Définir les droits d’autorisation dans les comptes d’utilisateurs RADIUS
Vous pouvez fournir un accès SSH à l’API REST de défense contre les menacesà partir d’un serveur RADIUS externe. En activant l’authentification et l’autorisation RADIUS, vous pouvez fournir différents niveaux de droits d’accès et ne pas demander à chaque utilisateur de se connecter avec le compte admin local.
![]() Remarque |
Ces utilisateurs externes sont également autorisés pour gestionnaire d'appareil. |
Pour fournir un contrôle d’accès basé sur les rôles (RBAC), mettez à jour les comptes d’utilisateur sur votre serveur RADIUS pour définir l’attribut cisco-av-pair. Cet attribut doit être défini correctement sur un compte utilisateur, sinon l’utilisateur se voit refuser l’accès à l’API REST. Voici les valeurs suivantes prises en charge pour l’attribut cisco-av-pair :
-
fdm.userrole.authority.admin fournit un accès administrateur complet. Ces utilisateurs peuvent effectuer toutes les actions que l’utilisateur admin local peut effectuer.
-
fdm.userrole.authority.rw fournit un accès en lecture-écriture. Ces utilisateurs peuvent faire tout ce qu’un utilisateur en lecture seule peut faire, ainsi que modifier et déployer la configuration. Les seules restrictions concernent les actions critiques pour le système, qui comprennent l’installation des mises à niveau, la création et la restauration de sauvegardes, l’affichage du journal d’audit et la déconnexion d’autres utilisateurs.
-
fdm.userrole.authority.ro fournit un accès en lecture seule. Ces utilisateurs peuvent afficher les tableaux de bord et la configuration, mais ne peuvent apporter aucune modification. Si l’utilisateur tente d’apporter une modification, le message d’erreur explique que cela est causé par un manque d’autorisation.