Administração de usuário do Cisco Policy Suite

Opções de download

  • PDF     (535.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (376.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (379.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:3 de Fevereiro de 2016
ID do documento:117818

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como criar, configurar e atualizar usuários (administração do usuário) no Quantum Policy Suite (QPS). Isso é mais específico para o QPS Versão 5.5 e posterior. O gerenciamento de usuário é descrito para estas três seções no QPS:

  • Gerenciamento de usuários para VM QPS (todas as VMs; como PCRFClient0x, Lb0x e QNS0x )
  • Gerenciamento de usuários para o Control Center
  • Gerenciamento de usuário para o repositório do Policy Builder (PB-Subversion [PB-SVN])

Note: O QPS foi renomeado para Cisco Policy Suite (CPS) na versão 8.0.0.

Gerenciamento de usuário para QPS VM

Esta seção explica o gerenciamento de usuários em QPS VM (LB, PCRFClient, QNS etc.).

Criar um novo usuário local com um grupo padrão

Por padrão, uma adição de usuário local cria o nome do grupo igual ao nome do usuário. A adição de grupo não é obrigatória.

  1. Insira o comando useradd -m -d /home/<id do usuário> -c "Usuário Local" <id do usuário> para criar a id do usuário. Neste exemplo, é 'aravibal'.

  2. Insira o comando passwd <user id> para definir a senha para o usuário recém-criado.

  3. Conceder acesso ao usuário local recém-criado. Edite o arquivo /etc/security/access.conf e adicione esta linha:
    "+:<User ID>:ALL
  4. Edite o arquivo /etc/ssh/sshd_config e adicione o novo usuário ao final da linha 'AllowUsers'.

  5. Insira o comando service sshd restart para reiniciar o serviço Secure Shell Daemon (SSHD).

  6. Efetue login como o novo usuário e insira o comando ssh localhost -l <recém-criado_user id> para exibir a id do usuário e o nome do grupo.

Criar um novo usuário local com um novo grupo

  1. Insira o comando groupadd <groupname> para criar um novo grupo.

  2. Insira o comando cat /etc/group para verificar sua ID de grupo recém-criada no arquivo /etc/group.

  3. Insira o comando useradd -m -d /home/<id do usuário> -c "Usuário local" <id do usuário> -g<novo nome de grupo> para criar o novo usuário local com o novo grupo.

  4. Conclua as etapas de 3 a 6 na seção Criar um novo usuário local com um grupo padrão.

Modificar a conta de usuário

Conclua esta seção para modificar as configurações de envelhecimento de senha, bloqueio, desbloqueio e expiração da conta.

Insira o comando chage -l <user id> para verificar a idade de expiração da senha.

O administrador do sistema pode concluir estas ações conforme necessário:

  • Insira o comando change -M <number of days > <user id> para definir a data de expiração da senha para qualquer usuário.

    O número de dias é calculado a partir da data atual do sistema. Por exemplo, se desejar definir a expiração da senha após 25 dias, insira chage -M 25 <user ID>. A opção -M atualiza a senha e o número máximo de dias entre a alteração de senha.

  • Insira o comando chage -E "AAAA-MM-DD" <id do usuário> para definir a data de vencimento da conta para qualquer usuário. A data deve ser indicada no formato "AAAA-MM-DD".

  • Insira o comando chage -m 0 -M 9999 -I -1 -E -1 <user id> para desabilitar o envelhecimento da senha.
    • -m 0 define o número mínimo de dias entre a alteração de senha para 0
    • -M 99999 define o número máximo de dias entre as alterações de senha para 99999
    • -I -1 (número menos um) define a 'Senha inativa' como nunca
    • -E -1 (número menos um) define 'Conta expira' como nunca

  • Insira um dos seguintes comandos para bloquear ou desbloquear um usuário:
    • bloquear o usuário - passwd -l <user id>
    • desbloquear o usuário - passwd -u <user id>
  • Insira o comando passwd -S <user id> para verificar se o status da conta está bloqueado.

    Essa saída consiste em sete campos, o segundo campo indica se a conta de usuário tem uma senha bloqueada (L), não tem senha (NP) ou tem uma senha utilizável (P).

    Note: Na versão 5.5, a opção -S funciona, mas somente com um usuário por vez. Você precisará verificar se a opção -a está disponível na versão 6.0. Por exemplo, insira o comando passwd -Sa.

  • Insira o comando passwd <user ID> para redefinir as senhas de todas as IDs de usuário, inclusive do usuário administrador. Por exemplo, passwd broadcast1.
  • Insira o comando faillog -a para verificar as tentativas de login com falha para todos os usuários.

  • Insira o comando userdel <user id> para excluir o usuário. O comando userdel -r <user ID> remove o diretório inicial do usuário. Por exemplo, userdel -r aravibal.

Gerenciamento de usuários para o Control Center

O Control Center (CC) não está disponível em versões anteriores do QPS, ou seja, CC não está disponível no QPS versão 2.5.7. A GUI do CC está disponível somente no QPS versão 5.3 e posterior.

Edite este arquivo XML em PCRFClient01, '/etc/broadhop/authentication-provider.xml', para adicionar uma nova id de usuário ou alterar a senha em CC. Há duas autoridades para CC, somente leitura e administração.

<user name="userid" password="password" authorities="ROLE_READONLY"/>
<user name="userid" password="password" authorities="ROLE_SUMADMIN"/>

Remova a linha apropriada deste arquivo XML para excluir um usuário.

Gerenciamento de usuário do Policy Builder

Esta seção explica a administração do usuário no PB.

Criar um usuário

  1. Insira o comando htpasswd -b /var/www/svn/password <username> <password> no pcrfclient01 para adicionar um usuário SVN.

    Note: Em alguns casos, o arquivo de senha está oculto como .htpasswd. Talvez seja necessário inserir htpasswd -b /var/www/svn/.htpasswd <username> <password>.

  2. Edite os administradores de linha = broadcast, <username> no /var/www/svn/users-access-file file para fornecer acesso de leitura/gravação ao usuário.

Modificar um usuário

  1. Insira o comando htpasswd /var/www/svn/password <username> para redefinir a senha de um usuário atual no PB (repositório SVN). Por exemplo, htpasswd /var/www/svn/password broadhop2.

    Note: Em alguns casos, o arquivo de senha está oculto como .htpasswd. Talvez seja necessário inserir htpasswd -b /var/www/svn/.htpasswd <username> <password>.

  2. Insira o comando htpasswd -D password <user id> para excluir usuários no PB (repositório PB-SVN). Por exemplo, htpasswd -D password broadhop1.

  3. Insira estes comandos para determinar qual usuário cometeu recentemente uma alteração no PB e quem são todos os usuários que cometeram alterações.
    • #svn log http://pcrfclient01/repos/configuration/  | mais
    • #svn log http://pcrfclient01/repos/configuration/ | grep '^r[0-9]' | awk '{print $3}' | classificação | uniq

Informações úteis

  • O usuário padrão do sistema 'qns' não tem uma senha.

  • Use 'pwck' e 'grpck' para verificar a integridade de /etc/passwd, /etc/shadow e /etc/group.

  • Vários usuários em PB estão disponíveis no QPS versão 6.0 e posterior. Em versões anteriores, o PB pode ter vários usuários para fazer login e fazer alterações, mas isso resulta em uma substituição.

  • Se quiser manter o tempo de sessão ociosa, insira o comando export TMOUT=120. (Os usuários serão desconectados se estiverem inativos por dois minutos= 120 segundos.)

  • Você pode fazer check-in no /var/log/httpd/access_log quando o usuário se conecta ao PB (repositório SVN).

  • Todas as falhas de autenticação de usuário relacionadas ao PB podem ser verificadas em /etc/httpd/logs/error_log.

  • Informações relacionadas a privilégios de autenticação e autorização podem ser encontradas em /var/log/secure. Por exemplo, o SSHD registra todas as mensagens que incluem logins malsucedidos.

TAC Authored

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos