Configurando CSU para UNIX (Solaris)

Opções de download

  • PDF     (367.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (185.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (368.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:14 de maio de 2009
ID do documento:13842

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

O software Cisco Secure ACS para UNIX (CSU) ajuda a garantir a segurança da rede e rastreia a atividade das pessoas que se conectam com êxito à rede. A CSU atua como um servidor TACACS+ ou RADIUS e usa autenticação, autorização e relatório (AAA) para fornecer segurança de rede.

O CSU suporta estas opções de banco de dados para armazenar perfis de grupo e de usuário e informações de tarifação:

  • SQLAnywhere (incluído com CSU).

    Esta versão do Sybase SQLAnywhere não tem suporte para cliente/servidor. No entanto, ele é otimizado para executar serviços AAA essenciais com CSU.

    caution Cuidado: a opção de banco de dados SQLAnywhere não suporta bancos de dados de perfil que excedam 5.000 usuários, replicação de informações de perfil entre sites de banco de dados ou o recurso Cisco Secure Distribute Session Manager (DSM).

  • Oracle ou Sybase RDBMS (Relational Database Management System).

    Para suportar bancos de dados de perfil do Cisco Secure de 5.000 ou mais usuários, replicação de banco de dados ou o recurso Cisco Secure DSM, você deve pré-instalar um RDBMS do Oracle (versão 7.3.2, 7.3.3 ou 8.0.3) ou do Sybase SQL Server (versão 11) para manter suas informações de perfil do Cisco Secure. A replicação de banco de dados requer configuração adicional do RDBMS após a conclusão da instalação do Cisco Secure.

  • A atualização de um banco de dados existente de uma versão anterior (2.x) da CSU.

    Se você atualizar de uma versão 2.x anterior do Cisco Secure, o programa de instalação do Cisco Secure atualizará automaticamente o banco de dados de perfil para ser compatível com o CSU 2.3 para UNIX.

  • Importando um banco de dados de perfis existente.

    Você pode converter arquivos planos ou bancos de dados de perfis RADIUS ou TACACS+ freeware existentes para uso com esta versão da CSU.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco Secure ACS 2.3 para UNIX.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configuração da CSU

Use estes procedimentos para configurar a CSU.

Inicie a interface do Cisco Secure Administrator

Use este procedimento para efetuar login no Cisco Secure Administrator.

  1. Inicie seu navegador da Web em qualquer estação de trabalho com uma conexão à Web com o ACS.

  2. Insira um destes URLs para o site do Cisco Secure Administrator:

    • Se o recurso de camada de soquete de segurança no navegador não estiver habilitado, insira: 

      http://your_server/cs

      onde seu_servidor é o nome do host (ou o nome de domínio totalmente qualificado (FQDN), se o nome do host e o FQDN forem diferentes) da estação SPARC onde você instalou o CSU. Você também pode substituir o endereço IP da estação SPARC por seu_servidor.

    • Se o recurso de camada de soquete de segurança no navegador estiver habilitado, especifique "https" em vez de "http" como o protocolo de transmissão de hipertexto. Insira: 

      https://your_server/cs

      onde seu_servidor é o nome do host (ou o FQDN, se o nome do host e o FQDN forem diferentes) da SPARCstation onde você instalou a CSU. Você também pode substituir o endereço IP da estação SPARC por seu_servidor.

      Observação: URLs e nomes de servidor diferenciam maiúsculas e minúsculas. Eles devem ser digitados com letras maiúsculas e minúsculas exatamente como mostrado.

      A página Logon da CSU é exibida.

      14a.gif

  3. Insira seu nome de usuário e senha. Clique em Submit.

    Observação: o nome de usuário padrão inicial é "superuser". A senha padrão inicial é "changeme". Após o login inicial, você precisa alterar o nome de usuário e a senha imediatamente para obter o máximo de segurança.

    Após o login, a página principal da CSU é exibida com a barra de menus principal na parte superior. A página do menu principal da CSU será exibida apenas se o usuário fornecer um nome e uma senha que tenham privilégios de nível de administrador. Se o usuário fornecer um nome e uma senha que tenham apenas privilégios de nível de usuário, uma tela diferente será exibida.

    14b.gif

Inicie o programa de configuração avançada

Inicie o programa Cisco Secure Administrator Advanced Configuration baseado em Java em qualquer uma das páginas da Web do CSU Administrator. Na barra de menus da interface da Web da CSU, clique em Advanced e em Advanced novamente.

O programa de Configuração Avançada do Cisco Secure Administrator é exibido. O carregamento pode demorar alguns minutos.

14c.gif

Criar um perfil de grupo

Use o programa de Configuração Avançada do Cisco Secure Administrator para criar e configurar perfis de grupo. A Cisco recomenda que você crie perfis de grupo para configurar requisitos de AAA detalhados para um grande número de usuários semelhantes. Depois que o perfil de grupo for definido, use a página da Web Adicionar um usuário do CSU para adicionar rapidamente perfis de usuário ao perfil de grupo. Os requisitos avançados configurados para o grupo aplicam-se a cada usuário membro.

Use este procedimento para criar um perfil de grupo.

  1. No programa Cisco Secure Administrator Advanced Configuration, selecione a guia Members. No painel do Navegador, desmarque a caixa de seleção Procurar. O ícone Criar novo perfil é exibido.

  2. No painel do Navegador, siga um destes procedimentos:

    • Para criar um perfil de grupo sem pai, localize e clique no ícone de pasta [Root].

    • Para criar seu perfil de grupo como filho de outro perfil de grupo, localize o grupo desejado como pai e clique nele.

    • Se o grupo que você deseja que seja pai for um grupo filho, clique na pasta do grupo pai para exibi-lo.

  3. Clique em Create New Profile. A caixa de diálogo Novo perfil é exibida.

  4. Marque a caixa de seleção Grupo, digite o nome do grupo que deseja criar e clique em OK. O novo grupo é exibido na árvore.

  5. Depois de criar o perfil de grupo, atribua atributos TACACS+ ou RADIUS para configurar propriedades AAA específicas.

    14d.gif

Criar um perfil de usuário no modo de configuração avançada

Use o modo Configuração avançada do Cisco Secure Administrator para criar e configurar um perfil de usuário. Você pode fazer isso para personalizar os atributos relacionados a autorização e contabilidade do perfil do usuário com mais detalhes do que é possível com a página Adicionar um usuário.

Use este procedimento para criar um perfil de usuário:

  1. No programa Cisco Secure Administrator Advanced Configuration, selecione a guia Members. No painel do Navegador, localize e desmarque Procurar. O ícone Criar novo perfil é exibido.

  2. No painel do Navegador, siga um destes procedimentos:

    • Localize e clique no grupo ao qual o usuário pertence.

    • Se você não quiser que o usuário pertença a um grupo, clique no ícone de pasta [Root].

  3. Clique em Criar perfil. A caixa de diálogo Novo perfil é exibida.

  4. Certifique-se de que a caixa de seleção Grupo esteja desmarcada.

  5. Insira o nome do usuário que deseja criar e clique em OK. O novo usuário é exibido na árvore.

  6. Depois de criar o perfil de usuário, atribua atributos TACACS+ ou RADIUS específicos para configurar propriedades AAA específicas:

Estratégias para aplicar atributos

Use o recurso de perfil de grupo de CSU e os atributos TACACS+ e RADIUS para implementar a autenticação e a autorização de usuários de rede através da CSU.

Atributos do Plano para Grupos e Usuários

O recurso de perfil de grupo da CSU permite que você defina um conjunto comum de requisitos AAA para um grande número de usuários.

Você pode atribuir um conjunto de valores de atributo TACACS+ ou RADIUS a um perfil de grupo. Esses valores de atributo atribuídos ao grupo aplicam-se a qualquer usuário que seja membro ou que seja adicionado como membro desse grupo.

Usar o recurso Perfil do grupo de forma eficaz

Para configurar a CSU para gerenciar grandes números e vários tipos de usuários com requisitos complexos de AAA, a Cisco recomenda que você use os recursos do programa Cisco Secure Administrator Advanced Configuration para criar e configurar perfis de grupo.

O perfil do grupo precisa conter todos os atributos que não são específicos do usuário. Isso geralmente significa todos os atributos, exceto a senha. Em seguida, você pode usar a página Adicionar um usuário do Cisco Secure Administrator para criar perfis de usuário simples com atributos de senha e atribuir esses perfis de usuário ao perfil de grupo apropriado. Os recursos e valores de atributo definidos para um grupo específico aplicam-se a seus usuários membros.

Grupos pai e filhos

Você pode criar uma hierarquia de grupos. Dentro de um perfil de grupo, você pode criar perfis de grupo filho. Os valores de atributo atribuídos ao perfil de grupo pai são valores padrão para os perfis de grupo filho.

Administração em Nível de Grupo

Um administrador de sistema do Cisco Secure pode atribuir status de Administrador de grupo a usuários individuais do Cisco Secure. O status Administrador do grupo permite que usuários individuais administrem quaisquer perfis de grupo filho e perfis de usuário que estejam subordinados ao seu grupo. No entanto, ele não permite que eles administrem grupos ou usuários que estejam fora da hierarquia de seus grupos. Assim, o administrador do sistema distribui a tarefa de administrar uma grande rede para outros indivíduos sem conceder a cada um deles autoridade igual.

Quais atributos devo definir para usuários individuais?

A Cisco recomenda que você designe valores de atributo de autenticação básica de usuários individuais que sejam exclusivos ao usuário, como atributos que definem o nome de usuário, a senha, o tipo de senha e o privilégio da Web. Atribua valores básicos de atributo de autenticação aos seus usuários através das páginas Editar um usuário ou Adicionar um usuário da CSU.

Quais atributos devo definir para perfis de grupo?

A Cisco recomenda que você defina atributos relacionados a qualificação, autorização e contabilidade no nível do grupo.

14e.gif

Neste exemplo, o perfil de grupo chamado "Usuários de discagem" recebe os pares atributo-valor Frame-Protocol=PPP e Service-Type=Framed.

O que são atributos absolutos?

Um subconjunto dos atributos TACACS+ e RADIUS na CSU pode receber o status absoluto no nível do perfil do grupo. Um valor de atributo ativado para status absoluto no nível de perfil do grupo substitui qualquer valor de atributo contendente no nível de perfil de grupo filho ou perfil de usuário membro.

Em redes multiníveis com vários níveis de administradores de grupo, os atributos absolutos permitem que um administrador de sistema defina valores de atributos de grupo selecionados que os administradores de grupo em níveis inferiores não podem substituir.

Os atributos que podem ser atribuídos ao status absoluto exibem uma caixa de seleção Absoluto na caixa Atributos do programa Configuração Avançada do Cisco Secure Administrator. Marque a caixa de seleção para habilitar o status absoluto.

14f.gif

Os Valores de Atributos do Grupo e os Valores de Atributos do Usuário Podem Entrar em Conflito?

A resolução de conflitos entre valores de atributo atribuídos a perfis de grupo pai, perfis de grupo filho e perfis de usuário membro depende de os valores de atributo serem absolutos ou de serem atributos TACACS+ ou RADIUS:

  • Os valores de atributo TACACS+ ou RADIUS atribuídos a um perfil de grupo com status absoluto substituem qualquer valor de atributo concorrente definido em um nível de perfil de usuário ou grupo filho.

  • Se o status absoluto de um valor de atributo TACACS+ não estiver ativado no nível de perfil do grupo, ele será substituído por qualquer valor de atributo contendente definido em um nível de perfil de usuário ou grupo filho.

  • Se o status absoluto de um valor de atributo RADIUS não estiver habilitado no nível de grupo pai, qualquer valor de atributo concorrente definido em um grupo filho resultará em um resultado imprevisível. Ao definir valores de atributo RADIUS para um grupo e seus usuários membros, evite atribuir o mesmo atributo aos perfis de usuário e de grupo.

Use as opções Proibir e Permitir

Para TACACS+, substitua a disponibilidade de valores de serviço herdados prefixando a palavra-chave ban ou permit à especificação do serviço. A palavra-chave permit permite serviços especificados. A palavra-chave ban não permite serviços especificados. Com o uso conjunto dessas palavras-chave, você pode construir configurações "tudo exceto". Por exemplo, essa configuração permite acesso de todos os serviços, exceto X.25: 

default service = permit
prohibit service = x25

Atribuir atributos TACACS+ a um grupo ou perfil de usuário

Para atribuir serviços e atributos TACACS+ específicos a um grupo ou perfil de usuário, siga estas etapas:

  1. No programa Cisco Secure Administrator Advanced Configuration, selecione a guia Members. No painel do Navegador, clique no ícone do grupo ou perfil de usuário ao qual os atributos TACACS+ estão atribuídos.

  2. Se necessário, no painel Perfil, clique no ícone Perfil para expandi-lo.

    Uma lista ou caixa de diálogo que contém atributos aplicáveis ao perfil ou serviço selecionado é exibida na janela na parte inferior direita da tela. As informações nessa janela são alteradas com base no perfil ou serviço selecionado no painel Perfil.

  3. Clique no serviço ou protocolo que deseja adicionar e clique em Aplicar. O serviço é adicionado ao perfil.

  4. Informe ou selecione o texto necessário na janela Atributo.

    As entradas válidas são explicadas na seção Estratégias para aplicar atributos do Guia de referência do CSU 2.3 para UNIX.

    Nota: Se você atribuir um valor de atributo no nível de perfil do grupo e o atributo especificado exibir uma caixa de seleção Absoluto, marque essa caixa de seleção para atribuir o status absoluto do valor. Um status absoluto atribuído por valor não pode ser substituído por nenhum valor concorrente atribuído nos níveis de perfil de grupo subordinado ou perfil de usuário.

  5. Repita as etapas de 1 a 4 para cada serviço ou protocolo adicional que você precisa adicionar.

  6. Quando todas as alterações forem feitas, clique em Enviar.

    14g.gif

Atribuir atributos RADIUS a um grupo ou perfil de usuário

Para designar atributos RADIUS específicos a um grupo ou perfil de usuário:

  1. Atribuir um dicionário RADIUS ao perfil de grupo:

    1. Na página Membros do programa de Configuração Avançada do Cisco Secure Administrator, clique no ícone Group ou User e, em seguida, clique no ícone Profile no painel Perfis. No painel Atributos, o menu Opções é exibido.

    2. No menu Options, clique no nome do dicionário RADIUS que você deseja que o grupo ou usuário use. (Por exemplo, RADIUS - Cisco.) Clique em Apply.

      14h.gif

  2. Adicione os itens de verificação e os atributos de resposta necessários ao perfil RADIUS:

    Observação: verifique se os itens são atributos necessários para autenticação, como ID de usuário e senha. Atributos de resposta são atributos enviados ao NAS (Servidor de acesso à rede) depois que o perfil passa pelo procedimento de autenticação, como Framed-Protocol. Para obter listas e explicações sobre Itens de verificação e Atributos de resposta, consulte Pares de valor de atributo RADIUS e Gerenciamento de dicionário no Guia de Referência do CSU 2.3 for UNIX.

    1. Na janela Perfil, clique no ícone da pasta RADIUS - dictionaryname. (Você provavelmente precisará clicar no símbolo + do perfil para expandir a pasta RADIUS.) As opções Verificar Itens e Responder a Atributos são exibidas na janela Grupo de Atributos.

    2. Para usar um ou mais desses atributos, clique no(s) atributo(s) que deseja usar e clique em Aplicar. Você pode adicionar mais de um atributo por vez.

    3. Clique no símbolo + para o nome do dicionário RADIUS para expandir a pasta.

      Observação: se você selecionar a opção RADIUS-Cisco11.3, certifique-se de que o Cisco IOS® Software Release 11.3.3(T) ou posterior esteja instalado em seus NASs de conexão e adicione novas linhas de comando às suas configurações de NAS. Consulte Fully Enabling the RADIUS-Cisco11.3 Dictionary no CSU 2.3 for UNIX Reference Guide.

  3. Especifique valores para os Itens de Verificação e Atributos de Resposta adicionados:

    caution Cuidado: para o protocolo RADIUS, a herança é aditiva em oposição à hierárquica. (O protocolo TACACS+ usa herança hierárquica). Por exemplo, se você atribuir os mesmos atributos de resposta aos perfis de usuário e de grupo, a autorização falhará porque o NAS recebe o dobro do número de atributos. Não dá sentido aos atributos de resposta. Não atribua o mesmo item de cheque ou atributo de resposta aos perfis de grupo e de usuário.

    1. Clique em Verificar itens ou em Atributos de resposta, ou clique em ambos. Uma lista de valores aplicáveis de Itens de verificação e Atributos de resposta é exibida na janela inferior direita. Clique no símbolo + para expandir a pasta.

    2. Clique nos valores que deseja atribuir e clique em Aplicar. Para obter mais informações sobre os valores, consulte RADIUS Attribute-Value Pairs and Dictionary Management no CSU 2.3 for UNIX Reference Guide.

      Nota: Se você atribuir um valor de atributo no nível de perfil do grupo e o atributo especificado exibir uma caixa de seleção Absoluto, marque essa caixa de seleção para atribuir o status absoluto do valor. Um valor atribuído com status absoluto não pode ser substituído por nenhum valor concorrente atribuído nos níveis de perfil do grupo subordinado ou perfil do usuário.

    3. Quando terminar de fazer as alterações, clique em Enviar.

      14i.gif

  4. Para usar um ou mais desses atributos, clique no(s) atributo(s) que deseja usar e clique em Aplicar. Você pode aplicar mais de um atributo por vez.

Atribuir Níveis de Privilégio de Controle de Acesso

O administrador de superusuário usa o atributo de privilégio da Web para atribuir um nível de privilégio de controle de acesso aos usuários do Cisco Secure.

  1. No programa Configuração avançada do Cisco Secure Administrator, clique no usuário cujo privilégio de controle de acesso você deseja atribuir e, em seguida, clique no ícone Perfil no painel Perfis.

  2. No menu Opções, clique em Privilégio da Web e selecione um desses valores.

    • 0 - Nega ao usuário qualquer privilégio de controle de acesso que inclua a capacidade de alterar a senha do Cisco Secure do usuário.

    • 1 - Concede ao usuário acesso à página da Web do CSUser. Isso permite que os usuários do Cisco Secure alterem suas senhas do Cisco Secure. Para obter detalhes sobre como alterar senhas, consulte User-Level Functions (Changing a Password) no Simple User and ACS Management.

    • 12 - Concede privilégios de administrador do grupo de usuários.

    • 15 - Concede ao usuário privilégios de administrador do sistema.

    Observação: Se você selecionar qualquer opção de privilégio da Web diferente de 0, também deverá especificar uma senha. Para satisfazer o requisito de senha de privilégio da Web, um único espaço em branco é minimamente aceitável.

Iniciar e parar CSU

Geralmente, a CSU é iniciada automaticamente quando você inicia ou reinicia a SPARCstation onde ela está instalada. No entanto, você pode iniciar a CSU manualmente ou desligá-la sem desligar toda a SPARCStation.

Faça login como [Root] no SPARCStation no qual você instalou o CSU.

Para iniciar a CSU manualmente, digite:

# /etc/rc2.d/S80CiscoSecure

Para interromper a CSU manualmente, digite: 

# /etc/rc0.d/K80CiscoSecure

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
10-Dec-2001
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco