Безопасность : Cisco Security Manager

Аутентификация CSM с ACS и авторизация с локальным Примером конфигурации RBAC

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает шаги, требуемые для аутентификации Версий Cisco Security Manager (CSM) 4.3/4.4 с Версией 5 Access Control Server (ACS). x . В то время как авторизацией управляют на CSM с локальной функцией Роли базирующегося управления доступом (RBAC), в этой конфигурации проверкой подлинности пользователя управляет ACS.

Внесенный Aastha Chaudhary, Хэришей Ганной, и пулой Тодда, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Базовые знания об аутентификации, авторизации и учете (AAA)
  • Сервер CSM и администрирование устройств
  • Конфигурация политики проверки подлинности и авторизация на версии ACS 5. x

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия CSM 4.4
  • Версия ACS 5.4

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

В предыдущих версиях CSM внешняя проверка подлинности и сервисы авторизации были возможны с Версией ACS 4.x только. Использование ACS Version 5.x официально не тестировалось или поддерживалось. Интеграция Версии ACS 4.x была часто трудной масштабировать becuase, это потребовало ручной синхронизации конфигураций сетевого устройства CSM и ACS. Для преодоления этих административных накладных расходов локальные возможности RBAC интегрированы непосредственно в Версию CSM 4.3 и позже. В развертываниях на производстве, где обе Версии CSM 4.3/4.4 и ACS Version 5.x развернуты, теперь возможно интегрировать два, чтобы к аутентификации пользователя службы внешне и поддерживают гранулированную политику авторизации локально на CSM.

Настройка

Настройте сервер ACS

Выполните эти шаги для настройки сервера ACS:

  1. От ACS Version 5.x административный GUI перейдите к Сетевым ресурсам>, Сетевые устройства и Клиенты AAA> Создают и добавляют сервер CSM как Устройство доступа к сети (NAD). Несмотря на то, что TACACS + более обычно используется для аутентификации сетевого устройства, и ACS и CSM могут быть настроены для использования RADIUS при необходимости.

  2. Перейдите Пользователям и Идентификационным Хранилищам> Внутренний Идентификационный> Users Хранилищ, и создайте нового локального пользователя для доступа CSM. Привяжите учетную запись пользователя к Identity Group как требуется, такой как CSM_Admins. Также внешнее хранилище идентификаторов, такое как Active Directory, может использоваться.

  3. Перейдите к Политике доступа> Службы доступа> Администратор устройства по умолчанию> Идентичность и привяжите Идентификационный Источник, чтобы использоваться для проверки подлинности пользователя. В данном примере выбран идентификационный источник Внутренних пользователей, потому что учетные записи пользователя CSM локально определены на ACS. Внешний идентификационный источник может быть выбран, когда вы интегрируете его с Active Directory.

  4. Перейдите к Политике доступа> Службы доступа> Администратор устройства по умолчанию> Авторизация и настройте политику авторизации, которая разрешает доступ к Группе идентичности пользователя, определенной ранее (CSM_Admins). Это требуется для обработки заказа операций ACS даже при том, что фактическая политика авторизации определена/принуждена локально на сервере CSM.

Настройте CiscoWorks Common Services CSM

Выполните эти шаги для настройки CiscoWorks Common Services CSM: 

  1. Дважды нажмите значок Cisco Security Manager на рабочем столе сервера CSM. Также перейдите Администратору Tools> Security> Безопасность Сервера с Менеджером Конфигурации CSM клиент для пересечения, запускают Средства безопасности Сервера в бэкэнде Общего обслуживания CSM.

  2. Введите учетные данные административного пользователя CSM и нажмите Login. Выберите опцию Server Administration из Cisco Security страница запуска Системы управления.

  3. Перейдите к Безопасности Server>> Настройка Режима AAA и выберите Local RBAC и или TACACS + или RADIUS. Нажмите Change для редактирования параметров настройки сервера входа в систему.

  4. Введите IP сервера входа в систему или Полное доменное имя (FQDN), порты и предварительный общий ключ. Под нормальными работами не изменяйте настройки параметров снижения скорости Входа в систему для предоставления доступа нейтрализации к CSM, если сервер ACS недостижим. По умолчанию локальная учетная запись административного пользователя CSM определена для доступа нейтрализации. Если изменение необходимо, меры должны быть приняты для предотвращения случайного локаута сервера CSM.

  5. Перейдите к менеджменту Одиночного сервера Server>> Настройка Локального пользователя и нажмите Add для создания учетных записей локального пользователя, которые совпадают с внутренними учетными записями или учетными записями внешнего пользователя, определенными в ACS. Имена пользователей учитывают регистр и должны совпасть с ACS точно. Эти локально определенные учетные записи тогда сопоставлены с CSM локальные роли авторизации RBAC. Определенные роли, такие как Системный администратор могут быть выбраны для разделения Авторизации Задачи, или пользователь может быть предоставлен или полный или ограниченный доступ подмножеству устройств. Обратитесь к разделу Ролей CiscoWorks Common Services По умолчанию руководства по установке CSM 4.4 для получения дополнительной информации об Авторизации Задачи и Ролях.


Настройте роли авторизации по умолчанию для неопределенных пользователей (Необязательно)

Выполните эти шаги для настройки ролей авторизации по умолчанию для неопределенных пользователей:

  1. В некоторых развертываниях CSM не удобно поддержать один к одному пользователь, сопоставляющий между CSM и ACS. Альтернативный подход должен назначить набор по умолчанию ролей авторизации в CSM для пользователей не подарок в локальной базе данных CSM.

  2. Для настройки ролей авторизации по умолчанию дважды нажмите значок Cisco Security Manager на рабочем столе сервера CSM и выберите опцию Server Administration от страницы запуска.

  3. Перейдите к менеджменту Одиночного сервера Server>> Настройка менеджмента Роли. По умолчанию роли Справочного стола назначают обозначение Роли По умолчанию. Для изменения этого обозначения проверьте одну или более ролей и нажмите Set как кнопку по умолчанию.

  4. Для активации этой опции перейдите Администратору Tools> Security> Безопасность Сервера с Конфигурацией клиент Mananger и проверьте, что маркированный флажок Позволяет вход в систему для идентификаторов пользователя, не доступных в Базе локальных пользователей. Нажмите Save для сохранения конфигурации.

Проверка.

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

  • Рассмотрите TACACS +, или Проверка подлинности RADIUS входит в систему сервера ACS, чтобы определить, ли пользователь CSM в состоянии подтвердить подлинность против настроенного идентификационного хранилища.

  • Проверьте, что пользователь CSM в состоянии выполнить доступную задачу в определенной роли Авторизации Задачи. Например, войдите в систему в качестве пользователя с ролью Системного администратора и попытайтесь добавить новое устройство к материально-техническим ресурсам CSM.

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

  1. Ошибки такой, они указывают, что вы попытались выполнить задачу, которую вы не авторизуетесь выполнить согласно локальной политике RBAC.


  2. Войдите к интерфейсу Администрирования сервера CSM как административный пользователь и перейдите к менеджменту Одиночного сервера Server>> Настройка Локального пользователя. Отредактируйте рассматриваемую учетную запись пользователя и рассмотрите Политику авторизации Задачи, определенную для пользователя. Когда вы используете определенные CSM роли, гарантируете рассмотрение раздела Ролей CiscoWorks Common Services По умолчанию руководства по установке CSM 4.4, чтобы лучше понять разрешения для каждой роли. Например, в то время как супер Admin только предоставляет доступ к операциям CiscoWorks бэкэнда, роль Системного администратора предоставляет полный доступ ко всем функциям клиента CSM.

  3. При желании новые роли могут быть определены, и роли по умолчанию отредактированы для обеспечения большего гранулированного контроля за политикой авторизации. Для добавления войдите к диспетчеру серверов CSM inteface и перейдите к менеджменту Одиночного сервера Server>> Настройка менеджмента Роли.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 116209