CSM 3.x : Configurer les autorisations et rôles utilisateur

Options de téléchargement

  • PDF     (306.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (92.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (106.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:14 mai 2007
ID du document:91762

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer les autorisations et les rôles pour les utilisateurs dans Cisco Security Manager (CSM).

Conditions préalables

Exigences

Ce document suppose que le CSM est installé et fonctionne correctement.

Composants utilisés

Les informations contenues dans ce document sont basées sur la CSM 3.1.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurer les autorisations utilisateur

Cisco Security Manager authentifie votre nom d'utilisateur et votre mot de passe avant que vous puissiez vous connecter. Une fois authentifiés, Security Manager établit votre rôle au sein de l'application. Ce rôle définit vos autorisations (également appelées privilèges), qui correspondent à l'ensemble des tâches ou opérations que vous êtes autorisé à effectuer. Si vous n'êtes pas autorisé pour certaines tâches ou certains périphériques, les éléments de menu, les éléments de table des matières et les boutons associés sont masqués ou désactivés. En outre, un message vous indique que vous n'êtes pas autorisé à afficher les informations sélectionnées ou à effectuer l'opération sélectionnée.

L'authentification et l'autorisation de Security Manager sont gérées par le serveur CiscoWorks ou le serveur Cisco Secure Access Control Server (ACS). Par défaut, CiscoWorks gère l'authentification et l'autorisation, mais vous pouvez passer à Cisco Secure ACS à l'aide de la page AAA Mode Setup de CiscoWorks Common Services.

Les principaux avantages de l'utilisation de Cisco Secure ACS sont la possibilité de créer des rôles d'utilisateurs hautement granulaires avec des jeux d'autorisations spécialisés (par exemple, permettre à l'utilisateur de configurer certains types de politiques mais pas d'autres) et la possibilité de restreindre les utilisateurs à certains périphériques en configurant des groupes de périphériques réseau (NDG).

Les rubriques suivantes décrivent les autorisations utilisateur :

Autorisations du Gestionnaire de sécurité

Le Gestionnaire de sécurité classe les autorisations dans les catégories suivantes :

  1. View : permet d'afficher les paramètres actuels. Pour plus d'informations, consultez Afficher les autorisations.

  2. Modifier : permet de modifier les paramètres actuels. Pour plus d'informations, consultez Modifier les autorisations.

  3. Assign : permet d'attribuer des stratégies aux périphériques et aux topologies VPN. Pour plus d'informations, consultez Affecter des autorisations

  4. Approuver : permet d'approuver les modifications de stratégie et les tâches de déploiement. Pour plus d'informations, consultez Approuver les autorisations.

  5. Import : permet d'importer les configurations déjà déployées sur les périphériques dans Security Manager.

  6. Déployer : permet de déployer des modifications de configuration sur les périphériques de votre réseau et d'effectuer un retour arrière pour revenir à une configuration précédemment déployée.

  7. Control : permet d'envoyer des commandes aux périphériques, telles que ping.

  8. Submit : permet d'envoyer vos modifications de configuration pour approbation.

  • Lorsque vous sélectionnez des autorisations de modification, d'attribution, d'approbation, d'importation, de contrôle ou de déploiement, vous devez également sélectionner les autorisations d'affichage correspondantes ; sinon, Security Manager ne fonctionnera pas correctement.

  • Lorsque vous sélectionnez Modifier les autorisations de stratégie, vous devez également sélectionner les autorisations d'affectation et d'affichage de stratégie correspondantes.

  • Lorsque vous autorisez une stratégie qui utilise des objets de stratégie dans le cadre de sa définition, vous devez également accorder des autorisations d'affichage à ces types d'objet. Par exemple, si vous sélectionnez l'autorisation de modification des stratégies de routage, vous devez également sélectionner les autorisations d'affichage des objets réseau et des rôles d'interface, qui sont les types d'objet requis par les stratégies de routage.

  • Il en va de même lorsque vous autorisez un objet qui utilise d'autres objets dans le cadre de sa définition. Par exemple, si vous sélectionnez l'autorisation de modification des groupes d'utilisateurs, vous devez également sélectionner les autorisations d'affichage des objets réseau, des objets ACL et des groupes de serveurs AAA.

Afficher les autorisations

Les autorisations d'affichage (lecture seule) dans le Gestionnaire de sécurité sont divisées en catégories, comme indiqué :

Afficher les autorisations des stratégies

Security Manager inclut les autorisations d'affichage suivantes pour les stratégies :

  1. Affichage > Stratégies > Pare-feu. Permet d'afficher les stratégies de service de pare-feu (situées dans le sélecteur de stratégie sous Pare-feu) sur les périphériques PIX/ASA/FWSM, les routeurs IOS et les périphériques Catalyst 6500/7600. Les règles d'accès, les règles AAA et les règles d'inspection sont des exemples de politiques de service de pare-feu.

  2. Affichage > Stratégies > Système de prévention des intrusions. Permet d'afficher les stratégies IPS (situées dans le sélecteur de stratégie sous IPS), y compris les stratégies IPS exécutées sur les routeurs IOS.

  3. Affichage > Stratégies > Image. Permet de sélectionner un package de mise à jour de signature dans l'assistant Appliquer les mises à jour IPS (situé sous Outils > Appliquer la mise à jour IPS), mais ne permet pas d'attribuer le package à des périphériques spécifiques, sauf si vous disposez également de l'autorisation Modifier > Stratégies > Image.

  4. Affichage > Stratégies > NAT. Permet d'afficher les stratégies de traduction d'adresses réseau sur les périphériques PIX/ASA/FWSM et les routeurs IOS. Les règles statiques et les règles dynamiques sont des exemples de stratégies NAT.

  5. View > Policies > Site-to-Site VPN. Permet d'afficher les politiques VPN site à site sur les périphériques PIX/ASA/FWSM, les routeurs IOS et les périphériques Catalyst 6500/7600. Les propositions IKE, IPsec et les clés prépartagées sont des exemples de stratégies VPN site à site.

  6. Affichage > Stratégies > VPN d'accès à distance. Permet d'afficher les stratégies VPN d'accès à distance sur les périphériques PIX/ASA/FWSM, les routeurs IOS et les périphériques Catalyst 6500/7600. Les propositions IKE, IPsec et PKI sont des exemples de stratégies VPN d'accès à distance.

  7. Affichage > Stratégies > VPN SSL. Permet d'afficher les stratégies VPN SSL sur les périphériques PIX/ASA/FWSM et les routeurs IOS, comme l'assistant VPN SSL.

  8. Affichage > Stratégies > Interfaces. Permet d'afficher les stratégies d'interface (situées dans le sélecteur de stratégie sous Interfaces) sur les périphériques PIX/ASA/FWSM, les routeurs IOS, les capteurs IPS et les périphériques Catalyst 6500/7600.

    1. Sur les périphériques PIX/ASA/FWSM, cette autorisation couvre les ports matériels et les paramètres d'interface.

    2. Sur les routeurs IOS, cette autorisation couvre les paramètres d'interface de base et avancés, ainsi que d'autres politiques liées à l'interface, telles que les politiques DSL, PVC, PPP et de numérotation.

    3. Sur les capteurs IPS, cette autorisation couvre les interfaces physiques et les cartes récapitulatives.

    4. Sur les périphériques Catalyst 6500/7600, cette autorisation couvre les interfaces et les paramètres VLAN.

  9. Affichage > Stratégies > Pontage. Permet d'afficher les stratégies de la table ARP (situées dans le sélecteur de stratégie sous Plate-forme > Pontage) sur les périphériques PIX/ASA/FWSM.

  10. Affichage > Stratégies > Administration des périphériques. Permet d'afficher les politiques d'administration des périphériques (situées dans le sélecteur de politiques sous Plate-forme > Administration des périphériques) sur les périphériques PIX/ASA/FWSM, les routeurs IOS et les périphériques Catalyst 6500/7600 :

    1. Sur les périphériques PIX/ASA/FWSM, les exemples incluent les politiques d'accès aux périphériques, les politiques d'accès aux serveurs et les politiques de basculement.

    2. Sur les routeurs IOS, les exemples incluent les politiques d'accès aux périphériques (y compris l'accès à la ligne), les politiques d'accès aux serveurs, AAA et Secure Device Provisioning.

    3. Sur les capteurs IPS, cette autorisation couvre les stratégies d'accès aux périphériques et aux serveurs.

    4. Sur les périphériques Catalyst 6500/7600, cette autorisation couvre les paramètres IDSM et les listes d'accès VLAN.

  11. Affichage > Stratégies > Identité. Permet d'afficher les stratégies d'identité (situées dans le sélecteur de stratégie sous Plate-forme > Identité) sur les routeurs Cisco IOS, y compris les stratégies 802.1x et NAC (Network Admission Control).

  12. Affichage > Stratégies > Journalisation. Permet d'afficher les stratégies de journalisation (situées dans le sélecteur de stratégie sous Plate-forme > Journalisation) sur les périphériques PIX/ASA/FWSM, les routeurs IOS et les capteurs IPS. Exemples de stratégies de journalisation : configuration de la journalisation, configuration du serveur et stratégies du serveur syslog.

  13. Affichage > Stratégies > Multidiffusion. Permet d'afficher les stratégies de multidiffusion (situées dans le sélecteur de stratégie sous Plate-forme > Multidiffusion) sur les périphériques PIX/ASA/FWSM. Le routage multidiffusion et les politiques IGMP sont des exemples de politiques de multidiffusion.

  14. Affichage > Stratégies > QoS. Permet d'afficher les stratégies QoS (situées dans le sélecteur de stratégie sous Plate-forme > Qualité de service) sur les routeurs Cisco IOS.

  15. Affichage > Stratégies > Routage. Permet d'afficher les stratégies de routage (situées dans le sélecteur de stratégie sous Plate-forme > Routage) sur les périphériques PIX/ASA/FWSM et les routeurs IOS. Les politiques de routage OSPF, RIP et statique sont des exemples de politiques de routage.

  16. Affichage > Stratégies > Sécurité. Permet d'afficher les stratégies de sécurité (situées dans le sélecteur de stratégie sous Plate-forme > Sécurité) sur les périphériques PIX/ASA/FWSM et les capteurs IPS :

    1. Sur les périphériques PIX/ASA/FWSM, les politiques de sécurité incluent les paramètres anti-mystification, de fragment et de délai d'attente.

    2. Sur les capteurs IPS, les stratégies de sécurité incluent des paramètres de blocage.

  17. Affichage > Stratégies > Règles de stratégie de service. Permet d'afficher les stratégies de stratégie de service (situées dans le sélecteur de stratégie sous Plate-forme > Règles de stratégie de service) sur les périphériques PIX 7.x/ASA. Les files d'attente prioritaires et les règles IPS, QoS et de connexion en sont des exemples.

  18. Affichage > Stratégies > Préférences utilisateur. Permet d'afficher la stratégie de déploiement (située dans le sélecteur de stratégie sous Plate-forme > Préférences utilisateur) sur les périphériques PIX/ASA/FWSM. Cette stratégie contient une option permettant d'effacer toutes les traductions NAT lors du déploiement.

  19. Affichage > Stratégies > Périphérique virtuel. Permet d'afficher les stratégies des capteurs virtuels sur les périphériques IPS. Cette stratégie est utilisée pour créer des capteurs virtuels.

  20. Affichage > Stratégies > FlexConfig. Permet d'afficher les FlexConfigs, qui sont des commandes et des instructions CLI supplémentaires pouvant être déployées sur les périphériques PIX/ASA/FWSM, les routeurs IOS et les périphériques Catalyst 6500/7600.

Autorisations d'affichage des objets

Security Manager inclut les autorisations d'affichage suivantes pour les objets :

  1. Affichage > Objets > Groupes de serveurs AAA. Permet d'afficher les objets du groupe de serveurs AAA. Ces objets sont utilisés dans les stratégies qui nécessitent des services AAA (authentification, autorisation et comptabilité).

  2. Affichage > Objets > Serveurs AAA. Permet d'afficher les objets du serveur AAA. Ces objets représentent des serveurs AAA individuels qui sont définis comme faisant partie d'un groupe de serveurs AAA.

  3. Affichage > Objets > Listes de contrôle d'accès - Standard/Étendue. Permet d'afficher les objets ACL standard et étendus. Les objets de liste de contrôle d’accès étendue sont utilisés pour diverses stratégies, telles que NAT et NAC, et pour établir l’accès VPN. Les objets ACL standard sont utilisés pour des politiques telles que OSPF et SNMP, ainsi que pour établir un accès VPN.

  4. Affichage > Objets > Listes de contrôle d'accès - Web. Permet d'afficher les objets ACL Web. Les objets ACL Web sont utilisés pour effectuer le filtrage de contenu dans les stratégies VPN SSL.

  5. Affichage > Objets > Groupes d'utilisateurs ASA. Permet d'afficher les objets de groupe d'utilisateurs ASA. Ces objets sont configurés sur des appareils de sécurité ASA dans des configurations Easy VPN, VPN d'accès à distance et VPN SSL.

  6. Affichage > Objets > Catégories. Permet d'afficher les objets de catégorie. Ces objets vous aident à identifier facilement les règles et les objets dans les tables de règles grâce à l'utilisation de couleurs.

  7. Affichage > Objets > Informations d'identification. Permet d'afficher les objets d'informations d'identification. Ces objets sont utilisés dans la configuration Easy VPN pendant l'authentification étendue IKE (Xauth).

  8. Affichage > Objets > FlexConfigs. Permet d'afficher les objets FlexConfig. Ces objets, qui contiennent des commandes de configuration avec des instructions de langage de script supplémentaires, peuvent être utilisés pour configurer des commandes qui ne sont pas prises en charge par l'interface utilisateur de Security Manager.

  9. Affichage > Objets > Propositions IKE. Permet d'afficher les objets de proposition IKE. Ces objets contiennent les paramètres requis pour les propositions IKE dans les stratégies VPN d'accès à distance.

  10. Affichage > Objets > Contrôler - Cartes de classe - DNS. Permet d'afficher les objets de mappage de classe DNS. Ces objets correspondent au trafic DNS avec des critères spécifiques afin que des actions puissent être effectuées sur ce trafic.

  11. Affichage > Objets > Contrôler - Cartes de classe - FTP. Permet d'afficher les objets de mappage de classe FTP. Ces objets correspondent au trafic FTP avec des critères spécifiques afin que des actions puissent être effectuées sur ce trafic.

  12. Affichage > Objets > Contrôler - Cartes de classe - HTTP. Permet d'afficher les objets de mappage de classe HTTP. Ces objets correspondent au trafic HTTP avec des critères spécifiques afin que des actions puissent être effectuées sur ce trafic.

  13. Affichage > Objets > Contrôler - Cartes de classe - Messagerie instantanée. Permet d'afficher les objets de mappage de classe IM. Ces objets correspondent au trafic de messagerie instantanée avec des critères spécifiques afin que des actions puissent être effectuées sur ce trafic.

  14. Affichage > Objets > Contrôler - Cartes de classe - SIP. Permet d'afficher les objets de mappage de classe SIP. Ces objets correspondent au trafic SIP avec des critères spécifiques afin que des actions puissent être effectuées sur ce trafic.

  15. Affichage > Objets > Contrôler - Cartes de stratégie - DNS. Permet d'afficher les objets de mappage de stratégie DNS. Ces objets sont utilisés pour créer des mappages d'inspection pour le trafic DNS.

  16. Affichage > Objets > Contrôler - Cartes de stratégie - FTP. Permet d'afficher les objets de mappage de stratégie FTP. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic FTP.

  17. Affichage > Objets > Contrôler - Cartes de stratégie - GTP. Permet d'afficher les objets de mappage de stratégie GTP. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic GTP.

  18. Affichage > Objets > Inspecter - Cartes de stratégie - HTTP (ASA7.1.x/PIX7.1.x/IOS). Permet d'afficher les objets de mappage de stratégie HTTP créés pour les périphériques ASA/PIX 7.1.x et les routeurs IOS. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic HTTP.

  19. Affichage > Objets > Inspecter - Cartes de stratégie - HTTP (ASA7.2/PIX7.2). Permet d'afficher les objets de mappage de stratégie HTTP créés pour les périphériques ASA 7.2/PIX 7.2. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic HTTP.

  20. Affichage > Objets > Inspecter - Cartes de stratégie - Messagerie instantanée (ASA7.2/PIX7.2). Permet d'afficher les objets de mappage de stratégie de MI créés pour les périphériques ASA 7.2/PIX 7.2. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic MI.

  21. Affichage > Objets > Inspecter - Cartes de stratégie - MI (IOS). Permet d'afficher les objets de mappage de stratégie de MI créés pour les périphériques IOS. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic MI.

  22. Affichage > Objets > Contrôler - Cartes de stratégie - SIP. Permet d'afficher les objets de mappage de stratégie SIP. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic SIP.

  23. Affichage > Objets > Contrôler - Expressions régulières. Permet d'afficher les objets d'expression régulière. Ces objets représentent des expressions régulières individuelles définies comme faisant partie d'un groupe d'expressions régulières.

  24. Affichage > Objets > Contrôler - Groupes d'expressions régulières. Permet d'afficher les objets de groupe d'expressions régulières. Ces objets sont utilisés par certaines cartes de classe et inspectent les cartes pour qu'elles correspondent au texte contenu dans un paquet.

  25. Affichage > Objets > Contrôler - Mappages TCP. Permet d'afficher les objets de mappage TCP. Ces objets personnalisent l'inspection sur le flux TCP dans les deux directions.

  26. Affichage > Objets > Rôles d'interface. Permet d'afficher les objets de rôle d'interface. Ces objets définissent des modèles d'attribution de noms qui peuvent représenter plusieurs interfaces sur différents types de périphériques. Les rôles d'interface vous permettent d'appliquer des stratégies à des interfaces spécifiques sur plusieurs périphériques sans avoir à définir manuellement le nom de chaque interface.

  27. Affichage > Objets > Jeux de transformations IPsec. Permet d'afficher les objets du jeu de transformation IPsec. Ces objets comprennent une combinaison de protocoles de sécurité, d'algorithmes et d'autres paramètres qui spécifient exactement comment les données du tunnel IPsec seront chiffrées et authentifiées.

  28. Affichage > Objets > Mappages d'attributs LDAP. Permet d'afficher les objets de mappage d'attributs LDAP. Ces objets sont utilisés pour mapper des noms d'attributs personnalisés (définis par l'utilisateur) aux noms d'attributs LDAP Cisco.

  29. Affichage > Objets > Réseaux/Hôtes. Permet d'afficher les objets réseau/hôte. Ces objets sont des collections logiques d'adresses IP qui représentent des réseaux, des hôtes ou les deux. Les objets réseau/hôte vous permettent de définir des stratégies sans spécifier chaque réseau ou hôte individuellement.

  30. Affichage > Objets > Inscriptions PKI. Permet d'afficher les objets d'inscription PKI. Ces objets définissent les serveurs d'autorité de certification (CA) qui fonctionnent au sein d'une infrastructure à clé publique.

  31. Affichage > Objets > Listes de transfert de port. Permet d'afficher les objets de la liste de transfert de port. Ces objets définissent les mappages des numéros de port sur un client distant avec l'adresse IP de l'application et le port derrière une passerelle VPN SSL.

  32. Affichage > Objets > Configurations Secure Desktop. Permet d'afficher les objets de configuration de bureau sécurisés. Ces objets sont des composants nommés réutilisables qui peuvent être référencés par des stratégies VPN SSL pour fournir un moyen fiable d'éliminer toutes les traces de données sensibles qui sont partagées pendant la durée d'une session VPN SSL.

  33. Affichage > Objets > Services - Listes de ports. Permet d'afficher les objets de la liste des ports. Ces objets, qui contiennent une ou plusieurs plages de numéros de port, sont utilisés pour rationaliser le processus de création d'objets de service.

  34. Affichage > Objets > Services/Groupes de services Permet d'afficher les objets de service et de groupe de services. Ces objets sont des mappages définis de définitions de protocole et de port qui décrivent les services réseau utilisés par les politiques, tels que Kerberos, SSH et POP3.

  35. Affichage > Objets > Serveurs SSO (Single Sign On). Permet d'afficher les objets serveur SSO. L'authentification unique (SSO) permet aux utilisateurs VPN SSL de saisir un nom d'utilisateur et un mot de passe une fois et d'accéder à plusieurs services protégés et serveurs Web.

  36. Affichage > Objets > Moniteurs SLA. Permet d'afficher les objets du moniteur SLA. Ces objets sont utilisés par les appareils de sécurité PIX/ASA exécutant la version 7.2 ou ultérieure pour effectuer le suivi de route. Cette fonctionnalité fournit une méthode pour suivre la disponibilité d'une route principale et installer une route de secours en cas de défaillance de la route principale.

  37. Affichage > Objets > Personnalisations VPN SSL. Permet d'afficher les objets de personnalisation VPN SSL. Ces objets définissent comment modifier l'apparence des pages VPN SSL qui sont affichées aux utilisateurs, telles que les pages de connexion/déconnexion et les pages d'accueil.

  38. Affichage > Objets > Passerelles VPN SSL. Permet d'afficher les objets de passerelle VPN SSL. Ces objets définissent des paramètres qui permettent à la passerelle d'être utilisée comme proxy pour les connexions aux ressources protégées dans votre VPN SSL.

  39. Affichage > Objets > Objets de style. Permet d'afficher les objets de style. Ces objets vous permettent de configurer des éléments de style, tels que les caractéristiques de police et les couleurs, pour personnaliser l'apparence de la page VPN SSL qui apparaît aux utilisateurs VPN SSL lorsqu'ils se connectent à l'appliance de sécurité.

  40. Affichage > Objets > Objets texte. Permet d'afficher des objets texte de forme libre. Ces objets comprennent une paire nom/valeur, où la valeur peut être une chaîne unique, une liste de chaînes ou une table de chaînes.

  41. Affichage > Objets > Intervalles de temps. Permet d'afficher les objets de plage de temps. Ces objets sont utilisés lors de la création de listes de contrôle d'accès et de règles d'inspection temporelles. Ils sont également utilisés lors de la définition de groupes d'utilisateurs ASA pour limiter l'accès VPN à des heures spécifiques de la semaine.

  42. Affichage > Objets > Flux de trafic. Permet d'afficher les objets de flux de trafic. Ces objets définissent des flux de trafic spécifiques à utiliser par les périphériques PIX 7.x/ASA 7.x.

  43. Affichage > Objets > Listes d'URL. Permet d'afficher les objets de liste d'URL. Ces objets définissent les URL affichées sur la page du portail après une connexion réussie. Cela permet aux utilisateurs d'accéder aux ressources disponibles sur les sites Web VPN SSL lorsqu'ils fonctionnent en mode d'accès sans client.

  44. Affichage > Objets > Groupes d'utilisateurs. Permet d'afficher les objets du groupe d'utilisateurs. Ces objets définissent des groupes de clients distants qui sont utilisés dans les topologies Easy VPN, les VPN d'accès à distance et les VPN SSL.

  45. Affichage > Objets > Listes de serveurs WINS. Permet d'afficher les objets de la liste des serveurs WINS. Ces objets représentent des serveurs WINS, qui sont utilisés par le VPN SSL pour accéder aux fichiers ou les partager sur des systèmes distants.

  46. Affichage > Objets > Interne - Règles DN. Permet d'afficher les règles DN utilisées par les stratégies DN. Il s'agit d'un objet interne utilisé par le Gestionnaire de sécurité qui n'apparaît pas dans le Gestionnaire d'objets de stratégie.

  47. Affichage > Objets > Interne - Mises à jour du client. Il s'agit d'un objet interne requis par les objets de groupe d'utilisateurs qui n'apparaît pas dans le Gestionnaire d'objets de stratégie.

  48. Affichage > Objets > Interne - ACE standard. Il s'agit d'un objet interne pour les entrées de contrôle d'accès standard, qui sont utilisées par les objets ACL.

  49. Affichage > Objets > Interne - ACE étendus. Il s'agit d'un objet interne pour les entrées de contrôle d'accès étendues, qui sont utilisées par les objets ACL.

Autorisations d'affichage supplémentaires

Security Manager inclut les autorisations d'affichage supplémentaires suivantes :

  1. Affichage > Admin. Permet d'afficher les paramètres d'administration du Gestionnaire de sécurité.

  2. Affichage > CLI. Permet d'afficher les commandes CLI configurées sur un périphérique et d'afficher un aperçu des commandes sur le point d'être déployées.

  3. Affichage > Archive de configuration. Permet d'afficher la liste des configurations contenues dans l'archive de configuration. Vous ne pouvez pas afficher la configuration du périphérique ou les commandes CLI.

  4. Affichage > Périphériques. Permet d'afficher les périphériques dans la vue Périphérique et toutes les informations associées, y compris leurs paramètres, propriétés, affectations, etc.

  5. Affichage > Gestionnaires de périphériques. Permet de lancer des versions en lecture seule des gestionnaires de périphériques pour des périphériques individuels, tels que le routeur Cisco et le gestionnaire de périphériques de sécurité (SDM) pour les routeurs Cisco IOS.

  6. Affichage > Topologie. Permet d'afficher les cartes configurées dans la vue Carte.

Modifier les autorisations

Les autorisations de modification (lecture-écriture) dans le Gestionnaire de sécurité sont divisées en catégories, comme indiqué :

Autorisations de modification des stratégies

Remarque : lorsque vous spécifiez des autorisations de modification de stratégie, assurez-vous que vous avez également sélectionné les autorisations d'affectation et d'affichage de stratégie correspondantes.

Security Manager inclut les autorisations de modification suivantes pour les stratégies :

  1. Modifier > Stratégies > Pare-feu. Permet de modifier les stratégies de service de pare-feu (situées dans le sélecteur de stratégie sous Pare-feu) sur les périphériques PIX/ASA/FWSM, les routeurs IOS et les périphériques Catalyst 6500/7600. Les règles d'accès, les règles AAA et les règles d'inspection sont des exemples de politiques de service de pare-feu.

  2. Modifier > Stratégies > Système de prévention des intrusions. Permet de modifier les stratégies IPS (situées dans le sélecteur de stratégie sous IPS), y compris les stratégies IPS exécutées sur les routeurs IOS. Cette autorisation vous permet également de régler les signatures dans l'assistant de mise à jour des signatures (situé sous Outils > Appliquer la mise à jour IPS).

  3. Modifier > Stratégies > Image. Permet d'affecter un package de mise à jour de signature aux périphériques dans l'assistant Appliquer les mises à jour IPS (situé sous Outils > Appliquer la mise à jour IPS). Cette autorisation vous permet également d'attribuer des paramètres de mise à jour automatique à des périphériques spécifiques (situés sous Outils > Administration du Gestionnaire de sécurité > Mises à jour IPS).

  4. Modifier > Stratégies > NAT. Permet de modifier les stratégies de traduction d'adresses réseau sur les périphériques PIX/ASA/FWSM et les routeurs IOS. Les règles statiques et les règles dynamiques sont des exemples de stratégies NAT.

  5. Modifier > Stratégies > VPN site à site. Permet de modifier les stratégies VPN site à site sur les périphériques PIX/ASA/FWSM, les routeurs IOS et les périphériques Catalyst 6500/7600. Les propositions IKE, IPsec et les clés prépartagées sont des exemples de stratégies VPN site à site.

  6. Modifier > Stratégies > VPN d'accès à distance. Permet de modifier les stratégies VPN d'accès à distance sur les périphériques PIX/ASA/FWSM, les routeurs IOS et les périphériques Catalyst 6500/7600. Les propositions IKE, IPsec et PKI sont des exemples de stratégies VPN d'accès à distance.

  7. Modifier > Stratégies > VPN SSL. Permet de modifier les stratégies VPN SSL sur les périphériques PIX/ASA/FWSM et les routeurs IOS, comme l'assistant VPN SSL.

  8. Modifier > Stratégies > Interfaces. Permet de modifier les stratégies d'interface (situées dans le sélecteur de stratégie sous Interfaces) sur les périphériques PIX/ASA/FWSM, les routeurs IOS, les capteurs IPS et les périphériques Catalyst 6500/7600 :

    1. Sur les périphériques PIX/ASA/FWSM, cette autorisation couvre les ports matériels et les paramètres d'interface.

    2. Sur les routeurs IOS, cette autorisation couvre les paramètres d'interface de base et avancés, ainsi que d'autres politiques liées à l'interface, telles que les politiques DSL, PVC, PPP et de numérotation.

    3. Sur les capteurs IPS, cette autorisation couvre les interfaces physiques et les cartes récapitulatives.

    4. Sur les périphériques Catalyst 6500/7600, cette autorisation couvre les interfaces et les paramètres VLAN.

  9. Modifier > Stratégies > Pontage. Permet de modifier les stratégies de la table ARP (situées dans le sélecteur de stratégie sous Plate-forme > Pontage) sur les périphériques PIX/ASA/FWSM.

  10. Modifier > Stratégies > Administration des périphériques. Permet de modifier les stratégies d'administration des périphériques (situées dans le sélecteur de stratégie sous Plate-forme > Administration des périphériques) sur les périphériques PIX/ASA/FWSM, les routeurs IOS et les périphériques Catalyst 6500/7600 :

    1. Sur les périphériques PIX/ASA/FWSM, les exemples incluent les politiques d'accès aux périphériques, les politiques d'accès aux serveurs et les politiques de basculement.

    2. Sur les routeurs IOS, les exemples incluent les politiques d'accès aux périphériques (y compris l'accès à la ligne), les politiques d'accès aux serveurs, AAA et Secure Device Provisioning.

    3. Sur les capteurs IPS, cette autorisation couvre les stratégies d'accès aux périphériques et aux serveurs.

    4. Sur les périphériques Catalyst 6500/7600, cette autorisation couvre les paramètres IDSM et la liste d'accès VLAN.

  11. Modifier > Stratégies > Identité. Permet de modifier les stratégies d'identité (situées dans le sélecteur de stratégie sous Plate-forme > Identité) sur les routeurs Cisco IOS, y compris les stratégies 802.1x et NAC (Network Admission Control).

  12. Modifier > Stratégies > Journalisation. Permet de modifier les stratégies de journalisation (situées dans le sélecteur de stratégie sous Plate-forme > Journalisation) sur les périphériques PIX/ASA/FWSM, les routeurs IOS et les capteurs IPS. Exemples de stratégies de journalisation : configuration de la journalisation, configuration du serveur et stratégies du serveur syslog.

  13. Modifier > Stratégies > Multidiffusion. Permet de modifier les stratégies de multidiffusion (situées dans le sélecteur de stratégie sous Plate-forme > Multidiffusion) sur les périphériques PIX/ASA/FWSM. Le routage multidiffusion et les politiques IGMP sont des exemples de politiques de multidiffusion.

  14. Modifier > Stratégies > QoS. Permet de modifier les stratégies QoS (situées dans le sélecteur de stratégie sous Plate-forme > Qualité de service) sur les routeurs Cisco IOS.

  15. Modifier > Stratégies > Routage. Permet de modifier les stratégies de routage (situées dans le sélecteur de stratégie sous Plate-forme > Routage) sur les périphériques PIX/ASA/FWSM et les routeurs IOS. Les politiques de routage OSPF, RIP et statique sont des exemples de politiques de routage.

  16. Modifier > Stratégies > Sécurité. Permet de modifier les stratégies de sécurité (situées dans le sélecteur de stratégie sous Plate-forme > Sécurité) sur les périphériques PIX/ASA/FWSM et les capteurs IPS :

    1. Sur les périphériques PIX/ASA/FWSM, les politiques de sécurité incluent les paramètres anti-mystification, de fragment et de délai d'attente.

    2. Sur les capteurs IPS, les stratégies de sécurité incluent des paramètres de blocage.

  17. Modifier > Stratégies > Règles de stratégie de service. Permet de modifier les stratégies de règles de stratégie de service (situées dans le sélecteur de stratégie sous Plate-forme > Règles de stratégie de service) sur les périphériques PIX 7.x/ASA. Les files d'attente prioritaires et les règles IPS, QoS et de connexion en sont des exemples.

  18. Modifier > Stratégies > Préférences utilisateur. Permet de modifier la stratégie de déploiement (située dans le sélecteur de stratégie sous Plate-forme > Préférences utilisateur) sur les périphériques PIX/ASA/FWSM. Cette stratégie contient une option permettant d'effacer toutes les traductions NAT lors du déploiement.

  19. Modifier > Stratégies > Périphérique virtuel. Permet de modifier les stratégies de capteur virtuel sur les périphériques IPS. Utilisez cette stratégie pour créer des capteurs virtuels.

  20. Modifier > Stratégies > FlexConfig. Permet de modifier les configurations FlexConfig, qui sont des commandes et des instructions CLI supplémentaires pouvant être déployées sur les périphériques PIX/ASA/FWSM, les routeurs IOS et les périphériques Catalyst 6500/7600.

Autorisations de modification des objets

Security Manager inclut les autorisations d'affichage suivantes pour les objets :

  1. Modifier > Objets > Groupes de serveurs AAA. Permet d'afficher les objets du groupe de serveurs AAA. Ces objets sont utilisés dans les stratégies qui nécessitent des services AAA (authentification, autorisation et comptabilité).

  2. Modifier > Objets > Serveurs AAA. Permet d'afficher les objets du serveur AAA. Ces objets représentent des serveurs AAA individuels qui sont définis comme faisant partie d'un groupe de serveurs AAA.

  3. Modifier > Objets > Listes de contrôle d'accès - Standard/Étendue. Permet d'afficher les objets ACL standard et étendus. Les objets de liste de contrôle d’accès étendue sont utilisés pour diverses stratégies, telles que NAT et NAC, et pour établir l’accès VPN. Les objets ACL standard sont utilisés pour des politiques telles que OSPF et SNMP, ainsi que pour établir un accès VPN.

  4. Modifier > Objets > Listes de contrôle d'accès - Web. Permet d'afficher les objets ACL Web. Les objets ACL Web sont utilisés pour effectuer le filtrage de contenu dans les stratégies VPN SSL.

  5. Modifier > Objets > Groupes d'utilisateurs ASA. Permet d'afficher les objets de groupe d'utilisateurs ASA. Ces objets sont configurés sur des appareils de sécurité ASA dans des configurations Easy VPN, VPN d'accès à distance et VPN SSL.

  6. Modifier > Objets > Catégories. Permet d'afficher les objets de catégorie. Ces objets vous aident à identifier facilement les règles et les objets dans les tables de règles grâce à l'utilisation de couleurs.

  7. Modifier > Objets > Informations d'identification. Permet d'afficher les objets d'informations d'identification. Ces objets sont utilisés dans la configuration Easy VPN pendant l'authentification étendue IKE (Xauth).

  8. Modifier > Objets > FlexConfigs. Permet d'afficher les objets FlexConfig. Ces objets, qui contiennent des commandes de configuration avec des instructions de langage de script supplémentaires, peuvent être utilisés pour configurer des commandes qui ne sont pas prises en charge par l'interface utilisateur de Security Manager.

  9. Modifier > Objets > Propositions IKE. Permet d'afficher les objets de proposition IKE. Ces objets contiennent les paramètres requis pour les propositions IKE dans les stratégies VPN d'accès à distance.

  10. Modifier > Objets > Contrôler - Cartes de classe - DNS. Permet d'afficher les objets de mappage de classe DNS. Ces objets correspondent au trafic DNS avec des critères spécifiques afin que des actions puissent être effectuées sur ce trafic.

  11. Modifier > Objets > Contrôler - Cartes de classe - FTP. Permet d'afficher les objets de mappage de classe FTP. Ces objets correspondent au trafic FTP avec des critères spécifiques afin que des actions puissent être effectuées sur ce trafic.

  12. Modifier > Objets > Contrôler - Cartes de classe - HTTP. Permet d'afficher les objets de mappage de classe HTTP. Ces objets correspondent au trafic HTTP avec des critères spécifiques afin que des actions puissent être effectuées sur ce trafic.

  13. Modifier > Objets > Contrôler - Cartes de classe - MI. Permet d'afficher les objets de mappage de classe IM. Ces objets correspondent au trafic de messagerie instantanée avec des critères spécifiques afin que des actions puissent être effectuées sur ce trafic.

  14. Modifier > Objets > Contrôler - Cartes de classe - SIP. Permet d'afficher les objets de mappage de classe SIP. Ces objets correspondent au trafic SIP avec des critères spécifiques afin que des actions puissent être effectuées sur ce trafic.

  15. Modifier > Objets > Contrôler - Cartes de stratégie - DNS. Permet d'afficher les objets de mappage de stratégie DNS. Ces objets sont utilisés pour créer des mappages d'inspection pour le trafic DNS.

  16. Modifier > Objets > Contrôler - Cartes de stratégie - FTP. Permet d'afficher les objets de mappage de stratégie FTP. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic FTP.

  17. Modifier > Objets > Inspecter - Cartes de stratégie - HTTP (ASA7.1.x/PIX7.1.x/IOS). Permet d'afficher les objets de mappage de stratégie HTTP créés pour les périphériques ASA/PIX 7.x et les routeurs IOS. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic HTTP.

  18. Modifier > Objets > Inspecter - Cartes de stratégie - HTTP (ASA7.2/PIX7.2). Permet d'afficher les objets de mappage de stratégie HTTP créés pour les périphériques ASA 7.2/PIX 7.2. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic HTTP.

  19. Modifier > Objets > Inspecter - Cartes de stratégie - Messagerie instantanée (ASA7.2/PIX7.2). Permet d'afficher les objets de mappage de stratégie de MI créés pour les périphériques ASA 7.2/PIX 7.2. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic MI.

  20. Modifier > Objets > Inspecter - Cartes de stratégie - MI (IOS). Permet d'afficher les objets de mappage de stratégie de MI créés pour les périphériques IOS. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic MI.

  21. Modifier > Objets > Contrôler - Cartes de stratégie - SIP. Permet d'afficher les objets de mappage de stratégie SIP. Ces objets sont utilisés pour créer des cartes d'inspection pour le trafic SIP.

  22. Modifier > Objets > Contrôler - Expressions régulières. Permet d'afficher les objets d'expression régulière. Ces objets représentent des expressions régulières individuelles définies comme faisant partie d'un groupe d'expressions régulières.

  23. Modifier > Objets > Contrôler - Groupes d'expressions régulières. Permet d'afficher les objets de groupe d'expressions régulières. Ces objets sont utilisés par certaines cartes de classe et inspectent les cartes pour qu'elles correspondent au texte contenu dans un paquet.

  24. Modifier > Objets > Contrôler - Mappages TCP. Permet d'afficher les objets de mappage TCP. Ces objets personnalisent l'inspection sur le flux TCP dans les deux directions.

  25. Modifier > Objets > Rôles d'interface. Permet d'afficher les objets de rôle d'interface. Ces objets définissent des modèles d'attribution de noms qui peuvent représenter plusieurs interfaces sur différents types de périphériques. Les rôles d'interface vous permettent d'appliquer des stratégies à des interfaces spécifiques sur plusieurs périphériques sans avoir à définir manuellement le nom de chaque interface.

  26. Modifier > Objets > Jeux de transformations IPsec. Permet d'afficher les objets du jeu de transformation IPsec. Ces objets comprennent une combinaison de protocoles de sécurité, d'algorithmes et d'autres paramètres qui spécifient exactement comment les données du tunnel IPsec seront chiffrées et authentifiées.

  27. Modifier > Objets > Mappages d'attributs LDAP. Permet d'afficher les objets de mappage d'attributs LDAP. Ces objets sont utilisés pour mapper des noms d'attributs personnalisés (définis par l'utilisateur) aux noms d'attributs LDAP Cisco.

  28. Modifier > Objets > Réseaux/Hôtes. Permet d'afficher les objets réseau/hôte. Ces objets sont des collections logiques d'adresses IP qui représentent des réseaux, des hôtes ou les deux. Les objets réseau/hôte vous permettent de définir des stratégies sans spécifier chaque réseau ou hôte individuellement.

  29. Modifier > Objets > Inscriptions PKI. Permet d'afficher les objets d'inscription PKI. Ces objets définissent les serveurs d'autorité de certification (CA) qui fonctionnent au sein d'une infrastructure à clé publique.

  30. Modifier > Objets > Listes de transfert de port. Permet d'afficher les objets de la liste de transfert de port. Ces objets définissent les mappages des numéros de port sur un client distant avec l'adresse IP de l'application et le port derrière une passerelle VPN SSL.

  31. Modifier > Objets > Configurations Secure Desktop. Permet d'afficher les objets de configuration de bureau sécurisés. Ces objets sont des composants nommés réutilisables qui peuvent être référencés par des stratégies VPN SSL pour fournir un moyen fiable d'éliminer toutes les traces de données sensibles qui sont partagées pendant la durée d'une session VPN SSL.

  32. Modifier > Objets > Services - Listes de ports. Permet d'afficher les objets de la liste des ports. Ces objets, qui contiennent une ou plusieurs plages de numéros de port, sont utilisés pour rationaliser le processus de création d'objets de service.

  33. Modifier > Objets > Services/Groupes de services. Permet d'afficher les objets de service et de groupe de services. Ces objets sont des mappages définis de définitions de protocole et de port qui décrivent les services réseau utilisés par les politiques, tels que Kerberos, SSH et POP3.

  34. Modifier > Objets > Serveurs SSO. Permet d'afficher les objets serveur SSO. L'authentification unique (SSO) permet aux utilisateurs VPN SSL de saisir un nom d'utilisateur et un mot de passe une fois et d'accéder à plusieurs services protégés et serveurs Web.

  35. Modifier > Objets > Moniteurs SLA. Permet d'afficher les objets du moniteur SLA. Ces objets sont utilisés par les appareils de sécurité PIX/ASA exécutant la version 7.2 ou ultérieure pour effectuer le suivi de route. Cette fonctionnalité fournit une méthode pour suivre la disponibilité d'une route principale et installer une route de secours en cas de défaillance de la route principale.

  36. Modifier > Objets > Personnalisations VPN SSL. Permet d'afficher les objets de personnalisation VPN SSL. Ces objets définissent comment modifier l'apparence des pages VPN SSL qui sont affichées aux utilisateurs, telles que les pages de connexion/déconnexion et les pages d'accueil.

  37. Modifier > Objets > Passerelles VPN SSL. Permet d'afficher les objets de passerelle VPN SSL. Ces objets définissent des paramètres qui permettent à la passerelle d'être utilisée comme proxy pour les connexions aux ressources protégées dans votre VPN SSL.

  38. Modifier > Objets > Style Objets. Permet d'afficher les objets de style. Ces objets vous permettent de configurer des éléments de style, tels que les caractéristiques de police et les couleurs, pour personnaliser l'apparence de la page VPN SSL qui apparaît aux utilisateurs VPN SSL lorsqu'ils se connectent à l'appliance de sécurité.

  39. Modifier > Objets > Objets texte. Permet d'afficher des objets texte de forme libre. Ces objets comprennent une paire nom/valeur, où la valeur peut être une chaîne unique, une liste de chaînes ou une table de chaînes.

  40. Modifier > Objets > Intervalles de temps. Permet d'afficher les objets de plage de temps. Ces objets sont utilisés lors de la création de listes de contrôle d'accès et de règles d'inspection temporelles. Ils sont également utilisés lors de la définition de groupes d'utilisateurs ASA pour limiter l'accès VPN à des heures spécifiques de la semaine.

  41. Modifier > Objets > Flux de trafic. Permet d'afficher les objets de flux de trafic. Ces objets définissent des flux de trafic spécifiques à utiliser par les périphériques PIX 7.x/ASA 7.x.

  42. Modifier > Objets > Listes d'URL. Permet d'afficher les objets de liste d'URL. Ces objets définissent les URL affichées sur la page du portail après une connexion réussie. Cela permet aux utilisateurs d'accéder aux ressources disponibles sur les sites Web VPN SSL lorsqu'ils fonctionnent en mode d'accès sans client.

  43. Modifier > Objets > Groupes d'utilisateurs. Permet d'afficher les objets du groupe d'utilisateurs. Ces objets définissent des groupes de clients distants utilisés dans les topologies Easy VPN, les VPN d'accès à distance et les VPN SSL

  44. Modifier > Objets > Listes de serveurs WINS. Permet d'afficher les objets de la liste des serveurs WINS. Ces objets représentent des serveurs WINS, qui sont utilisés par le VPN SSL pour accéder aux fichiers ou les partager sur des systèmes distants.

  45. Modifier > Objets > Interne - Règles DN. Permet d'afficher les règles DN utilisées par les stratégies DN. Il s'agit d'un objet interne utilisé par le Gestionnaire de sécurité qui n'apparaît pas dans le Gestionnaire d'objets de stratégie.

  46. Modifier > Objets > Interne - Mises à jour du client. Il s'agit d'un objet interne requis par les objets de groupe d'utilisateurs qui n'apparaît pas dans le Gestionnaire d'objets de stratégie.

  47. Modifier > Objets > Interne - ACE standard. Il s'agit d'un objet interne pour les entrées de contrôle d'accès standard, qui sont utilisées par les objets ACL.

  48. Modifier > Objets > Interne - ACE étendue. Il s'agit d'un objet interne pour les entrées de contrôle d'accès étendues, qui sont utilisées par les objets ACL.

Autorisations de modification supplémentaires

Security Manager inclut les autorisations de modification supplémentaires, comme indiqué :

  1. Modifier > Admin. Permet de modifier les paramètres d'administration du Gestionnaire de sécurité.

  2. Modifier > Archive de configuration. Permet de modifier la configuration du périphérique dans l'archive de configuration. En outre, il vous permet d'ajouter des configurations à l'archive et de personnaliser l'outil d'archivage des configurations.

  3. Modifier > Périphériques. Permet d'ajouter et de supprimer des périphériques, ainsi que de modifier leurs propriétés et leurs attributs. Pour découvrir les stratégies sur le périphérique ajouté, vous devez également activer l'autorisation d'importation. En outre, si vous activez l'autorisation Modifier > Périphériques, assurez-vous que vous activez également l'autorisation Affecter > Stratégies > Interfaces.

  4. Modifier > Hiérarchie. Permet de modifier les groupes de périphériques.

  5. Modifier > Topologie. Permet de modifier des mappages en mode Carte.

Attribuer des autorisations

Le Gestionnaire de sécurité inclut les autorisations d'affectation de stratégie comme indiqué :

  1. Affectez > Stratégies > Pare-feu. Permet d'attribuer des politiques de service de pare-feu (situées dans le sélecteur de politiques sous Pare-feu) aux périphériques PIX/ASA/FWSM, aux routeurs IOS et aux périphériques Catalyst 6500/7600. Les règles d'accès, les règles AAA et les règles d'inspection sont des exemples de politiques de service de pare-feu.

  2. Affectez > Stratégies > Système de prévention des intrusions. Permet d'attribuer des stratégies IPS (situées dans le sélecteur de stratégie sous IPS), y compris des stratégies pour IPS s'exécutant sur des routeurs IOS.

  3. Affectez > Stratégies > Image. Cette autorisation n'est actuellement pas utilisée par le Gestionnaire de sécurité.

  4. Affectez > Stratégies > NAT. Permet d'attribuer des stratégies de traduction d'adresses réseau aux périphériques PIX/ASA/FWSM et aux routeurs IOS. Les règles statiques et les règles dynamiques sont des exemples de stratégies NAT.

  5. Attribuez > Politiques > VPN site à site. Permet d'attribuer des politiques VPN site à site aux périphériques PIX/ASA/FWSM, aux routeurs IOS et aux périphériques Catalyst 6500/7600. Les propositions IKE, IPsec et les clés prépartagées sont des exemples de stratégies VPN site à site.

  6. Attribuez > Stratégies > VPN d'accès à distance. Permet d'attribuer des politiques VPN d'accès à distance aux périphériques PIX/ASA/FWSM, aux routeurs IOS et aux périphériques Catalyst 6500/7600. Les propositions IKE, IPsec et PKI sont des exemples de stratégies VPN d'accès à distance.

  7. Attribuez > Stratégies > VPN SSL. Permet d'attribuer des stratégies VPN SSL aux périphériques PIX/ASA/FWSM et aux routeurs IOS, comme l'assistant VPN SSL.

  8. Affectez > Stratégies > Interfaces. Permet d'attribuer des politiques d'interface (situées dans le sélecteur de politiques sous Interfaces) aux périphériques PIX/ASA/FWSM, aux routeurs IOS et aux périphériques Catalyst 6500/7600 :

    1. Sur les périphériques PIX/ASA/FWSM, cette autorisation couvre les ports matériels et les paramètres d'interface.

    2. Sur les routeurs IOS, cette autorisation couvre les paramètres d'interface de base et avancés, ainsi que d'autres politiques liées à l'interface, telles que les politiques DSL, PVC, PPP et de numérotation.

    3. Sur les périphériques Catalyst 6500/7600, cette autorisation couvre les interfaces et les paramètres VLAN.

  9. Affectez > Stratégies > Pontage. Permet d'attribuer des stratégies de table ARP (situées dans le sélecteur de stratégie sous Plate-forme > Pontage) aux périphériques PIX/ASA/FWSM.

  10. Affectez > Stratégies > Administration des périphériques. Permet d'attribuer des politiques d'administration de périphériques (situées dans le sélecteur de politiques sous Plate-forme > Administration de périphériques) aux périphériques PIX/ASA/FWSM, aux routeurs IOS et aux périphériques Catalyst 6500/7600 :

    1. Sur les périphériques PIX/ASA/FWSM, les exemples incluent les politiques d'accès aux périphériques, les politiques d'accès aux serveurs et les politiques de basculement.

    2. Sur les routeurs IOS, les exemples incluent les politiques d'accès aux périphériques (y compris l'accès à la ligne), les politiques d'accès aux serveurs, AAA et Secure Device Provisioning.

    3. Sur les capteurs IPS, cette autorisation couvre les stratégies d'accès aux périphériques et aux serveurs.

    4. Sur les périphériques Catalyst 6500/7600, cette autorisation couvre les paramètres IDSM et les listes d'accès VLAN.

  11. Affectez > Stratégies > Identité. Permet d'affecter des politiques d'identité (situées dans le sélecteur de politiques sous Plate-forme > Identité) aux routeurs Cisco IOS, y compris les politiques 802.1x et NAC (Network Admission Control).

  12. Affecter > Stratégies > Journalisation. Permet d'attribuer des stratégies de journalisation (situées dans le sélecteur de stratégie sous Plate-forme > Journalisation) aux périphériques PIX/ASA/FWSM et aux routeurs IOS. Exemples de stratégies de journalisation : configuration de la journalisation, configuration du serveur et stratégies du serveur syslog.

  13. Affectez > Stratégies > Multidiffusion. Permet d'attribuer des stratégies de multidiffusion (situées dans le sélecteur de stratégie sous Plate-forme > Multidiffusion) aux périphériques PIX/ASA/FWSM. Le routage multidiffusion et les politiques IGMP sont des exemples de politiques de multidiffusion.

  14. Affecter > Stratégies > QoS. Permet d'attribuer des stratégies QoS (situées dans le sélecteur de stratégie sous Plate-forme > Qualité de service) aux routeurs Cisco IOS.

  15. Affectez > Stratégies > Routage. Permet d'attribuer des stratégies de routage (situées dans le sélecteur de stratégie sous Plate-forme > Routage) aux périphériques PIX/ASA/FWSM et aux routeurs IOS. Les politiques de routage OSPF, RIP et statique sont des exemples de politiques de routage.

  16. Affectez > Stratégies > Sécurité. Permet d'attribuer des stratégies de sécurité (situées dans le sélecteur de stratégie sous Plate-forme > Sécurité) aux périphériques PIX/ASA/FWSM. Les stratégies de sécurité incluent les paramètres anti-usurpation, de fragment et de délai d'attente.

  17. Affecter > Stratégies > Règles de stratégie de service. Permet d'affecter des stratégies de règles de stratégie de service (situées dans le sélecteur de stratégie sous Plate-forme > Règles de stratégie de service) aux périphériques PIX 7.x/ASA. Les files d'attente prioritaires et les règles IPS, QoS et de connexion en sont des exemples.

  18. Affecter > Stratégies > Préférences utilisateur. Permet d'attribuer la stratégie de déploiement (située dans le sélecteur de stratégie sous Plate-forme > Préférences utilisateur) aux périphériques PIX/ASA/FWSM. Cette stratégie contient une option permettant d'effacer toutes les traductions NAT lors du déploiement.

  19. Affectez > Stratégies > Périphérique virtuel. Permet d'attribuer des stratégies de capteurs virtuels aux périphériques IPS. Utilisez cette stratégie pour créer des capteurs virtuels.

  20. Affectez > Stratégies > FlexConfig. Permet d'attribuer des configurations flexibles, qui sont des commandes et des instructions CLI supplémentaires pouvant être déployées sur des périphériques PIX/ASA/FWSM, des routeurs IOS et des périphériques Catalyst 6500/7600.

Remarque : lorsque vous spécifiez des autorisations d'affectation, assurez-vous que vous avez également sélectionné les autorisations d'affichage correspondantes.

Approuver les autorisations

Security Manager fournit les autorisations d'approbation comme indiqué :

  1. Approuver > CLI. Permet d'approuver les modifications de commande CLI contenues dans une tâche de déploiement.

  2. Approuver > Stratégie. Permet d'approuver les modifications de configuration contenues dans les stratégies qui ont été configurées dans une activité de workflow.

Présentation des rôles CiscoWorks

Lorsque des utilisateurs sont créés dans CiscoWorks Common Services, un ou plusieurs rôles leur sont affectés. Les autorisations associées à chaque rôle déterminent les opérations que chaque utilisateur est autorisé à effectuer dans Security Manager.

Les rubriques suivantes décrivent les rôles CiscoWorks :

Rôles par défaut CiscoWorks Common Services

CiscoWorks Common Services contient les rôles par défaut suivants :

  1. Centre d'assistance : les utilisateurs du centre d'assistance peuvent afficher (mais pas modifier) les périphériques, les stratégies, les objets et les cartes topologiques.

  2. Opérateur réseau : outre les autorisations d'affichage, les opérateurs réseau peuvent afficher les commandes CLI et les paramètres administratifs de Security Manager. Les opérateurs réseau peuvent également modifier l'archive de configuration et exécuter des commandes (telles que ping) sur les périphériques.

  3. Approbateur : outre les autorisations d'affichage, les approbateurs peuvent approuver ou rejeter des tâches de déploiement. Ils ne peuvent pas effectuer le déploiement.

  4. Administrateur réseau : les administrateurs réseau disposent d'autorisations complètes d'affichage et de modification, à l'exception de la modification des paramètres administratifs. Ils peuvent détecter les périphériques et les stratégies configurées sur ces périphériques, leur attribuer des stratégies et leur envoyer des commandes. Les administrateurs réseau ne peuvent pas approuver les activités ou les tâches de déploiement ; toutefois, ils peuvent déployer des tâches qui ont été approuvées par d'autres.

  5. Administrateur système : les administrateurs système disposent d'un accès complet à toutes les autorisations du Gestionnaire de sécurité, notamment la modification, l'attribution de stratégies, l'approbation d'activités et de travaux, la découverte, le déploiement et l'exécution de commandes sur les périphériques.

Remarque : des rôles supplémentaires, tels que des données d'exportation, peuvent être affichés dans Common Services si des applications supplémentaires sont installées sur le serveur. Le rôle d'exportation des données est réservé aux développeurs tiers et n'est pas utilisé par Security Manager.

Conseil :  Bien que vous ne puissiez pas modifier la définition des rôles CiscoWorks, vous pouvez définir les rôles affectés à chaque utilisateur. Pour plus d'informations, consultez Attribution de rôles aux utilisateurs dans CiscoWorks Common Services.

Attribution de rôles aux utilisateurs dans CiscoWorks Common Services

CiscoWorks Common Services vous permet de définir les rôles attribués à chaque utilisateur. En modifiant la définition de rôle d'un utilisateur, vous modifiez les types d'opérations que cet utilisateur est autorisé à effectuer dans Security Manager. Par exemple, si vous attribuez le rôle de centre d'assistance, l'utilisateur est limité à l'affichage des opérations et ne peut modifier aucune donnée. Toutefois, si vous attribuez le rôle Opérateur réseau, l'utilisateur peut également modifier l'archive de configuration. Vous pouvez attribuer plusieurs rôles à chaque utilisateur.

Remarque : vous devez redémarrer Security Manager après avoir modifié les autorisations utilisateur.

Procédure:

  1. Dans Common Services, sélectionnez Server > Security, puis Single-Server Trust Management > Local User Setup dans la table des matières.

    Conseil : pour accéder à la page Local User Setup à partir du Gestionnaire de sécurité, sélectionnez Outils > Administration du Gestionnaire de sécurité > Sécurité du serveur, puis cliquez sur Local User Setup.

  2. Activez la case à cocher en regard d'un utilisateur existant, puis cliquez sur Modifier.

  3. Sur la page Informations utilisateur, sélectionnez les rôles à attribuer à cet utilisateur en cochant les cases correspondantes.

    Pour plus d'informations sur chaque rôle, consultez Rôles par défaut CiscoWorks Common Services.

  4. Cliquez sur OK pour enregistrer vos modifications.

  5. Redémarrez Security Manager.

Présentation des rôles Cisco Secure ACS

Cisco Secure ACS offre une plus grande flexibilité que CiscoWorks pour la gestion des autorisations Security Manager, car il prend en charge les rôles spécifiques aux applications que vous pouvez configurer. Chaque rôle est constitué d'un ensemble d'autorisations qui déterminent le niveau d'autorisation des tâches du Gestionnaire de sécurité. Dans Cisco Secure ACS, vous affectez un rôle à chaque groupe d'utilisateurs (et éventuellement à des utilisateurs individuels), ce qui permet à chaque utilisateur de ce groupe d'effectuer les opérations autorisées par les autorisations définies pour ce rôle.

En outre, vous pouvez attribuer ces rôles aux groupes de périphériques Cisco Secure ACS, ce qui permet de différencier les autorisations sur différents ensembles de périphériques.

Remarque : les groupes de périphériques Cisco Secure ACS sont indépendants des groupes de périphériques Security Manager.

Les rubriques suivantes décrivent les rôles Cisco Secure ACS :

Rôles par défaut Cisco Secure ACS

Cisco Secure ACS inclut les mêmes rôles que CiscoWorks (voir Présentation des rôles CiscoWorks), ainsi que les rôles supplémentaires suivants :

  1. Approbateur de sécurité : les approbateurs de sécurité peuvent afficher (mais pas modifier) les périphériques, les stratégies, les objets, les cartes, les commandes CLI et les paramètres administratifs. En outre, les approbateurs de sécurité peuvent approuver ou rejeter les modifications de configuration contenues dans une activité. Ils ne peuvent pas approuver ou rejeter le travail de déploiement, ni effectuer le déploiement.

  2. Administrateur de sécurité - Outre les autorisations d'affichage, les administrateurs de sécurité peuvent modifier les périphériques, les groupes de périphériques, les politiques, les objets et les cartes topologiques. Ils peuvent également attribuer des stratégies aux périphériques et aux topologies VPN, et effectuer une détection pour importer de nouveaux périphériques dans le système.

  3. Administrateur réseau : outre les autorisations d'affichage, les administrateurs réseau peuvent modifier l'archive de configuration, effectuer le déploiement et exécuter des commandes sur les périphériques.

Remarque : les autorisations contenues dans le rôle d'administrateur réseau Cisco Secure ACS sont différentes de celles contenues dans le rôle d'administrateur réseau CiscoWorks. Pour plus d'informations, consultez Présentation des rôles CiscoWorks.

Contrairement à CiscoWorks, Cisco Secure ACS vous permet de personnaliser les autorisations associées à chaque rôle Security Manager. Pour plus d'informations sur la modification des rôles par défaut, consultez Personnalisation des rôles Cisco Secure ACS.

Remarque : Cisco Secure ACS 3.3 ou version ultérieure doit être installé pour obtenir l'autorisation Security Manager.

Personnalisation des rôles Cisco Secure ACS

Cisco Secure ACS vous permet de modifier les autorisations associées à chaque rôle Security Manager. Vous pouvez également personnaliser Cisco Secure ACS en créant des rôles d'utilisateurs spécialisés avec des autorisations ciblées sur des tâches spécifiques du Gestionnaire de sécurité.

Remarque : vous devez redémarrer Security Manager après avoir modifié les autorisations utilisateur.

Procédure:

  1. Dans Cisco Secure ACS, cliquez sur Shared Profile Components dans la barre de navigation.

  2. Cliquez sur Cisco Security Manager sur la page Composants partagés. Les rôles configurés pour Security Manager s'affichent.

  3. Effectuez l'une des opérations suivantes :

    • Pour créer un rôle, cliquez sur Ajouter. Passez à l’étape 4.

    • Pour modifier un rôle existant, cliquez sur le rôle. Passez à l’étape 5.

  4. Entrez un nom pour le rôle et, éventuellement, une description.

  5. Activez et désactivez les cases à cocher de l'arborescence des autorisations pour définir les autorisations de ce rôle

    L'activation de la case à cocher d'une branche de l'arborescence sélectionne toutes les autorisations de cette branche. Par exemple, sélectionner Assign sélectionne toutes les autorisations d'affectation.

    Pour obtenir la liste complète des autorisations du Gestionnaire de sécurité, consultez Autorisations du Gestionnaire de sécurité.

    Remarque : lorsque vous sélectionnez des autorisations de modification, d'approbation, d'attribution, d'importation, de contrôle ou de déploiement, vous devez également sélectionner les autorisations d'affichage correspondantes ; sinon, Security Manager ne fonctionnera pas correctement.

  6. Cliquez sur Submit pour enregistrer les modifications.

  7. Redémarrez Security Manager.

Associations par défaut entre les autorisations et les rôles dans le Gestionnaire de sécurité

Ce tableau montre comment les autorisations du Gestionnaire de sécurité sont associées aux rôles CiscoWorks Common Services et aux rôles par défaut dans Cisco Secure ACS.

Autorisations Rôles
Administrateur système Administrateur de sécurité (ACS) Approbateur de sécurité (ACS) Administrateur réseau (CW) Administrateur réseau (ACS) Approbateur Opérateur de réseau centre d'assistance
Afficher les autorisations
Afficher le périphérique Oui Oui Oui Oui Oui Oui Oui Oui
Afficher la stratégie Oui Oui Oui Oui Oui Oui Oui Oui
Afficher les objets Oui Oui Oui Oui Oui Oui Oui Oui
Afficher la topologie Oui Oui Oui Oui Oui Oui Oui Oui
Afficher CLI Oui Oui Oui Oui Oui Oui Oui Non
Afficher Admin Oui Oui Oui Oui Oui Oui Oui Non
Afficher l'archive de configuration Oui Oui Oui Oui Oui Oui Oui Oui
Afficher les gestionnaires de périphériques Oui Oui Oui Oui Oui Oui Oui Non
Modifier les autorisations
Modifier le périphérique Oui Oui Non Oui Non Non Non Non
Modifier la hiérarchie Oui Oui Non Oui Non Non Non Non
Modifier la stratégie Oui Oui Non Oui Non Non Non Non
Modifier l'image Oui Oui Non Oui Non Non Non Non
Modifier les objets Oui Oui Non Oui Non Non Non Non
Modifier la topologie Oui Oui Non Oui Non Non Non Non
Modifier l'administrateur Oui Non Non Non Non Non Non Non
Modifier l'archive de configuration Oui Oui Non Oui Oui Non Oui Non
Autorisations supplémentaires
Affecter une stratégie Oui Oui Non Oui Non Non Non Non
Approuver la stratégie Oui Non Oui Non Non Non Non Non
Approuver CLI Oui Non Non Non Non Oui Non Non
Découvrir (Importer) Oui Oui Non Oui Non Non Non Non
Déploiement Oui Non Non Oui Oui Non Non Non
Contrôle Oui Non Non Oui Oui Non Oui Non
Envoyer Oui Oui Non Oui Non Non Non Non

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
14-May-2007
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits