يوضح هذا المستند كيفية دمج مدير الأمان من Cisco مع خادم التحكم في الوصول الآمن (ACS) من Cisco.
يوفر Cisco Secure ACS تفويض الأوامر للمستخدمين الذين يستخدمون تطبيقات الإدارة، مثل مدير الأمان من Cisco، من أجل تكوين أجهزة الشبكة المدارة. يتم توفير الدعم لتفويض الأوامر بواسطة أنواع فريدة من مجموعات تفويض الأوامر، تسمى الأدوار في إدارة أمان Cisco، والتي تحتوي على مجموعة من الأذونات. تحدد هذه الأذونات، والتي تسمى أيضا امتيازات، الإجراءات التي يمكن للمستخدمين الذين لديهم أدوار خاصة تنفيذها داخل مدير أمان Cisco.
يستخدم TACACS الآمن من Cisco TACACS+ للاتصال بتطبيقات الإدارة. لكي تتصل "إدارة الأمان من Cisco" ب Cisco Secure ACS، يجب تكوين خادم CiscoWorks في Cisco Secure ACS كعميل AAA يستخدم TACACS+. in addition، أنت ينبغي زودت ال ciscoWorks نادل مع المسؤول إسم وكلمة أن أنت تستعمل in order to login ال cisco يأمن ACS. عندما تفي بهذه المتطلبات، فإنها تضمن صحة الاتصالات بين مدير الأمان من Cisco و Cisco Secure ACS.
عندما يتصل Cisco Security Manager مبدئيا مع Cisco Secure ACS، فإنه يملي على Cisco ACS إنشاء الأدوار الافتراضية، والتي تظهر في قسم مكونات ملف التعريف المشترك من واجهة Cisco Secure ACS HTML. كما تملي أيضا خدمة مخصصة يصرح بها بواسطة TACACS+. تظهر هذه الخدمة المخصصة على صفحة TACACS+ (Cisco IOS®) في قسم تكوين الواجهة من واجهة HTML. يمكنك بعد ذلك تعديل الأذونات المضمنة في كل دور لإدارة الأمان من Cisco وتطبيق هذه الأدوار على المستخدمين ومجموعات المستخدمين.
ملاحظة: لا يمكن دمج CSM مع ACS 5.2 لأنه غير مدعوم.
لاستخدام ACS الآمن من Cisco، تأكد من:
يمكنك تحديد أدوار تتضمن الأوامر المطلوبة لتنفيذ الوظائف الضرورية في مدير أمان Cisco.
يتضمن قيد الوصول إلى الشبكة (NAR) مجموعة الأجهزة (أو الأجهزة) التي تريد إدارتها، إذا قمت بتطبيق NAR على التوصيف.
تتم كتابة أسماء الأجهزة المدارة وترسيمها بشكل متماثل في ACS الآمن من Cisco وفي مدير الأمان من Cisco.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
Cisco Security Manager، الإصدار 3.0
Cisco Secure ACS، الإصدار 3.3
ملاحظة: تأكد من إختيار إصدارات CSM و ACS المتوافقة قبل التثبيت على بيئة الشبكة. على سبيل المثال، اختبر Cisco ACS 3.3 مع CSM 3.0 فقط وتوقف لإصدارات CSM اللاحقة. لذلك، يوصى باستخدام CSM 3.0 مع ACS 3.3. راجع جدول مصفوفة التوافق للحصول على مزيد من المعلومات حول إصدارات البرامج المختلفة.
إصدارات مدير الأمان من Cisco | إصدارات CS ACS التي تم إختبارها |
---|---|
3.0.0 3.0.0 SP1 | Windows 3.3(3) و 4.0(1) |
3.0.1 3.0.1 SP1 3.0.1 SP2 | Solutions Engine 4.0(1) Windows 4.0(1) |
3.1.0 3.0.2 | Solutions Engine 4.0(1) Windows 4.1(1) و 4.1(3) |
3.1.1 3.0.2 SP1 3.0.2 SP2 | محرك الحلول الإصدار 4.0(1) من Windows 4.1(2) و 4.1(3) و 4.1(4) |
3.1.1 SP1 | Solutions Engine 4.0(1) Windows 4.1(4) |
3.1.1 SP2 | Solutions Engine 4.0(1) Windows 4.1(4) و 4.2(0) |
3.2.0 | Solutions Engine 4.1(4) Windows 4.1(4) و 4.2(0) |
3.2.1 | Solutions Engine 4.1(4) Windows 4.2(0) |
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
يصف هذا القسم الخطوات المطلوبة لدمج مدير الأمان من Cisco مع ACS الآمن من Cisco. تحتوي بعض الخطوات على عدة خطوات فرعية. يجب تنفيذ هذه الخطوات والخطوات الفرعية بالترتيب. يحتوي هذا القسم أيضا على مراجع لإجراءات محددة يتم إستخدامها لتنفيذ كل خطوة.
أكمل الخطوات التالية:
تخطيط نموذج المصادقة والتفويض الإداري الخاص بك.
يجب عليك إتخاذ قرار بشأن النموذج الإداري الخاص بك قبل إستخدام مدير الأمان من Cisco. يتضمن ذلك تعريف الأدوار الإدارية والحسابات التي تخطط لاستخدامها.
تلميح: عند تحديد أدوار وأذونات المسؤولين المحتملين، ضع في الاعتبار أيضا ما إذا كان سيتم تمكين سير العمل أم لا. يؤثر هذا التحديد على كيفية تقييد الوصول.
قم بتثبيت Cisco Secure ACS، ومدير الأمان من Cisco، وخدمات CiscoWorks المشتركة.
قم بتثبيت Cisco Secure ACS الإصدار 3.3 على خادم Windows 2000/2003. قم بتثبيت CiscoWorks Common Services و Cisco Security Manager على خادم Windows 2000/Windows 2003 مختلف.
راجع هذه المستندات للحصول على مزيد من المعلومات:
دليل تثبيت Cisco Secure ACS ل Windows 3.3
ملاحظة: راجع جدول مصفوفة التوافق للحصول على مزيد من المعلومات قبل إختيار إصدارات برامج CSM و ACS.
تنفيذ إجراءات التكامل في Cisco Secure ACS.
تعريف مستخدمي مدير أمان Cisco كمستخدمي ACS وتعيينهم إلى مجموعات المستخدمين استنادا إلى دورهم المخطط، وإضافة جميع الأجهزة المدارة (بالإضافة إلى خادم CiscoWorks/Security Manager) كعملاء AAA، وإنشاء مستخدم تحكم إدارة. راجع إجراءات التكامل التي يتم تنفيذها في Cisco Secure ACS للحصول على مزيد من المعلومات.
تنفيذ إجراءات التكامل في خدمات CiscoWorks المشتركة.
قم بتكوين مستخدم محلي يطابق المسؤول المعرف في Cisco Secure ACS، وقم بتعريف ذلك المستخدم نفسه لإعداد هوية النظام، ثم قم بتكوين ACS كوضع إعداد AAA.
راجع إجراءات التكامل التي تم تنفيذها في CiscoWorks للحصول على مزيد من المعلومات.
قم بتعيين الأدوار لمجموعات المستخدمين في مصدر المحتوى الإضافي الآمن من Cisco.
قم بتعيين أدوار لكل مجموعة مستخدمين تم تكوينها في مصدر المحتوى الإضافي الآمن من Cisco. يعتمد الإجراء الذي تستخدمه على ما إذا كنت قد قمت بتكوين مجموعات أجهزة الشبكة (NDGs).
راجع تعيين أدوار لمجموعات المستخدمين في مصدر المحتوى الإضافي الآمن من Cisco للحصول على مزيد من المعلومات.
يصف هذا القسم الخطوات التي يجب عليك إكمالها في Cisco Secure ACS in order to دمجها مع cisco إدارة الأمان:
يجب تعريف جميع مستخدمي مدير الأمان من Cisco في مصدر المحتوى الإضافي الآمن من Cisco وتكليف دور مناسب لوظيفتهم الوظيفية. أسهل طريقة للقيام بذلك هي تقسيم المستخدمين إلى مجموعات مختلفة استنادا إلى كل دور افتراضي متاح في ACS. على سبيل المثال، قم بتعيين جميع مسؤولي النظام إلى مجموعة واحدة وكل مشغلات الشبكة إلى مجموعة أخرى وما إلى ذلك. راجع الأدوار الافتراضية ل Cisco ACS الآمن للحصول على مزيد من المعلومات حول الأدوار الافتراضية في ACS.
بالإضافة إلى ذلك، يجب إنشاء مستخدم إضافي يتم تعيينه لدور مسؤول النظام بأذونات كاملة. يتم إستخدام بيانات الاعتماد التي تم إنشاؤها لهذا المستخدم لاحقا في صفحة إعداد هوية النظام في CiscoWorks. راجع تعريف مستخدم هوية النظام للحصول على مزيد من المعلومات.
لاحظ أنه في هذه المرحلة تقوم فقط بتعيين مستخدمين لمجموعات مختلفة. يتم تنفيذ التعيين الفعلي للأدوار إلى هذه المجموعات لاحقا، بعد تسجيل CiscoWorks، و Cisco Security Manager، وأي تطبيقات أخرى إلى Cisco Secure ACS.
تلميح: قبل المتابعة، قم بتثبيت الخدمات المشتركة من CiscoWorks ومدير الأمان من Cisco على خادم Windows 2000/2003 واحد. قم بتثبيت ACS الآمن من Cisco على خادم Windows 2000/2003 مختلف.
سجل الدخول إلى مصدر المحتوى الإضافي الآمن من Cisco.
تكوين مستخدم بأذونات كاملة:
انقر فوق إعداد المستخدم في شريط التنقل.
في صفحة إعداد المستخدم، أدخل اسما للمستخدم الجديد، ثم انقر فوق إضافة/تحرير.
حدد أسلوب مصادقة من قائمة مصادقة كلمة المرور ضمن إعداد المستخدم.
أدخل كلمة المرور للمستخدم الجديد وأكدها.
حدد المجموعة 1 كالمجموعة التي يتم تعيين المستخدم لها.
انقر فوق إرسال لإنشاء حساب المستخدم.
كرر الخطوة 2 لكل مستخدم لمدير الأمان من Cisco. توصي Cisco بتقسيم المستخدمين إلى مجموعات استنادا إلى الدور الذي يتم تعيين كل مستخدم له:
المجموعة 1 - مسؤولو النظام
المجموعة 2 - مسؤولو الأمان
المجموعة 3: المعتمدون على الأمان
المجموعة 4 - مسؤولو الشبكة
المجموعة 5: المعتمدون
المجموعة 6—مشغلات الشبكة
المجموعة 7 - مكتب المساعدة
راجع الجدول للحصول على مزيد من المعلومات حول الأذونات الافتراضية المقترنة بكل دور. راجع تخصيص أدوار ACS الآمنة من Cisco للحصول على مزيد من المعلومات حول تخصيص أدوار المستخدم.
أذونات | الأدوار | ||||||||
---|---|---|---|---|---|---|---|---|---|
مسؤول النظام | مدير الأمان (ACS) | معتمد الأمان (ACS) | Network Admin(CW) | مدير الشبكة (ACS) | الموافق | عامل تشغيل الشبكة | مكتب المساعدة | ||
عرض الأذونات | |||||||||
عرض الجهاز | نعم | نعم | نعم | نعم | نعم | نعم | نعم | نعم | |
عرض النهج | نعم | نعم | نعم | نعم | نعم | نعم | نعم | نعم | |
عرض الكائنات | نعم | نعم | نعم | نعم | نعم | نعم | نعم | نعم | |
عرض المخطط | نعم | نعم | نعم | نعم | نعم | نعم | نعم | نعم | |
عرض واجهة سطر الأوامر | نعم | نعم | نعم | نعم | نعم | نعم | نعم | لا | |
View admin | نعم | نعم | نعم | نعم | نعم | نعم | نعم | لا | |
عرض أرشيف التكوين | نعم | نعم | نعم | نعم | نعم | نعم | نعم | نعم | |
عرض مديري الأجهزة | نعم | نعم | نعم | نعم | نعم | نعم | نعم | لا | |
تعديل الأذونات | |||||||||
تعديل الجهاز | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
تعديل التدرج الهرمي | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
تعديل النهج | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
تعديل الصورة | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
تعديل الكائنات | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
تعديل المخطط | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
تعديل المسؤول | نعم | لا | لا | لا | لا | لا | لا | لا | |
تعديل أرشيف التكوين | نعم | نعم | لا | نعم | نعم | لا | نعم | لا | |
أذونات إضافية | |||||||||
تعيين النهج | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
الموافقة على النهج | نعم | لا | نعم | لا | لا | لا | لا | لا | |
الموافقة على واجهة سطر الأوامر | نعم | لا | لا | لا | لا | نعم | لا | لا | |
اكتشاف(إستيراد) | نعم | نعم | لا | نعم | لا | لا | لا | لا | |
النشر | نعم | لا | لا | نعم | نعم | لا | لا | لا | |
سيطرة | نعم | لا | لا | نعم | نعم | لا | نعم | لا | |
إرسال | نعم | نعم | لا | نعم | لا | لا | لا | لا |
ملاحظة: في هذه المرحلة، تكون المجموعات ذاتها مجموعات من المستخدمين دون أي تعريف لدور. تقوم بتعيين أدوار لكل مجموعة بعد إتمام عملية التكامل. راجع تعيين أدوار لمجموعات المستخدمين في مصدر المحتوى الإضافي الآمن من Cisco للحصول على مزيد من المعلومات.
قم بإنشاء مستخدم إضافي وتعيين هذا المستخدم إلى مجموعة مسؤولي النظام. يتم إستخدام بيانات الاعتماد التي تم إنشاؤها لهذا المستخدم لاحقا في صفحة إعداد هوية النظام في CiscoWorks. راجع تعريف مستخدم هوية النظام للحصول على مزيد من المعلومات.
قبل أن تتمكن من بدء إستيراد الأجهزة إلى مدير الأمان من Cisco، يجب أولا تكوين كل جهاز كعميل AAA في ACS الآمن من Cisco الخاص بك. وبالإضافة إلى ذلك، يجب تكوين خادم CiscoWorks/Security Manager كعميل AAA.
إذا قام مدير الأمان من Cisco بإدارة سياقات الأمان التي تم تكوينها على أجهزة جدار الحماية، والتي تتضمن سياقات الأمان التي تم تكوينها على FWSMs لأجهزة Catalyst 6500/7600، فيجب إضافة كل سياق بشكل فردي إلى ACS الآمن من Cisco.
تعتمد الطريقة التي تستخدمها لإضافة أجهزة مدارة على ما إذا كنت تريد تقييد المستخدمين لإدارة مجموعة معينة من الأجهزة باستخدام مجموعات أجهزة الشبكة (NDGs). راجع أحد المقاطع التالية:
إذا كنت ترغب في أن يتمكن المستخدمون من الوصول إلى جميع الأجهزة، فقم بإضافة الأجهزة كما هو موضح في إضافة الأجهزة كعملاء AAA بدون NDGs.
إذا كنت تريد أن يكون للمستخدمين حق الوصول إلى NDGs معينة فقط، فقم بإضافة الأجهزة كما هو موضح في تكوين مجموعات أجهزة الشبكة للاستخدام في إدارة الأمان.
يصف هذا الإجراء كيفية إضافة أجهزة كعملاء AAA ل Cisco Secure ACS. ارجع إلى قسم تكوين عميل AAA في تكوين الشبكة للحصول على معلومات كاملة حول جميع الخيارات المتاحة.
ملاحظة: تذكر إضافة خادم CiscoWorks/Security Manager كعميل AAA.
طقطقت شبكة تشكيل على ال cisco يأمن acs تنقل شريط.
انقر فوق إضافة إدخال أسفل جدول عملاء AAA.
أدخل اسم مضيف عميل AAA (حتى 32 حرفا) في صفحة إضافة عميل AAA. يجب أن يتطابق اسم المضيف لعميل AAA مع اسم العرض الذي تخطط لاستخدامه للجهاز في مدير أمان Cisco.
على سبيل المثال، إذا كنت تنوي إلحاق اسم مجال باسم الجهاز في مدير أمان Cisco، فيجب أن يكون اسم مضيف عميل AAA في ACS هو <device_name>.<domain_name>.
عندما تقوم بتسمية خادم CiscoWorks، فمن المستحسن إستخدام اسم المضيف المؤهل بالكامل. تأكد من تهجئة اسم المضيف بشكل صحيح. اسم المضيف غير حساس لحالة الأحرف.
عندما تقوم بتسمية سياق أمان، قم بإلحاق اسم السياق (_<context_name>) باسم الجهاز. بالنسبة ل FWSMs، هذا هو اصطلاح التسمية:
الخادم النصلي FWSM—<chassis_name>_fw_<slot_number>
سياق الأمان—<chassis_name>_fw_<slot_number>_<context_name>
دخلت العنوان من الشبكة أداة في ال AAA زبون عنوان مجال.
أدخل السر المشترك في حقل المفتاح.
حدد TACACS+ (Cisco IOS) من قائمة إستخدام المصادقة.
انقر فوق إرسال لحفظ التغييرات التي قمت بها. يظهر الجهاز الذي أضفته في جدول عملاء AAA.
كرر الخطوات من 1 إلى 7 لإضافة أجهزة إضافية.
بعد إضافة كافة الأجهزة، انقر فوق إرسال + إعادة تشغيل.
يتيح لك مصدر المحتوى الإضافي الآمن من Cisco إمكانية تكوين مجموعات أجهزة الشبكة (NDGs) التي تحتوي على أجهزة معينة ليتم إدارتها. على سبيل المثال، يمكنك إنشاء NDGs لكل منطقة جغرافية أو NDGs تطابق بنيتك التنظيمية. عند الاستخدام مع مدير الأمان من Cisco، تتيح لك خيارات NDG تزويد المستخدمين بمستويات مختلفة من الأذونات، استنادا إلى الأجهزة التي يحتاجون إلى إدارتها. على سبيل المثال، باستخدام أدوات تحديد المعدل المستندة إلى الأجهزة (NDGs)، يمكنك منح المستخدم أذونات مسؤول النظام للأجهزة الموجودة في أوروبا وأذونات مكتب المساعدة للأجهزة الموجودة في آسيا. يمكنك بعد ذلك تعيين الأذونات المقابلة إلى المستخدم B.
لا يتم تخصيص أهداف التنمية غير المستدامة للمستخدمين مباشرة. بدلا من ذلك، يتم تعيين NDGs للأدوار التي تقوم بتعريفها لكل مجموعة مستخدمين. يمكن تخصيص كل هدف من أهداف التنمية الوطنية لدور واحد فقط، ولكن يمكن أن يتضمن كل دور العديد من أهداف التنمية الوطنية. يتم حفظ هذه التعريفات كجزء من التكوين لمجموعة المستخدمين المحددة.
تبين هذه الموضوعات الخطوات الأساسية المطلوبة لتكوين NDGs:
يجب تنشيط ميزة NDG قبل أن تتمكن من إنشاء NDGs وملء هذه الميزة بالأجهزة.
طقطقت قارن تشكيل على ال cisco يأمن acs تنقل شريط.
انقر فوق خيارات متقدمة.
قم بالتمرير لأسفل، ثم حدد خانة الاختيار مجموعات أجهزة الشبكة.
انقر على إرسال.
تابع مع إنشاء NDGs.
يصف هذا الإجراء كيفية إنشاء أهداف وطنية غير قابلة للتحويل وملء هذه الأهداف بالأجهزة. يمكن أن ينتمي كل جهاز إلى NDG واحد فقط.
ملاحظة: توصي Cisco بإنشاء NDG خاص يحتوي على خادم CiscoWorks/Security Manager.
انقر على تكوين الشبكة في شريط التنقل.
يتم وضع جميع الأجهزة في البداية تحت "غير محدد"، والذي يحتوي على جميع الأجهزة التي لم يتم وضعها في "أهداف التنمية الوطنية". ضع في اعتبارك أن "عدم التعيين" ليس "خطة التنمية الوطنية".
إنشاء NDGs:
طقطقة يضيف مدخل.
أدخل اسم NDG في صفحة مجموعة أجهزة الشبكة الجديدة. الحد الأقصى للطول هو 24 حرفا. المسافات مسموح بها.
إختياري عند إستخدام الإصدار 4.0 أو إصدار أحدث: أدخل مفتاحا لاستخدامه من قبل جميع الأجهزة الموجودة في NDG. إذا قمت بتعريف مفتاح ل NDG، فإنه يتخطى أي مفاتيح تم تعريفها للأجهزة الفردية في NDG.
طقطقة يسلم in order to أنقذت ال NDG.
كرر الخطوات من a إلى d لإنشاء المزيد من NDGs.
ملء أهداف التنمية المستدامة بالأجهزة:
انقر على اسم NDG في منطقة مجموعات أجهزة الشبكة.
انقر فوق إضافة إدخال في منطقة عملاء AAA.
قم بتحديد تفاصيل الجهاز لإضافتها إلى NDG، ثم انقر فوق إرسال. راجع إضافة الأجهزة كعملاء AAA بدون NDGs للحصول على مزيد من المعلومات.
كرر الخطوات B و C لإضافة بقية الأجهزة إلى الأهداف الإنمائية للألفية. الجهاز الوحيد الذي يمكنك تركه في الفئة غير المعينة هو خادم AAA الافتراضي.
بعد تكوين الجهاز الأخير، انقر فوق إرسال + إعادة تشغيل.
أستخدم صفحة التحكم في الإدارة في Cisco Secure ACS لتحديد حساب المسؤول الذي يتم إستخدامه عند تحديد وضع إعداد AAA في خدمات CiscoWorks المشتركة. راجع تكوين وضع إعداد AAA في CiscoWorks للحصول على مزيد من المعلومات.
انقر فوق التحكم في الإدارة في شريط تنقل Cisco Secure ACS.
انقر على إضافة مسؤول.
في صفحة إضافة مسؤول، أدخل اسم وكلمة مرور للمسؤول.
انقر فوق منح الكل في منطقة امتيازات المسؤول لتوفير الأذونات الإدارية الكاملة لهذا المسؤول.
انقر فوق إرسال لإنشاء المسؤول.
ملاحظة: ارجع إلى Administrators and Administrative Policy للحصول على مزيد من المعلومات حول الخيارات المتاحة عند تكوين مسؤول.
يصف هذا القسم الخطوات التي يجب إكمالها في خدمات CiscoWorks المشتركة من أجل دمجها مع مدير الأمان من Cisco:
أتمت هذا steps بعد أن يتم أنت التكامل إجراء يتم في cisco يأمن ACS. تقوم الخدمات المشتركة بإجراء التسجيل الفعلي لأي تطبيقات مثبتة، مثل Cisco Security Manager، وخادم التحديث التلقائي، ومدير IPS في Cisco Secure ACS.
أستخدم صفحة إعداد المستخدم المحلي في CiscoWorks Common Services لإنشاء حساب مستخدم محلي يقوم بمضاعفة المسؤول الذي أنشأته مسبقا في Cisco Secure ACS. يتم إستخدام حساب المستخدم المحلي هذا لاحقا لإعداد هوية النظام. راجع للحصول على مزيد من المعلومات.
ملاحظة: قبل المتابعة، قم بإنشاء مسؤول في مصدر المحتوى الإضافي الآمن من Cisco. راجع تحديد المستخدمين ومجموعات المستخدمين في مصدر المحتوى الإضافي الآمن من Cisco للحصول على تعليمات.
قم بتسجيل الدخول إلى CiscoWorks باستخدام حساب مستخدم المسؤول الافتراضي.
أختر الخادم > التأمين من الخدمات العامة، ثم أختر إعداد المستخدم المحلي من مركز العمليات التكتيكية.
انقر فوق إضافة (Add).
دخلت ال نفسه إسم وكلمة أن أنت دخلت عندما خلقت المدير في cisco يأمن acs. راجع الخطوة 4 في تحديد المستخدمين ومجموعات المستخدمين في مصدر المحتوى الإضافي الآمن من Cisco.
حدد كافة خانات الاختيار الموجودة ضمن "الأدوار" باستثناء "تصدير البيانات".
انقر فوق موافق لإنشاء المستخدم.
أستخدم صفحة إعداد هوية النظام في CiscoWorks Common Services لإنشاء مستخدم موثوق به، يعرف باسم مستخدم هوية النظام، والذي يمكن الاتصال بين الخوادم التي تعد جزءا من نفس المجال وعمليات التطبيقات الموجودة على نفس الخادم. تستخدم التطبيقات مستخدم هوية النظام لمصادقة العمليات على خوادم CiscoWorks المحلية أو البعيدة. ويكون هذا مفيدا بشكل خاص عندما يجب أن تتم مزامنة التطبيقات قبل أن يقوم أي مستخدم بتسجيل الدخول.
وبالإضافة إلى ذلك، غالبا ما يتم إستخدام مستخدم معرف النظام لتنفيذ مهمة فرعية عندما تكون المهمة الأساسية مخولة بالفعل للمستخدم الذي قام بتسجيل الدخول. على سبيل المثال، لتحرير جهاز في Cisco Security Manager، يلزم وجود اتصال بين التطبيقات بين Cisco Security Manager و DCR للخدمات المشتركة. بعد تخويل المستخدم لإجراء مهمة التحرير، يتم إستخدام مستخدم هوية النظام لاستدعاء DCR.
يجب أن يكون مستخدم هوية النظام الذي قمت بتكوينه هنا مطابقا للمستخدم الذي لديه أذونات إدارية (كاملة) قمت بتكوينها في ACS. قد يؤدي الفشل في القيام بذلك إلى عدم القدرة على عرض جميع الأجهزة والسياسات التي تم تكوينها في إدارة أمان Cisco.
ملاحظة: قبل المتابعة، قم بإنشاء مستخدم محلي بنفس الاسم وكلمة المرور الخاصين بهذا المسؤول في خدمات CiscoWorks المشتركة. راجع إنشاء مستخدم محلي في CiscoWorks للحصول على تعليمات.
أختر الخادم > التأمين، ثم أختر إدارة الثقة متعدد الخوادم > إعداد هوية النظام من مركز العمليات التكتيكية.
أدخل اسم المسؤول الذي قمت بإنشائه ل Cisco Secure ACS. راجع الخطوة 4 في تحديد المستخدمين ومجموعات المستخدمين في مصدر المحتوى الإضافي الآمن من Cisco.
أدخل كلمة المرور الخاصة بهذا المستخدم وقم بتدقيقها.
طقطقة يطبق.
أستخدم صفحة وضع إعداد AAA في CiscoWorks Common Services لتعريف خادم Cisco Secure ACS الخاص بك كخادم AAA، والذي يتضمن المنفذ المطلوب والمفتاح السري المشترك. بالإضافة إلى ذلك، يمكنك تحديد ما يصل إلى خادمين للنسخ الاحتياطي.
تؤدي هذه الخطوات التسجيل الفعلي ل CiscoWorks، و Cisco Security Manager، و IPS Manager (واختياريا، خادم التحديث التلقائي) في Cisco Secure ACS.
أختر الخادم > التأمين، ثم أختر إعداد وضع AAA من جدول المحتويات.
حدد خانة الاختيار TACACS+ ضمن وحدات تسجيل الدخول المتاحة.
حدد ACS كنوع AAA.
أدخل عناوين IP الخاصة بما يصل إلى ثلاثة خوادم Cisco Secure ACS في منطقة تفاصيل الخادم. تعمل الخوادم الثانوية والخوادم الثالثية كنسخ إحتياطية في حالة فشل الخادم الرئيسي.
ملاحظة: في حالة فشل إستجابة جميع خوادم TACACS+ التي تم تكوينها، يجب عليك تسجيل الدخول باستخدام الحساب المحلي ل CiscoWorks المسؤول، ثم تغيير وضع AAA مرة أخرى إلى وضع غير ACS/CiscoWorks Local. بعد إستعادة خوادم TACACS+ إلى الخدمة، يجب عليك تغيير وضع AAA مرة أخرى إلى ACS.
في منطقة تسجيل الدخول، أدخل اسم المسؤول الذي قمت بتعريفه في صفحة التحكم في الإدارة من Cisco ACS الآمن. راجع إنشاء مستخدم تحكم إدارة في ACS الآمن من Cisco للحصول على مزيد من المعلومات.
أدخل كلمة المرور الخاصة بهذا المسؤول وقم بتدقيقها.
قم بإدخال المفتاح السري المشترك الذي أدخلته عند إضافة خادم إدارة الأمان كعميل AAA ل Cisco Secure ACS. راجع الخطوة 5 في إضافة الأجهزة كعملاء AAA بدون NDGs.
حدد خانة الاختيار تسجيل جميع التطبيقات المثبتة مع ACS لتسجيل مدير الأمان من Cisco وأي تطبيقات مثبتة أخرى مع ACS الآمن من Cisco.
طقطقة يطبق in order to أنقذت إعداداتك. يعرض شريط التقدم تقدم تقدم التسجيل. تظهر رسالة عند اكتمال التسجيل.
إذا قمت بدمج مدير الأمان من Cisco مع أي إصدار من ACS، فأعد تشغيل خدمة مدير الأمان Security Manager Daemon Manager. راجع إعادة تشغيل مدير الخوارزمية للحصول على تعليمات.
ملاحظة: بعد CSM 3.0.0، لم تعد Cisco تختبر مع ACS 3.3(x) لأنه تم ترقيعه بشكل كبير وتم الإعلان عن نهاية عمره (EOL). لذلك، تحتاج إلى إستخدام إصدار ACS المناسب ل ال CSM صيغة 3.0.1 وما بعده. راجع جدول مصفوفة التوافق للحصول على مزيد من المعلومات.
قم بتسجيل الدخول مرة أخرى إلى Cisco Secure ACS لتعيين أدوار لكل مجموعة مستخدمين. راجع تعيين أدوار لمجموعات المستخدمين في مصدر المحتوى الإضافي الآمن من Cisco للحصول على تعليمات.
ملاحظة: لا يتم الاحتفاظ بإعداد AAA الذي تم تكوينه هنا إذا قمت بإزالة تثبيت الخدمات المشتركة من CiscoWorks أو مدير الأمان من Cisco. وبالإضافة إلى ذلك، لا يمكن نسخ هذا التكوين إحتياطيا واستعادته بعد إعادة التثبيت. لذلك، إذا قمت بالترقية إلى إصدار جديد من أي من التطبيقين، فيجب عليك إعادة تكوين وضع إعداد AAA وإعادة تسجيل مدير الأمان من Cisco باستخدام ACS. هذه العملية غير مطلوبة للتحديثات التزايدية. إذا قمت بتثبيت تطبيقات إضافية، مثل AUS، الموجودة أعلى CiscoWorks، فيجب عليك إعادة تسجيل التطبيقات الجديدة ومدير الأمان من Cisco.
يصف هذا الإجراء كيفية إعادة تشغيل مدير برنامج التشغيل الخاص بخادم Cisco Security Manager. يجب القيام بذلك من أجل إعدادات AAA التي قمت بتكوينها لكي تدخل حيز التنفيذ. يمكنك بعد ذلك تسجيل الدخول إلى CiscoWorks باستخدام بيانات الاعتماد المعرفة في Cisco Secure ACS.
قم بتسجيل الدخول إلى الجهاز الذي تم تثبيت خادم Cisco Security Manager عليه.
أختر ابدأ > البرامج > الأدوات الإدارية > الخدمات لفتح نافذة الخدمات.
من قائمة الخدمات المعروضة في الجزء الأيمن، حدد Cisco Security Manager Daemon Manager.
انقر فوق زر إعادة تشغيل الخدمة الموجود على شريط الأدوات.
متابعة تعيين أدوار لمجموعات المستخدمين في مصدر المحتوى الإضافي الآمن من Cisco.
بعد تسجيل CiscoWorks، و Cisco Security Manager والتطبيقات المثبتة الأخرى إلى Cisco ACS الآمن، يمكنك تعيين أدوار لكل مجموعة من مجموعات المستخدمين التي قمت بتكوينها سابقا في Cisco Secure ACS. تحدد هذه الأدوار الإجراءات التي يسمح للمستخدمين في كل مجموعة بالقيام بها في مدير أمان Cisco.
يعتمد الإجراء الذي تستخدمه لتعيين أدوار لمجموعات المستخدمين على ما إذا كان سيتم إستخدام NDGs:
يصف هذا الإجراء كيفية تخصيص الأدوار الافتراضية لمجموعات المستخدمين عندما لا يتم تعريف أهداف NDG. راجع الأدوار الافتراضية ل Cisco ACS الآمن للحصول على مزيد من المعلومات.
ملاحظة: قبل المتابعة:
قم بإنشاء مجموعة مستخدمين لكل دور افتراضي. راجع تحديد المستخدمين ومجموعات المستخدمين في مصدر المحتوى الإضافي الآمن من Cisco للحصول على تعليمات.
أكمل الإجراءات الموضحة في إجراءات التكامل التي يتم تنفيذها في Cisco Secure ACS وإجراءات التكامل التي يتم تنفيذها في CiscoWorks.
أكمل الخطوات التالية:
سجل الدخول إلى مصدر المحتوى الإضافي الآمن من Cisco.
انقر فوق إعداد المجموعة في شريط التنقل.
حدد مجموعة المستخدمين لمسؤولي النظام من القائمة. راجع الخطوة 2 من تحديد المستخدمين ومجموعات المستخدمين في Cisco ACS الآمن، ثم انقر تحرير الإعدادات.
عندما تقوم بربط NDGs بأدوار للاستخدام في Cisco Security Manager، يجب عليك إنشاء تعريفات في مكانين في صفحة إعداد المجموعة:
منطقة CiscoWorks
منطقة مدير الأمان من Cisco
يجب أن تتطابق التعريفات في كل مجال إلى أقصى حد ممكن. عند إقران أدوار مخصصة أو أدوار ACS غير الموجودة في خدمات CiscoWorks المشتركة، حاول تحديد مكافئ الإغلاق قدر الإمكان استنادا إلى الأذونات المعينة لذلك الدور.
يجب عليك إنشاء اقترانات لكل مجموعة مستخدمين ليتم إستخدامها مع مدير الأمان من Cisco. على سبيل المثال، إذا كانت لديك مجموعة مستخدمين تحتوي على موظفي دعم للمنطقة الغربية، فيمكنك تحديد مجموعة المستخدمين هذه، ثم إقران NDG التي تحتوي على الأجهزة الموجودة في تلك المنطقة بالدور "مكتب المساعدة".
ملاحظة: قبل المتابعة، قم بتنشيط ميزة NDG وإنشاء NDGs. راجع تكوين مجموعات أجهزة الشبكة للاستخدام في إدارة الأمان للحصول على مزيد من المعلومات.
انقر فوق إعداد المجموعة في شريط التنقل.
حدد مجموعة مستخدمين من قائمة المجموعة، ثم انقر فوق تحرير الإعدادات.
تخطيط NDGs والأدوار للاستخدام في CiscoWorks:
في صفحة "إعداد المجموعة"، قم بالتمرير إلى منطقة CiscoWorks ضمن إعدادات TACACS+.
حدد تعيين CiscoWorks على أساس مجموعة أجهزة الشبكة.
حدد NDG من قائمة مجموعة الأجهزة.
حدد الدور الذي سيتم إقران NDG به من القائمة الثانية.
طقطقة يضيف اقتران. يظهر الاقتران في مربع مجموعة الأجهزة.
كرر الخطوات من ج إلى ه لإنشاء اقترانات إضافية.
ملاحظة: لإزالة اقتران، قم بتحديده من مجموعة الأجهزة، ثم انقر فوق إزالة اقتران.
قم بالتمرير إلى أسفل إلى منطقة "مدير أمان Cisco" وقم بإنشاء اقترانات تطابق بقدر الإمكان الاقترانات المحددة في الخطوة 3.
ملاحظة: عند تحديد أدوار مسؤول اعتماد الأمان أو مسؤول الأمان في Cisco ACS الآمن، يوصى بتحديد مسؤول الشبكة كأقرب دور مكافئ ل CiscoWorks.
انقر على إرسال لحفظ الإعدادات.
كرر الخطوات من 2 إلى 5 من أجل تحديد أهداف NDGs لبقية مجموعات المستخدمين.
بعد أن تقوم بربط NDGs والأدوار مع كل مجموعة مستخدمين، انقر فوق إرسال + إعادة تشغيل.
قبل أن تتمكن من بدء إستيراد الأجهزة إلى مدير الأمان من Cisco، يجب أولا تكوين كل جهاز كعميل AAA في ACS الآمن من Cisco الخاص بك. وبالإضافة إلى ذلك، يجب تكوين خادم CiscoWorks/Security Manager كعميل AAA.
إذا إستلمت سجل محاولات فاشلة، يفشل المؤلف مع حدوث خطأ في ال cisco يأمن ACS.
"service=Athena cmd=OGS authorize-deviceGroup*(Not Assigned) authorize-deviceGroup*Test Devices authorize-deviceGroup*HQ Routers authorize-deviceGroup*HQ Switches authorize-deviceGroup*HQ Security Devices authorize-deviceGroup*Agent Routers authoriz"
لحل هذه المشكلة، تأكد من أنه يجب أن يكون اسم الجهاز في ACS اسم مجال مؤهل بالكامل.