Configuration de CSU pour UNIX (Solaris)

Options de téléchargement

  • PDF     (367.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (186.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (370.2 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:14 mai 2009
ID du document:13842

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Le logiciel Cisco Secure ACS pour UNIX (CSU) permet de garantir la sécurité du réseau et de suivre l'activité des personnes qui se connectent avec succès au réseau. CSU agit en tant que serveur TACACS+ ou RADIUS et utilise l'authentification, l'autorisation et la comptabilité (AAA) pour assurer la sécurité du réseau.

CSU prend en charge ces options de base de données pour stocker les profils de groupe et d'utilisateur et les informations de gestion :

  • SQLAnywhere (inclus avec CSU).

    Cette version de Sybase SQLAnywhere n'est pas prise en charge par le client/serveur. Cependant, il est optimisé pour exécuter des services AAA essentiels avec CSU.

    caution Attention : l'option de base de données SQLAnywhere ne prend pas en charge les bases de données de profils de plus de 5 000 utilisateurs, la réplication des informations de profil entre les sites de base de données ou la fonctionnalité Cisco Secure Distribute Session Manager (DSM).

  • Oracle ou Sybase Relational Database Management System (RDBMS).

    Pour prendre en charge les bases de données de profils Cisco Secure de 5 000 utilisateurs ou plus, la réplication de base de données ou la fonction Cisco Secure DSM, vous devez préinstaller un SGBDR Oracle (version 7.3.2, 7.3.3 ou 8.0.3) ou Sybase SQL Server (version 11) pour conserver les informations de votre profil Cisco Secure. La réplication de base de données nécessite une configuration RDBMS supplémentaire une fois l'installation de Cisco Secure terminée.

  • Mise à niveau d'une base de données existante à partir d'une version précédente (2.x) de CSU.

    Si vous effectuez une mise à niveau à partir d'une version 2.x antérieure de Cisco Secure, le programme d'installation de Cisco Secure met automatiquement à niveau la base de données de profils pour la rendre compatible avec CSU 2.3 pour UNIX.

  • Importation d'une base de données Profile existante.

    Vous pouvez convertir des bases de données de profils TACACS+ ou RADIUS gratuites ou des fichiers plats à utiliser avec cette version de CSU.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur Cisco Secure ACS 2.3 pour UNIX.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration CSU

Utilisez ces procédures pour configurer CSU.

Démarrez l'interface Cisco Secure Administrator

Suivez cette procédure pour vous connecter à Cisco Secure Administrator.

  1. À partir de n'importe quelle station de travail disposant d'une connexion Web à ACS, lancez votre navigateur Web.

  2. Saisissez l'une des URL suivantes pour le site Web Cisco Secure Administrator :

    • Si la fonction de sécurité de la couche socket de votre navigateur n'est pas activée, saisissez : 

      http://your_server/cs

      où your_server est le nom d'hôte (ou le nom de domaine complet (FQDN), si le nom d'hôte et le FQDN diffèrent) de la station SPARC sur laquelle vous avez installé CSU. Vous pouvez également remplacer votre serveur par l'adresse IP de la station SPARC.

    • Si la fonction de sécurité de la couche socket de votre navigateur est activée, spécifiez « https » plutôt que « http » comme protocole de transmission hypertexte. Saisissez : 

      https://your_server/cs

      où your_server est le nom d'hôte (ou le nom de domaine complet si le nom d'hôte et le nom de domaine complet diffèrent) de la station SPARC sur laquelle vous avez installé CSU. Vous pouvez également remplacer votre serveur par l'adresse IP de la station SPARC.

      Remarque : les URL et les noms de serveurs sont sensibles à la casse. Ils doivent être tapés avec des lettres majuscules et minuscules exactement comme indiqué.

      La page Connexion CSU s'affiche.

      14a.gif

  3. Saisissez votre nom d'utilisateur et votre mot de passe. Cliquez sur Submit.

    Remarque : le nom d'utilisateur par défaut initial est « superuser ». Le mot de passe par défaut initial est « changeme ». Après votre connexion initiale, vous devez modifier immédiatement le nom d'utilisateur et le mot de passe pour une sécurité maximale.

    Une fois que vous êtes connecté, la page principale de CSU s'affiche avec la barre de menus principale en haut. La page du menu principal de CSU s'affiche uniquement si l'utilisateur fournit un nom et un mot de passe disposant de privilèges de niveau administrateur. Si l'utilisateur fournit un nom et un mot de passe qui ne disposent que de privilèges de niveau utilisateur, un écran différent s'affiche.

    14b.gif

Démarrer le programme de configuration avancée

Lancez le programme Java Cisco Secure Administrator Advanced Configuration à partir de n'importe quelle page Web de l'administrateur CSU. Dans la barre de menus de l'interface Web de CSU, cliquez sur Advanced, puis cliquez à nouveau sur Advanced.

Le programme Cisco Secure Administrator Advanced Configuration s'affiche. Le chargement peut prendre quelques minutes.

14c.gif

Créer un profil de groupe

Utilisez le programme Cisco Secure Administrator Advanced Configuration pour créer et configurer des profils de groupe. Cisco recommande de créer des profils de groupe pour configurer les exigences AAA détaillées pour un grand nombre d'utilisateurs similaires. Une fois le profil de groupe défini, utilisez la page Web Ajouter un utilisateur de l'unité CSU pour ajouter rapidement des profils utilisateur au profil de groupe. Les exigences avancées configurées pour le groupe s'appliquent à chaque utilisateur membre.

Suivez cette procédure pour créer un profil de groupe.

  1. Dans le programme Cisco Secure Administrator Advanced Configuration, sélectionnez l'onglet Members. Dans le panneau du navigateur, désactivez la case à cocher Parcourir. L'icône Créer un nouveau profil s'affiche.

  2. Dans le volet Navigateur, effectuez l'une des opérations suivantes :

    • Pour créer un profil de groupe sans parent, localisez et cliquez sur l'icône de dossier [Root].

    • Pour créer votre profil de groupe en tant qu'enfant d'un autre profil de groupe, recherchez le groupe souhaité en tant que parent et cliquez dessus.

    • Si le groupe dont vous souhaitez être le parent est un groupe enfant, cliquez sur le dossier de son groupe parent pour l'afficher.

  3. Cliquez sur Créer un nouveau profil. La boîte de dialogue Nouveau profil s'affiche.

  4. Activez la case à cocher Groupe, tapez le nom du groupe que vous souhaitez créer, puis cliquez sur OK. Le nouveau groupe s'affiche dans l'arborescence.

  5. Après avoir créé le profil de groupe, affectez des attributs TACACS+ ou RADIUS pour configurer des propriétés AAA spécifiques.

    14d.gif

Créer un profil utilisateur en mode de configuration avancée

Utilisez le mode de configuration avancée de Cisco Secure Administrator pour créer et configurer un profil utilisateur. Vous pouvez le faire pour personnaliser les attributs d'autorisation et de comptabilité du profil utilisateur de manière plus détaillée qu'avec la page Ajouter un utilisateur.

Suivez cette procédure pour créer un profil utilisateur :

  1. Dans le programme Cisco Secure Administrator Advanced Configuration, sélectionnez l'onglet Members. Dans le panneau du navigateur, localisez et désélectionnez Parcourir. L'icône Créer un nouveau profil s'affiche.

  2. Dans le volet Navigateur, effectuez l'une des opérations suivantes :

    • Localisez et cliquez sur le groupe auquel l'utilisateur appartient.

    • Si vous ne souhaitez pas que l'utilisateur appartienne à un groupe, cliquez sur l'icône de dossier [Root].

  3. Cliquez sur Créer un profil. La boîte de dialogue Nouveau profil s'affiche.

  4. Assurez-vous que la case à cocher Group est désactivée.

  5. Entrez le nom de l'utilisateur que vous souhaitez créer et cliquez sur OK. Le nouvel utilisateur s'affiche dans l'arborescence.

  6. Après avoir créé le profil utilisateur, affectez des attributs TACACS+ ou RADIUS spécifiques pour configurer des propriétés AAA spécifiques :

Stratégies d'application des attributs

Utilisez la fonction de profil de groupe CSU et les attributs TACACS+ et RADIUS pour implémenter l'authentification et l'autorisation des utilisateurs du réseau via CSU.

Attributs de plan pour les groupes et les utilisateurs

La fonction de profil de groupe de CSU vous permet de définir un ensemble commun de conditions AAA pour un grand nombre d'utilisateurs.

Vous pouvez affecter un ensemble de valeurs d'attribut TACACS+ ou RADIUS à un profil de groupe. Ces valeurs d'attribut attribuées au groupe s'appliquent à tout utilisateur qui est membre ou qui est ajouté en tant que membre de ce groupe.

Utilisation efficace de la fonction Profil de groupe

Pour configurer l'unité CSU de manière à gérer un grand nombre d'utilisateurs et divers types d'utilisateurs ayant des besoins AAA complexes, Cisco recommande d'utiliser les fonctionnalités du programme Cisco Secure Administrator Advanced Configuration pour créer et configurer des profils de groupe.

Le profil de groupe doit contenir tous les attributs qui ne sont pas spécifiques à l'utilisateur. Cela signifie généralement tous les attributs à l'exception du mot de passe. Vous pouvez ensuite utiliser la page Ajouter un utilisateur de Cisco Secure Administrator pour créer des profils utilisateur simples avec des attributs de mot de passe et affecter ces profils utilisateur au profil de groupe approprié. Les fonctions et les valeurs d'attribut définies pour un groupe particulier s'appliquent ensuite à ses utilisateurs membres.

Groupes parents et groupes enfants

Vous pouvez créer une hiérarchie de groupes. Dans un profil de groupe, vous pouvez créer des profils de groupe enfant. Les valeurs d'attribut affectées au profil de groupe parent sont les valeurs par défaut des profils de groupe enfant.

Administration au niveau du groupe

Un administrateur système Cisco Secure peut attribuer l'état Administrateur de groupe à chaque utilisateur Cisco Secure. Le statut Administrateur de groupe permet à chaque utilisateur d'administrer les profils de groupe enfant et les profils utilisateur subordonnés à son groupe. Cependant, il ne leur permet pas d'administrer des groupes ou des utilisateurs qui ne font pas partie de la hiérarchie de leur groupe. Ainsi, l'administrateur système répartit la tâche d'administration d'un grand réseau entre d'autres personnes sans leur accorder une autorité égale.

Quels attributs dois-je définir pour les utilisateurs individuels ?

Cisco recommande d'attribuer à chaque utilisateur des valeurs d'attribut d'authentification de base uniques, telles que des attributs qui définissent le nom d'utilisateur, le mot de passe, le type de mot de passe et le privilège Web. Affectez des valeurs d'attribut d'authentification de base à vos utilisateurs via les pages Modifier un utilisateur ou Ajouter un utilisateur de l'unité CSU.

Quels attributs dois-je définir pour les profils de groupe ?

Cisco recommande de définir des attributs de qualification, d'autorisation et de comptabilité au niveau du groupe.

14e.gif

Dans cet exemple, les paires attribut-valeur Frame-Protocol=PPP et Service-Type=Framed sont affectées au profil de groupe nommé « Dial-In Users ».

Que sont les attributs absolus ?

Un sous-ensemble des attributs TACACS+ et RADIUS dans CSU peut se voir attribuer un statut absolu au niveau du profil de groupe. Une valeur d'attribut activée pour le statut absolu au niveau du profil de groupe remplace toutes les valeurs d'attribut concurrentes au niveau d'un profil de groupe enfant ou d'un profil utilisateur membre.

Dans les réseaux multiniveaux comportant plusieurs niveaux d'administrateurs de groupe, les attributs absolus permettent à un administrateur système de définir des valeurs d'attribut de groupe sélectionnées que les administrateurs de groupe de niveaux inférieurs ne peuvent pas remplacer.

Les attributs auxquels l'état absolu peut être affecté affichent une case à cocher Absolu dans la zone Attributs du programme Cisco Secure Administrator Advanced Configuration. Cochez cette case pour activer l'état absolu.

14f.gif

Les valeurs d'attribut de groupe et les valeurs d'attribut d'utilisateur peuvent-elles être conflictuelles ?

La résolution des conflits entre les valeurs d'attribut affectées aux profils de groupe parent, aux profils de groupe enfant et aux profils utilisateur membres dépend de la nature absolue des valeurs d'attribut et de leur nature (attributs TACACS+ ou RADIUS) :

  • Les valeurs d'attribut TACACS+ ou RADIUS affectées à un profil de groupe avec un statut absolu remplacent toutes les valeurs d'attribut concurrentes définies au niveau d'un groupe enfant ou d'un profil utilisateur.

  • Si le statut absolu d'une valeur d'attribut TACACS+ n'est pas activé au niveau du profil de groupe, il est remplacé par toute valeur d'attribut en conflit définie au niveau d'un groupe enfant ou d'un profil utilisateur.

  • Si le statut absolu d'une valeur d'attribut RADIUS n'est pas activé au niveau du groupe parent, les valeurs d'attribut en conflit définies au niveau d'un groupe enfant entraînent un résultat imprévisible. Lorsque vous définissez des valeurs d'attribut RADIUS pour un groupe et ses utilisateurs membres, évitez d'attribuer le même attribut aux profils utilisateur et de groupe.

Utiliser les options Interdire et Autoriser

Pour TACACS+, remplacez la disponibilité des valeurs de service héritées en ajoutant le préfixe deny ou permit à la spécification de service. Le mot clé permit autorise les services spécifiés. Le mot clé deny interdit des services spécifiés. Avec l'utilisation de ces mots-clés ensemble, vous pouvez construire des configurations « tout sauf ». Par exemple, cette configuration autorise l'accès à partir de tous les services à l'exception de X.25 : 

default service = permit
prohibit service = x25

Attribuer des attributs TACACS+ à un groupe ou à un profil utilisateur

Pour attribuer des services et des attributs TACACS+ spécifiques à un groupe ou à un profil utilisateur, procédez comme suit :

  1. Dans le programme Cisco Secure Administrator Advanced Configuration, sélectionnez l'onglet Members. Dans le panneau du Navigateur, cliquez sur l'icône du groupe ou du profil utilisateur auquel les attributs TACACS+ sont affectés.

  2. Si nécessaire, dans le volet Profil, cliquez sur l'icône Profil pour le développer.

    Une liste ou une boîte de dialogue contenant des attributs applicables au profil ou au service sélectionné s'affiche dans la fenêtre en bas à droite de l'écran. Les informations de cette fenêtre changent en fonction du profil ou du service que vous sélectionnez dans le volet Profil.

  3. Cliquez sur le service ou le protocole que vous voulez ajouter et cliquez sur Apply. Le service est ajouté au profil.

  4. Saisissez ou sélectionnez le texte requis dans la fenêtre Attribut.

    Les entrées valides sont expliquées dans la section Stratégies d'application des attributs du Guide de référence de CSU 2.3 pour UNIX.

    Note : Si vous affectez une valeur d'attribut au niveau du profil de groupe et que l'attribut que vous spécifiez affiche une case à cocher Absolu, activez cette case à cocher pour affecter le statut absolu à la valeur. Un état absolu attribué par une valeur ne peut pas être remplacé par des valeurs en conflit attribuées à des niveaux de profil de groupe subordonné ou de profil d'utilisateur.

  5. Répétez les étapes 1 à 3 pour chaque service ou protocole supplémentaire que vous devez ajouter.

  6. Une fois toutes les modifications apportées, cliquez sur Submit.

    14g.gif

Attribuer des attributs RADIUS à un groupe ou à un profil utilisateur

Pour attribuer des attributs RADIUS spécifiques à un groupe ou à un profil utilisateur :

  1. Attribuez un dictionnaire RADIUS au profil de groupe :

    1. Sur la page Membres du programme de configuration avancée de Cisco Secure Administrator, cliquez sur l'icône Groupe ou Utilisateur, puis cliquez sur l'icône Profil dans le volet Profils. Dans le volet Attributs, le menu Options s'affiche.

    2. Dans le menu Options, cliquez sur le nom du dictionnaire RADIUS que vous voulez que le groupe ou l'utilisateur utilise. (Par exemple, RADIUS - Cisco.) Cliquez sur Apply.

      14h.gif

  2. Ajoutez les éléments de vérification et les attributs de réponse requis au profil RADIUS :

    Remarque : les éléments de vérification sont des attributs requis pour l'authentification, tels que l'ID utilisateur et le mot de passe. Les attributs de réponse sont des attributs envoyés au serveur d'accès réseau (NAS) une fois que le profil a passé la procédure d'authentification, telle que le protocole Framed-Protocol. Pour obtenir des listes et des explications sur les éléments de vérification et les attributs de réponse, reportez-vous à la section Paires attribut-valeur RADIUS et gestion du dictionnaire dans le Guide de référence de CSU 2.3 pour UNIX.

    1. Dans la fenêtre Profil, cliquez sur l'icône de dossier RADIUS - dictionaryname. (Vous devrez probablement cliquer sur le symbole + du profil pour développer le dossier RADIUS.) Les options Vérifier les articles et Attributs de réponse s'affichent dans la fenêtre Groupe d'attributs.

    2. Pour utiliser un ou plusieurs de ces attributs, cliquez sur le ou les attributs que vous souhaitez utiliser, puis cliquez sur Apply. Vous pouvez ajouter plusieurs attributs à la fois.

    3. Cliquez sur le symbole + pour le nom du dictionnaire RADIUS - pour développer le dossier.

      Remarque : si vous sélectionnez l'option RADIUS-Cisco11.3, assurez-vous que le logiciel Cisco IOS® version 11.3.3(T) ou ultérieure est installé sur vos NAS connectés et ajoutez de nouvelles lignes de commande à vos configurations NAS. Reportez-vous à la section Fully Enabling the RADIUS-Cisco11.3 Dictionary dans le Guide de référence de CSU 2.3 for UNIX.

  3. Spécifiez les valeurs des éléments de vérification et des attributs de réponse ajoutés :

    caution Attention : pour le protocole RADIUS, l'héritage est additif et non hiérarchique. (Le protocole TACACS+ utilise l'héritage hiérarchique). Par exemple, si vous affectez les mêmes attributs de réponse aux profils utilisateur et de groupe, l'autorisation échoue car le serveur NAS reçoit deux fois plus d'attributs. Il ne donne pas de sens aux attributs de réponse. N'affectez pas le même élément de contrôle ou attribut de réponse aux profils de groupe et d'utilisateur.

    1. Cliquez sur Vérifier les éléments ou Attributs de réponse, ou cliquez sur les deux. La liste des valeurs Éléments de vérification et Attributs de réponse applicables s'affiche dans la fenêtre inférieure droite. Cliquez sur le symbole + pour développer le dossier.

    2. Cliquez sur les valeurs que vous souhaitez affecter, puis cliquez sur Apply. Pour plus d'informations sur les valeurs, référez-vous à Paires attribut-valeur RADIUS et gestion du dictionnaire dans le Guide de référence de CSU 2.3 pour UNIX.

      Note : Si vous affectez une valeur d'attribut au niveau du profil de groupe et que l'attribut que vous spécifiez affiche une case à cocher Absolu, activez cette case à cocher pour affecter le statut absolu à la valeur. Une valeur affectée à un état absolu ne peut pas être remplacée par des valeurs en conflit affectées à des niveaux de profil de groupe subordonné ou de profil d'utilisateur.

    3. Une fois les modifications effectuées, cliquez sur Submit.

      14i.gif

  4. Pour utiliser un ou plusieurs de ces attributs, cliquez sur le ou les attributs que vous souhaitez utiliser, puis cliquez sur Apply. Vous pouvez appliquer plusieurs attributs à la fois.

Attribuer des niveaux de privilège de contrôle d'accès

L'administrateur du superutilisateur utilise l'attribut de privilège Web pour attribuer un niveau de privilège de contrôle d'accès aux utilisateurs Cisco Secure.

  1. Dans le programme Cisco Secure Administrator Advanced Configuration, cliquez sur l'utilisateur dont vous souhaitez attribuer le privilège de contrôle d'accès, puis cliquez sur l'icône Profil dans le volet Profils.

  2. Dans le menu Options, cliquez sur Privilège Web et sélectionnez l'une de ces valeurs.

    • 0 : refuse à l'utilisateur tous les privilèges de contrôle d'accès qui incluent la possibilité de modifier le mot de passe Cisco Secure de l'utilisateur.

    • 1 - Accorde à l'utilisateur l'accès à la page Web CSUser. Cela permet aux utilisateurs de Cisco Secure de modifier leurs mots de passe Cisco Secure. Pour plus d'informations sur la façon de modifier les mots de passe, référez-vous à Fonctions de niveau utilisateur (Modification d'un mot de passe) dans Gestion simple des utilisateurs et des ACS.

    • 12 - Accorde des privilèges d'administrateur au groupe d'utilisateurs.

    • 15 - Accorde des privilèges d'administrateur système à l'utilisateur.

    Remarque : si vous sélectionnez une option de privilège Web autre que 0, vous devez également spécifier un mot de passe. Pour satisfaire aux exigences de mot de passe de privilège Web, un seul espace vide est acceptable au minimum.

Démarrage et arrêt de CSU

En général, CSU démarre automatiquement lorsque vous démarrez ou redémarrez la station SPARC où elle est installée. Cependant, vous pouvez démarrer CSU manuellement ou l'arrêter sans arrêter l'ensemble de SPARCStation.

Connectez-vous en tant que [Root] à la station SPARCS où vous avez installé CSU.

Pour démarrer CSU manuellement, tapez :

# /etc/rc2.d/S80CiscoSecure

Pour arrêter manuellement CSU, tapez : 

# /etc/rc0.d/K80CiscoSecure

Vérifier

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
10-Dec-2001
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco