Безопасность : Cisco Security Manager

Интеграция диспетчера безопасности с ACS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как интегрировать Cisco Security Manager с сервером Cisco Secure Access Control Server (ACS).

Cisco Secure ACS предоставляет авторизацию для выполнения команд для пользователей, которые используют приложения управления сетью, такие как Cisco Security Manager, для настройки устройств управляемой сети. Поддержка авторизации для выполнения команд предоставлена уникальными типами набора авторизации для выполнения команд, названными ролями в Cisco Security Manager, которые содержат ряд разрешений. Эти разрешения, также названные привилегиями, определяют действия, которые пользователи со специальными ролями могут выполнить в Cisco Security Manager.

Cisco Secure ACS использует TACACS + для передачи с приложениями управления сетью. Для Cisco Security Manager для передачи с Cisco Secure ACS необходимо настроить Сервер СiscoWorks в Cisco Secure ACS как клиент AAA, который использует TACACS +. Кроме того, необходимо предоставить Сервер СiscoWorks именем и паролем администратора, которое вы используете для вхождения в Cisco Secure ACS. При выполнении этих требований это гарантирует законность связи между Cisco Security Manager и Cisco Secure ACS.

Когда Cisco Security Manager первоначально связывается с Cisco Secure ACS, он диктует ACS Cisco создание ролей по умолчанию, которые появляются в разделе Общих компонентов профиля интерфейса HTML Cisco Secure ACS. Это также диктует службу поддержки, которая будет авторизоваться TACACS +. Эта служба поддержки появляется на странице TACACS + (Cisco IOS₩½) в разделе Конфигурации интерфейса интерфейса HTML. Можно тогда модифицировать разрешения, включенные в каждую роль Cisco Security Manager, и применить эти роли к пользователям и группам пользователей.

Примечание: Не возможно интегрировать CSM с ACS 5.2, поскольку это не поддерживается.

Предварительные условия

Требования

Для использования Cisco Secure ACS удостоверьтесь что:

  • Вы определяете роли, которые включают команды, требуемые для выполнения необходимых функций в Cisco Security Manager.

  • Ограничение доступа к сети (NAR) включает группу устройств (или устройства), что вы хотите администрировать при применении NAR к профилю.

  • Названия управляемого устройства записаны и использованы для своей выгоды тождественно в Cisco Secure ACS и в Cisco Security Manager.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия 3.0 Cisco Security Manager

  • Версия 3.3 Cisco Secure ACS

Примечание: Удостоверьтесь, что вы выбираете совместимый CSM и версии ACS перед установкой на сетевой среде. Например, Cisco протестировал ACS 3.3 с только CSM 3.0 и остановился для более поздних версий CSM. Так, вам рекомендуют использовать CSM 3.0 с ACS 3.3. Посмотрите Матрицу данных Compatabilty для получения дополнительной информации о различных версиях программного обеспечения.

Версии Cisco Security Manager Протестированные версии ACS CS
3.0.0 3.0.0 SP1 Windows 3.3 (3) и 4.0 (1)
3.0.1 3.0.1 SP1 3.0.1 SP2 Механизм решений 4.0 (1) Windows 4.0 (1)
3.1.0 3.0.2 Механизм решений 4.0 (1) Windows 4.1 (1) и 4.1 (3)
3.1.1 3.0.2 SP1 3.0.2 SP2 Механизм решений v4.0 (1) Windows 4.1 (2), 4.1 (3) и 4.1 (4)
3.1.1 SP1 Механизм решений 4.0 (1) Windows 4.1 (4)
3.1.1 SP2 Механизм решений 4.0 (1) Windows 4.1 (4) и 4.2 (0)
3.2.0 Механизм решений 4.1 (4) Windows 4.1 (4) и 4.2 (0)
3.2.1 Механизм решений 4.1 (4) Windows 4.2 (0)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Интегрируйте Cisco Security Manager с Cisco Secure ACS

В этом разделе описываются шаги, требуемые интегрировать Cisco Security Manager с Cisco Secure ACS. Некоторые шаги содержат несколько подшагов. Эти шаги и подшаги должны быть выполнены в заказе. Этот раздел также содержит ссылки на конкретные процедуры, используемые для выполнения каждого шага.

Выполните следующие действия:

  1. Запланируйте административную проверку подлинности и модель авторизации.

    Необходимо выбрать административную модель перед использованием Cisco Security Manager. Это включает определение административных ролей и учетных записей, которые вы планируете использовать.

    Совет: Когда вы определяете роли и разрешения потенциальных администраторов, также рассматриваете, разрешить ли Поток операций. Этот выбор влияет, как можно ограничить доступ.

  2. Cisco Secure ACS установки, Cisco Security Manager и CiscoWorks Common Services.

    Версия 3.3 Cisco Secure ACS установки на сервере Windows 2000/2003. CiscoWorks Common Services установки и Cisco Security Manager на другом Windows 2000/Windows 2003 Server.

    Для получения дополнительной информации см. следующие документы:

  3. Выполните процедуры интеграции в Cisco Secure ACS.

    Определите пользователей Cisco Security Manager как пользователей ACS и назначьте их на группы пользователей на основе их запланированной роли, добавьте все управляемые устройства (а также сервер CiscoWorks/Менеджера безопасности) как клиенты AAA и создайте пользователя административного управления. См. Процедуры Интеграции, Выполненные в Cisco Secure ACS для получения дополнительной информации.

  4. Выполните процедуры интеграции в CiscoWorks Common Services.

    Настройте локального пользователя, который совпадает с администратором, определенным в Cisco Secure ACS, определите того же самого пользователя для системной идентификационной настройки и настройте ACS как режим настройки AAA.

    См. Процедуры Интеграции, Выполненные в CiscoWorks для получения дополнительной информации.

  5. Назначьте роли на группы пользователей в Cisco Secure ACS.

    Назначьте роли на каждую группу пользователей, настроенную в Cisco Secure ACS. Процедура, которую вы используете, зависит от того, настроили ли вы сетевые группы устройств (NDGs).

    Посмотрите Назначают Роли на Группы пользователей в Cisco Secure ACS для получения дополнительной информации.

Процедуры интеграции, выполненные в Cisco Secure ACS

В этом разделе описываются шаги, которые необходимо выполнить в Cisco Secure ACS для интеграции его с Cisco Security Manager:

  1. Определите пользователей и группы пользователей в Cisco Secure ACS

  2. Добавьте управляемые устройства как клиентов AAA в Cisco Secure ACS

  3. Создайте пользователя административного управления в Cisco Secure ACS

Определите пользователей и группы пользователей в Cisco Secure ACS

Все пользователи Cisco Security Manager должны быть определены в Cisco Secure ACS и назначили роль, соответствующую их рабочей функции. Самый простой способ сделать это должно разделить пользователей на различные группы на основе каждой роли по умолчанию, доступной в ACS. Например, назначьте всех системных администраторов на одну группу, всех операторов сети другой группе, и т.д. Обратитесь к Ролям Cisco Secure ACS По умолчанию для получения дополнительной информации о ролях по умолчанию в ACS.

Кроме того, необходимо создать дополнительного пользователя, которому назначают роль системного администратора с полными полномочиями. Учетные данные, установленные для этого пользователя, позже используются на Системной Идентификационной Странице настройки в CiscoWorks. Посмотрите Определяют Системного Идентификационного Пользователя для получения дополнительной информации.

Обратите внимание на то, что на данном этапе вы просто назначаете пользователей на различные группы. Фактическое присвоение ролей этим группам выполнено позже, после CiscoWorks Cisco Security Manager и любые другие приложения зарегистрированы к Cisco Secure ACS.

Совет: Перед переходом, CiscoWorks Common Services Установки и Cisco Security Manager на одном сервере Windows 2000/2003. Cisco Secure ACS установки на другом сервере Windows 2000/2003.

  1. Войдите к Cisco Secure ACS.

  2. Настройте пользователя с полными полномочиями:

    1. Нажмите User Setup на навигационной панели.

    2. На странице User Setup введите имя для нового пользователя, затем нажмите Add/Edit.

    3. Выберите метод аутентификации от списка Проверки подлинности с помощью пароля при Настройке пользователя.

    4. Введите и подтвердите пароль для нового пользователя.

    5. Выберите Group 1 как группу, на которую назначают пользователю.

    6. Нажмите Submit для создания учетной записи пользователя.

  3. Повторите шаг 2 для каждого пользователя Cisco Security Manager. Cisco рекомендует разделить пользователей на группы на основе роли, каждому пользователю назначают:

    • Группа 1 — системные администраторы

    • Группа 2 — администраторы безопасности

    • Группа 3 — утверждающие лица безопасности

    • Группа 4 — администраторы сети

    • Группа 5 — Утверждающие лица

    • Группа 6 — операторы сети

    • Группа 7 — справочный стол

    Посмотрите Таблицу для получения дополнительной информации о разрешениях по умолчанию, привязанных к каждой роли. Обратитесь к Настройке Ролей Cisco Secure ACS для получения дополнительной информации о настройке ролей пользователя.

    Разрешения Роли
    Системный администратор Admin безопасности (ACS) Утверждающее лицо безопасности (ACS) Сеть Admin (CW) Сеть Admin (ACS) Утверждающее лицо Оператор сети Техническая поддержка
    Обзорные разрешения
    Обзорное устройство Да Да Да Да Да Да Да Да
    Обзорная политика Да Да Да Да Да Да Да Да
    Объекты View Да Да Да Да Да Да Да Да
    Обзорная топология Да Да Да Да Да Да Да Да
    Обзорный CLI Да Да Да Да Да Да Да Нет
    Обзорный Admin Да Да Да Да Да Да Да Нет
    Обзорный архив конфигураций Да Да Да Да Да Да Да Да
    Обзорные менеджеры устройств Да Да Да Да Да Да Да Нет
    Модифицируйте разрешения
    Модифицируйте устройство Да Да Нет Да Нет Нет Нет Нет
    Модифицируйте иерархию Да Да Нет Да Нет Нет Нет Нет
    Модифицируйте политику Да Да Нет Да Нет Нет Нет Нет
    Модифицируйте образ Да Да Нет Да Нет Нет Нет Нет
    Модифицируйте объекты Да Да Нет Да Нет Нет Нет Нет
    Модифицируйте топологию Да Да Нет Да Нет Нет Нет Нет
    Модифицируйте Admin Да Нет Нет Нет Нет Нет Нет Нет
    Модифицируйте архив конфигураций Да Да Нет Да Да Нет Да Нет
    Дополнительные разрешения
    Назначьте политику Да Да Нет Да Нет Нет Нет Нет
    Утвердите политику Да Нет Да Нет Нет Нет Нет Нет
    Утвердите CLI Да Нет Нет Нет Нет Да Нет Нет
    Обнаружьте (Импорт) Да Да Нет Да Нет Нет Нет Нет
    Развернуться Да Нет Нет Да Да Нет Нет Нет
    Контроль Да Нет Нет Да Да Нет Да Нет
    Подвергнуться Да Да Нет Да Нет Нет Нет Нет

    Примечание: На данном этапе сами группы являются наборами пользователей без любых определений роли. Вы назначаете роли на каждую группу после завершения процесса интеграции. Посмотрите Назначают Роли на Группы пользователей в Cisco Secure ACS для получения дополнительной информации.

  4. Создайте дополнительного пользователя и назначьте этого пользователя на группу системных администраторов. Учетные данные, установленные для этого пользователя, позже используются на Системной Идентификационной Странице настройки в CiscoWorks. Посмотрите Определяют Системного Идентификационного Пользователя для получения дополнительной информации.

  5. Продолжите добавляют управляемые устройства как клиенты AAA в Cisco Secure ACS.

Добавьте управляемые устройства как клиентов AAA в Cisco Secure ACS

Прежде чем можно будет начать импортировать устройства в Cisco Security Manager, необходимо сначала настроить каждое устройство как клиент AAA в Cisco Secure ACS. Кроме того, необходимо настроить сервер CiscoWorks/Менеджера безопасности как клиент AAA.

Если Cisco Security Manager управляет контекстами безопасности, настроенными на устройствах с функциями межсетевого экрана, который включает контексты безопасности, настроенные на FWSM для Catalyst 6500/7600 устройства, каждый контекст должен быть добавлен индивидуально к Cisco Secure ACS.

Метод, который вы используете для добавления управляемых устройств зависит от того, хотите ли вы ограничить пользователей для управления определенным набором устройств с группами сетевых устройств (NDGs). Посмотрите один из этих разделов:

Добавьте устройства как клиентов AAA без NDGs

Эта процедура описывает, как добавить устройства как клиенты AAA Cisco Secure ACS. Обратитесь к Разделу конфигурации Клиента AAA Конфигурации сети для полной информации обо всех доступных параметрах.

Примечание: Не забудьте добавлять сервер CiscoWorks/Менеджера безопасности как клиента AAA.

  1. Нажмите Network Configuration на навигационной панели Cisco Secure ACS.

  2. Нажмите Add Запись ниже таблицы Клиентов AAA.

  3. Введите имя хоста для клиента AAA (до 32 символов) на странице Add AAA Client. Имя хоста клиента AAA должно совпасть с названием показа, которое вы планируете использовать для устройства в Cisco Security Manager.

    Например, если вы намереваетесь добавить доменное имя к имени устройства в Cisco Security Manager, имя хоста для клиента AAA в ACS должно быть <device_name>. <domain_name>.

    При обозначении Сервера СiscoWorks рекомендуется использовать полностью квалифицированное имя хоста. Обязательно запишите имя хоста правильно. Имя хоста не чувствительно к регистру.

    Когда вы называете контекст безопасности, добавляете название контекста (_ <context_name>) к имени устройства. Для FWSM это - соглашение о записи имен:

    • Блейд FWSM — <chassis_name> _FW _ <slot_number>

    • Контекст безопасности — <chassis_name> _FW _ <slot_number> _ <context_name>

  4. Введите IP-адрес сетевого устройства в поле AAA Client IP Address.

  5. Введите общий секретный ключ в Ключевое поле.

  6. Выберите TACACS + (Cisco IOS) от списка Используемой аутентификации.

  7. Нажмите Submit для сохранения изменений. Устройство, которое вы добавили, появляется в таблице Клиентов AAA.

  8. Повторите шаги 1 - 7 для добавления дополнительных устройств.

  9. После добавления всех устройств нажмите Submit + Перезапуск.

  10. Продолжите создают пользователя административного управления в Cisco Secure ACS.

Настройте сетевые группы устройств для использования в менеджере безопасности

Cisco Secure ACS позволяет вам настроить сетевые группы устройств (NDGs), которые содержат определенные устройства, которые будут управляемы. Например, можно создать NDGs для каждого географического региона или NDGs, которые совпадают с организационной структурой. Когда используется с Cisco Security Manager, NDGs позволяют вам предоставить пользователей разными уровнями разрешений, на основе устройств, которыми они должны управлять. Например, с NDGs можно назначить Пользователя системный администратор разрешения к устройствам, расположенным в Европе и разрешения Справочного стола к устройствам, расположенным в Азии. Можно тогда назначить противоположные разрешения на Пользователя Б.

NDGs не назначены непосредственно на пользователей. Скорее NDGs назначены на роли, которые вы определяете для каждой группы пользователей. Каждый NDG может быть назначен на одиночную роль только, но каждая роль может включать множественный NDGs. Эти определения сохранены как часть конфигурации для группы выбранного пользователя.

Эти темы выделяют основные шаги, требуемые для настройки NDGs:

Активируйте опцию NDG

Необходимо активировать опцию NDG, прежде чем можно будет создать NDGs и заполнить их с устройствами.

  1. Нажмите Interface Configuration на навигационной панели Cisco Secure ACS.

  2. Нажмите кнопку Дополнительно.

  3. Прокрутите вниз, затем проверьте флажок Network Device Groups.

  4. Щелкните Submit (отправить).

  5. Продолжите создают NDGs.

Создайте NDGs

Эта процедура описывает, как создать NDGs и заполнить их с устройствами. Каждое устройство может принадлежать только одному NDG.

Примечание: Cisco рекомендует создать специальный NDG, который содержит сервер CiscoWorks/Менеджера безопасности.

  1. Нажмите Network Configuration на навигационной панели.

    Все устройства первоначально размещены под Не Назначенный, который держит все устройства, которые не были размещены в NDG. Следует иметь в виду, что Не Назначенный не NDG.

  2. Создайте NDGs:

    1. Нажмите Add запись.

    2. Введите имя для NDG на странице New Network Device Group. Максимальная длина составляет 24 символа. Пробелы разрешены.

    3. Дополнительный, когда с версией 4.0 или позже: Введите ключ, который будет использоваться всеми устройствами в NDG. При определении ключа для NDG это отвергает любые ключи, определенные для отдельных устройств в NDG.

    4. Нажмите Submit для сохранения NDG.

    5. Повторите шаги a через d для создания большего количества NDGs.

  3. Заполните NDGs с устройствами:

    1. Нажмите название NDG в области Network Device Groups.

    2. Нажмите Add Запись в области AAA Clients.

    3. Определите подробные сведения устройства, чтобы добавить к NDG, затем нажать Submit. Посмотрите Добавляют Устройства как Клиенты AAA Без NDGs для получения дополнительной информации.

    4. Повторите шаги b и c для добавления остатка от устройств к NDGs. Единственное устройство, что можно оставить Не Назначенную категорию внутри, является AAA-сервером по умолчанию.

    5. После настройки последнего устройства нажмите Submit + Перезапуск.

  4. Продолжите создают пользователя административного управления в Cisco Secure ACS.

Создайте пользователя административного управления в Cisco Secure ACS

Используйте страницу Administration Control в Cisco Secure ACS для определения учетной записи администратора, которая используется при определении режима настройки AAA в CiscoWorks Common Services. Посмотрите Настраивают Режим настройки AAA в CiscoWorks для получения дополнительной информации.

  1. Нажмите Administration Control на навигационной панели Cisco Secure ACS.

  2. Нажмите Add администратора.

  3. На странице Add Administrator введите имя и пароль для администратора.

  4. Нажмите Grant All в области Administrator Privileges для обеспечения полных административных разрешений этому администратору.

  5. Нажмите Submit для создания администратора.

Примечание: Обратитесь к Администраторам и Административной политике для получения дополнительной информации об опциях, доступных при настройке администратора.

Процедуры интеграции, выполненные в CiscoWorks

В этом разделе описываются шаги для завершения в CiscoWorks Common Services для интеграции его с Cisco Security Manager:

Выполните эти шаги после завершения процедур интеграции, выполненных в Cisco Secure ACS. Общее обслуживание выполняет фактическую регистрацию любых установленных приложений, таких как Cisco Security Manager, Сервер Автоматического обновления и Менеджер IPS в Cisco Secure ACS.

Создайте локального пользователя в CiscoWorks

Используйте Страницу настройки Локального пользователя в CiscoWorks Common Services для создания учетной записи локального пользователя, которая копирует администратора, которого вы создали на предыдущем этапе в Cisco Secure ACS. Эта учетная запись локального пользователя позже используется для системной идентификационной настройки. Видьте дополнительные сведения.

Примечание: Прежде чем вы продолжитесь, создадите администратора в Cisco Secure ACS. Посмотрите Определяют Пользователей и Группы пользователей в Cisco Secure ACS для инструкций.

  1. Войдите в CiscoWorks с учетной записью пользователя с правами администратора по умолчанию.

  2. Выберите Server> Security from Common Services, затем выберите Local User Setup из TOC.

  3. Нажмите Add.

  4. Введите то же имя и пароль, которое вы ввели при создании администратора в Cisco Secure ACS. Посмотрите, что шаг 4 в Определяет Пользователей и Группы пользователей в Cisco Secure ACS.

  5. Проверьте все флажки под Ролями кроме Данных Экспорта.

  6. Нажмите OK для создания пользователя.

Определите системного идентификационного пользователя

Используйте Системную Идентификационную Страницу настройки в CiscoWorks Common Services для создания трастового пользователя, известного как Системный Идентификационный пользователь, который включает связь между серверами, которые являются частью того же домена и процессов применения, которые расположены на том же сервере. Приложения используют Системного Идентификационного пользователя для аутентификации процессов на локальных или удаленных Серверах СiscoWorks. Это особенно полезно, когда приложения должны синхронизироваться, прежде чем любые пользователи вошли.

Кроме того, когда основная задача уже авторизуется для зарегистрированного пользователя, Системный Идентификационный пользователь часто используется для выполнения подзадачи. Например, для редактирования устройства в Cisco Security Manager, межсвязь приложений требуется между Cisco Security Manager и Общим обслуживанием DCR. После того, как пользователь авторизуется выполнить задачу редактирования, Системный Идентификационный пользователь используется для призыва DCR.

Системный Идентификационный пользователь, которого вы настраиваете здесь, должен быть идентичен пользователю с административными (полными) разрешениями, которые вы настроили в ACS. Сбой для этого может привести к неспособности просмотреть все устройства и политику, настроенную в Cisco Security Manager.

Примечание: Прежде чем вы продолжитесь, создадите локального пользователя с тем же именем и паролем как этот администратор в CiscoWorks Common Services. Посмотрите Создают Локального пользователя в CiscoWorks для инструкций.

  1. Выберите Server> Security, затем выберите Multi-Server Trust Management> System Identity Setup от TOC.

  2. Введите имя администратора, которого вы создали для Cisco Secure ACS. Посмотрите, что шаг 4 в Определяет Пользователей и Группы пользователей в Cisco Secure ACS.

  3. Введите и проверьте пароль для этого пользователя.

  4. Нажмите кнопку Apply.

Настройте режим настройки AAA в CiscoWorks

Используйте страницу AAA Setup Mode в CiscoWorks Common Services для определения Cisco Secure ACS как AAA-сервера, который включает требуемый порт и общий секретный ключ. Кроме того, можно определить до двух серверов резервного копирования.

Эти шаги выполняют фактическую регистрацию CiscoWorks, Cisco Security Manager, Менеджер IPS (и дополнительно, Сервер Автоматического обновления) в Cisco Secure ACS.

  1. Выберите Server> Security, затем выберите AAA Mode Setup из TOC.

  2. Проверьте флажок TACACS + под Доступными Модулями Входа в систему.

  3. Выберите ACS как тип AAA.

  4. Введите IP-адреса до трех серверов Cisco Secure ACS в области Server Details. Вторичные и третичные серверы действуют как резервные копии в случае, если отказывает основной сервер.

    Примечание: Если весь настроенный TACACS + серверы не в состоянии отвечать, необходимо войти с Локальной учетной записью CiscoWorks admin, то возвратить режим AAA к Локальной переменной Non-ACS/CiscoWorks. После TACACS + серверы восстановлены сервису, необходимо возвратить режим AAA к ACS.

  5. В области Login введите имя администратора, которого вы определили на странице Administration Control Cisco Secure ACS. Посмотрите Создают Пользователя Административного управления в Cisco Secure ACS для получения дополнительной информации.

  6. Введите и проверьте пароль для этого администратора.

  7. Введите и проверьте общий секретный ключ, который вы ввели, когда вы добавили сервер Менеджера безопасности как клиент AAA Cisco Secure ACS. Посмотрите, что шаг 5 в Добавляет Устройства как Клиентов AAA Без NDGs.

  8. Проверьте Регистр все установленные приложения с флажком ACS для регистрации Cisco Security Manager и любых других установленных приложений с Cisco Secure ACS.

  9. Чтобы сохранить изменения, нажмите Apply. Индикатор выполнения отображает выполнение регистрации. Когда регистрация завершена, сообщение появляется.

  10. Если вы интегрируете Cisco Security Manager с какой-либо версией ACS, перезапускаете Менеджера демона Cisco Security Manager сервис. Посмотрите Перезапуск Менеджер демона для инструкций.

    Примечание: После CSM 3.0.0, Cisco больше не тестирует с ACS 3.3 (x), потому что это в большой степени исправлено, и о его поддержке закончена (EOL) объявили. Поэтому необходимо использовать соответствующую версию ACS для версии CSM 3.0.1 и позже. Посмотрите таблицу матрицы совместимости для получения дополнительной информации.

  11. Регистрируйте назад в Cisco Secure ACS для присвоения ролей на каждую группу пользователей. Посмотрите Назначают Роли на Группы пользователей в Cisco Secure ACS для инструкций.

    Примечание: Настройка AAA, настроенная здесь, не сохранена при удалении CiscoWorks Common Services или Cisco Security Manager. Кроме того, эта конфигурация не может быть выполнена резервное копирование и восстановлена после переустановки. Поэтому, если вы обновляете к новой версии любого приложения, необходимо реконфигурировать режим настройки AAA и повторно регистрировать Cisco Security Manager с ACS. Этот процесс не требуется для инкрементных обновлений. Если вы устанавливаете дополнительные приложения, такие как ВшS, поверх CiscoWorks, необходимо повторно регистрировать новые приложения и Cisco Security Manager.

Перезапустите менеджера демона

Эта процедура описывает, как перезапустить Менеджера демона сервера Cisco Security Manager. Необходимо сделать это для параметров настройки AAA, которые вы настроили для вступления в силу. Можно тогда регистрировать назад в CiscoWorks с учетными данными, определенными в Cisco Secure ACS.

  1. Войдите в машину, на которой установлен сервер Cisco Security Manager.

  2. Выберите Start> Programs> Administrative Tools> Services для открытия окна Services.

  3. От списка сервисов, отображенных в правой панели, выберите Cisco Security Manager Daemon Manager.

  4. Нажмите кнопку Restart Service на панели инструментов.

  5. Продолжите назначают роли на группы пользователей в Cisco Secure ACS.

Назначьте роли на группы пользователей в Cisco Secure ACS

После регистрации CiscoWorks, Cisco Security Manager и других установленных приложений к Cisco Secure ACS, можно назначить роли на каждую из групп пользователей, которые вы ранее настроили в Cisco Secure ACS. Эти роли определяют действия, которые пользователям в каждой группе разрешают выполнить в Cisco Security Manager.

Процедура, которую вы используете для присвоения ролей на группы пользователей зависит от того, используются ли NDGs:

Назначьте роли на группы пользователей без NDGs

Эта процедура описывает, как назначить роли по умолчанию на группы пользователей, когда не определены NDGs. Обратитесь к Ролям Cisco Secure ACS По умолчанию для получения дополнительной информации.

Примечание: Перед переходом:

Выполните следующие действия:

  1. Войдите к Cisco Secure ACS.

  2. Нажмите Group Setup на навигационной панели.

  3. Выберите группу пользователей для системных администраторов от списка. Посмотрите, что шаг 2 Определяет Пользователей и Группы пользователей в Cisco Secure ACS, затем нажимает Edit Settings.

Привяжите NDGs и роли с группами пользователей

То, когда вы привязываете NDGs к ролям для использования в Cisco Security Manager, необходимо создать определения в два, размещает на странице Group Setup:

  • Область CiscoWorks

  • Область Cisco Security Manager

Определения в каждой области должны совпасть максимально близко. Когда вы привязываете настраиваемые роли или роли ACS, которые не существуют в CiscoWorks Common Services, пытаются определить максимально близкий эквивалент на основе разрешений, назначенных на ту роль.

Необходимо создать ассоциации для каждой группы пользователей, чтобы использоваться с Cisco Security Manager. Например, если у вас есть группа пользователей, которая содержит персонал службы технической поддержки для Западной области, можно выбрать ту группу пользователей, затем привязать NDG, который содержит устройства в той области с ролью Справочного стола.

Примечание: Прежде чем вы продолжитесь, активируете опцию NDG и создадите NDGs. Посмотрите Настраивают сетевые Группы устройств для Использования в Менеджере безопасности для получения дополнительной информации.

  1. Нажмите Group Setup на навигационной панели.

  2. Выберите группу пользователей от списка Группы, затем нажмите Edit Settings.

  3. Сопоставьте NDGs и роли для использования в CiscoWorks:

    1. На странице Group Setup прокрутите вниз к области CiscoWorks под TACACS + Параметры настройки.

    2. Выберите Assign a CiscoWorks на на основание группы сетевых устройств.

    3. Выберите NDG от списка Группы устройств.

    4. Выберите роль, к которой этот NDG должен быть привязан от второго списка.

    5. Нажмите Add Ассоциацию. Ассоциация появляется в коробке Группы устройств.

    6. Повторите шаги c через e для создания дополнительных ассоциаций.

      Примечание: Для удаления ассоциации выберите ее от Группы устройств, затем нажмите Remove Association.

  4. Прокрутите вниз к области Cisco Security Manager и создайте ассоциации, которые совпадают максимально близко с ассоциациями, определенными в шаге 3.

    Примечание: При выборе Security Approver или Ролей администратора безопасности в Cisco Secure ACS рекомендуется выбрать Network Administrator как самую близкую эквивалентную роль CiscoWorks.

  5. Нажмите Submit для сохранения настроек.

  6. Повторите шаги 2 - 5 для определения NDGs для остатка от групп пользователей.

  7. После соединения NDGs и ролей с каждой группой пользователей нажмите Submit + Перезапуск.

Устранение неполадок

  1. Прежде чем можно будет начать импортировать устройства в Cisco Security Manager, необходимо сначала настроить каждое устройство как клиент AAA в Cisco Secure ACS. Кроме того, необходимо настроить сервер CiscoWorks/Менеджера безопасности как клиент AAA.

  2. Если вы получаете журнал неудачных попыток, автор отказал с ошибкой в Cisco Secure ACS.

    "service=Athena cmd=OGS authorize-deviceGroup*(Not Assigned) authorize-deviceGroup*Test
    Devices authorize-deviceGroup*HQ Routers authorize-deviceGroup*HQ Switches
    authorize-deviceGroup*HQ Security Devices authorize-deviceGroup*Agent Routers authoriz"

    Для решения этого вопроса удостоверьтесь, что название устройства в ACS должно быть полным доменным именем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 99749