Seguridad : Cisco Security Manager

Integración de Security Manager con ACS

28 Enero 2009 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (25 Septiembre 2008) | Comentarios

Contenidos

Introducción
Prerrequisitos
      Requisitos
      Componentes Utilizados
      Convenciones
Integre Cisco Security Manager con Cisco Secure ACS
Procedimientos de Integración Realizados en Cisco Secure ACS
      Defina Usuarios y Grupos de Usuarios en el Cisco Secure ACS
      Agregue los Dispositivos Administrados como Clientes AAA en Cisco Secure ACS
      Agregue los Dispositivos como Clientes AAA sin NDGs
      Configure Grupos de Dispositivos de Red para Uso en Security Manager
Procedimientos de Integration Realizados en CiscoWorks
      Cree un Usuario Local en CiscoWorks
      Defina el Usuario de Identidad del Sistema
      Configure AAA Setup Mode en CiscoWorks
      Reinicie el Daemon Manager
Asigne Roles a Grupos en Cisco Secure ACS
      Asigne Roles a Grupos de Usuarios sin NDGs
      Asocie NDGs y Roles con Grupos de Usuarios
Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento describe cómo integrar Cisco Security Manager con Cisco Secure Access Control Server (ACS).

Cisco Secure ACS ofrece autorización de comandos a usuarios que utilizan aplicaciones de administración, como Cisco Security Manager, para configurar dispositivos de red administrados. El soporte para la autorización de comandos es proporcionado por tipos de conjuntos de autorización de comandos únicos, llamados roles en Cisco Security Manager, que contienen un conjunto de permisos. Estos permisos, también llamados privilegios, determinan las acciones que los usuarios con un rol particular pueden ejecutar en Cisco Security Manager.

Cisco Secure ACS utiliza TACACS+ para comunicarse con aplicaciones de administración. Para que Cisco Security Manager se comunique con Cisco Secure ACS, debe configurar el servidor CiscoWorks en Cisco Secure ACS como un cliente AAA que utiliza TACACS+. También debe proporcionarle al servidor CiscoWorks el nombre del administrador y la contraseña que usa para iniciar sesión en Cisco Secure ACS. El cumplimiento de estos requisitos asegura la validez de las comunicaciones entre Cisco Security Manager y Cisco Secure ACS.

Cuando Cisco Security Manager se comunica inicialmente con Cisco Secure ACS, indica al Cisco ACS la creación de roles predeterminados, que aparecen en la sección Shared Profile Components de la interfaz HTML de Cisco Secure ACS. Además indica que TACACS+ autorice un servicio personalizado. Este servicio personalizado aparece en la página de TACACS+ (Cisco IOS®) en la sección Interface Configuration de la interfaz HTML. Luego, usted podrá modificar los permisos incluidos en cada rol de Cisco Security Manager y aplicar estos roles a los usuarios y grupos de usuarios.

Prerrequisitos

Requisitos

Para utilizar Cisco Secure ACS, asegúrese de que:

  • Usted define los roles que incluyen los comandos requeridos para realizar las funciones necesarias en Cisco Security Manager.

  • Network Access Restriction (NAR) incluye el grupo de dispositivos (o los dispositivos) que desea administrar, si aplica una NAR al perfil.

  • Los nombres de los dispositivos administrados están escritos en forma idéntica y tienen las mismas mayúsculas en Cisco Secure ACS que en Cisco Security Manager.

Componentes Utilizados

La información de este documento se basa en las siguientes versiones de software y hardware:

  • Cisco Security Manager versión 3.0.1 y posteriores.

  • Cisco Secure ACS versión 3.3 y posteriores.

La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos utilizados en este documento se iniciaron con una configuración vacía (predeterminada).

Convenciones

Consulte las Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones del documento.

Integre Cisco Security Manager con Cisco Secure ACS

En esta sección se describen los pasos requeridos para integrar Cisco Security Manager con Cisco Secure ACS. Algunos pasos contienen varios pasos secundarios que se deben seguir en orden. Esta sección también contiene referencias a procedimientos específicos utilizados para realizar cada paso.

Complete los siguientes pasos:

  1. Planifique el modelo administrativo de autenticación y autorización.

    Debe decidirse por el modelo administrativo antes de utilizar Cisco Security Manager. Esto incluye la definición de cuentas y roles administrativos que tenga previsto utilizar.

    Consejo: Cuando defina los roles y permisos de posibles administradores, también considere si desea activar o no Workflow. Esta selección afecta la forma en que puede restringir el acceso.

  2. Instale Cisco Secure ACS, Cisco Security Manager y CiscoWorks Common Services.

    Instale Cisco Secure ACS versión 3.3 en un servidor Windows 2000/2003. Instale CiscoWorks Common Services y Cisco Security Manager en un servidor Windows 2000/Windows 2003 diferente.

    Para obtener más información, consulte estos documentos:

  3. Realice los procedimientos de integración en Cisco Secure ACS.

    Defina los usuarios de Cisco Security Manager como usuarios de ACS y asígnelos a grupos de usuarios según su rol planificado, agregue todos los dispositivos administrados (así como el servidor CiscoWorks/Security Manager) como clientes AAA y cree un usuario de control de administración. Para obtener más información, consulte Procedimientos de Integración Realizados en Cisco Secure ACS.

  4. Realice los procedimientos de integración en CiscoWorks Common Services.

    Configure un usuario local que coincida con el administrador definido en Cisco Secure ACS, defina el mismo usuario para la configuración de identidad del sistema y configure el ACS según el AAA setup mode.

    Para obtener más información, consulte Procedimientos de Integración Realizados en CiscoWorks.

  5. Asigne Roles a Grupos de Usuarios en Cisco Secure ACS.

    Asigne roles a cada grupo de usuarios configurado en Cisco Secure ACS. El procedimiento que utilice dependerá de si ha configurado los grupos de dispositivos de red (NDGs).

    Para obtener más información, consulte Asigne Roles a Grupos de Usuarios en Cisco Secure ACS..

Procedimientos de Integración Realizados en Cisco Secure ACS

En esta sección se describen los pasos que debe completar en Cisco Secure ACS para integrarlo con Cisco Security Manager:

  1. Defina Usuarios y Grupos de Usuarios en el Cisco Secure ACS

  2. Agregue los Dispositivos Administrados como Clientes AAA en Cisco Secure ACS

  3. Cree un Usuario de Control de Administración en Cisco Secure ACS

Defina Usuarios y Grupos de Usuarios en el Cisco Secure ACS

Todos los usuarios de Cisco Security Manager deben estar definidos en Cisco Secure ACS y tener asignado un rol adecuado a su función de trabajo. La manera más fácil de hacer esto es dividir los usuarios en diferentes grupos según cada rol predeterminado disponible en ACS. Por ejemplo, asignar todos los administradores del sistema a un grupo, todos los operadores de red a otro grupo, etc. Para obtener más información sobre los roles predeterminados en ACS, consulte Roles Predeterminados de Cisco Secure ACS.

También debe crear un usuario adicional que tenga asignado el rol de administrador del sistema con todos los permisos. Las credenciales establecidas para este usuario posteriormente se usan en la página System Identity Setup en CiscoWorks. Para obtener más información, consulte Defina el Usuario de Identidad del Sistema.

Tenga en cuenta que en esta etapa simplemente se asignan usuarios a diferentes grupos. La asignación real de roles a estos grupos se realiza posteriormente, después de que CiscoWorks, Cisco Security Manager y cualquier otra aplicación se registren en Cisco Secure ACS.

Consejo: Antes de continuar, instale CiscoWorks Common Services y Cisco Security Manager en un servidor Windows 2000/2003. Instale Cisco Secure ACS en un servidor diferente de Windows 2000/2003.

  1. Inicie sesión en Cisco Secure ACS.

  2. Configure un usuario con todos los permisos:

    1. Haga clic en User Setup en la barra de navegación.

    2. En la página User Setup, ingrese un nombre para el nuevo usuario y haga clic en Add/Edit.

    3. Seleccione un método de autenticación de la lista Password Authentication en User Setup.

    4. Ingrese y confirme la contraseña para el nuevo usuario.

    5. Seleccione Group 1 como el grupo al que está asignado el usuario.

    6. Haga clic en Submit para crear la cuenta del usuario.

  3. Repita el paso 2 para cada usuario de Cisco Security Manager. Cisco recomienda que divida los usuarios en grupos según el rol que tiene asignado cada usuario:

    • Grupo 1—Administradores del Sistema

    • Grupo 2—Administradores de Seguridad

    • Grupo 3—Aprobadores de Seguridad

    • Grupo 4—Administradores de Redes

    • Grupo 5—Aprobadores

    • Grupo 6—Operadores de Redes

    • Grupo 7—Centro de Asistencia

    Para obtener más información sobre los permisos predeterminados asociados con cada rol, consulte la tabla. Para obtener más información sobre cómo personalizar roles de usuarios, consulte Personalización de Roles de Cisco Secure ACS.

    Permisos

    Roles

    Administrador del Sistema

    Administrador de Seguridad (ACS)

    Aprobador de Seguridad (ACS)

    Administrador de Redes (CW)

    Administrador de Redes (ACS)

    Aprobador

    Operador de Redes

    Centro de Asistencia

    Ver Permisos

    Ver Dispositivo

    Ver Política

    Ver Objetos

    Ver Topología

    Ver CLI

    No

    Ver Administrador

    No

    Ver Archivo de Configuración

    Ver Administradores de Dispositivos

    No

    Modificar Permisos

    Modificar Dispositivo

    No

    No

    No

    No

    No

    Modificar Jerarquía

    No

    No

    No

    No

    No

    Modificar Política

    No

    No

    No

    No

    No

    Modificar Imagen

    No

    No

    No

    No

    No

    Modificar Objetos

    No

    No

    No

    No

    No

    Modificar Topología

    No

    No

    No

    No

    No

    Modificar Administrador

    No

    No

    No

    No

    No

    No

    No

    Modificar Archivo de Configuración

    No

    No

    No

    Permisos Adicionales

    Asignar Política

    No

    No

    No

    No

    No

    Aprobar Política

    No

    No

    No

    No

    No

    No

    Aprobar CLI

    No

    No

    No

    No

    No

    No

    Discover(Import)

    No

    No

    No

    No

    No

    Implementar

    No

    No

    No

    No

    No

    Controlar

    No

    No

    No

    No

    Enviar

    No

    No

    No

    No

    No

    Nota: En esta etapa, los grupos en sí son colecciones de usuarios sin ninguna definición de rol. Se asignan roles a cada grupo después de completar el proceso de integración. Para obtener más información, consulte Asigne Roles a Grupos de Usuarios en Cisco Secure ACS.

  4. Cree un usuario adicional y asigne este usuario al grupo de administradores del sistema. Las credenciales establecidas para este usuario posteriormente se utilizan en la página System Identity Setup en CiscoWorks. Para obtener más información, consulte Defina el Usuario de Identidad del Sistema.

  5. Continúe con Agregue los Dispositivos Administrados como Clientes AAA en Cisco Secure ACS.

Agregue los Dispositivos Administrados como Clientes AAA en Cisco Secure ACS

Antes de poder comenzar a importar dispositivos en Cisco Security Manager, primero debe configurar cada dispositivo como cliente AAA en Cisco Secure ACS. Además debe configurar el servidor CiscoWorks/Security Manager como cliente AAA.

Si Cisco Security Manager administra contextos de seguridad configurados en dispositivos firewall, lo que incluye contextos de seguridad configurados en FWSMs para dispositivos Catalyst 6500/7600, cada contexto debe agregarse de manera individual a Cisco Secure ACS.

El método que se utiliza para agregar dispositivos administrados depende de si desea restringir a los usuarios para administrar un conjunto particular de dispositivos con grupos de dispositivos de red (NDG). Consulte una de las siguientes secciones:

Agregue los Dispositivos como Clientes AAA sin NDGs

En este procedimiento se describe cómo agregar dispositivos como clientes AAA de Cisco Secure ACS. Para obtener la información completa sobre todas las opciones disponibles, consulte la sección AAA Client Configuration de Network Configuration.

Nota: Recuerde agregar el servidor CiscoWorks/Security Manager como cliente AAA.

  1. Haga clic en Network Configuration en la barra de navegación de Cisco Secure ACS.

  2. Haga clic en Add Entry debajo de la tabla AAA Clients.

  3. Ingrese el nombre del host cliente AAA (hasta 32 caracteres) en la página Add AAA Client. El nombre de host del cliente AAA debe coincidir con el nombre de visualización que planea utilizar para el dispositivo en Cisco Security Manager.

    Por ejemplo, si planea agregar un nombre de dominio al nombre de dispositivo en Cisco Security Manager, el nombre de host cliente AAA en ACS debe ser <nombre_de_dispositivo>.<nombre_de_dominio>.

    Cuando se nombra al servidor CiscoWorks, se recomienda utilizar el nombre de host completamente calificado (fully-qualified hostname). Asegúrese de escribir correctamente el nombre de host. El nombre de host no distingue entre mayúsculas y minúsculas.

    Cuando se nombre a un contexto de seguridad, agregue este nombre de contexto (_<nombre_de_contexto>) al nombre del dispositivo. Para FWSM, ésta es la convención de nombres:

    • Tarjeta FWSM <nombre_de_chasis>_FW_<número_de_slot>

    • Contexto de seguridad—<nombre_de_chasis>_FW_<número_de_slot>_<nombre_de_contexto>

  4. Ingrese la dirección IP del dispositivo de red en el campo AAA Client IP Address.

  5. Ingrese la clave secreta compartida en el campo Key.

  6. Seleccione TACACS+ (Cisco IOS) en la lista Authenticate Using.

  7. Haga clic en Submit para guardar los cambios. El dispositivo que agregó aparece en la tabla AAA Clients.

  8. Repita los pasos del 1 al 7 para agregar dispositivos adicionales.

  9. Después de agregar todos los dispositivos, haga clic en Submit + Restart.

  10. Continúe con Cree un Usuario de Control de Administración en Cisco Secure ACS.

Configure Grupos de Dispositivos de Red para Uso en Security Manager

Cisco Secure ACS permite configurar grupos de dispositivos de red (NDGs) que contienen los dispositivos específicos que se administrarán. Por ejemplo, puede crear NDGs para cada región geográfica o NDGs que coincidan con su estructura organizacional. Cuando se utilizan con Cisco Security Manager, los NDGs le permiten ofrecer a los usuarios diferentes niveles de permisos, según los dispositivos que deben administrar. Por ejemplo, con los NDGs puede asignar a un usuario A permisos de administrador de sistema para los dispositivos ubicados en Europa y permisos de Centro de asistencia para los dispositivos ubicados en Asia. Luego podrá asignar permisos opuestos al usuario B.

Los NDGs no se asignan directamente a los usuarios, sino que se asignan a los roles que se definen para cada grupo de usuarios. Cada NDG se puede asignar solamente a un único rol, pero cada rol puede incluir varios NDGs. Estas definiciones se guardan como parte de la configuración para el grupo de usuarios seleccionado.

En estos temas se describen los pasos básicos necesarios para configurar los NDGs:

Active la Función NDG

Debe activar la función NDG antes de poder crear los NDGs y llenarlos con dispositivos.

  1. Haga clic en Interface Configuration en la barra de navegación de Cisco Secure ACS.

  2. Haga clic en Advanced Options.

  3. Desplácese hacia abajo y active la casilla de verificación Network Device Groups.

  4. Haga clic en Submit.

  5. Continúe con Cree NDGs.

Cree NDGs

Este procedimiento describe cómo crear los NDGs y llenarlos con dispositivos. Cada dispositivo puede pertenecer sólo a un NDG.

Nota: Cisco recomienda que cree un NDG especial que contenga el servidor CiscoWorks/Security Manager.

  1. Haga clic en Network Configuration en la barra de navegación.

    Todos los dispositivos se ubican inicialmente en Not Assigned, que contiene todos los dispositivos que no se ubicaron en un NDG. Tenga en cuenta que Not Assigned no es un NDG.

  2. Cree NDGs:

    1. Haga clic en Add Entry.

    2. Ingrese un nombre para el NDG en la página New Network Device Group. La longitud máxima es de 24 caracteres y se permiten espacios.

    3. Opcional con la versión 4.0 o posteriores: Ingrese una llave para todos los dispositivos en el NDG. Si define una llave para el NDG, esta sobreescribe cualquier llave definida para los dispositivos individuales en el NDG.

    4. Haga clic en Submit para guardar el NDG.

    5. Repita los pasos del "a" al "d" para crear más NDGs.

  3. Llene los NDGs con dispositivos:

    1. Haga clic en el nombre del NDG en el área Network Device Groups.

    2. Haga clic en Add Entry en el área AAA Clients.

    3. Defina los detalles del dispositivo a agregar al NDG y haga clic en Submit. Para obtener más información, consulte Agregue Dispositivos como Clientes AAA sin NDGs.

    4. Repita los pasos "b" y "c" para agregar el resto de los dispositivos a los NDGs. El único dispositivo que puede dejar en la categoría Not Assigned es el servidor AAA predeterminado.

    5. Después de configurar el último dispositivo, haga clic en Submit + Restart.

  4. Continúe con Cree un Usuario de Control de Administración en Cisco Secure ACS.

Cree un Usuario de Control de Administración en Cisco Secure ACS

Use la página Administration Control en Cisco Secure ACS para definir la cuenta del administrador que se utiliza al definir el AAA setup mode en CiscoWorks Common Services. Para obtener más información, consulte Configure AAA Setup Mode en CiscoWorks..

  1. Haga clic en Administration Control en la barra de navegación de Cisco Secure ACS.

  2. Haga clic en Add Administrator.

  3. En la página Add Administrator, ingrese un nombre y contraseña para el administrador.

  4. Haga clic en Grant All en el área Administrator Privileges para proporcionar todos los permisos administrativos a este administrador.

  5. Haga clic en Submit para crear el administrador.

Nota: Para obtener más información sobre las opciones disponibles al configurar un administrador, consulte Administradores y Política Administrativa.

Procedimientos de Integración Realizados en CiscoWorks

En esta sección se describen los pasos que se deben seguir en CiscoWorks Common Services para integrarlo con Cisco Security Manager:

Siga estos pasos después de completar los procedimientos de integración realizados en Cisco Secure ACS. Common Services realiza el registro real de cualquier aplicación instalada, como Cisco Security Manager, Auto-Update Server e IPS Manager en Cisco Secure ACS.

Cree un Usuario Local en CiscoWorks

Use la página Local User Setup en CiscoWorks Common Services para crear una cuenta de usuario local que duplique el administrador que creó previamente en Cisco Secure ACS. Esa cuenta de usuario local se utiliza posteriormente para la configuración de identidad del sistema. Consulte para obtener más información.

Nota: Antes de continuar, cree un administrador en Cisco Secure ACS. Para obtener instrucciones, consulte Defina Usuarios y Grupos de Usuarios en el Cisco Secure ACS.

  1. Inicie sesión en CiscoWorks con la cuenta de usuario admin predeterminada.

  2. Seleccione Server > Security en Common Services y Local User Setup en la tabla de contenidos.

  3. Haga clic en Add.

  4. Ingrese el mismo nombre y contraseña que ingresó al crear el administrador en Cisco Secure ACS. Consulte el paso 4 en Defina Usuarios y Grupos de Usuarios en Cisco Secure ACS.

  5. Active todas las casillas de verificación en Roles, excepto Export Data.

  6. Haga clic en OK para crear el usuario.

Defina el Usuario de Identidad del Sistema

Use la página System Identity Setup en CiscoWorks Common Services para crear un usuario de confianza, conocido como el usuario de identidad del sistema, que permite la comunicación entre servidores que son parte de los mismo dominio y procesos de de aplicación ubicados en el mismo servidor. Las aplicaciones utilizan el usuario de identidad del sistema para autenticar procesos en servidores CiscoWorks locales o remotos. Esto es especialmente útil cuando las aplicaciones se deben sincronizar antes de que cualquier usuario haya iniciado una sesión.

Además, el usuario de identidad del sistema a menudo se utiliza para realizar una tarea secundaria cuando la tarea principal ya está autorizada para el usuario que inició sesión. Por ejemplo, para editar un dispositivo en Cisco Security Manager, se requiere comunicación de aplicaciones entre Cisco Security Manager y Common Services DCR. Una vez que el usuario esté autorizado a realizar la tarea de edición, el usuario de identidad del sistema se utiliza para invocar a DCR.

El usuario de identidad del sistema que configure aquí debe ser idéntico al usuario con permisos administrativos (completos) que configuró en ACS. Si no es así, es posible que no pueda ver todos los dispositivos y las políticas configuradas en Cisco Security Manager.

Nota: Antes de continuar, cree un usuario local con el mismo nombre y contraseña que este administrador en CiscoWorks Common Services. Para obtener instrucciones, consulte Cree un Usuario Local en CiscoWorks.

  1. Seleccione Server > Security y luego Multi-Server Trust Management > System Identity Setup en la tabla de contenidos.

  2. Ingrese el nombre del administrador que creó para Cisco Secure ACS. Consulte el paso 4 en Defina Usuarios y Grupos de Usuarios en Cisco Secure ACS.

  3. Ingrese y verifique la contraseña para este usuario.

  4. Haga clic en Apply.

Configure el AAA Setup Mode en CiscoWorks

Use la página AAA Setup Mode en CiscoWorks Common Services para definir el servidor Cisco Secure ACS como el servidor AAA, que incluye el puerto requerido y la llave secreta compartida. También puede definir hasta dos servidores de respaldo.

Estos pasos realizan el registro real de CiscoWorks, Cisco Security Manager, IPS Manager (y, si lo desea, Auto-Update Server) en Cisco Secure ACS.

  1. Seleccione Server > Security y AAA Mode Setup en la tabla de contenidos.

  2. Active la casilla de verificación TACACS+ en Available Login Modules.

  3. Seleccione ACS como el tipo de AAA.

  4. Ingrese las direcciones IP de hasta tres servidores Cisco Secure ACS en el área Server Details. Los servidores secundario y terciario actúan como respaldo en caso de que falle el servidor principal.

    Nota: Si todos los servidores TACACS+ configurados no responden, debe iniciar sesión con la cuenta local del administrador de CiscoWorks y volver a cambiar el modo AAA a Non-ACS/CiscoWorks Local. Una vez que los servidores TACACS+ estén restaurados al servicio, debe volver a cambiar el modo AAA a ACS.

  5. En el área Login, ingrese el nombre del administrador que definió en la página Administration Control de Cisco Secure ACS. Para obtener más información, consulte Cree un Usuario de Control de Administración en Cisco Secure ACS.

  6. Ingrese y verifique la contraseña para este administrador.

  7. Ingrese y verifique la llave secreta compartida que ingresó al agregar el servidor Security Manager como cliente AAA de Cisco Secure ACS. Consulte el paso 5 enAgregue los Dispositivos como Clientes AAA sin NDGs.

  8. Active la casilla de verificación Register all installed applications with ACS para registrar Cisco Security Manager y cualquier otra aplicación instalada con Cisco Secure ACS.

  9. Haga clic en Apply para guardar la configuración. Una barra de progreso muestra el progreso del registro. Aparece un mensaje cuando el registro está completo.

  10. Si integra Cisco Security Manager con ACS 3.3(x), reinicie el servicio de Cisco Security Manager Daemon Manager. Para obtener instrucciones, consulte Reinicie el Daemon Manager.

  11. Vuelva a iniciar sesión en Cisco Secure ACS para asignar roles a cada grupo de usuarios. Para obtener instrucciones, consulte Asigne Roles a Grupos de Usuarios en Cisco Secure ACS.

    Nota: La configuración de AAA establecida aquí no se retiene si desinstala CiscoWorks Common Services o Cisco Security Manager. Además, no se puede respaldar y restaurar esta configuración después de la reinstalación. Por lo tanto, si actualiza a una nueva versión de cualquier aplicación, debe volver a configurar el AAA setup mode y volver a registrar Cisco Security Manager con ACS. Este proceso no es necesario para actualizaciones incrementales. Si instala aplicaciones adicionales, como AUS, sobre CiscoWorks, debe volver a registrar las nuevas aplicaciones y Cisco Security Manager.

Reinicie el Daemon Manager

En este procedimiento se describe cómo reiniciar el Daemon Manager del servidor Cisco Security Manager. Debe hacer esto para que la configuración de AAA que estableció surta efecto. Luego puede volver a iniciar sesión en CiscoWorks con las credenciales definidas en Cisco Secure ACS.

Nota: Sólo debe completar estos pasos al integrar Cisco Security Manager con Cisco Secure ACS 3.3(x). Este procedimiento no es necesario si usa ACS 4.0(x).

  1. Inicie sesión en la máquina en la que está instalado el servidor Cisco Security Manager.

  2. Seleccione Start > Programs > Administrative Tools > Services para abrir la ventana Services.

  3. En la lista de servicios que se muestra en el panel derecho, seleccione Cisco Security Manager Daemon Manager.

  4. Haga clic en el botón Restart Service en la barra de herramientas.

  5. Continúe con Asigne Roles a Grupos de Usuarios en Cisco Secure ACS.

Asigne Roles a Grupos de Usuarios en Cisco Secure ACS

Una vez registradas CiscoWorks, Cisco Security Manager y otras aplicaciones instaladas en Cisco Secure ACS, puede asignar roles a cada uno de los grupos de usuarios que configuró previamente en Cisco Secure ACS. Estos roles determinan las acciones que los usuarios de cada grupo tienen permiso de realizar en Cisco Security Manager.

El procedimiento que utiliza para asignar roles a grupos de usuarios depende de si se usan NDGs:

Asigne Roles a Grupos de Usuarios sin NDG

En este procedimiento se describe cómo asignar roles predeterminados a grupos de usuarios cuando los NDGs no están definidos. Para obtener más información, consulte Roles Predeterminados de Cisco Secure ACS.

Nota: Antes de continuar:

Complete los siguientes pasos:

  1. Inicie sesión en Cisco Secure ACS.

  2. Haga clic en Group Setup en la barra de navegación.

  3. Seleccione el grupo de usuarios para los administradores del sistema en la lista. Consulte el paso 2 de Defina Usuarios y Grupos de Usuarios en Cisco Secure ACS y haga clic en Edit Settings.

Asocie NDGs y Roles con Grupos de Usuarios

Cuando se asocian NDGs con roles para su uso en Cisco Security Manager, debe crear definiciones en dos lugares de la página Group Setup:

  • Área CiscoWorks

  • Área Cisco Security Manager

Las definiciones en cada área deben coincidir al máximo posible. Cuando se asocian roles personalizados o roles de ACS que no existen en CiscoWorks Common Services, intente definir un equivalente lo más cercano posible según los permisos asignados a ese rol.

Debe crear asociaciones para cada grupo de usuarios que se utilizarán con Cisco Security Manager. Por ejemplo, si tiene un grupo de usuarios que contiene personal de asistencia para la región occidental, puede seleccionar ese grupo de usuarios y asociar el NDG que contiene los dispositivos en esa región con el rol de centro de asistencia.

Nota: Antes de continuar, active la función NDG y cree NDGs. Para obtener más información, consulte Configure Grupos de Dispositivos de Red para Uso en Security Manager.

  1. Haga clic en Group Setup en la barra de navegación.

  2. Seleccione un grupo de usuarios en la lista Group y haga clic en Edit Settings.

  3. Mapee NDGs y roles para uso en CiscoWorks:

    1. En la página Group Setup, desplácese hacia abajo hasta el área CiscoWorks en TACACS+ Settings.

    2. Seleccione Assign a CiscoWorks on a per Network Device Group Basis.

    3. Seleccione un NDG en la lista Device Group.

    4. Seleccione el rol al que se asociará este NDG en la segunda lista.

    5. Haga clic en Add Association. La asociación aparece en el cuadro Device Group.

    6. Repita los pasos del "c" al "e" para crear asociaciones adicionales.

      Nota: Para quitar una asociación, selecciónela en Device Group y haga clic en Remove Association.

  4. Desplácese hacia abajo hasta el área Cisco Security Manager y cree asociaciones que coincidan al máximo posible con las asociaciones definidas en el paso 3.

    Nota: Al seleccionar los roles Security Approver o Security Administrator en Cisco Secure ACS, se recomienda seleccionar Network Administrator como el rol equivalente más cercano de CiscoWorks.

  5. Haga clic en Submit para guardar la configuración.

  6. Repita los pasos del 2 al 5 para definir los NDGs de los grupos de usuarios restantes.

  7. Después de asociar NDGs y roles con cada grupo de usuarios, haga clic en Submit + Restart.

Troubleshooting

Antes de poder comenzar a importar dispositivos en Cisco Security Manager, primero debe configurar cada dispositivo como cliente AAA en Cisco Secure ACS. Además debe configurar el servidor CiscoWorks/Security Manager como cliente AAA.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 99749