CSM 3.x: Einrichten von Benutzerberechtigungen und -rollen

Download-Optionen

  • PDF     (308.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (92.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (105.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:14. Mai 2007
Dokument-ID:91762

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, wie Sie die Berechtigungen und Rollen für die Benutzer im Cisco Security Manager (CSM) einrichten.

Voraussetzungen

Anforderungen

In diesem Dokument wird davon ausgegangen, dass der CSM installiert ist und ordnungsgemäß funktioniert.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf CSM 3.1.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Benutzerberechtigungen einrichten

Vor der Anmeldung authentifiziert Cisco Security Manager Ihren Benutzernamen und Ihr Kennwort. Nach der Authentifizierung wird Ihre Rolle in der Anwendung vom Security Manager festgelegt. Diese Rolle definiert Ihre Berechtigungen (auch als Berechtigungen bezeichnet), d. h. die Gruppe von Aufgaben oder Operationen, die Sie ausführen dürfen. Wenn Sie nicht für bestimmte Aufgaben oder Geräte autorisiert sind, sind die zugehörigen Menüelemente, Inhaltsverzeichniselemente und Schaltflächen ausgeblendet oder deaktiviert. Darüber hinaus wird Ihnen in einer Meldung mitgeteilt, dass Sie nicht berechtigt sind, die ausgewählten Informationen anzuzeigen oder den ausgewählten Vorgang auszuführen.

Die Authentifizierung und Autorisierung für Security Manager erfolgt entweder über den CiscoWorks-Server oder den Cisco Secure Access Control Server (ACS). CiscoWorks verwaltet standardmäßig die Authentifizierung und Autorisierung. Sie können jedoch auf Cisco Secure ACS wechseln, indem Sie in CiscoWorks Common Services die Seite AAA Mode Setup (AAA-Modus einrichten) verwenden.

Die Hauptvorteile von Cisco Secure ACS liegen in der Möglichkeit, äußerst detaillierte Benutzerrollen mit speziellen Berechtigungssätzen zu erstellen (z. B. wenn der Benutzer bestimmte Richtlinientypen konfigurieren kann, andere jedoch nicht) und Benutzer durch die Konfiguration von Netzwerk-Gerätegruppen (NDGs) auf bestimmte Geräte zu beschränken.

In den folgenden Themen werden Benutzerberechtigungen beschrieben:

Berechtigungen für Security Manager

Der Sicherheits-Manager ordnet Berechtigungen den folgenden Kategorien zu:

  1. Ansicht: Ermöglicht Ihnen, die aktuellen Einstellungen anzuzeigen. Weitere Informationen finden Sie unter Berechtigungen anzeigen.

  2. Ändern - Ermöglicht Ihnen, die aktuellen Einstellungen zu ändern. Weitere Informationen finden Sie unter Berechtigungen ändern.

  3. Assign (Zuweisen) - Ermöglicht Ihnen, Geräten und VPN-Topologien Richtlinien zuzuweisen. Weitere Informationen finden Sie unter Berechtigungen zuweisen.

  4. Approve (Genehmigen): Ermöglicht Ihnen, Richtlinienänderungen und Bereitstellungsaufträge zu genehmigen. Weitere Informationen finden Sie unter Berechtigungen genehmigen.

  5. Import (Importieren): Importieren Sie die bereits auf den Geräten bereitgestellten Konfigurationen in Security Manager.

  6. Deploy (Bereitstellung): Ermöglicht Ihnen, Konfigurationsänderungen auf den Geräten im Netzwerk bereitzustellen und ein Rollback durchzuführen, um zu einer zuvor bereitgestellten Konfiguration zurückzukehren.

  7. Steuerung - Ermöglicht Ihnen, Befehle an Geräte auszugeben, z. B. Ping.

  8. Senden - Ermöglicht Ihnen, Ihre Konfigurationsänderungen zur Genehmigung einzureichen.

  • Wenn Sie Berechtigungen ändern, zuweisen, genehmigen, importieren, steuern oder bereitstellen, müssen Sie auch die entsprechenden Ansichtsberechtigungen auswählen. Andernfalls funktioniert Security Manager nicht ordnungsgemäß.

  • Wenn Sie Richtlinienberechtigungen ändern auswählen, müssen Sie auch die entsprechenden Berechtigungen zum Zuweisen und Anzeigen von Richtlinien auswählen.

  • Wenn Sie eine Richtlinie zulassen, die Richtlinienobjekte als Teil ihrer Definition verwendet, müssen Sie diesen Objekttypen auch Anzeigeberechtigungen gewähren. Wenn Sie z. B. die Berechtigung zum Ändern von Routingrichtlinien auswählen, müssen Sie auch die Berechtigungen zum Anzeigen von Netzwerkobjekten und Schnittstellenrollen auswählen. Dies sind die Objekttypen, die für Routingrichtlinien erforderlich sind.

  • Dasselbe gilt, wenn ein Objekt zugelassen wird, das andere Objekte als Teil seiner Definition verwendet. Wenn Sie beispielsweise die Berechtigung zum Ändern von Benutzergruppen auswählen, müssen Sie auch die Berechtigungen zum Anzeigen von Netzwerkobjekten, ACL-Objekten und AAA-Servergruppen auswählen.

Berechtigungen anzeigen

Die Berechtigungen zum Anzeigen (schreibgeschützter Zugriff) im Sicherheitsmanager sind wie dargestellt in die folgenden Kategorien unterteilt:

Richtlinienberechtigungen anzeigen

Der Sicherheits-Manager enthält die folgenden Ansichtsberechtigungen für Richtlinien:

  1. Ansicht > Richtlinien > Firewall. Ermöglicht die Anzeige von Firewall-Service-Richtlinien (im Richtlinienauswahl unter Firewall) auf PIX-/ASA-/FWSM-Geräten, IOS-Routern und Catalyst 6500-/7600-Geräten. Beispiele für Firewall-Service-Richtlinien sind Zugriffsregeln, AAA-Regeln und Überprüfungsregeln.

  2. Anzeigen > Richtlinien > Intrusion Prevention System (Intrusionspräventionssystem). Ermöglicht die Anzeige von IPS-Richtlinien (im Richtlinienselektor unter IPS), einschließlich Richtlinien für IPS, das auf IOS-Routern ausgeführt wird.

  3. Ansicht > Richtlinien > Bild. Ermöglicht Ihnen die Auswahl eines Signatur-Aktualisierungspakets im Assistenten zum Anwenden von IPS-Updates (unter Extras > IPS-Aktualisierung anwenden). Sie können das Paket jedoch nicht bestimmten Geräten zuweisen, es sei denn, Sie verfügen auch über die Berechtigung Ändern > Richtlinien > Image.

  4. Ansicht > Richtlinien > NAT. Ermöglicht Ihnen die Anzeige von Richtlinien für die Netzwerkadressenübersetzung auf PIX-/ASA-/FWSM-Geräten und IOS-Routern. Beispiele für NAT-Richtlinien sind statische und dynamische Regeln.

  5. Ansicht > Richtlinien > Site-to-Site-VPN. Ermöglicht die Anzeige von Site-to-Site-VPN-Richtlinien für PIX-/ASA-/FWSM-Geräte, IOS-Router und Catalyst 6500-/7600-Geräte. Beispiele für Site-to-Site-VPN-Richtlinien sind IKE-Angebote, IPsec-Angebote und vorinstallierte Schlüssel.

  6. Ansicht > Richtlinien > Remotezugriff-VPN. Ermöglicht die Anzeige von VPN-Richtlinien für den Remote-Zugriff auf PIX-/ASA-/FWSM-Geräten, IOS-Routern und Catalyst 6500-/7600-Geräten. Beispiele für VPN-Richtlinien für den Remotezugriff sind IKE-Vorschläge, IPsec-Vorschläge und PKI-Richtlinien.

  7. Ansicht > Richtlinien > SSL VPN. Ermöglicht die Anzeige von SSL VPN-Richtlinien auf PIX-/ASA-/FWSM-Geräten und IOS-Routern, z. B. mit dem SSL VPN-Assistenten.

  8. Ansicht > Richtlinien > Schnittstellen. Ermöglicht die Anzeige von Schnittstellenrichtlinien (im Richtlinienauswahl unter Schnittstellen) für PIX-/ASA-/FWSM-Geräte, IOS-Router, IPS-Sensoren und Catalyst 6500-/7600-Geräte.

    1. Für PIX-/ASA-/FWSM-Geräte umfasst diese Berechtigung Hardwareports und Schnittstelleneinstellungen.

    2. Bei IOS-Routern umfasst diese Berechtigung grundlegende und erweiterte Schnittstelleneinstellungen sowie andere schnittstellenbezogene Richtlinien, z. B. DSL-, PVC-, PPP- und Dialer-Richtlinien.

    3. Bei IPS-Sensoren deckt diese Berechtigung physische Schnittstellen und Übersichtskarten ab.

    4. Für Catalyst 6500-/7600-Geräte bezieht sich diese Berechtigung auf Schnittstellen und VLAN-Einstellungen.

  9. Ansicht > Richtlinien > Bridging. Ermöglicht die Anzeige der ARP-Tabellenrichtlinien (im Richtlinienauswahl unter Plattform > Bridging) auf PIX-/ASA-/FWSM-Geräten.

  10. Ansicht > Richtlinien > Geräteverwaltung. Ermöglicht Ihnen die Anzeige von Gerätemanagement-Richtlinien (im Richtlinienselektor unter Plattform > Gerätemanagement) auf PIX-/ASA-/FWSM-Geräten, IOS-Routern und Catalyst 6500-/7600-Geräten:

    1. Beispiele für PIX-/ASA-/FWSM-Geräte sind Zugriffsrichtlinien für Geräte, Zugriffsrichtlinien für Server und Failover-Richtlinien.

    2. Auf IOS-Routern umfassen Beispiele Richtlinien für den Gerätezugriff (einschließlich Leitungszugriff), Richtlinien für den Serverzugriff, AAA und die sichere Gerätebereitstellung.

    3. Bei IPS-Sensoren umfasst diese Berechtigung Richtlinien für den Gerätezugriff und den Serverzugriff.

    4. Auf Catalyst 6500-/7600-Geräten deckt diese Berechtigung IDSM-Einstellungen und VLAN-Zugriffslisten ab.

  11. Ansicht > Richtlinien > Identität. Ermöglicht die Anzeige von Identitätsrichtlinien (im Richtlinienauswahl unter Plattform > Identität) für Cisco IOS-Router, einschließlich Richtlinien für 802.1x und Network Admission Control (NAC).

  12. Ansicht > Richtlinien > Protokollierung. Ermöglicht die Anzeige von Protokollierungsrichtlinien (im Richtlinienauswahl unter Plattform > Protokollierung) für PIX-/ASA-/FWSM-Geräte, IOS-Router und IPS-Sensoren. Beispiele für Protokollierungsrichtlinien sind Protokollierungseinstellungen, Servereinrichtung und Syslog-Serverrichtlinien.

  13. Ansicht > Richtlinien > Multicast. Ermöglicht die Anzeige von Multicast-Richtlinien (im Richtlinienauswahl unter Plattform > Multicast) auf PIX-/ASA-/FWSM-Geräten. Beispiele für Multicast-Richtlinien sind Multicast-Routing und IGMP-Richtlinien.

  14. Ansicht > Richtlinien > QoS. Ermöglicht Ihnen die Anzeige von QoS-Richtlinien (im Richtlinienauswahl unter Plattform > Quality of Service) für Cisco IOS-Router.

  15. Ansicht > Richtlinien > Routing. Ermöglicht die Anzeige von Routing-Richtlinien (im Richtlinienauswahl unter Plattform > Routing) auf PIX-/ASA-/FWSM-Geräten und IOS-Routern. Beispiele für Routingrichtlinien sind OSPF, RIP und statische Routingrichtlinien.

  16. Ansicht > Richtlinien > Sicherheit. Ermöglicht die Anzeige von Sicherheitsrichtlinien (im Richtlinienauswahl unter Plattform > Sicherheit) für PIX-/ASA-/FWSM-Geräte und IPS-Sensoren:

    1. Auf PIX-/ASA-/FWSM-Geräten umfassen die Sicherheitsrichtlinien Anti-Spoofing-, Fragment- und Timeout-Einstellungen.

    2. Auf IPS-Sensoren umfassen die Sicherheitsrichtlinien Blockierungseinstellungen.

  17. Ansicht > Richtlinien > Servicerichtlinien-Regeln. Ermöglicht Ihnen, Richtlinien für Servicerichtlinien (zu finden im Richtlinienauswahl unter Plattform > Servicerichtlinien-Regeln) auf PIX 7.x/ASA-Geräten anzuzeigen. Beispiele sind Prioritätswarteschlangen und IPS, QoS und Verbindungsregeln.

  18. Ansicht > Richtlinien > Benutzereinstellungen. Ermöglicht die Anzeige der Bereitstellungsrichtlinie (im Richtlinienauswahl unter Plattform > Benutzereinstellungen) für PIX-/ASA-/FWSM-Geräte. Diese Richtlinie enthält eine Option zum Löschen aller NAT-Übersetzungen bei der Bereitstellung.

  19. Ansicht > Richtlinien > Virtuelles Gerät. Ermöglicht die Anzeige virtueller Sensorrichtlinien auf IPS-Geräten. Diese Richtlinie wird zum Erstellen virtueller Sensoren verwendet.

  20. Ansicht > Richtlinien > FlexConfig. Ermöglicht Ihnen die Anzeige von FlexConfigs. Dies sind zusätzliche CLI-Befehle und -Anweisungen, die auf PIX-/ASA-/FWSM-Geräten, IOS-Routern und Catalyst 6500-/7600-Geräten bereitgestellt werden können.

Objekte anzeigen Berechtigungen

Der Sicherheits-Manager enthält die folgenden Ansichtsberechtigungen für Objekte:

  1. Ansicht > Objekte > AAA-Servergruppen. Ermöglicht die Anzeige von AAA-Servergruppenobjekten. Diese Objekte werden in Richtlinien verwendet, die AAA-Services erfordern (Authentifizierung, Autorisierung und Abrechnung).

  2. Ansicht > Objekte > AAA-Server. Ermöglicht die Anzeige von AAA-Serverobjekten. Diese Objekte stellen einzelne AAA-Server dar, die als Teil einer AAA-Servergruppe definiert sind.

  3. Ansicht > Objekte > Zugriffskontrolllisten - Standard/Erweitert. Ermöglicht die Anzeige von Standard- und erweiterten ACL-Objekten. Erweiterte ACL-Objekte werden für eine Vielzahl von Richtlinien, z. B. NAT und NAC, sowie für die Einrichtung eines VPN-Zugriffs verwendet. Standard-ACL-Objekte werden für Richtlinien wie OSPF und SNMP sowie für die Einrichtung des VPN-Zugriffs verwendet.

  4. Ansicht > Objekte > Zugriffskontrolllisten - Web. Ermöglicht die Anzeige von Web-ACL-Objekten. Web-ACL-Objekte werden für die Inhaltsfilterung in SSL VPN-Richtlinien verwendet.

  5. Ansicht > Objekte > ASA-Benutzergruppen. Ermöglicht die Anzeige von ASA-Benutzergruppenobjekten. Diese Objekte werden auf ASA Security Appliances in Easy VPN-, Remote Access VPN- und SSL VPN-Konfigurationen konfiguriert.

  6. Ansicht > Objekte > Kategorien. Ermöglicht das Anzeigen von Kategorienobjekten. Mit diesen Objekten können Sie Regeln und Objekte in Regeltabellen mithilfe von Farben leicht identifizieren.

  7. Ansicht > Objekte > Anmeldedaten. Ermöglicht das Anzeigen von Anmeldeinformationsobjekten. Diese Objekte werden in der Easy VPN-Konfiguration während der erweiterten IKE-Authentifizierung (Xauth) verwendet.

  8. Ansicht > Objekte > FlexConfigs. Ermöglicht die Anzeige von FlexConfig-Objekten. Diese Objekte, die Konfigurationsbefehle mit zusätzlichen Anweisungen in der Skriptsprache enthalten, können zum Konfigurieren von Befehlen verwendet werden, die von der Sicherheitsmanager-Benutzeroberfläche nicht unterstützt werden.

  9. Ansicht > Objekte > IKE-Angebote. Ermöglicht das Anzeigen von IKE-Angebotsobjekten. Diese Objekte enthalten die Parameter, die für IKE-Angebote in VPN-Richtlinien für den Remotezugriff erforderlich sind.

  10. Ansicht > Objekte > Inspizieren - Klassenzuordnungen - DNS. Ermöglicht das Anzeigen von Objekten für die DNS-Klassenzuordnung. Diese Objekte ordnen dem DNS-Datenverkehr bestimmte Kriterien zu, sodass für diesen Datenverkehr Aktionen ausgeführt werden können.

  11. Ansicht > Objekte > Inspizieren - Klassenzuordnungen - FTP. Ermöglicht das Anzeigen von Objekten für die FTP-Klassenzuordnung. Diese Objekte ordnen dem FTP-Datenverkehr bestimmte Kriterien zu, sodass Aktionen für diesen Datenverkehr ausgeführt werden können.

  12. Ansicht > Objekte > Inspizieren - Klassenzuordnungen - HTTP. Ermöglicht das Anzeigen von Objekten für die HTTP-Klassenzuordnung. Diese Objekte ordnen dem HTTP-Datenverkehr bestimmte Kriterien zu, sodass für diesen Datenverkehr Aktionen ausgeführt werden können.

  13. Ansicht > Objekte > Inspizieren - Klassenzuordnungen - IM. Ermöglicht das Anzeigen von IM-Klassenzuordnungsobjekten. Diese Objekte ordnen IM-Datenverkehr bestimmten Kriterien zu, sodass Aktionen für diesen Datenverkehr ausgeführt werden können.

  14. Ansicht > Objekte > Inspizieren - Klassenzuordnungen - SIP. Ermöglicht die Anzeige von Objekten für die SIP-Klassenzuordnung. Diese Objekte ordnen dem SIP-Datenverkehr bestimmte Kriterien zu, sodass für diesen Datenverkehr Aktionen ausgeführt werden können.

  15. Ansicht > Objekte > Inspizieren - Richtlinienzuordnungen - DNS. Ermöglicht das Anzeigen von Objekten für die DNS-Richtlinienzuordnung. Diese Objekte werden verwendet, um Prüfzuordnungen für den DNS-Datenverkehr zu erstellen.

  16. Ansicht > Objekte > Inspizieren - Richtlinienzuordnungen - FTP. Ermöglicht das Anzeigen von Objekten für die FTP-Richtlinienzuordnung. Diese Objekte werden verwendet, um Prüfzuordnungen für den FTP-Datenverkehr zu erstellen.

  17. Ansicht > Objekte > Inspizieren - Richtlinienzuordnungen - GTP. Ermöglicht das Anzeigen von GTP-Richtlinienzuordnungsobjekten. Diese Objekte werden verwendet, um Prüfzuordnungen für den GTP-Datenverkehr zu erstellen.

  18. Ansicht > Objekte > Inspizieren - Richtlinienzuordnungen - HTTP (ASA7.1.x/PIX7.1.x/IOS). Ermöglicht die Anzeige von HTTP-Richtlinienzuordnungsobjekten, die für ASA/PIX 7.1.x-Geräte und IOS-Router erstellt wurden. Diese Objekte werden verwendet, um Prüfzuordnungen für den HTTP-Datenverkehr zu erstellen.

  19. Ansicht > Objekte > Inspizieren - Richtlinienzuordnungen - HTTP (ASA7.2/PIX7.2). Ermöglicht die Anzeige von HTTP-Richtlinienzuordnungsobjekten, die für ASA 7.2-/PIX 7.2-Geräte erstellt wurden. Diese Objekte werden verwendet, um Prüfzuordnungen für den HTTP-Datenverkehr zu erstellen.

  20. Ansicht > Objekte > Inspizieren - Richtlinienzuordnungen - IM (ASA7.2/PIX7.2). Ermöglicht die Anzeige von Objekten für die IM-Richtlinienzuordnung, die für ASA 7.2/PIX 7.2-Geräte erstellt wurden. Diese Objekte werden verwendet, um Prüfkarten für den IM-Datenverkehr zu erstellen.

  21. Ansicht > Objekte > Inspizieren - Richtlinienzuordnungen - IM (IOS). Ermöglicht Ihnen die Anzeige von für IOS-Geräte erstellten IM-Richtlinienzuordnungsobjekten. Diese Objekte werden verwendet, um Prüfkarten für den IM-Datenverkehr zu erstellen.

  22. Ansicht > Objekte > Inspizieren - Richtlinienzuordnungen - SIP. Ermöglicht die Anzeige von Objekten in der SIP-Richtlinienzuordnung. Diese Objekte werden verwendet, um Prüfzuordnungen für den SIP-Datenverkehr zu erstellen.

  23. Ansicht > Objekte > Inspizieren - Reguläre Ausdrücke. Ermöglicht das Anzeigen von Objekten für reguläre Ausdrücke. Diese Objekte stellen einzelne reguläre Ausdrücke dar, die als Teil einer Gruppe regulärer Ausdrücke definiert sind.

  24. Ansicht > Objekte > Inspizieren - Gruppen für reguläre Ausdrücke. Ermöglicht das Anzeigen von Gruppenobjekten für reguläre Ausdrücke. Diese Objekte werden von bestimmten Klassenzuordnungen verwendet und überprüfen die Zuordnungen, um Text innerhalb eines Pakets zu erkennen.

  25. Ansicht > Objekte > Inspizieren - TCP-Zuordnungen. Ermöglicht die Anzeige von TCP-Zuordnungsobjekten. Diese Objekte passen die Überprüfung des TCP-Flusses in beide Richtungen an.

  26. Ansicht > Objekte > Schnittstellenrollen. Ermöglicht das Anzeigen von Objekten für Schnittstellenrollen. Diese Objekte definieren Benennungsmuster, die mehrere Schnittstellen auf verschiedenen Gerätetypen darstellen können. Mit Schnittstellenrollen können Sie Richtlinien auf bestimmte Schnittstellen auf mehreren Geräten anwenden, ohne den Namen jeder Schnittstelle manuell definieren zu müssen.

  27. Ansicht > Objekte > IPsec-Transformationssätze. Ermöglicht das Anzeigen von IPsec-Transformationssatzobjekten. Diese Objekte umfassen eine Kombination aus Sicherheitsprotokollen, Algorithmen und anderen Einstellungen, die genau angeben, wie die Daten im IPsec-Tunnel verschlüsselt und authentifiziert werden.

  28. Ansicht > Objekte > LDAP-Attributzuordnungen. Ermöglicht die Anzeige von LDAP-Attributzuordnungsobjekten. Diese Objekte werden verwendet, um benutzerdefinierte (benutzerdefinierte) Attributnamen Cisco LDAP-Attributnamen zuzuordnen.

  29. Ansicht > Objekte > Netzwerke/Hosts. Ermöglicht die Anzeige von Netzwerk-/Hostobjekten. Bei diesen Objekten handelt es sich um logische Sammlungen von IP-Adressen, die Netzwerke, Hosts oder beides darstellen. Mit Netzwerk-/Hostobjekten können Richtlinien definiert werden, ohne jedes Netzwerk oder jeden Host einzeln anzugeben.

  30. Ansicht > Objekte > PKI-Registrierungen. Ermöglicht das Anzeigen von PKI-Registrierungsobjekten. Diese Objekte definieren die CA-Server (Certification Authority), die innerhalb einer Public-Key-Infrastruktur betrieben werden.

  31. Ansicht > Objekte > Portweiterleitungslisten. Ermöglicht das Anzeigen von Listenobjekten für die Port-Weiterleitung. Diese Objekte definieren die Zuordnung von Portnummern auf einem Remote-Client zur IP-Adresse der Anwendung und zum Port hinter einem SSL VPN-Gateway.

  32. Ansicht > Objekte > Sichere Desktop-Konfigurationen. Ermöglicht die Anzeige sicherer Desktop-Konfigurationsobjekte. Diese Objekte sind wiederverwendbare, benannte Komponenten, auf die durch SSL VPN-Richtlinien verwiesen werden kann, um eine zuverlässige Methode zum Eliminieren aller Spuren sensibler Daten bereitzustellen, die während der Dauer einer SSL VPN-Sitzung gemeinsam genutzt werden.

  33. Ansicht > Objekte > Dienste - Portlisten. Ermöglicht das Anzeigen von Portlistenobjekten. Diese Objekte, die einen oder mehrere Bereiche von Portnummern enthalten, werden verwendet, um den Prozess der Erstellung von Serviceobjekten zu optimieren.

  34. Ansicht > Objekte > Dienste/Servicegruppen Ermöglicht das Anzeigen von Dienst- und Servicegruppenobjekten. Diese Objekte sind definierte Zuordnungen von Protokoll- und Portdefinitionen, die Netzwerkdienste beschreiben, die von Richtlinien wie Kerberos, SSH und POP3 verwendet werden.

  35. Ansicht > Objekte > Server für einmalige Anmeldung. Ermöglicht die Anzeige von Serverobjekten mit einmaliger Anmeldung. Mit Single Sign-On (SSO) können SSL VPN-Benutzer einen Benutzernamen und ein Kennwort eingeben, um auf mehrere geschützte Dienste und Webserver zugreifen zu können.

  36. Ansicht > Objekte > SLA-Monitore. Ermöglicht die Anzeige von SLA-Überwachungsobjekten. Diese Objekte werden von PIX/ASA Security Appliances mit Version 7.2 oder höher zur Routenverfolgung verwendet. Diese Funktion bietet eine Methode, um die Verfügbarkeit einer primären Route zu verfolgen und eine Backup-Route zu installieren, wenn die primäre Route ausfällt.

  37. Ansicht > Objekte > SSL VPN-Anpassungen. Ermöglicht die Anzeige von SSL VPN-Anpassungsobjekten. Diese Objekte legen fest, wie die Darstellung von SSL VPN-Seiten geändert werden soll, die Benutzern angezeigt werden, z. B. Anmelde-/Abmelde- und Startseiten.

  38. Ansicht > Objekte > SSL VPN-Gateways. Ermöglicht die Anzeige von SSL VPN-Gatewayobjekten. Diese Objekte definieren Parameter, mit denen das Gateway als Proxy für Verbindungen zu den geschützten Ressourcen in Ihrem SSL VPN verwendet werden kann.

  39. Ansicht > Objekte > Formatobjekte. Ermöglicht das Anzeigen von Formatobjekten. Mit diesen Objekten können Sie Stilelemente konfigurieren, z. B. Schriftarteigenschaften und Farben, um die Darstellung der SSL VPN-Seite anzupassen, die SSL VPN-Benutzern angezeigt wird, wenn sie eine Verbindung mit der Sicherheitsappliance herstellen.

  40. Ansicht > Objekte > Textobjekte. Ermöglicht das Anzeigen von Freiform-Textobjekten. Diese Objekte umfassen ein Name-Wert-Paar, wobei der Wert eine einzelne Zeichenfolge, eine Liste von Zeichenfolgen oder eine Tabelle von Zeichenfolgen sein kann.

  41. Ansicht > Objekte > Zeitbereiche. Ermöglicht das Anzeigen von Zeitbereichsobjekten. Diese Objekte werden beim Erstellen zeitbasierter ACLs und Prüfungsregeln verwendet. Sie werden auch bei der Definition von ASA-Benutzergruppen verwendet, um den VPN-Zugriff auf bestimmte Zeiten unter der Woche zu beschränken.

  42. Ansicht > Objekte > Datenverkehrsflüsse. Ermöglicht die Anzeige von Datenverkehrsobjekten. Diese Objekte definieren bestimmte Datenverkehrsflüsse, die von PIX 7.x-/ASA 7.x-Geräten verwendet werden.

  43. Ansicht > Objekte > URL-Listen. Ermöglicht das Anzeigen von URL-Listenobjekten. Diese Objekte definieren die URLs, die nach einer erfolgreichen Anmeldung auf der Portalseite angezeigt werden. Dadurch können Benutzer im Clientless-Zugriffsmodus auf die auf SSL VPN-Websites verfügbaren Ressourcen zugreifen.

  44. Ansicht > Objekte > Benutzergruppen. Ermöglicht das Anzeigen von Benutzergruppenobjekten. Diese Objekte definieren Gruppen von Remote-Clients, die in Easy VPN-Topologien, Remote-Access-VPNs und SSL-VPNs verwendet werden.

  45. Ansicht > Objekte > WINS-Serverlisten. Ermöglicht das Anzeigen von WINS-Serverlistenobjekten. Diese Objekte stellen WINS-Server dar, die von SSL VPN für den Zugriff auf oder die Freigabe von Dateien auf Remotesystemen verwendet werden.

  46. Ansicht > Objekte > Intern - DN-Regeln. Ermöglicht die Anzeige der von DN-Richtlinien verwendeten DN-Regeln. Dieses interne Objekt wird vom Sicherheits-Manager verwendet und nicht im Richtlinienobjekt-Manager angezeigt.

  47. Ansicht > Objekte > Intern - Client-Updates. Dies ist ein internes Objekt, das von Benutzergruppenobjekten benötigt wird und nicht im Richtlinienobjekt-Manager angezeigt wird.

  48. Ansicht > Objekte > Intern - Standard-ACEs. Dies ist ein internes Objekt für Standardzugriffssteuerungseinträge, die von ACL-Objekten verwendet werden.

  49. Ansicht > Objekte > Intern - Erweiterte ACEs. Dies ist ein internes Objekt für erweiterte Zugriffssteuerungseinträge, die von ACL-Objekten verwendet werden.

Zusätzliche Ansichtsberechtigungen

Der Security Manager umfasst die folgenden zusätzlichen Anzeigeberechtigungen:

  1. Anzeigen > Admin. Ermöglicht Ihnen, die Verwaltungseinstellungen des Security Managers anzuzeigen.

  2. Ansicht > CLI. Ermöglicht Ihnen, die auf einem Gerät konfigurierten CLI-Befehle anzuzeigen und eine Vorschau der Befehle anzuzeigen, die bereitgestellt werden sollen.

  3. Ansicht > Konfigurationsarchiv. Hier können Sie die Liste der im Konfigurationsarchiv enthaltenen Konfigurationen anzeigen. Sie können weder die Gerätekonfiguration noch CLI-Befehle anzeigen.

  4. Ansicht > Geräte. Ermöglicht die Anzeige von Geräten in der Geräteansicht sowie aller zugehörigen Informationen, einschließlich Geräteeinstellungen, Eigenschaften, Zuweisungen usw.

  5. Ansicht > Gerätemanager. Ermöglicht Ihnen, schreibgeschützte Versionen der Gerätemanager für einzelne Geräte zu starten, z. B. Cisco Router und Security Device Manager (SDM) für Cisco IOS-Router.

  6. Ansicht > Topologie. Ermöglicht Ihnen, in der Kartenansicht konfigurierte Karten anzuzeigen.

Berechtigungen ändern

Ändern (Lese-/Schreibzugriff) von Berechtigungen im Security Manager werden wie dargestellt in die folgenden Kategorien unterteilt:

Ändern von Richtlinienberechtigungen

Hinweis: Wenn Sie Berechtigungen zum Ändern von Richtlinien angeben, stellen Sie sicher, dass Sie auch die entsprechenden Berechtigungen zum Zuweisen und Anzeigen von Richtlinien ausgewählt haben.

Der Sicherheits-Manager enthält die folgenden Änderungsberechtigungen für Richtlinien:

  1. Ändern Sie > Richtlinien > Firewall. Ermöglicht Ihnen die Änderung von Firewall-Service-Richtlinien (im Richtlinienauswahl unter "Firewall") auf PIX-/ASA-/FWSM-Geräten, IOS-Routern und Catalyst 6500-/7600-Geräten. Beispiele für Firewall-Service-Richtlinien sind Zugriffsregeln, AAA-Regeln und Überprüfungsregeln.

  2. Ändern Sie > Richtlinien > Intrusion Prevention-System. Ermöglicht Ihnen die Änderung von IPS-Richtlinien (im Richtlinienselektor unter IPS), einschließlich Richtlinien für IPS, das auf IOS-Routern ausgeführt wird. Mit dieser Berechtigung können Sie auch Signaturen im Signaturaktualisierungsassistenten (unter Extras > IPS-Update anwenden) anpassen.

  3. Ändern Sie > Richtlinien > Image. Ermöglicht Ihnen, Geräten im Assistenten "Apply IPS Updates" (unter Tools > Apply IPS Update) ein Signaturaktualisierungspaket zuzuweisen. Mit dieser Berechtigung können Sie auch automatische Update-Einstellungen für bestimmte Geräte zuweisen (unter Tools > Security Manager Administration > IPS Updates).

  4. Ändern Sie > Richtlinien > NAT. Ermöglicht Ihnen, die Richtlinien für die Übersetzung von Netzwerkadressen auf PIX-/ASA-/FWSM-Geräten und IOS-Routern zu ändern. Beispiele für NAT-Richtlinien sind statische und dynamische Regeln.

  5. Ändern Sie > Richtlinien > Site-to-Site-VPN. Ermöglicht die Änderung von Site-to-Site-VPN-Richtlinien für PIX-/ASA-/FWSM-Geräte, IOS-Router und Catalyst 6500-/7600-Geräte. Beispiele für Site-to-Site-VPN-Richtlinien sind IKE-Angebote, IPsec-Angebote und vorinstallierte Schlüssel.

  6. Ändern Sie > Richtlinien > Remotezugriff-VPN. Ermöglicht Ihnen die Änderung von VPN-Richtlinien für den Remote-Zugriff auf PIX-/ASA-/FWSM-Geräte, IOS-Router und Catalyst 6500-/7600-Geräte. Beispiele für VPN-Richtlinien für den Remotezugriff sind IKE-Vorschläge, IPsec-Vorschläge und PKI-Richtlinien.

  7. Ändern Sie > Richtlinien > SSL VPN. Ermöglicht Ihnen die Änderung von SSL VPN-Richtlinien auf PIX-/ASA-/FWSM-Geräten und IOS-Routern, z. B. mit dem SSL VPN-Assistenten.

  8. Ändern Sie > Richtlinien > Schnittstellen. Ermöglicht Ihnen die Änderung von Schnittstellenrichtlinien (im Richtlinienselektor unter Schnittstellen) für PIX-/ASA-/FWSM-Geräte, IOS-Router, IPS-Sensoren und Catalyst 6500-/7600-Geräte:

    1. Für PIX-/ASA-/FWSM-Geräte umfasst diese Berechtigung Hardwareports und Schnittstelleneinstellungen.

    2. Bei IOS-Routern umfasst diese Berechtigung grundlegende und erweiterte Schnittstelleneinstellungen sowie andere schnittstellenbezogene Richtlinien, z. B. DSL-, PVC-, PPP- und Dialer-Richtlinien.

    3. Bei IPS-Sensoren deckt diese Berechtigung physische Schnittstellen und Übersichtskarten ab.

    4. Für Catalyst 6500-/7600-Geräte bezieht sich diese Berechtigung auf Schnittstellen und VLAN-Einstellungen.

  9. Ändern Sie > Richtlinien > Bridging. Ermöglicht Ihnen, die Richtlinien der ARP-Tabelle (im Richtlinienselektor unter Plattform > Bridging zu finden) auf PIX-/ASA-/FWSM-Geräten zu ändern.

  10. Ändern Sie > Richtlinien > Geräteverwaltung. Ermöglicht Ihnen, die Richtlinien für die Geräteadministration (zu finden im Richtlinienselektor unter Plattform > Geräteadministration) auf PIX-/ASA-/FWSM-Geräten, IOS-Routern und Catalyst 6500-/7600-Geräten zu ändern:

    1. Beispiele für PIX-/ASA-/FWSM-Geräte sind Zugriffsrichtlinien für Geräte, Zugriffsrichtlinien für Server und Failover-Richtlinien.

    2. Auf IOS-Routern umfassen Beispiele Richtlinien für den Gerätezugriff (einschließlich Leitungszugriff), Richtlinien für den Serverzugriff, AAA und die sichere Gerätebereitstellung.

    3. Bei IPS-Sensoren umfasst diese Berechtigung Richtlinien für den Gerätezugriff und den Serverzugriff.

    4. Für Catalyst 6500-/7600-Geräte gilt diese Berechtigung für IDSM-Einstellungen und die VLAN-Zugriffsliste.

  11. Ändern Sie > Richtlinien > Identität. Ermöglicht Ihnen das Ändern von Identitätsrichtlinien (im Richtlinienauswahl unter Plattform > Identität) für Cisco IOS-Router, einschließlich Richtlinien für 802.1x und Network Admission Control (NAC).

  12. Ändern Sie > Richtlinien > Protokollierung. Ermöglicht Ihnen das Ändern von Protokollierungsrichtlinien (im Richtlinienauswahl unter Plattform > Protokollierung) für PIX-/ASA-/FWSM-Geräte, IOS-Router und IPS-Sensoren. Beispiele für Protokollierungsrichtlinien sind Protokollierungseinstellungen, Servereinrichtung und Syslog-Serverrichtlinien.

  13. Ändern Sie > Richtlinien > Multicast. Ermöglicht Ihnen das Ändern von Multicast-Richtlinien (im Richtlinienauswahl unter Plattform > Multicast) auf PIX-/ASA-/FWSM-Geräten. Beispiele für Multicast-Richtlinien sind Multicast-Routing und IGMP-Richtlinien.

  14. Ändern Sie > Richtlinien > QoS. Ermöglicht Ihnen die Änderung von QoS-Richtlinien (im Richtlinienauswahl unter Plattform > Quality of Service) für Cisco IOS-Router.

  15. Ändern Sie > Richtlinien > Routing. Ermöglicht Ihnen das Ändern von Routing-Richtlinien (im Richtlinienauswahl unter Plattform > Routing) für PIX-/ASA-/FWSM-Geräte und IOS-Router. Beispiele für Routingrichtlinien sind OSPF, RIP und statische Routingrichtlinien.

  16. Ändern Sie > Richtlinien > Sicherheit. Ermöglicht Ihnen das Ändern von Sicherheitsrichtlinien (im Richtlinienauswahl unter Plattform > Sicherheit) für PIX-/ASA-/FWSM-Geräte und IPS-Sensoren:

    1. Auf PIX-/ASA-/FWSM-Geräten umfassen die Sicherheitsrichtlinien Anti-Spoofing-, Fragment- und Timeout-Einstellungen.

    2. Auf IPS-Sensoren umfassen die Sicherheitsrichtlinien Blockierungseinstellungen.

  17. Ändern Sie > Richtlinien > Servicerichtlinien-Regeln. Ermöglicht Ihnen, Richtlinien für Servicerichtlinien (zu finden im Richtlinienselektor unter Plattform > Servicerichtlinien-Regeln) auf PIX 7.x/ASA-Geräten zu ändern. Beispiele sind Prioritätswarteschlangen und IPS, QoS und Verbindungsregeln.

  18. Ändern Sie > Richtlinien > Benutzereinstellungen. Ermöglicht Ihnen, die Bereitstellungsrichtlinie (im Richtlinienauswahl unter Plattform > Benutzereinstellungen) für PIX-/ASA-/FWSM-Geräte zu ändern. Diese Richtlinie enthält eine Option zum Löschen aller NAT-Übersetzungen bei der Bereitstellung.

  19. Ändern Sie > Richtlinien > Virtuelles Gerät. Ermöglicht Ihnen, virtuelle Sensorrichtlinien auf IPS-Geräten zu ändern. Verwenden Sie diese Richtlinie, um virtuelle Sensoren zu erstellen.

  20. Ändern Sie > Richtlinien > FlexConfig. Ermöglicht Ihnen die Änderung von FlexConfigs. Dies sind zusätzliche CLI-Befehle und -Anweisungen, die auf PIX-/ASA-/FWSM-Geräten, IOS-Routern und Catalyst 6500-/7600-Geräten bereitgestellt werden können.

Objektberechtigungen ändern

Der Sicherheits-Manager enthält die folgenden Ansichtsberechtigungen für Objekte:

  1. Ändern Sie > Objekte > AAA-Servergruppen. Ermöglicht die Anzeige von AAA-Servergruppenobjekten. Diese Objekte werden in Richtlinien verwendet, die AAA-Services erfordern (Authentifizierung, Autorisierung und Abrechnung).

  2. Ändern Sie > Objekte > AAA-Server. Ermöglicht die Anzeige von AAA-Serverobjekten. Diese Objekte stellen einzelne AAA-Server dar, die als Teil einer AAA-Servergruppe definiert sind.

  3. Ändern Sie > Objekte > Zugriffskontrolllisten - Standard/Erweitert. Ermöglicht die Anzeige von Standard- und erweiterten ACL-Objekten. Erweiterte ACL-Objekte werden für eine Vielzahl von Richtlinien, z. B. NAT und NAC, sowie für die Einrichtung eines VPN-Zugriffs verwendet. Standard-ACL-Objekte werden für Richtlinien wie OSPF und SNMP sowie für die Einrichtung des VPN-Zugriffs verwendet.

  4. Ändern Sie > Objekte > Zugriffskontrolllisten - Web. Ermöglicht die Anzeige von Web-ACL-Objekten. Web-ACL-Objekte werden für die Inhaltsfilterung in SSL VPN-Richtlinien verwendet.

  5. Ändern Sie > Objekte > ASA-Benutzergruppen. Ermöglicht die Anzeige von ASA-Benutzergruppenobjekten. Diese Objekte werden auf ASA Security Appliances in Easy VPN-, Remote Access VPN- und SSL VPN-Konfigurationen konfiguriert.

  6. Ändern Sie > Objekte > Kategorien. Ermöglicht das Anzeigen von Kategorienobjekten. Mit diesen Objekten können Sie Regeln und Objekte in Regeltabellen mithilfe von Farben leicht identifizieren.

  7. Ändern Sie > Objekte > Anmeldedaten. Ermöglicht das Anzeigen von Anmeldeinformationsobjekten. Diese Objekte werden in der Easy VPN-Konfiguration während der erweiterten IKE-Authentifizierung (Xauth) verwendet.

  8. Ändern Sie > Objekte > FlexConfigs. Ermöglicht die Anzeige von FlexConfig-Objekten. Diese Objekte, die Konfigurationsbefehle mit zusätzlichen Anweisungen in der Skriptsprache enthalten, können zum Konfigurieren von Befehlen verwendet werden, die von der Sicherheitsmanager-Benutzeroberfläche nicht unterstützt werden.

  9. Ändern Sie > Objekte > IKE-Angebote. Ermöglicht das Anzeigen von IKE-Angebotsobjekten. Diese Objekte enthalten die Parameter, die für IKE-Angebote in VPN-Richtlinien für den Remotezugriff erforderlich sind.

  10. Ändern > Objekte > Inspizieren - Klassenzuordnungen - DNS. Ermöglicht das Anzeigen von Objekten für die DNS-Klassenzuordnung. Diese Objekte ordnen dem DNS-Datenverkehr bestimmte Kriterien zu, sodass für diesen Datenverkehr Aktionen ausgeführt werden können.

  11. Ändern Sie > Objekte > Inspizieren - Klassenzuordnungen - FTP. Ermöglicht das Anzeigen von Objekten für die FTP-Klassenzuordnung. Diese Objekte ordnen dem FTP-Datenverkehr bestimmte Kriterien zu, sodass Aktionen für diesen Datenverkehr ausgeführt werden können.

  12. Ändern > Objekte > Inspizieren - Klassenzuordnungen - HTTP. Ermöglicht das Anzeigen von Objekten für die HTTP-Klassenzuordnung. Diese Objekte ordnen dem HTTP-Datenverkehr bestimmte Kriterien zu, sodass für diesen Datenverkehr Aktionen ausgeführt werden können.

  13. Ändern > Objekte > Inspizieren - Klassenzuordnungen - IM. Ermöglicht das Anzeigen von IM-Klassenzuordnungsobjekten. Diese Objekte ordnen IM-Datenverkehr bestimmten Kriterien zu, sodass Aktionen für diesen Datenverkehr ausgeführt werden können.

  14. Ändern > Objekte > Inspizieren - Klassenzuordnungen - SIP. Ermöglicht die Anzeige von Objekten für die SIP-Klassenzuordnung. Diese Objekte ordnen dem SIP-Datenverkehr bestimmte Kriterien zu, sodass für diesen Datenverkehr Aktionen ausgeführt werden können.

  15. Ändern > Objekte > Inspizieren - Richtlinienzuordnungen - DNS. Ermöglicht das Anzeigen von Objekten für die DNS-Richtlinienzuordnung. Diese Objekte werden verwendet, um Prüfzuordnungen für den DNS-Datenverkehr zu erstellen.

  16. Ändern Sie > Objekte > Inspizieren - Richtlinienzuordnungen - FTP. Ermöglicht das Anzeigen von Objekten für die FTP-Richtlinienzuordnung. Diese Objekte werden verwendet, um Prüfzuordnungen für den FTP-Datenverkehr zu erstellen.

  17. Ändern > Objekte > Inspizieren - Richtlinienzuordnungen - HTTP (ASA7.1.x/PIX7.1.x/IOS). Ermöglicht die Anzeige von HTTP-Richtlinienzuordnungsobjekten, die für ASA/PIX 7.x-Geräte und IOS-Router erstellt wurden. Diese Objekte werden verwendet, um Prüfzuordnungen für den HTTP-Datenverkehr zu erstellen.

  18. Modify > Objects > Inspect - Policy Maps - HTTP (ASA7.2/PIX7.2). Ermöglicht die Anzeige von HTTP-Richtlinienzuordnungsobjekten, die für ASA 7.2-/PIX 7.2-Geräte erstellt wurden. Diese Objekte werden verwendet, um Prüfzuordnungen für den HTTP-Datenverkehr zu erstellen.

  19. Ändern > Objekte > Inspizieren - Richtlinienzuordnungen - IM (ASA7.2/PIX7.2). Ermöglicht die Anzeige von Objekten für die IM-Richtlinienzuordnung, die für ASA 7.2/PIX 7.2-Geräte erstellt wurden. Diese Objekte werden verwendet, um Prüfkarten für den IM-Datenverkehr zu erstellen.

  20. Ändern Sie > Objekte > Inspizieren - Richtlinienzuordnungen - IM (IOS). Ermöglicht Ihnen die Anzeige von für IOS-Geräte erstellten IM-Richtlinienzuordnungsobjekten. Diese Objekte werden verwendet, um Prüfkarten für den IM-Datenverkehr zu erstellen.

  21. Ändern > Objekte > Inspizieren - Richtlinienzuordnungen - SIP. Ermöglicht die Anzeige von Objekten in der SIP-Richtlinienzuordnung. Diese Objekte werden verwendet, um Prüfzuordnungen für den SIP-Datenverkehr zu erstellen.

  22. Ändern > Objekte > Inspizieren - Reguläre Ausdrücke. Ermöglicht das Anzeigen von Objekten für reguläre Ausdrücke. Diese Objekte stellen einzelne reguläre Ausdrücke dar, die als Teil einer Gruppe regulärer Ausdrücke definiert sind.

  23. Ändern > Objekte > Inspizieren - Gruppen für reguläre Ausdrücke. Ermöglicht das Anzeigen von Gruppenobjekten für reguläre Ausdrücke. Diese Objekte werden von bestimmten Klassenzuordnungen verwendet und überprüfen die Zuordnungen, um Text innerhalb eines Pakets zu erkennen.

  24. Ändern > Objekte > Inspizieren - TCP-Zuordnungen. Ermöglicht die Anzeige von TCP-Zuordnungsobjekten. Diese Objekte passen die Überprüfung des TCP-Flusses in beide Richtungen an.

  25. Ändern Sie > Objekte > Schnittstellenrollen. Ermöglicht das Anzeigen von Objekten für Schnittstellenrollen. Diese Objekte definieren Benennungsmuster, die mehrere Schnittstellen auf verschiedenen Gerätetypen darstellen können. Mit Schnittstellenrollen können Sie Richtlinien auf bestimmte Schnittstellen auf mehreren Geräten anwenden, ohne den Namen jeder Schnittstelle manuell definieren zu müssen.

  26. Ändern > Objekte > IPsec-Transformationssätze. Ermöglicht das Anzeigen von IPsec-Transformationssatzobjekten. Diese Objekte umfassen eine Kombination aus Sicherheitsprotokollen, Algorithmen und anderen Einstellungen, die genau angeben, wie die Daten im IPsec-Tunnel verschlüsselt und authentifiziert werden.

  27. Ändern Sie > Objekte > LDAP-Attributzuordnungen. Ermöglicht die Anzeige von LDAP-Attributzuordnungsobjekten. Diese Objekte werden verwendet, um benutzerdefinierte (benutzerdefinierte) Attributnamen Cisco LDAP-Attributnamen zuzuordnen.

  28. Ändern Sie > Objekte > Netzwerke/Hosts. Ermöglicht die Anzeige von Netzwerk-/Hostobjekten. Bei diesen Objekten handelt es sich um logische Sammlungen von IP-Adressen, die Netzwerke, Hosts oder beides darstellen. Mit Netzwerk-/Hostobjekten können Richtlinien definiert werden, ohne jedes Netzwerk oder jeden Host einzeln anzugeben.

  29. Ändern Sie > Objekte > PKI-Registrierungen. Ermöglicht das Anzeigen von PKI-Registrierungsobjekten. Diese Objekte definieren die CA-Server (Certification Authority), die innerhalb einer Public-Key-Infrastruktur betrieben werden.

  30. Ändern Sie > Objekte > Port Forwarding Lists (Portweiterleitungslisten). Ermöglicht das Anzeigen von Listenobjekten für die Port-Weiterleitung. Diese Objekte definieren die Zuordnung von Portnummern auf einem Remote-Client zur IP-Adresse der Anwendung und zum Port hinter einem SSL VPN-Gateway.

  31. Ändern Sie > Objekte > Sichere Desktop-Konfigurationen. Ermöglicht die Anzeige sicherer Desktop-Konfigurationsobjekte. Diese Objekte sind wiederverwendbare, benannte Komponenten, auf die durch SSL VPN-Richtlinien verwiesen werden kann, um eine zuverlässige Methode zum Eliminieren aller Spuren sensibler Daten bereitzustellen, die während der Dauer einer SSL VPN-Sitzung gemeinsam genutzt werden.

  32. Ändern Sie > Objekte > Dienste - Portlisten. Ermöglicht das Anzeigen von Portlistenobjekten. Diese Objekte, die einen oder mehrere Bereiche von Portnummern enthalten, werden verwendet, um den Prozess der Erstellung von Serviceobjekten zu optimieren.

  33. Ändern Sie > Objekte > Dienste/Servicegruppen. Ermöglicht das Anzeigen von Service- und Servicegruppenobjekten. Diese Objekte sind definierte Zuordnungen von Protokoll- und Portdefinitionen, die Netzwerkdienste beschreiben, die von Richtlinien wie Kerberos, SSH und POP3 verwendet werden.

  34. Ändern Sie > Objekte > Single Sign On Server. Ermöglicht die Anzeige von Serverobjekten mit einmaliger Anmeldung. Mit Single Sign-On (SSO) können SSL VPN-Benutzer einen Benutzernamen und ein Kennwort eingeben, um auf mehrere geschützte Dienste und Webserver zugreifen zu können.

  35. Ändern Sie > Objekte > SLA-Monitore. Ermöglicht die Anzeige von SLA-Überwachungsobjekten. Diese Objekte werden von PIX/ASA Security Appliances mit Version 7.2 oder höher zur Routenverfolgung verwendet. Diese Funktion bietet eine Methode, um die Verfügbarkeit einer primären Route zu verfolgen und eine Backup-Route zu installieren, wenn die primäre Route ausfällt.

  36. Ändern Sie > Objekte > SSL VPN-Anpassungen. Ermöglicht die Anzeige von SSL VPN-Anpassungsobjekten. Diese Objekte legen fest, wie die Darstellung von SSL VPN-Seiten geändert werden soll, die Benutzern angezeigt werden, z. B. Anmelde-/Abmelde- und Startseiten.

  37. Ändern Sie > Objekte > SSL VPN-Gateways. Ermöglicht die Anzeige von SSL VPN-Gatewayobjekten. Diese Objekte definieren Parameter, mit denen das Gateway als Proxy für Verbindungen zu den geschützten Ressourcen in Ihrem SSL VPN verwendet werden kann.

  38. Ändern Sie > Objekte > Formatobjekte. Ermöglicht das Anzeigen von Formatobjekten. Mit diesen Objekten können Sie Stilelemente konfigurieren, z. B. Schriftarteigenschaften und Farben, um die Darstellung der SSL VPN-Seite anzupassen, die SSL VPN-Benutzern angezeigt wird, wenn sie eine Verbindung mit der Sicherheitsappliance herstellen.

  39. Ändern Sie > Objekte > Textobjekte. Ermöglicht das Anzeigen von Freiform-Textobjekten. Diese Objekte umfassen ein Name-Wert-Paar, wobei der Wert eine einzelne Zeichenfolge, eine Liste von Zeichenfolgen oder eine Tabelle von Zeichenfolgen sein kann.

  40. Ändern Sie > Objekte > Zeitbereiche. Ermöglicht das Anzeigen von Zeitbereichsobjekten. Diese Objekte werden beim Erstellen zeitbasierter ACLs und Prüfungsregeln verwendet. Sie werden auch bei der Definition von ASA-Benutzergruppen verwendet, um den VPN-Zugriff auf bestimmte Zeiten unter der Woche zu beschränken.

  41. Ändern Sie > Objekte > Datenverkehrsflüsse. Ermöglicht die Anzeige von Datenverkehrsobjekten. Diese Objekte definieren bestimmte Datenverkehrsflüsse, die von PIX 7.x-/ASA 7.x-Geräten verwendet werden.

  42. Ändern Sie > Objekte > URL-Listen. Ermöglicht das Anzeigen von URL-Listenobjekten. Diese Objekte definieren die URLs, die nach einer erfolgreichen Anmeldung auf der Portalseite angezeigt werden. Dadurch können Benutzer im Clientless-Zugriffsmodus auf die auf SSL VPN-Websites verfügbaren Ressourcen zugreifen.

  43. Ändern Sie > Objekte > Benutzergruppen. Ermöglicht das Anzeigen von Benutzergruppenobjekten. Diese Objekte definieren Gruppen von Remote-Clients, die in Easy VPN-Topologien, Remote-Access-VPNs und SSL VPN verwendet werden

  44. Ändern Sie > Objekte > WINS-Serverlisten. Ermöglicht das Anzeigen von WINS-Serverlistenobjekten. Diese Objekte stellen WINS-Server dar, die von SSL VPN für den Zugriff auf oder die Freigabe von Dateien auf Remotesystemen verwendet werden.

  45. Ändern Sie > Objekte > Intern - DN-Regeln. Ermöglicht die Anzeige der von DN-Richtlinien verwendeten DN-Regeln. Dieses interne Objekt wird vom Sicherheits-Manager verwendet und nicht im Richtlinienobjekt-Manager angezeigt.

  46. Ändern Sie > Objekte > Intern - Client-Updates. Dies ist ein internes Objekt, das von Benutzergruppenobjekten benötigt wird und nicht im Richtlinienobjekt-Manager angezeigt wird.

  47. Ändern Sie > Objekte > Intern - Standard-ACE. Dies ist ein internes Objekt für Standardzugriffssteuerungseinträge, die von ACL-Objekten verwendet werden.

  48. Ändern Sie > Objekte > Intern - Erweiterter ACE. Dies ist ein internes Objekt für erweiterte Zugriffssteuerungseinträge, die von ACL-Objekten verwendet werden.

Zusätzliche Berechtigungen ändern

Der Sicherheits-Manager umfasst die folgenden zusätzlichen Änderungsberechtigungen:

  1. Ändern Sie > Admin. Ermöglicht Ihnen, die Verwaltungseinstellungen des Security Managers zu ändern.

  2. Ändern Sie > Config Archive (Konfigurationsarchiv). Ermöglicht Ihnen, die Gerätekonfiguration im Konfigurationsarchiv zu ändern. Darüber hinaus können Sie dem Archiv Konfigurationen hinzufügen und das Konfigurationsarchiv-Tool anpassen.

  3. Ändern Sie > Geräte. Ermöglicht das Hinzufügen und Löschen von Geräten sowie das Ändern von Geräteeigenschaften und -attributen. Um die Richtlinien auf dem hinzugefügten Gerät zu ermitteln, müssen Sie auch die Importberechtigung aktivieren. Wenn Sie außerdem die Berechtigung Ändern > Geräte aktivieren, stellen Sie sicher, dass Sie auch die Berechtigung Zuweisen > Richtlinien > Schnittstellen aktivieren.

  4. Ändern Sie > Hierarchie. Ermöglicht das Ändern von Gerätegruppen.

  5. Ändern Sie > Topologie. Ermöglicht Ihnen, Karten in der Kartenansicht zu ändern.

Berechtigungen zuweisen

Der Sicherheits-Manager umfasst die Richtlinienzuweisungsberechtigungen wie folgt:

  1. Zuweisen > Richtlinien > Firewall. Ermöglicht Ihnen, Firewall-Service-Richtlinien (im Richtlinienauswahl unter "Firewall") für PIX-/ASA-/FWSM-Geräte, IOS-Router und Catalyst 6500-/7600-Geräte zuzuweisen. Beispiele für Firewall-Service-Richtlinien sind Zugriffsregeln, AAA-Regeln und Überprüfungsregeln.

  2. Zuweisen > Richtlinien > Intrusion Prevention-System. Ermöglicht die Zuweisung von IPS-Richtlinien (im Richtlinienselektor unter IPS), einschließlich Richtlinien für IPS, das auf IOS-Routern ausgeführt wird.

  3. Zuweisen > Richtlinien > Bild. Diese Berechtigung wird derzeit nicht von Security Manager verwendet.

  4. Zuweisen > Richtlinien > NAT. Ermöglicht Ihnen die Zuweisung von Richtlinien für die Netzwerkadressenumwandlung zu PIX-/ASA-/FWSM-Geräten und IOS-Routern. Beispiele für NAT-Richtlinien sind statische und dynamische Regeln.

  5. Zuweisen > Richtlinien > Site-to-Site-VPN. Ermöglicht die Zuweisung von Site-to-Site-VPN-Richtlinien für PIX-/ASA-/FWSM-Geräte, IOS-Router und Catalyst 6500-/7600-Geräte. Beispiele für Site-to-Site-VPN-Richtlinien sind IKE-Angebote, IPsec-Angebote und vorinstallierte Schlüssel.

  6. Zuweisen > Richtlinien > Remotezugriff-VPN. Ermöglicht die Zuweisung von VPN-Richtlinien für den Remote-Zugriff zu PIX-/ASA-/FWSM-Geräten, IOS-Routern und Catalyst 6500-/7600-Geräten. Beispiele für VPN-Richtlinien für den Remotezugriff sind IKE-Vorschläge, IPsec-Vorschläge und PKI-Richtlinien.

  7. Zuweisen > Richtlinien > SSL VPN. Ermöglicht Ihnen die Zuweisung von SSL VPN-Richtlinien zu PIX-/ASA-/FWSM-Geräten und IOS-Routern, z. B. dem SSL VPN-Assistenten.

  8. Zuweisen > Richtlinien > Schnittstellen. Ermöglicht Ihnen die Zuweisung von Schnittstellenrichtlinien (im Richtlinienauswahl unter Schnittstellen) für PIX-/ASA-/FWSM-Geräte, IOS-Router und Catalyst 6500-/7600-Geräte:

    1. Für PIX-/ASA-/FWSM-Geräte umfasst diese Berechtigung Hardwareports und Schnittstelleneinstellungen.

    2. Bei IOS-Routern umfasst diese Berechtigung grundlegende und erweiterte Schnittstelleneinstellungen sowie andere schnittstellenbezogene Richtlinien, z. B. DSL-, PVC-, PPP- und Dialer-Richtlinien.

    3. Für Catalyst 6500-/7600-Geräte bezieht sich diese Berechtigung auf Schnittstellen und VLAN-Einstellungen.

  9. Zuweisen > Richtlinien > Bridging. Ermöglicht Ihnen, PIX-/ASA-/FWSM-Geräten ARP-Tabellenrichtlinien zuzuweisen (diese befinden sich im Richtlinienauswahl unter Plattform > Bridging).

  10. Zuweisen > Richtlinien > Geräteverwaltung. Ermöglicht Ihnen, PIX-/ASA-/FWSM-Geräten, IOS-Routern und Catalyst 6500-/7600-Geräten Gerätemanagement-Richtlinien zuzuweisen (siehe Richtlinienauswahl unter Plattform > Gerätemanagement):

    1. Beispiele für PIX-/ASA-/FWSM-Geräte sind Zugriffsrichtlinien für Geräte, Zugriffsrichtlinien für Server und Failover-Richtlinien.

    2. Auf IOS-Routern umfassen Beispiele Richtlinien für den Gerätezugriff (einschließlich Leitungszugriff), Richtlinien für den Serverzugriff, AAA und die sichere Gerätebereitstellung.

    3. Bei IPS-Sensoren umfasst diese Berechtigung Richtlinien für den Gerätezugriff und den Serverzugriff.

    4. Auf Catalyst 6500-/7600-Geräten deckt diese Berechtigung IDSM-Einstellungen und VLAN-Zugriffslisten ab.

  11. Zuweisen > Richtlinien > Identität. Ermöglicht Ihnen, Cisco IOS-Routern Identitätsrichtlinien zuzuweisen (im Richtlinienselektor unter Plattform > Identität zu finden), einschließlich Richtlinien für 802.1x und Network Admission Control (NAC).

  12. Zuweisen > Richtlinien > Protokollierung. Ermöglicht Ihnen, Protokollierungsrichtlinien (im Richtlinienauswahl unter Plattform > Protokollierung) für PIX-/ASA-/FWSM-Geräte und IOS-Router zuzuweisen. Beispiele für Protokollierungsrichtlinien sind Protokollierungseinstellungen, Servereinrichtung und Syslog-Serverrichtlinien.

  13. Zuweisen > Richtlinien > Multicast. Ermöglicht Ihnen die Zuweisung von Multicast-Richtlinien (im Richtlinienauswahl unter Plattform > Multicast) zu PIX-/ASA-/FWSM-Geräten. Beispiele für Multicast-Richtlinien sind Multicast-Routing und IGMP-Richtlinien.

  14. Zuweisen > Richtlinien > QoS. Ermöglicht Ihnen, Cisco IOS-Routern QoS-Richtlinien zuzuweisen (im Richtlinienauswahl unter Plattform > Quality of Service).

  15. Zuweisen > Richtlinien > Routing. Ermöglicht Ihnen, PIX-/ASA-/FWSM-Geräten und IOS-Routern Routing-Richtlinien zuzuweisen (im Richtlinienselektor unter "Plattform" > "Routing"). Beispiele für Routingrichtlinien sind OSPF, RIP und statische Routingrichtlinien.

  16. Zuweisen > Richtlinien > Sicherheit. Ermöglicht Ihnen die Zuweisung von Sicherheitsrichtlinien (im Richtlinienauswahl unter Plattform > Sicherheit) für PIX-/ASA-/FWSM-Geräte. Sicherheitsrichtlinien umfassen Einstellungen für Spoofing, Fragment und Timeout.

  17. Zuweisen > Richtlinien > Servicerichtlinien-Regeln. Ermöglicht Ihnen, Richtlinien für Servicerichtlinien (zu finden im Richtlinienselektor unter Plattform > Servicerichtlinien-Regeln) PIX 7.x/ASA-Geräten zuzuweisen. Beispiele sind Prioritätswarteschlangen und IPS, QoS und Verbindungsregeln.

  18. Zuweisen > Richtlinien > Benutzereinstellungen. Ermöglicht Ihnen, die Bereitstellungsrichtlinie (im Richtlinienauswahl unter Plattform > Benutzereinstellungen) PIX-/ASA-/FWSM-Geräten zuzuweisen. Diese Richtlinie enthält eine Option zum Löschen aller NAT-Übersetzungen bei der Bereitstellung.

  19. Zuweisen > Richtlinien > Virtuelles Gerät. Ermöglicht die Zuweisung virtueller Sensorrichtlinien zu IPS-Geräten. Verwenden Sie diese Richtlinie, um virtuelle Sensoren zu erstellen.

  20. Zuweisen > Richtlinien > FlexConfig. Ermöglicht Ihnen die Zuweisung von FlexConfigs. Hierbei handelt es sich um zusätzliche CLI-Befehle und -Anweisungen, die auf PIX-/ASA-/FWSM-Geräten, IOS-Routern und Catalyst 6500-/7600-Geräten bereitgestellt werden können.

Hinweis: Wenn Sie Berechtigungen zuweisen, stellen Sie sicher, dass Sie auch die entsprechenden Ansichtsberechtigungen ausgewählt haben.

Berechtigungen genehmigen

Der Security Manager stellt die folgenden Berechtigungen zur Verfügung:

  1. Genehmigen > CLI. Ermöglicht Ihnen die Genehmigung der in einem Bereitstellungsauftrag enthaltenen CLI-Befehlsänderungen.

  2. Genehmigen > Richtlinie. Ermöglicht Ihnen die Genehmigung der Konfigurationsänderungen in den Richtlinien, die in einer Workflow-Aktivität konfiguriert wurden.

CiscoWorks-Rollen im Überblick

Wenn Benutzer in CiscoWorks Common Services erstellt werden, wird ihnen eine oder mehrere Rollen zugewiesen. Die Berechtigungen für die einzelnen Rollen bestimmen, welche Vorgänge die einzelnen Benutzer im Sicherheitsmanager ausführen dürfen.

In den folgenden Themen werden die CiscoWorks-Rollen beschrieben:

CiscoWorks Common Services-Standardrollen

CiscoWorks Common Services enthält die folgenden Standardrollen:

  1. Helpdesk: Helpdesk-Benutzer können Geräte, Richtlinien, Objekte und Topologieübersichten anzeigen (aber nicht ändern).

  2. Network Operator: Zusätzlich zu den Berechtigungen können Netzwerkbetreiber CLI-Befehle und administrative Einstellungen des Security Managers anzeigen. Netzwerkbetreiber können auch das Konfigurationsarchiv ändern und Befehle (z. B. Ping) an Geräte senden.

  3. Genehmiger - Neben der Anzeige von Berechtigungen können Genehmiger Bereitstellungsaufträge genehmigen oder ablehnen. Sie können die Bereitstellung nicht durchführen.

  4. Netzwerkadministrator: Netzwerkadministratoren verfügen über umfassende Berechtigungen zum Anzeigen und Ändern, mit Ausnahme der Änderung von Administrationseinstellungen. Sie erkennen Geräte und die auf diesen Geräten konfigurierten Richtlinien, weisen Geräten Richtlinien zu und geben Befehle an Geräte aus. Netzwerkadministratoren können keine Aktivitäten oder Bereitstellungsaufträge genehmigen. jedoch Jobs bereitstellen können, die von anderen genehmigt wurden.

  5. Systemadministrator: Systemadministratoren haben vollständigen Zugriff auf alle Berechtigungen von Security Manager, einschließlich Änderungen, Richtlinienzuweisung, Aktivitäts- und Auftragsgenehmigung, Erkennung, Bereitstellung und Ausgabe von Befehlen an Geräte.

Hinweis: Zusätzliche Rollen, z. B. Exportdaten, können in Common Services angezeigt werden, wenn zusätzliche Anwendungen auf dem Server installiert sind. Die Exportdatenrolle ist für Drittanbieterentwickler bestimmt und wird nicht von Security Manager verwendet.

Tipp:  Obwohl Sie die Definition der CiscoWorks-Rollen nicht ändern können, können Sie definieren, welche Rollen den einzelnen Benutzern zugewiesen werden. Weitere Informationen finden Sie unter Zuweisen von Rollen zu Benutzern in CiscoWorks Common Services.

Zuweisen von Rollen zu Benutzern in CiscoWorks Common Services

Mit CiscoWorks Common Services können Sie definieren, welche Rollen den einzelnen Benutzern zugewiesen werden. Durch Ändern der Rollendefinition für einen Benutzer ändern Sie die Arten von Vorgängen, die dieser Benutzer im Sicherheitsmanager ausführen darf. Wenn Sie beispielsweise die Helpdesk-Rolle zuweisen, ist der Benutzer auf das Anzeigen von Vorgängen beschränkt und kann keine Daten ändern. Wenn Sie jedoch die Rolle "Network Operator" zuweisen, kann der Benutzer auch das Konfigurationsarchiv ändern. Sie können jedem Benutzer mehrere Rollen zuweisen.

Hinweis: Sie müssen Security Manager neu starten, nachdem Sie Änderungen an den Benutzerberechtigungen vorgenommen haben.

Vorgehensweise:

  1. Wählen Sie in Common Services Server > Security und dann Single-Server Trust Management > Local User Setup aus dem Inhaltsverzeichnis aus.

    Tipp: Um die Seite "Lokale Benutzereinrichtung" im Security Manager aufzurufen, wählen Sie Extras > Verwaltung des Security Managers > Serversicherheit, und klicken Sie dann auf Lokale Benutzereinrichtung.

  2. Aktivieren Sie das Kontrollkästchen neben einem vorhandenen Benutzer, und klicken Sie dann auf Bearbeiten.

  3. Wählen Sie auf der Seite Benutzerinformationen die Rollen aus, die Sie diesem Benutzer zuweisen möchten, indem Sie auf die Kontrollkästchen klicken.

    Weitere Informationen zu den einzelnen Rollen finden Sie unter CiscoWorks Common Services Default Roles.

  4. Klicken Sie auf OK, um die Änderungen zu speichern.

  5. Starten Sie Security Manager neu.

Cisco Secure ACS-Rollen im Überblick

Cisco Secure ACS bietet mehr Flexibilität bei der Verwaltung von Security Manager-Berechtigungen als CiscoWorks, da es konfigurierbare anwendungsspezifische Rollen unterstützt. Jede Rolle besteht aus einem Berechtigungssatz, der die Autorisierungsstufe für Security Manager-Aufgaben festlegt. In Cisco Secure ACS weisen Sie jeder Benutzergruppe (und optional auch einzelnen Benutzern) eine Rolle zu, sodass jeder Benutzer in dieser Gruppe die Vorgänge ausführen kann, die durch die für diese Rolle definierten Berechtigungen autorisiert sind.

Darüber hinaus können Sie diese Rollen Cisco Secure ACS-Gerätegruppen zuweisen, sodass Berechtigungen für verschiedene Gerätegruppen unterschieden werden können.

Hinweis: Cisco Secure ACS-Gerätegruppen sind unabhängig von Security Manager-Gerätegruppen.

In den folgenden Themen werden die Cisco Secure ACS-Rollen beschrieben:

Cisco Secure ACS - Standardrollen

Cisco Secure ACS umfasst dieselben Rollen wie CiscoWorks (siehe Erläuterungen zu CiscoWorks-Rollen) sowie folgende zusätzliche Rollen:

  1. Sicherheitsgenehmiger - Sicherheitsgenehmiger können Geräte, Richtlinien, Objekte, Zuordnungen, CLI-Befehle und Verwaltungseinstellungen anzeigen (aber nicht ändern). Darüber hinaus können Sicherheitsgenehmiger die in einer Aktivität enthaltenen Konfigurationsänderungen genehmigen oder ablehnen. Sie können den Bereitstellungsauftrag weder genehmigen noch ablehnen und auch keine Bereitstellung durchführen.

  2. Sicherheitsadministrator: Sicherheitsadministratoren haben nicht nur Ansichtsberechtigungen, sondern können auch Geräte, Gerätegruppen, Richtlinien, Objekte und Topologieübersichten ändern. Sie können außerdem Richtlinien zu Geräten und VPN-Topologien zuweisen und eine Erkennung durchführen, um neue Geräte in das System zu importieren.

  3. Netzwerkadministrator: Neben den Anzeigeberechtigungen können Netzwerkadministratoren das Konfigurationsarchiv ändern, die Bereitstellung durchführen und Befehle an Geräte ausgeben.

Hinweis: Die in der Cisco Secure ACS-Netzwerkadministratorrolle enthaltenen Berechtigungen unterscheiden sich von denen in der CiscoWorks-Netzwerkadministratorrolle. Weitere Informationen finden Sie unter Grundlegendes zu CiscoWorks-Rollen.

Im Gegensatz zu CiscoWorks können Sie mit Cisco Secure ACS die Berechtigungen für die einzelnen Security Manager-Rollen anpassen. Weitere Informationen zum Ändern der Standardrollen finden Sie unter Anpassen von Cisco Secure ACS-Rollen.

Hinweis: Cisco Secure ACS 3.3 oder höher muss für die Security Manager-Autorisierung installiert sein.

Anpassen der Cisco Secure ACS-Rollen

Mit Cisco Secure ACS können Sie die Berechtigungen ändern, die den einzelnen Security Manager-Rollen zugeordnet sind. Sie können Cisco Secure ACS auch anpassen, indem Sie spezielle Benutzerrollen mit Berechtigungen für bestimmte Security Manager-Aufgaben erstellen.

Hinweis: Sie müssen Security Manager neu starten, nachdem Sie Änderungen an den Benutzerberechtigungen vorgenommen haben.

Vorgehensweise:

  1. Klicken Sie in Cisco Secure ACS in der Navigationsleiste auf Shared Profile Components (Komponenten mit gemeinsam genutztem Profil).

  2. Klicken Sie auf der Seite Gemeinsam genutzte Komponenten auf Cisco Security Manager. Die für den Security Manager konfigurierten Rollen werden angezeigt.

  3. Führen Sie einen der folgenden Schritte aus:

    • Klicken Sie zum Erstellen einer Rolle auf Hinzufügen. Fahren Sie mit Schritt 4 fort.

    • Klicken Sie zum Ändern einer vorhandenen Rolle auf die Rolle. Fahren Sie mit Schritt 5 fort.

  4. Geben Sie einen Namen für die Rolle und optional eine Beschreibung ein.

  5. Aktivieren und deaktivieren Sie die Kontrollkästchen in der Berechtigungsstruktur, um die Berechtigungen für diese Rolle zu definieren.

    Durch Aktivieren des Kontrollkästchens für eine Verzweigung der Struktur werden alle Berechtigungen in dieser Verzweigung ausgewählt. Wenn Sie beispielsweise Zuweisen auswählen, werden alle Zuweisungsberechtigungen ausgewählt.

    Eine vollständige Liste der Berechtigungen für den Security Manager finden Sie unter Berechtigungen für den Security Manager.

    Hinweis: Wenn Sie Berechtigungen ändern, genehmigen, zuweisen, importieren, steuern oder bereitstellen, müssen Sie auch die entsprechenden Ansichtsberechtigungen auswählen. Andernfalls funktioniert Security Manager nicht ordnungsgemäß.

  6. Klicken Sie auf Senden, um Ihre Änderungen zu speichern.

  7. Starten Sie Security Manager neu.

Standardzuordnungen zwischen Berechtigungen und Rollen im Sicherheitsmanager

Diese Tabelle zeigt, wie Security Manager-Berechtigungen mit CiscoWorks Common Services-Rollen und den Standardrollen in Cisco Secure ACS verknüpft sind.

Berechtigungen Rollen
Systemadministrator Sicherheitsadministrator (ACS) ACS (Security Approver) Netzwerkadministrator (CW) Netzwerkadministrator (ACS) Genehmiger Netzbetreiber Helpdesk
Berechtigungen anzeigen
Gerät anzeigen Ja Ja Ja Ja Ja Ja Ja Ja
Richtlinie anzeigen Ja Ja Ja Ja Ja Ja Ja Ja
Objekte anzeigen Ja Ja Ja Ja Ja Ja Ja Ja
Topologie anzeigen Ja Ja Ja Ja Ja Ja Ja Ja
CLI anzeigen Ja Ja Ja Ja Ja Ja Ja Nein
Admin anzeigen Ja Ja Ja Ja Ja Ja Ja Nein
Konfigurationsarchiv anzeigen Ja Ja Ja Ja Ja Ja Ja Ja
Gerätemanager anzeigen Ja Ja Ja Ja Ja Ja Ja Nein
Berechtigungen ändern
Gerät ändern Ja Ja Nein Ja Nein Nein Nein Nein
Hierarchie ändern Ja Ja Nein Ja Nein Nein Nein Nein
Richtlinie ändern Ja Ja Nein Ja Nein Nein Nein Nein
Bild ändern Ja Ja Nein Ja Nein Nein Nein Nein
Objekte ändern Ja Ja Nein Ja Nein Nein Nein Nein
Topologie ändern Ja Ja Nein Ja Nein Nein Nein Nein
Administrator ändern Ja Nein Nein Nein Nein Nein Nein Nein
Konfigurationsarchiv ändern Ja Ja Nein Ja Ja Nein Ja Nein
Zusätzliche Berechtigungen
Richtlinie zuweisen Ja Ja Nein Ja Nein Nein Nein Nein
Richtlinie genehmigen Ja Nein Ja Nein Nein Nein Nein Nein
CLI genehmigen Ja Nein Nein Nein Nein Ja Nein Nein
Erkennen (Importieren) Ja Ja Nein Ja Nein Nein Nein Nein
Bereitstellung Ja Nein Nein Ja Ja Nein Nein Nein
Steuerung Ja Nein Nein Ja Ja Nein Ja Nein
Senden Ja Ja Nein Ja Nein Nein Nein Nein

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
14-May-2007
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.