отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Cisco Employee

Спросить эксперта: ACS5, использование решения в корпоративных сетях

с Евгением Корнейчуком

 

Read the bio

В ходе сессии "Спросить Эксперта" инженер Cisco TAC Евгений Корнейчук ответит на Ваши вопросы об основных настройках ACS 5 и об использование решения в корпоративных сетях для контроля доступа и администрирования устройств.

 

Евгений - инженер центра технической поддержки Cisco в Кракове, работает в группе Security и занимается поддержкой AAA/VPN направлений (технологий виртуалных частных сетей и контроля доступа к сети), а также продуктов/технологий линейки безопасности, что включaет в себя ISE/ACS/802.1x/GETVPN/DMVPN/AC VPN/etc. Обладает сертификатом CCIE SECURITY #43253.

 

Пожалуйста,  не забывайте оценивать ответы Евгения, чтобы он знал, что Вы получили  совет, который Вам помог. Общение может быть продолжено на нашем форуме и после окончании сессии. Сессия продлится до 19 декабря 2014 года.

Мы с нетерпением ждем Вашего участия.       

Теги (5)
11 ОТВЕТ.

Евгений, добрый день.Есть

Евгений, добрый день.

Есть работающий ACS4.1 и резервный ACS5. ACS4.1 используется для централизованной авторизации на коммутаторах Cisco (Tacacs). Как настроить бекапы на существующем ACS4.1, чтобы в случае необходимости оперативно восстановить работу на имеющемся ACS5?

Cisco Employee

Сергей, добрый день.Переход с

Сергей, добрый день.

Переход с 4.1 на 5 является сложным и выполняется в несколько шагов. Подробная инструкция:

http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-1/user/guide/acsuserguide/migrate.html

Порекомендовал бы переходить на ACS 5, так как 4.1 не поддерживается совсем.

 

New Member

Добрый день!Используем ACS 5

Добрый день!

Используем ACS 5.3, все красиво и все хорошо. Но, в какой то момент сервер перестал собирать логи (кто когда авторизовывался, что делал и т.д.) Логи просто перестали вестись. Непонятно почему. Куда копать, что смотреть?

Заранее спасибо.

Cisco Employee

Добрый день,1. Логи перестали

Добрый день,

1. Логи перестали появляться после каких-то событий? Если да то после каких?

2. На Мониторинг ноде во первых убедился бы что все сервисы работают:

Проверить - show application status ACS

3. На 5.3 существует проблема с переполнением /opt директории, которая может привести к таким последствиям;

Проверить - секция "Checking Disk Space..."

New Member

Евгений, добрый день.Возможно

Евгений, добрый день.

Возможно ли в ACS5 организовать ролевое разделение по областям сети.

Т.е. сеть разбита на части и оборудование сгруппировано.

есть администраторы которые имеют доступ только к своей части сети.

возможно ли сделать так что администраторы могли добавлять и удалять оборудование только в своей группе?

Спасибо.

Cisco Employee

Добрый день.Если я правильно

Добрый день.

Если я правильно понял вопрос, речь идет об администраторах ACS, а не об администраторах девайсов. Если это так, то разграничение невозможно.

Мой коллега открыл баг на улучшение этого функционала:

CSCuq37028 EH ACS 5.x granularity with administrator roles

https://tools.cisco.com/bugsearch/bug/CSCuq37028/?reffering_site=dumpcr

 

 

New Member

Добрый день, Евгений. Есть

Добрый день, Евгений. 

Есть вопрос по настройке. Используем в организации ACS-5.3.0 для авторизации на МСЭ ASA-5505 и ASA-5510. Пользователи на ACS локальные. С максимальной привилегией для администрирования МСЭ через ASDM. Появилась необходимость создать пользователей в ACS с привилегией только для просмотра\чтения. Не совсем понятно как задать пользователю в ACS данную привилегию, и получить возможность авторизации на ASDM как пользователь только для чтения.

Cisco Employee

Ответил выше.

Ответил выше.

New Member

Добрый день, Евгений

Добрый день, Евгений.

Используем в организации ACS5.3 для авторизации на ASA-5505 и ASA-5510 через ASDM. Пользователи на  ACS локальные с максимальной привилегией для администрирования через ASDM. Появилась необходимость создать одного локального пользователя ACS с привилегией только на просмотр через ASDM. Не совсем понятно как это сделать.

Спасибо.

Cisco Employee

Добрый день, Андрей

Добрый день, Андрей.

Теоретически это сделать возможно. Вот статья описывающая настройку по шагам:

http://www.laguiadelnetworking.com/allow-only-read-access-to-the-asa-using-a-cisco-acs-5-x-as-the-authentication-server/

 

Вообще я бы предпочел доступ через CLI, и ограничивать привилегии средствами command authorization.

Но тут уже вопрос вкуса :)

New Member

Спасибо большое!)

Спасибо большое!)

458
Просмотры
5
Полезный материал
11
Ответы