Безопасность : Сервер управления безопасного доступа Cisco для Unix

Настройка CSU для UNIX (Solaris)

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Cisco Secure ACS для UNIX (CSU) программное обеспечение помогает гарантировать безопасность сети и отслеживает действие людей, которые успешно соединяются с сетью. CSU действует как TACACS + или сервер RADIUS и аутентификация, авторизация и учет (AAA) использования для обеспечения сетевой безопасности.

CSU поддерживает эти параметры базы данных для хранения группы и профилей пользователя и учетной информации:

  • SQLAnywhere (включенный с CSU).

    Эта версия SQLAnywhere Sybase не имеет клиент-серверной поддержки. Однако это оптимизировано для выполнения существенных сервисов AAA с CSU.

    caution Внимание.  : Опция Базы данных sqlanywhere не поддерживает базы данных профиля, которые превышают 5,000 пользователей, репликации данных профиля среди сайтов базы данных, или Cisco Secure Distribute Session Manager (DSM) функцию.

  • Oracle или Sybase Relational Database Management System (RDBMS).

    Для поддержки Cisco Secure представляют базы данных 5,000 или больше пользователей, репликации базы данных или функции DSM Cisco Secure, необходимо предварительно установить Oracle (версия 7.3.2, 7.3.3, или 8.0.3) или сервер SQL Sybase (версия 11) RDBMS для удержания данных профиля Cisco Secure. Репликация базы данных требует дальнейшей конфигурации RDBMS после того, как установка Cisco Secure будет завершена.

  • Обновление существующей базы данных от предыдущего (2.x) версия CSU.

    Если вы обновляете от более раннего 2.x версия Cisco Secure, программа установки Cisco Secure автоматически обновляет базу данных профиля, чтобы быть совместимой с CSU 2.3 для UNIX.

  • Импортирование существующей базы данных Профиля.

    Можно преобразовать существующий бесплатный TACACS + или базы данных Профиля RADIUS или однородные файлы для использования с этой версией CSU.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на Cisco Secure ACS 2.3 для UNIX.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Конфигурация CSU

Используйте эти процедуры для настройки CSU.

Запустите интерфейс администратора Cisco Secure

Используйте эту процедуру для регистрации Администратору Cisco Secure.

  1. От любой рабочей станции с вебом - подключением к ACS запустите web-браузер.

  2. Введите один из этих URL для веба - узлы/URL Администратора Cisco Secure:

    • Если опция Security Socket Layer на браузере не активирована, войдите:

      http://your_server/cs

      где your_server является именем хоста (или полное доменное имя (FQDN), если имя хоста и FQDN отличаются) SPARCstation, где вы установили CSU. Можно также заменить IP-адресом SPARCstation your_server.

    • Если опция Security Socket Layer на браузере активирована, задайте "https", а не "http" как гипертекстовый протокол передачи. Введите:

      https://your_server/cs

      где your_server является именем хоста (или FQDN, если имя хоста и FQDN отличаются) SPARCstation, где вы установили CSU. Можно также заменить IP-адресом SPARCstation your_server.

      Примечание: URL и имена сервера учитывают регистр. Они должны быть введены с буквами в верхнем регистре и символами в нижнем регистре точно как показано.

      Страница регистрации CSU отображена.

      /image/gif/paws/13842/14a.gif

  3. Введите имя пользователя и пароль. Щелкните Submit (отправить).

    Примечание: Начальное имя пользователя по умолчанию является "суперпользователем". Начальный пароль по умолчанию является "changeme". После первоначального входа в систему необходимо сразу изменить имя пользователя и пароль для максимальной безопасности.

    После регистрации главная страница CSU отображена со строкой главного меню вдоль вершины. Страница главного меню CSU отображена, только если пользователь предоставляет имя и пароль, которые имеют привилегии уровня администратора. Если пользователь предоставляет имя и пароль, которые имеют только привилегии пользовательского уровня, то другой экран отображен.

    /image/gif/paws/13842/14b.gif

Запустите программу по расширенной настройке

Запустите на основе Java Программа по расширенной настройке Администратора Cisco Secure от любой из веб-страниц Администратора CSU. От строки меню веб-интерфейса CSU нажмите Advanced, и затем нажмите Advanced снова.

Программа по расширенной настройке Администратора Cisco Secure отображена. Могло бы возможно потребоваться несколько минут для загрузки.

/image/gif/paws/13842/14c.gif

Создайте профиль группы

Используйте Программу по расширенной настройке Администратора Cisco Secure, чтобы создать и настроить профили группы. Cisco рекомендует создать профили группы для настройки детализированных требований AAA для больших чисел подобных пользователей. После того, как профиль группы определен, используйте CSU, Добавляет Пользовательская веб-страница для быстрого добавления профилей пользователя к профилю группы. Расширенные требования, настроенные для группы, применяются к каждому пользователю - участнику.

Используйте эту процедуру для создания профиля группы.

  1. В Программе по расширенной настройке Администратора Cisco Secure выберите вкладку Members. В Панели навигатора снимите флажок Browse. Создавание Новых показов значка Профиля.

  2. В Панели навигатора сделайте один из них:

    • Для создания профиля группы без родителя найдите и нажмите [Корневой] значок папки.

    • Для создания профиля группы как потомка другого профиля группы найдите группу, которую вы хотите как родитель и нажимаете его.

    • Если группа, что вы хотите быть родителем, является дочерней группой, нажмите папку ее родительской группы для показа ее.

  3. Нажмите Create New Profile. Показы диалогового окна New Profile.

  4. Выберите коробку Флажка Группа, введите имя группы, вы хотите создать, и нажать OK. Новая группа отображается в дереве.

  5. После того, как вы создаете профиль группы, назначаете TACACS + или атрибуты RADIUS настраивать определенные свойства AAA.

    14d.gif

Создайте профиль пользователя в режиме усовершенствованной конфигурации

Используйте Расширенный режим конфигурации для администратора Cisco Secure, чтобы создать и настроить профиль пользователя. Можно сделать это для настройки авторизации профиля пользователя - и связанные с учетом атрибуты более подробно, чем возможно с Добавлением Страницы пользователя.

Используйте эту процедуру для создания профиля пользователя:

  1. В Программе по расширенной настройке Администратора Cisco Secure выберите вкладку Members. В Панели навигатора найдите, и отмена выбора Переходят. Создавание Новых показов значка Профиля.

  2. В Панели навигатора сделайте один из них:

    • Найдите и нажмите группу, которой принадлежит пользователь.

    • Если вы не хотите, чтобы пользователь принадлежал группе, нажмите [Корневой] значок папки.

  3. Нажмите Create Profile. Показы диалогового окна New Profile.

  4. Удостоверьтесь, что является невыбранной коробка Флажка Группа.

  5. Введите имя пользователя, вы хотите создать и нажать OK. Новый пользователь отображается в дереве.

  6. После того, как вы создаете профиль пользователя, назначаете определенный TACACS + или атрибуты RADIUS настраивать определенные свойства AAA:

Стратегии применить атрибуты

Используйте функцию профиля группы CSU и TACACS + и атрибуты RADIUS для осуществления проверки подлинности и авторизация пользователей сети через CSU.

Атрибуты плана для групп и пользователей

Функция профиля группы CSU позволяет вам определить обычный набор требований ААА для большого числа пользователей.

Можно назначить ряд TACACS +, или атрибут RADIUS оценивает к профилю группы. Эти значения атрибута, назначенные на группу, применяются к любому пользователю, который является участником или кто добавлен в качестве участника той группы.

Используйте функцию профиля группы эффективно

Для настройки CSU для управления большими числами и различными типами пользователей с требованиями сложного AAA Cisco рекомендует использовать функции Программы по расширенной настройке Администратора Cisco Secure, чтобы создать и настроить профили группы.

Профиль группы должен содержать все атрибуты, которые не являются определенными для пользователя. Это обычно означает все атрибуты за исключением пароля. Можно тогда использовать Добавление Страницы пользователя Администратора Cisco Secure, чтобы создать простые профили пользователя с атрибутами пароля и назначить эти профили пользователя на соответствующий профиль группы. Функции и значения атрибута, определенные для конкретной группы тогда, применяются к ее пользователям - участникам.

Parent Groups и дочерние группы

Можно создать иерархию групп. В профиле группы можно создать профили дочерней группы. Значения атрибута, назначенные на родительский профиль группы, являются значениями по умолчанию для профилей дочерней группы.

Администрирование уровня группы

Системный администратор Cisco Secure может назначить отдельный статус Администратора users Group Cisco Secure. Статус Администратора группы позволяет отдельным пользователям администрировать любые профили дочерней группы и профили пользователя, которые зависимы от их группы. Однако это не позволяет им администрировать любые группы или пользователей, которые выходят за пределы иерархии их группы. Таким образом системный администратор распределяет задачу администрирования большой сети другим частным лицам, не допуская, что каждый из них равняется полномочиям.

Какие атрибуты я определяю для отдельных пользователей?

Cisco рекомендует назначить значения атрибута базовой проверки подлинности отдельных пользователей, которые уникальны для пользователя, таковы как атрибуты, которые определяют имя пользователя, пароль, тип пароля и веб-привилегию. Назначьте значения атрибута базовой проверки подлинности на пользователей через CSU, Edit a User или Добавляют Страницы пользователя.

Какие атрибуты я определяю для профилей группы?

Cisco рекомендует определить квалификацию - авторизация - и связанные с учетом атрибуты на уровне группы.

14e.gif

В данном примере профилю группы под названием "Пользователи с наборным телефонным доступом" назначают пары атрибут-значение Frame-Protocol=PPP и Service-Type=Framed.

Что такое Абсолютные атрибуты?

Подмножество TACACS + и атрибуты RADIUS в CSU может быть назначенным абсолютным статусом на уровне профиля группы. Значение атрибута, включенное для абсолютного статуса на уровне профиля группы, отвергает любые соперничающие значения атрибута в профиле дочерней группы или уровне профиля пользователя - участника.

В многоуровневых сетях с несколькими уровнями администраторов группы абсолютные атрибуты позволяют системному администратору установить выбранные значения атрибута группы это, администраторы группы на более низких уровнях не могут отвергнуть.

Атрибуты, которые могут быть назначенным абсолютным статусом, отображают флажок Absolute в коробке Атрибутов Программы по расширенной настройке Администратора Cisco Secure. Установите флажок для включения абсолютного статуса.

/image/gif/paws/13842/14f.gif

Могут значения атрибута группы и значения атрибута пользователя конфликтовать?

Разрешение конфликтов среди значений атрибута, назначенных порождать профили группы, профили дочерней группы и профили пользователя - участника, зависит от того, являются ли значения атрибута абсолютными и являются ли они TACACS + или атрибуты RADIUS:

  • TACACS + или значения атрибута RADIUS, назначенные на профиль группы с абсолютным статусом, отвергают любой набор соперничающих значений атрибута в дочерней группе или уровне профиля пользователя.

  • Если TACACS + абсолютный статус значения атрибута не включен на уровне профиля группы, он отвергнут любым набором соперничающего значения атрибута в дочерней группе или уровне профиля пользователя.

  • Если абсолютный статус значения атрибута RADIUS не включен на родительском уровне группы, то какой-либо набор соперничающих значений атрибута в результате дочерней группы в непредсказуемом результате. Когда вы определяете значения атрибута RADIUS для группы и ее пользователей - участников, избегаете назначать тот же атрибут и на пользователя и на профили группы.

Используйте параметры запрещения и разрешения

Для TACACS +, отвергните доступность наследованных сервисных значений путем добавления префикса ключевого слова, запрещают или разрешают к сервисной спецификации. Ключевое слово разрешения позволяет выбранные сервисы. Запретить ключевое слово запрещает выбранные сервисы. С использованием этих ключевых слов вместе, можно создать "все кроме" конфигураций. Например, эта конфигурация предоставляет доступ от всех сервисов кроме X.25:

default service = permit
prohibit service = x25

Назначьте TACACS +, приписывает профилю пользователя или группы

Для присвоения определенного TACACS + сервисы и атрибуты к профилю пользователя или группы выполните эти действия:

  1. В Программе по расширенной настройке Администратора Cisco Secure выберите вкладку Members. В Панели навигатора нажмите значок для профиля пользователя или группы, на который TACACS + назначены атрибуты.

  2. Если необходимо, в области Profile, нажимают значок Профиля для расширения его.

    Поле со списком или диалоговое окно, которое содержит атрибуты, применимые к выбранному профилю или сервисным показам в окне в нижнем правом углу экрана. Информация в этом окне изменяется, на основе которого профиля или сервиса вы выбираете в области Profile.

  3. Нажмите сервис или протокол, что вы хотите добавить и нажать Apply. Сервис добавлен к профилю.

  4. Введите или выберите необходимый текст в окне Attribute.

    Допустимые записи объяснены в Стратегиях Применения раздела Атрибутов CSU 2.3 для Справочного руководства UNIX.

    Примечание: Если вы назначаете значение атрибута на уровне профиля группы, и атрибут, который вы задаете, отображает флажок Absolute, установите тот флажок для присвоения абсолютного статуса значения. Абсолютный статус с заданным значением не может быть отвергнут никакими спорящими значениями, назначенными в профиле группы подчиненных или уровнях профиля пользователя.

  5. Повторите шаги 1 через для каждого дополнительного сервиса или протокола, который необходимо добавить.

  6. Когда все изменения будут внесены, нажмите Submit.

    /image/gif/paws/13842/14g.gif

Назначьте атрибуты RADIUS на профиль пользователя или группы

Назначать определенные атрибуты RADIUS на профиль пользователя или группы:

  1. Назначьте Словарь RADIUS на профиль группы:

    1. На странице Members Программы по расширенной настройке Администратора Cisco Secure нажмите Group или Значок User, затем нажмите значок Профиля в области Profiles. В области Attributes, показах Меню Options.

    2. На Меню Options нажмите название Словаря RADIUS, который вы хотите, чтобы группа или пользователь использовали. (Например, RADIUS - Cisco. Щелкните "Применить".

      14h.gif

  2. Добавьте требуемые Пункты проверки и Атрибуты Ответа к Профилю RADIUS:

    Примечание: Пункты проверки являются атрибутами, требуемыми для аутентификации, такими как идентификатор пользователя и пароль. Атрибуты ответа являются атрибутами, передаваемыми Серверу доступа к сети (NAS) после того, как профиль передал процедуру проверки подлинности, такую как кадрированный протокол. Для списков и пояснений Пунктов проверки и Атрибутов Ответа, обратитесь к Парам атрибут-значение для RADIUS и Управлению словарями в CSU 2.3 для Справочного руководства UNIX.

    1. В окне Profile нажмите RADIUS - dictionaryname значок папки. (Вероятно, необходимо нажать профиль + символ для расширения Папки RADIUS.) Опции Check Items и Reply Attributes отображаются в окне Attribute Group.

    2. Для использования один или больше этих атрибутов нажмите атрибут (ы), который вы хотите использовать, затем нажать Apply. Можно добавить несколько атрибутов за один раз.

    3. Нажмите + символ для RADIUS - dictionaryname для расширения папки.

      Примечание: При выборе опции RADIUS-Cisco11.3 удостоверьтесь, что Cisco Выпуск ПО IOS� 11.3.3 (T) или позже установлен на соединительных NAS, и добавьте новые командные строки к конфигурациям NAS. Обратитесь к Полностью Включению Словаря RADIUS-Cisco11.3 в CSU 2.3 для Справочного руководства UNIX.

  3. Задайте значения для добавленных Пунктов проверки и Атрибутов Ответа:

    caution Внимание.  : Для Протокола RADIUS наследование является дополнением в противоположность иерархическому. (TACACS + протокол использует иерархическое наследование). Например, при присвоении тех же атрибутов ответа и на пользователя и на профили группы, сбои авторизации, потому что NAS получает дважды количество атрибутов. Это не в состоянии понимать атрибуты ответа. Не назначайте тот же пункт проверки или отвечайте атрибуту и группе и профилям пользователя.

    1. Нажмите Check Items или Reply Attributes, или нажмите обоих. Список применимых Пунктов проверки и значений Атрибутов Ответа появляется в нижнем правом окне. Нажмите + символ для расширения папки.

    2. Нажмите значения, которые вы хотите назначить, затем нажать Apply. Для получения дополнительной информации о значениях обратитесь к Парам атрибут-значение для RADIUS и Управлению словарями в CSU 2.3 для Справочного руководства UNIX.

      Примечание: Если вы назначаете значение атрибута на уровне профиля группы, и атрибут, который вы задаете, отображает флажок Absolute, установите тот флажок для присвоения абсолютного статуса значения. Назначенный абсолютный статус значения не может быть отвергнут никакими спорящими значениями, назначенными в профиле группы подчиненных или уровнях профиля пользователя.

    3. Когда вы закончите вносить изменения, нажмите Submit.

      /image/gif/paws/13842/14i.gif

  4. Для использования один или больше этих атрибутов нажмите атрибут (ы), который вы хотите использовать, затем нажать Apply. Можно применить несколько атрибутов за один раз.

Назначьте уровни уровня привилегий для управления доступом

Администратор с правами привилегированного пользователя использует веб-атрибут привилегии для присвоения уровня уровня привилегий для управления доступом пользователям Cisco Secure.

  1. В Программе по расширенной настройке Администратора Cisco Secure нажмите пользователя, уровень привилегий для управления доступом которого вы хотите назначить, затем нажмите значок Профиля в области Profiles.

  2. В Меню Options нажмите Web Privilege и выберите одно из этих значений.

    • 0 - Запрещает пользователя любые уровни привилегий для управления доступом, которые включают возможность изменить пароль Cisco Secure пользователя.

    • 1 - Предоставляет пользовательский доступ к веб-странице CSUser. Это позволяет пользователям Cisco Secure изменять свои пароли Cisco Secure. Для получения дополнительной информации о том, как изменить пароли, обратитесь к Функциям Пользовательского уровня (Изменяющий Пароль) в Простом управлении пользователями и сервером управлениях доступом (ACS).

    • 12 - Предоставляет привилегии системного администратора группы пользователей.

    • 15 - Предоставляет привилегии системного администратора.

    Примечание: При выборе какого-либо параметра веб - привилегии кроме 0 необходимо также задать пароль. Для удовлетворения веб-требования к паролю привилегии одиночный пробел минимально приемлем.

Запустите и остановите CSU

Обычно, CSU запускается автоматически, когда вы запускаете или перезапускаете SPARCstation, где это установлено. Однако можно запустить CSU вручную или завершить работу его, не завершая весь SPARCstation.

Войдите как [Root] к SPARCstation, где вы установили CSU.

Для начала CSU вручную введите:

# /etc/rc2.d/S80CiscoSecure

Для остановки CSU вручную введите:

# /etc/rc0.d/K80CiscoSecure

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения