので選択されます。 外部識別ソースはアクティブ ディレクトリとそれを統合とき選択することができます。

  4. アクセスポリシー > アクセスへのナビゲートは > デフォルト デバイ Admin > 許可保守し、ユーザ識別グループへの割り当てアクセスが以前に定義した承認ポリシーを設定します(CSM_Admins)。 実際の承認ポリシーが CSM サーバでローカルで定義されたり/実施されるのに ACS 注文処理にこれが必要となります。

CSM CiscoWorks Common Services を設定して下さい

CSM CiscoWorks Common Services を設定するためにこれらのステップを完了して下さい: 

  1. CSM サーバ デスクトップの Cisco Security Manager アイコンをダブルクリックして下さい。 また、Tools > Security マネージャ管理 > CSM コンフィギュレーションマネージャ クライアントとのサーバーのセキュリティへのナビゲート CSM Common Services 内のサーバーのセキュリティ ツールが後部処理する起動を交差させるため。

  2. CSM 管理上のユーザーの資格情報を入力し、『Login』 をクリック して下さい。 Ciscoセキュリティ 管理スイート起動ページからサーバ管理 オプションを選択して下さい。

  3. ナビゲート し、ローカル RBAC をおよび TACACS+RADIUS はサーバ > Security > AAA モード セットアップに選択します。 ログオン サーバ設定を編集するために『Change』 をクリック して下さい。

  4. ログオン サーバIP か完全修飾ドメイン名 (FQDN)、ポートおよび事前共有キー入力して下さい。 正常な動作の下で、ACS サーバが到達不能 CSM にフォールバック アクセスを許可するためにログイン フォールバックオプション設定を変更しないで下さい。 デフォルトで、フォールバック アクセスのためのローカル CSM 管理上のユーザアカウントは定義されます。 変更が必要である場合 CSM サーバの偶然ロックアウトを防ぐために、注意は奪取 する必要があります。

  5. サーバ > シングルサーバー管理 > ローカルユーザ セットアップにナビゲート し、ACS で定義された内部または外部ユーザ ユーザー アカウントを一致する ローカルユーザアカウントを作成するために『Add』 をクリック して下さい。 ユーザ名は大文字/小文字の区別があり、ACS を完全に一致する必要があります。 これらは CSM ローカル RBAC 許可ロールにローカルで定義されたアカウントそれからマッピング されます。 システム アドミニストレータのような特定のロールはタスク 許可 分離のために選択することができますまたはユーザはデバイスのサブセットに十分にまたは制限された アクセス提供することができます。 タスク 許可およびロールについての CSM 4.4 インストレーションガイドのセクション CiscoWorks Common Services 既定のロールの詳細については参照して下さい。


設定して下さい未定義ユーザ(オプションの)向けのデフォルト 許可ロールを

未定義ユーザ向けのデフォルト許可ロールを設定するためにこれらのステップを完了して下さい:

  1. いくつかの CSM 配備では、CSM と ACS 間のワン・フォー・ワン ユーザ マッピングを維持することは便利ではないです。 代替的アプローチはローカル CSM データベースで現在のユーザ向けに CSM の許可ロールの既定のセットを割り当てることです。

  2. デフォルト許可ロールを設定し、CSM サーバ デスクトップの Cisco Security Manager アイコンをダブルクリックし、サーバ管理 オプションを起動ページから選択するため。

  3. サーバ > シングルサーバー管理 > ロール管理セットアップへのナビゲート。 デフォルトで、ヘルプ デスク ロール指定既定のロールは割り当てられます。 この指定を変更するために、1つ以上の役割をチェックし、Set as Default ボタンをクリックして下さい。

  4. この機能を有効に するために、Tools > Security マネージャ管理 > 設定 Mananger クライアントとのサーバーのセキュリティにナビゲート し、ローカルユーザデータベースで使用不可能なユーザー ID があるように割り当てログオンと分類されるチェックボックスを確認して下さい。 設定を保存するために『SAVE』 をクリック して下さい。

確認

このセクションでは、設定が正常に機能していることを確認します。

  • TACACS+ か RADIUS認証を CSM ユーザが設定された識別ストアに対して認証を受けられるかどうか識別するためにログオンします ACS サーバを検討して下さい。

  • CSM ユーザが定義されるタスク 許可ロール内の利用可能 な タスクを行えることを確認して下さい。 たとえば、システム管理者ロールのユーザとしてログインは CSM コンポーネントに新しいデバイスを追加することを試み。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

  1. そのようなエラーはこれらローカル RBAC ポリシーによって実行するために承認されないタスクを行うように試みたことを示します。


  2. 管理上のユーザとして CSM サーバ管理 インターフェイスへのログインおよびサーバ > シングルサーバー管理 > ローカルユーザ セットアップへのナビゲート 疑わしいユーザアカウントを編集し、ユーザ向けに定義されるタスク承認ポリシーを検討して下さい。 CSM 定義されたロールを使用するとき、よりよく各ロールのための権限を理解するために CSM 4.4 インストレーションガイドのセクション CiscoWorks Common Services 既定のロールの検討するようにして下さい。 たとえば、システム管理者ロールはすべての CSM クライアント関数に極度の Admin が CiscoWorks バックエンド オペレーションにだけアクセスを提供する間、完全なアクセスを提供します。

  3. 必要であれば、新しいロールは粒状承認ポリシー制御を提供するために定義される編集することができ、既定のロール。 追加するために/CSM サーバマネージャ inteface に、ログインおよびサーバ > シングルサーバー管理 > ロール管理セットアップにナビゲート編集して下さい。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116209