Autenticación CS con el ACS y autorización con el ejemplo de configuración local RBAC

Transcripción

1 Autenticación CS con el ACS y autorización con el ejemplo de configuración local RBAC Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Antecedentes Configurar Servidor ACS de la configuración CiscoWorks Common Services de la configuración CS Papeles predeterminados de la autorización de la configuración de los usuarios indefinidos (opcionales) Verificación Troubleshooting Información Relacionada Introducción Este documento describe los pasos requeridos para autenticar las versiones 4.3/4.4 del Cisco Security Manager (CS) con la versión 5.x del Access Control Server (ACS). En esta configuración, la autenticación de usuario es manejada por el ACS mientras que la autorización se maneja en el CS con la característica basada papel local del control de acceso (RBAC). Prerequisites Requisitos Cisco recomienda que tenga conocimiento sobre estos temas: Conocimiento básico del Authentication, Authorization, and Accounting (AAA) Servidor CS y Device Administration (Administración del dispositivo) Configuración de las directivas de la autenticación y autorización en el ACS versión 5.x Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. CSM versión 4.4 ACS versión 5.4 La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en

2 funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Antecedentes En las versiones anteriores del CS, los servicios de la autenticación externa y de la autorización eran posibles con el ACS versión 4.x solamente. El uso del ACS versión 5.x no fue probado ni fue soportado oficialmente. La integración del ACS versión 4.x era a menudo difícil de escalar porque requirió la sincronización manual de las configuraciones del dispositivo de red ACS y CS. Para superar esta carga administrativa, las capacidades locales RBAC se integran directamente en el CSM versión 4.3 y posterior. En las implementaciones de producto donde se despliegan los CSM versión 4.3/4.4 y el ACS versión 5.x, es posible ahora integrar para la autenticación de usuario del servicio dos externamente y mantener las directivas granulares de la autorización localmente en el CS. Configurar Servidor ACS de la configuración Complete estos pasos para configurar al servidor ACS: 1. Del ACS versión 5.x GUI administrativo, navegue a los recursos de red > a los dispositivos de red y los clientes AAA > crean, y agregan el servidor CS como dispositivo de acceso a la red (NAD). Aunque el TACACS+ se utilice generalmente para la autenticación del dispositivo de red, el ACS y el CS se pueden configurar para utilizar el RADIUS si procede. 2. Navegue a los usuarios y la identidad salva > los almacenes internos de la identidad > Users, y crea a un nuevo usuario local para el acceso CS. Asocie la cuenta de usuario a un grupo de la identidad como sea necesario, por ejemplo CSM_Admins. Alternativamente, un almacén externo de la identidad, tal como Active Directory, puede ser utilizado.

3 3. Navegue a las políticas de acceso > a los servicios del acceso > al dispositivo del valor por defecto Admin > identidad, y asocie la fuente de la identidad que se utilizará para la autenticación de usuario. En este ejemplo, se elige la fuente de la identidad de los usuarios internos porque las cuentas de usuario CS localmente se definen en el ACS. Una fuente externa de la identidad puede ser seleccionada cuando usted la integra con el Active Directory.

4 4. Navegue a las políticas de acceso > a los servicios del acceso > al dispositivo del valor por defecto Admin > autorización, y configure una directiva de la autorización que permita el acceso al grupo de la Identificación del usuario definido previamente (CSM_Admins). Esto se requiere para el proceso de orden de funcionamiento ACS aunque la directiva real de la autorización se define/se aplica localmente en el servidor CS.

5 CiscoWorks Common Services de la configuración CS Complete estos pasos para configurar el CiscoWorks Common Services CS: 1. Haga doble clic el icono del Cisco Security Manager en el escritorio del servidor CS. Alternativamente, navegue al control del administrador del Tools (Herramientas) > Security (Seguridad) > a la Seguridad del servidor con el cliente del administrador de la Configuración de CSM para cruzar el lanzamiento las herramientas de seguridad del servidor dentro de los servicios comunes CS se centralizan. 2. Ingrese las credenciales del usuario administrador CS, y haga clic el login. Elija la opción de la administración de servidores de la página del lanzamiento del conjunto de administración del Cisco Security.

6 3. Navegue a la configuración del modo de la Seguridad del server> >AAA, y elija RBAC local y TACACS+ o RADIUS. Haga clic el cambio para editar los servidores establezca del login.

7 4. Ingrese el login IP del servidor o el Nombre de dominio totalmente calificado (FQDN) (FQDN), los puertos, y clave previamente compartida. Bajo funcionamientos normales, no cambie las configuraciones de las opciones de repliegue del login para permitir el acceso del retraso al CS en caso que el servidor ACS sea inalcanzable. Por abandono, la cuenta de usuario administrador local CS se define para el acceso del retraso. Si el cambio es necesario, el cuidado debe ser orden admitida para prevenir el cierre accidental del servidor CS.

8 5. Navegue a la Administración del servidor único del server> > a la configuración del usuario local, y el tecleo agrega para crear las cuentas de usuario local que hacen juego las cuentas internas o de usuario externo definidas en el ACS. Los nombres de usuario son con diferenciación entre mayúsculas y minúsculas y deben hacer juego el ACS exactamente. Estas cuentas local-definidas entonces se asocian a los papeles locales de la autorización CS RBAC. Los papeles específicos tales como administrador de sistema se pueden elegir para la separación de la autorización de la tarea o el usuario puede ser proporcionado por completo o acceso restringido a un subconjunto de dispositivos. Refiera a la sección de los papeles del valor por defecto del CiscoWorks Common Services de la guía de instalación CS 4.4 para más detalles sobre la autorización y los papeles de la tarea.

9 Configure los papeles predeterminados de la autorización de los usuarios indefinidos (opcionales) Complete estos pasos para configurar los papeles predeterminados de la autorización de los usuarios indefinidos: 1. En algunas implementaciones CS, no es conveniente mantener una asignación una por una del usuario entre el CS y el ACS. Un enfoque alternativo es asignar un conjunto

10 predeterminado de los papeles de la autorización en el CS para los usuarios no presentes en la base de datos local CS. 2. Para configurar los papeles predeterminados de la autorización, hacer doble clic el icono del Cisco Security Manager en el escritorio del servidor CS y seleccionar la opción de la administración de servidores de la página del lanzamiento. 3. Navegue a la Administración del servidor único del server> > a la configuración de la Administración del papel. Por abandono, el papel del escritorio de ayuda se asigna la designación predeterminada del papel. Para cambiar esta designación, marcar uno o más papeles, y hacer clic el conjunto como botón Default Button. 4. Para habilitar esta característica, navegar al control del administrador del Tools (Herramientas) > Security (Seguridad) > a la Seguridad del servidor con el cliente del administrador de configuración, y marcar la casilla de verificación etiquetada permite el inicio para las identificaciones del usuario no disponibles en la base de datos de usuarios locales. Salvaguardia del tecleo para salvar la configuración.

11 Verificación Utilize esta sección para confirmar que su configuración funcione correctamente. Revise el TACACS+ o la autenticación de RADIUS abre una sesión al servidor ACS para identificar si el usuario CS puede autenticar contra el almacén configurado de la identidad. Verifique que el usuario CS pueda realizar una tarea disponible dentro del papel de la autorización de la tarea definido. Por ejemplo, inicie sesión como usuario con el papel del administrador de sistema e intente agregar un nuevo dispositivo al inventario CS. Troubleshooting Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración. 1. Los errores tales éstos indican que usted intentó realizar una tarea que le no autorizan a realizarse según la directiva local RBAC.

12 2. Inicie sesión a la interfaz de la administración de servidores CS como usuario administrador y navegue a la Administración del servidor único del server> > a la configuración del usuario local. Edite la cuenta de usuario en la pregunta y revise la directiva de la autorización de la tarea definida para el usuario. Cuando usted utiliza los papeles CS-definidos, asegúrese de que usted revise la sección de los papeles del valor por defecto del CiscoWorks Common Services de la guía de instalación CS 4.4 para entender mejor los permisos para cada papel. Por ejemplo, el papel del administrador de sistema proporciona el acceso completo a todas las funciones del cliente CMS mientras que el Admin estupendo proporciona solamente el acceso a las operaciones backend de los CiscoWorks. 3. Si están deseados, los nuevos papeles se pueden ser definidos y los papeles predeterminados editar para proporcionar un control de políticas más granular de la autorización. Para agregar/edite, inicie sesión a la interfaz del administrador de servidor CS y navegue a la Administración del servidor único del server> > a la configuración de la Administración del papel.

13 Información Relacionada El CiscoWorks Common Services omite los papeles - Guía de instalación CS 4.4 Soporte Técnico y Documentación - Cisco Systems