Autenticação CS com ACS e autorização com exemplo de configuração local RBAC Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de Apoio Configurar Configurar o servidor ACS Configurar o CiscoWorks Common Services CS Configurar papéis da autorização do padrão para os usuários indeterminados (opcionais) Verificar Troubleshooting Informações Relacionadas Introdução Este documento descreve as etapas exigidas a fim autenticar as versões 4.3/4.4 do Cisco Security Manager (CS) com versão 5.x do Access Control Server (ACS). Nesta configuração, a autenticação de usuário está controlada pelo ACS quando a autorização estiver controlada no CS com papel local a característica baseada do controle de acesso (RBAC). Pré-requisitos Requisitos A Cisco recomenda que você tenha conhecimento destes tópicos: Conhecimento básico do Authentication, Authorization, and Accounting (AAA) Server CS e administração do dispositivo Configuração das políticas da authentication e autorização na versão de ACS 5.x Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: Versão de CSM 4.4 Versão de ACS 5.4 As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Informações de Apoio Nas versões anterior do CS, os serviços da autenticação externa e da autorização eram possíveis com versão de ACS 4.x somente. O uso da versão de ACS 5.x não foi testado nem foi apoiado oficialmente. A integração da versão de ACS 4.x era frequentemente difícil de escalar porque exigiu a sincronização manual das configurações de dispositivo de rede ACS e CS. A fim superar esta sobrecarga administrativa, as capacidades locais RBAC são integradas diretamente na versão de CSM 4.3 e mais atrasado. Nas distribuições do produto onde as versões de CSM 4.3/4.4 e a versão de ACS 5.x são distribuídas, é agora possível integrar externamente a autenticação de usuário de serviço dois e manter localmente políticas granuladas da autorização no CS. Configurar Configurar o servidor ACS Termine estas etapas a fim configurar o servidor ACS: 1. Da versão de ACS 5.x GUI administrativo, navegue aos recursos de rede > aos dispositivos de rede e os clientes de AAA > criam, e adicionam o server CS como um dispositivo do acesso de rede (NAD). Embora o TACACS+ seja mais de uso geral para a autenticação do dispositivo de rede, o ACS e o CS podem ser configurados a fim usar se for necessário o RAIO. 2. Navegue aos usuários e a identidade armazena > identidade interna armazena > usuários, e cria um usuário local novo para o acesso CS. Associe a conta de usuário com um grupo da identidade como necessário, como CSM_Admins. Alternativamente, uma loja externo da identidade, tal como o diretório ativo, pode ser usada.
3. Navegue ao dispositivo das políticas de acesso > dos serviços > do padrão do acesso Admin > identidade, e associe a fonte da identidade a ser usada para a autenticação de usuário. Neste exemplo, a fonte da identidade dos usuários internos é escolhida porque as contas de usuário CS são definidas localmente no ACS. Uma fonte externo da identidade pode ser selecionada quando você a integra com diretório ativo.
4. Navegue ao dispositivo das políticas de acesso > dos serviços > do padrão do acesso Admin > autorização, e configurar uma política da autorização que permita o acesso ao grupo da identidade do usuário definido previamente (CSM_Admins). Isto é exigido para o processamento de ordem de operação ACS mesmo que a política real da autorização seja definida/reforçada localmente no server CS.
Configurar o CiscoWorks Common Services CS Termine estas etapas a fim configurar o CiscoWorks Common Services CS: 1. Fazer duplo clique o ícone do Cisco Security Manager no desktop de servidor CS. Alternativamente, navegue à Segurança da administração do gerenciador > do server do ferramentas > segurança com o cliente do gerente da configuração de CSM a fim cruzar o lançamento as ferramentas de segurança do server dentro dos serviços comuns CS backend. 2. Incorpore as credenciais administrativas do usuário CS, e clique o início de uma sessão. Escolha a opção da administração de servidor da página do lançamento da suite de gerenciamento do Cisco Security.
3. Navegue ao > segurança do server > à instalação do modo AAA, e escolha RBAC local e TACACS+ ou RAIO. Clique a mudança a fim editar as configurações de servidor do início de uma sessão.
4. Entre no IP de servidor do início de uma sessão ou o nome de domínio totalmente qualificado (FQDN), as portas, e a chave pré-compartilhada. Sob operações normal, não mude os ajustes das opções de recuo do início de uma sessão a fim permitir o acesso da reserva ao CS caso o servidor ACS for inacessível. À revelia, a conta de usuário administrativa local CS é definida para o acesso da reserva. Se a mudança é necessária, o cuidado deve ser ordem recolhida para impedir o fechamento acidental do server CS.
5. Navegue ao Gerenciamento do server > do servidor único > à instalação do usuário local, e o clique adiciona a fim criar as contas de usuário local que combinam as contas internas ou de usuário externo definidas no ACS. Os nomes de usuário são diferenciando maiúsculas e minúsculas e devem combinar o ACS exatamente. Estas contas local-definidas são traçadas então aos papéis locais da autorização CS RBAC. Os papéis específicos tais como o administrador de sistema podem ser escolhidos para a separação da autorização da tarefa ou o usuário pode ser fornecido completamente ou acesso restrito a um subconjunto dos dispositivos. Refira a seção dos papéis do padrão do CiscoWorks Common Services do Guia de Instalação CS 4.4 para mais detalhes sobre a autorização e os papéis da tarefa.
Configurar papéis da autorização do padrão para os usuários indeterminados (opcionais) Termine estas etapas a fim configurar papéis da autorização do padrão para usuários indeterminados: 1. Em algumas disposições CS, não é conveniente manter a um-para-um o mapeamento do usuário entre o CS e o ACS. Um abordagem alternativa é atribuir um grupo do padrão de
papéis da autorização no CS para os usuários não atuais no base de dados local CS. 2. A fim configurar os papéis da autorização do padrão, fazer duplo clique o ícone do Cisco Security Manager no desktop de servidor CS e selecionar a opção da administração de servidor da página do lançamento. 3. Navegue à instalação do Gerenciamento do server > do servidor único > do Gerenciamento do papel. À revelia, o papel do help desk é atribuído a designação do papel do padrão. A fim mudar esta designação, verificar uns ou vários papéis, e clicar o grupo como o botão Default Button. 4. A fim permitir esta característica, para navegar à Segurança da administração do gerenciador > do server do ferramentas > segurança com o cliente do gerenciador de configuração, e para verificar a caixa de verificação etiquetada permite o fazer logon para o usuário - os ids não disponíveis na base de dados de usuário local. Salvaguarda do clique a fim salvar a configuração.
Verificar Use esta seção para confirmar se a sua configuração funciona corretamente. Reveja o TACACS+ ou a autenticação RADIUS entra o servidor ACS a fim identificar se o usuário CS pode autenticar contra a loja configurada da identidade. Verifique que o usuário CS pode executar uma tarefa disponível dentro do papel da autorização da tarefa definido. Por exemplo, entre como um usuário com o papel do administrador de sistema e tente adicionar um dispositivo novo ao inventário CS. Troubleshooting Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração. 1. Os erros tais estes indicam que você tentou executar uma tarefa que você não seja autorizado executar conforme a política local RBAC.
2. Entre à relação da administração de servidor CS como um usuário administrativo e navegue ao Gerenciamento do server > do servidor único > à instalação do usuário local. Edite a conta de usuário na pergunta e reveja a política da autorização da tarefa definida para o usuário. Quando você usa os papéis CS-definidos, assegure-se de que você rever a seção dos papéis do padrão do CiscoWorks Common Services do Guia de Instalação CS 4.4 a fim compreender melhor as permissões para cada papel. Por exemplo, o papel do administrador de sistema fornece o acesso completo a todas as funções do cliente CSM quando o Admin super fornecer somente o acesso às operações backend dos CiscoWorks. 3. Se desejados, os papéis novos podem ser definidos e os papéis do padrão editados a fim fornecer um controle de política mais granulado da autorização. A fim adicionar/edite, entre à relação do gerenciador do servidor CS e navegue à instalação do Gerenciamento do server > do servidor único > do Gerenciamento do papel.
Informações Relacionadas Papéis do padrão do CiscoWorks Common Services - Guia de Instalação CS 4.4 Suporte Técnico e Documentação - Cisco Systems