отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
2266
Просмотры
5
Полезный материал
11
Ответы
Highlighted
Cisco Employee

Спросить эксперта: ACS5, использование решения в корпоративных сетях

с Евгением Корнейчуком

 

Read the bio

В ходе сессии "Спросить Эксперта" инженер Cisco TAC Евгений Корнейчук ответит на Ваши вопросы об основных настройках ACS 5 и об использование решения в корпоративных сетях для контроля доступа и администрирования устройств.

 

Евгений - инженер центра технической поддержки Cisco в Кракове, работает в группе Security и занимается поддержкой AAA/VPN направлений (технологий виртуалных частных сетей и контроля доступа к сети), а также продуктов/технологий линейки безопасности, что включaет в себя ISE/ACS/802.1x/GETVPN/DMVPN/AC VPN/etc. Обладает сертификатом CCIE SECURITY #43253.

 

Пожалуйста,  не забывайте оценивать ответы Евгения, чтобы он знал, что Вы получили  совет, который Вам помог. Общение может быть продолжено на нашем форуме и после окончании сессии. Сессия продлится до 19 декабря 2014 года.

Мы с нетерпением ждем Вашего участия.       

11 ОТВЕТ 11
Highlighted

Евгений, добрый день.

Есть работающий ACS4.1 и резервный ACS5. ACS4.1 используется для централизованной авторизации на коммутаторах Cisco (Tacacs). Как настроить бекапы на существующем ACS4.1, чтобы в случае необходимости оперативно восстановить работу на имеющемся ACS5?

Highlighted

Сергей, добрый день.

Переход с 4.1 на 5 является сложным и выполняется в несколько шагов. Подробная инструкция:

http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-1/user/guide/acsuserguide/migrate.html

Порекомендовал бы переходить на ACS 5, так как 4.1 не поддерживается совсем.

 

Highlighted
Beginner

Добрый день!

Используем ACS 5.3, все красиво и все хорошо. Но, в какой то момент сервер перестал собирать логи (кто когда авторизовывался, что делал и т.д.) Логи просто перестали вестись. Непонятно почему. Куда копать, что смотреть?

Заранее спасибо.

Highlighted

Добрый день,

1. Логи перестали появляться после каких-то событий? Если да то после каких?

2. На Мониторинг ноде во первых убедился бы что все сервисы работают:

Проверить - show application status ACS

3. На 5.3 существует проблема с переполнением /opt директории, которая может привести к таким последствиям;

Проверить - секция "Checking Disk Space..."

Highlighted
Beginner

Евгений, добрый день.

Возможно ли в ACS5 организовать ролевое разделение по областям сети.

Т.е. сеть разбита на части и оборудование сгруппировано.

есть администраторы которые имеют доступ только к своей части сети.

возможно ли сделать так что администраторы могли добавлять и удалять оборудование только в своей группе?

Спасибо.

Highlighted

Добрый день.

Если я правильно понял вопрос, речь идет об администраторах ACS, а не об администраторах девайсов. Если это так, то разграничение невозможно.

Мой коллега открыл баг на улучшение этого функционала:

CSCuq37028 EH ACS 5.x granularity with administrator roles

https://tools.cisco.com/bugsearch/bug/CSCuq37028/?reffering_site=dumpcr

 

 

Highlighted

Добрый день, Евгений. 

Есть вопрос по настройке. Используем в организации ACS-5.3.0 для авторизации на МСЭ ASA-5505 и ASA-5510. Пользователи на ACS локальные. С максимальной привилегией для администрирования МСЭ через ASDM. Появилась необходимость создать пользователей в ACS с привилегией только для просмотра\чтения. Не совсем понятно как задать пользователю в ACS данную привилегию, и получить возможность авторизации на ASDM как пользователь только для чтения.

Highlighted

Ответил выше.

Highlighted

Добрый день, Евгений.

Используем в организации ACS5.3 для авторизации на ASA-5505 и ASA-5510 через ASDM. Пользователи на  ACS локальные с максимальной привилегией для администрирования через ASDM. Появилась необходимость создать одного локального пользователя ACS с привилегией только на просмотр через ASDM. Не совсем понятно как это сделать.

Спасибо.

Highlighted

Добрый день, Андрей.

Теоретически это сделать возможно. Вот статья описывающая настройку по шагам:

http://www.laguiadelnetworking.com/allow-only-read-access-to-the-asa-using-a-cisco-acs-5-x-as-the-authentication-server/

 

Вообще я бы предпочел доступ через CLI, и ограничивать привилегии средствами command authorization.

Но тут уже вопрос вкуса :)

Highlighted

Спасибо большое!)

СоздатьДля создания публикации, пожалуйста в систему
Не удалось отобразить этот виджет.