Konfigurieren von CSU für UNIX (Solaris)

Download-Optionen

  • PDF     (368.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (186.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (370.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:14. Mai 2009
Dokument-ID:13842

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Cisco Secure ACS für UNIX (CSU) gewährleistet die Sicherheit des Netzwerks und verfolgt die Aktivitäten von Personen, die erfolgreich eine Verbindung mit dem Netzwerk herstellen. Die CSU fungiert als TACACS+- oder RADIUS-Server und verwendet AAA (Authentication, Authorization und Accounting), um die Netzwerksicherheit zu gewährleisten.

CSU unterstützt diese Datenbankoptionen zum Speichern von Gruppen- und Benutzerprofilen sowie Abrechnungsinformationen:

  • SQLAnywhere (in CSU enthalten).

    Diese Version von Sybase SQLAnywhere bietet keine Client/Server-Unterstützung. Sie ist jedoch für die Ausführung wichtiger AAA-Services mit CSU optimiert.

    caution Achtung: Die SQLAnywhere-Datenbankoption unterstützt keine Profildatenbanken mit mehr als 5.000 Benutzern, die Replikation von Profilinformationen zwischen Datenbankstandorten oder die DSM-Funktion (Cisco Secure Distribution Session Manager).

  • Oracle oder Sybase Relational Database Management System (RDBMS)

    Zur Unterstützung von Cisco Secure-Profildatenbanken mit 5.000 oder mehr Benutzern, Datenbankreplikation oder der Cisco Secure DSM-Funktion müssen Sie ein Oracle (Version 7.3.2, 7.3.3 oder 8.0.3)- oder Sybase SQL-Server (Version 11)-RDBMS vorinstallieren, um Ihre Cisco Secure-Profildaten zu speichern. Für die Datenbankreplikation ist nach Abschluss der Cisco Secure Installation eine weitere RDBMS-Konfiguration erforderlich.

  • Das Upgrade einer vorhandenen Datenbank von einer früheren (2.x) Version von CSU.

    Wenn Sie ein Upgrade von einer früheren Version von Cisco Secure 2.x durchführen, aktualisiert das Cisco Secure-Installationsprogramm automatisch die Profildatenbank, sodass sie mit CSU 2.3 für UNIX kompatibel ist.

  • Importieren einer vorhandenen Profildatenbank.

    Sie können vorhandene TACACS+- oder RADIUS-Profildatenbanken oder flache Dateien für diese Version der CSU konvertieren.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Cisco Secure ACS 2.3 für UNIX.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

CSU-Konfiguration

Verwenden Sie diese Verfahren, um CSU zu konfigurieren.

Starten der Cisco Secure Administrator-Schnittstelle

Verwenden Sie dieses Verfahren, um sich beim Cisco Secure Administrator anzumelden.

  1. Starten Sie von einer beliebigen Workstation mit einer Webverbindung zum ACS Ihren Webbrowser.

  2. Geben Sie eine der folgenden URLs für die Cisco Secure Administrator-Website ein:

    • Wenn die Sicherheits-Socket-Layer-Funktion in Ihrem Browser nicht aktiviert ist, geben Sie Folgendes ein: 

      http://your_server/cs

      wobei Ihr_Server der Hostname (oder der vollqualifizierte Domänenname (FQDN), falls Hostname und FQDN unterschiedlich sind) der SPARCstation ist, auf der Sie CSU installiert haben. Sie können auch die IP-Adresse der SPARCstation durch Ihren Server ersetzen.

    • Wenn die Sicherheits-Socket-Layer-Funktion in Ihrem Browser aktiviert ist, geben Sie als Hypertext-Übertragungsprotokoll "https" und nicht "http" an. Eingabe 

      https://your_server/cs

      wobei Ihr_Server der Hostname (oder der FQDN, wenn Hostname und FQDN unterschiedlich sind) der SPARCstation ist, auf der Sie CSU installiert haben. Sie können auch die IP-Adresse der SPARCstation durch Ihren Server ersetzen.

      Hinweis: Bei URLs und Servernamen wird die Groß- und Kleinschreibung beachtet. Sie müssen mit Groß- und Kleinbuchstaben genau wie dargestellt eingegeben werden.

      Die CSU-Anmeldeseite wird angezeigt.

      14a.gif

  3. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein. Klicken Sie auf Senden.

    Hinweis: Der ursprüngliche Standard-Benutzername lautet "superuser". Das ursprüngliche Standardkennwort lautet "changeme". Nach der ersten Anmeldung müssen Sie den Benutzernamen und das Kennwort sofort ändern, um ein Höchstmaß an Sicherheit zu gewährleisten.

    Nach der Anmeldung wird die CSU-Hauptseite mit der Hauptmenüleiste oben angezeigt. Die Hauptmenüseite der CSU wird nur angezeigt, wenn der Benutzer einen Namen und ein Kennwort mit Administratorberechtigungen angibt. Wenn der Benutzer einen Namen und ein Kennwort angibt, die nur über Berechtigungen auf Benutzerebene verfügen, wird ein anderer Bildschirm angezeigt.

    14b.gif

Starten des erweiterten Konfigurationsprogramms

Starten Sie das Java-basierte Cisco Secure Administrator Advanced Configuration-Programm über eine der Webseiten des CSU-Administrators. Klicken Sie in der Menüleiste der CSU-Webschnittstelle auf Erweitert, und klicken Sie dann erneut auf Erweitert.

Das Cisco Secure Administrator Advanced-Konfigurationsprogramm wird angezeigt. Das Laden kann einige Minuten dauern.

14c.gif

Gruppenprofil erstellen

Mit dem Cisco Secure Administrator Advanced Configuration-Programm können Sie Gruppenprofile erstellen und konfigurieren. Cisco empfiehlt die Erstellung von Gruppenprofilen, um detaillierte AAA-Anforderungen für eine große Anzahl ähnlicher Benutzer zu konfigurieren. Verwenden Sie nach dem Definieren des Gruppenprofils die CSU-Webseite "Benutzer hinzufügen", um schnell Benutzerprofile zum Gruppenprofil hinzuzufügen. Die erweiterten Anforderungen, die für die Gruppe konfiguriert wurden, gelten für jeden Mitglied-Benutzer.

Verwenden Sie dieses Verfahren, um ein Gruppenprofil zu erstellen.

  1. Wählen Sie im Cisco Secure Administrator Advanced Configuration-Programm die Registerkarte Members aus. Deaktivieren Sie im Navigationsbereich das Kontrollkästchen Durchsuchen. Das Symbol "Neues Profil erstellen" wird angezeigt.

  2. Führen Sie im Navigationsbereich eine der folgenden Aktionen aus:

    • Um ein Gruppenprofil ohne übergeordnetes Element zu erstellen, suchen Sie das Ordnersymbol [Root], und klicken Sie darauf.

    • Um Ihr Gruppenprofil als untergeordnetes Element eines anderen Gruppenprofils zu erstellen, suchen Sie die gewünschte Gruppe als übergeordnetes Element, und klicken Sie darauf.

    • Wenn es sich bei der Gruppe, die Sie als übergeordnete Gruppe festlegen möchten, um eine untergeordnete Gruppe handelt, klicken Sie auf den Ordner der übergeordneten Gruppe, um sie anzuzeigen.

  3. Klicken Sie auf Neues Profil erstellen. Das Dialogfeld "Neues Profil" wird angezeigt.

  4. Aktivieren Sie das Kontrollkästchen Gruppe, geben Sie den Namen der Gruppe ein, die Sie erstellen möchten, und klicken Sie auf OK. Die neue Gruppe wird im Baum angezeigt.

  5. Weisen Sie nach dem Erstellen des Gruppenprofils TACACS+- oder RADIUS-Attribute zu, um bestimmte AAA-Eigenschaften zu konfigurieren.

    14d.gif

Erstellen eines Benutzerprofils im erweiterten Konfigurationsmodus

Im erweiterten Konfigurationsmodus von Cisco Secure Administrator können Sie ein Benutzerprofil erstellen und konfigurieren. Auf diese Weise können Sie die Autorisierungs- und Abrechnungsattribute des Benutzerprofils detaillierter anpassen, als dies auf der Seite Benutzer hinzufügen möglich ist.

Gehen Sie wie folgt vor, um ein Benutzerprofil zu erstellen:

  1. Wählen Sie im Cisco Secure Administrator Advanced Configuration-Programm die Registerkarte Members aus. Suchen Sie im Navigationsbereich nach Durchsuchen, und heben Sie die Auswahl auf. Das Symbol "Neues Profil erstellen" wird angezeigt.

  2. Führen Sie im Navigationsbereich eine der folgenden Aktionen aus:

    • Suchen Sie die Gruppe, zu der der Benutzer gehört, und klicken Sie auf diese.

    • Wenn der Benutzer keiner Gruppe angehören soll, klicken Sie auf das Ordnersymbol [Root].

  3. Klicken Sie auf Profil erstellen. Das Dialogfeld "Neues Profil" wird angezeigt.

  4. Stellen Sie sicher, dass das Kontrollkästchen Gruppe deaktiviert ist.

  5. Geben Sie den Namen des Benutzers ein, den Sie erstellen möchten, und klicken Sie auf OK. Der neue Benutzer wird in der Struktur angezeigt.

  6. Weisen Sie nach dem Erstellen des Benutzerprofils bestimmte TACACS+- oder RADIUS-Attribute zu, um bestimmte AAA-Eigenschaften zu konfigurieren:

Strategien zum Anwenden von Attributen

Verwenden Sie die CSU-Gruppenprofilfunktion sowie die TACACS+- und RADIUS-Attribute, um die Authentifizierung und Autorisierung von Netzwerkbenutzern über CSU zu implementieren.

Planattribute für Gruppen und Benutzer

Mit der Gruppenprofil-Funktion von CSU können Sie einen gemeinsamen Satz von AAA-Anforderungen für eine große Anzahl von Benutzern definieren.

Sie können einem Gruppenprofil einen Satz TACACS+- oder RADIUS-Attributwerte zuweisen. Diese der Gruppe zugewiesenen Attributwerte gelten für jeden Benutzer, der Mitglied ist oder als Mitglied dieser Gruppe hinzugefügt wird.

Effektive Nutzung der Gruppenprofil-Funktion

Um die CSU so zu konfigurieren, dass eine große Anzahl von Benutzern und verschiedene Benutzertypen mit komplexen AAA-Anforderungen verwaltet werden, empfiehlt Cisco, die Funktionen des Cisco Secure Administrator Advanced Configuration-Programms zum Erstellen und Konfigurieren von Gruppenprofilen zu verwenden.

Das Gruppenprofil muss alle Attribute enthalten, die nicht benutzerspezifisch sind. Dies bedeutet in der Regel alle Attribute mit Ausnahme des Kennworts. Auf der Seite "Benutzer hinzufügen" des Cisco Secure Administrator können Sie einfache Benutzerprofile mit Kennwortattributen erstellen und diese Benutzerprofile dem entsprechenden Gruppenprofil zuweisen. Die Funktionen und Attributwerte, die für eine bestimmte Gruppe definiert sind, gelten dann für die zugehörigen Benutzer.

Übergeordnete und untergeordnete Gruppen

Sie können eine Hierarchie von Gruppen erstellen. Innerhalb eines Gruppenprofils können Sie untergeordnete Gruppenprofile erstellen. Attributwerte, die dem übergeordneten Gruppenprofil zugewiesen sind, sind Standardwerte für die untergeordneten Gruppenprofile.

Verwaltung auf Gruppenebene

Ein Cisco Secure System-Administrator kann einzelnen Cisco Secure Users den Gruppenadministratorstatus zuweisen. Der Gruppenadministratorstatus ermöglicht es einzelnen Benutzern, alle untergeordneten Gruppenprofile und Benutzerprofile zu verwalten, die ihrer Gruppe untergeordnet sind. Es erlaubt ihnen jedoch nicht, Gruppen oder Benutzer zu verwalten, die außerhalb der Hierarchie ihrer Gruppe liegen. Der Systemadministrator teilt daher die Aufgabe, ein großes Netzwerk zu verwalten, mit anderen Personen auf, ohne jedem von ihnen die gleiche Autorität zu gewähren.

Welche Attribute definiere ich für einzelne Benutzer?

Cisco empfiehlt, dass Sie einzelnen Benutzern grundlegende Authentifizierungsattributwerte zuweisen, die für den Benutzer eindeutig sind, z. B. Attribute, die Benutzername, Kennwort, Kennworttyp und Webberechtigung definieren. Weisen Sie den Benutzern über die CSU-Seiten "Benutzer bearbeiten" oder "Benutzer hinzufügen" grundlegende Authentifizierungsattributwerte zu.

Welche Attribute werden für Gruppenprofile definiert?

Cisco empfiehlt, auf Gruppenebene qualifikations-, autorisierungs- und abrechnungsbezogene Attribute zu definieren.

14e.gif

In diesem Beispiel werden dem Gruppenprofil mit dem Namen "Dial-In Users" die Attribut-Wert-Paare Frame-Protocol=PPP und Service-Type=Framed zugewiesen.

Was sind absolute Attribute?

Einem Teil der TACACS+- und RADIUS-Attribute in CSU kann auf Gruppenprofilebene der absolute Status zugewiesen werden. Ein Attributwert, der auf Gruppenprofilebene für den absoluten Status aktiviert ist, überschreibt alle konkurrierenden Attributwerte auf Ebene eines untergeordneten Gruppenprofils oder eines Mitglieds-Benutzerprofils.

In mehrstufigen Netzwerken mit mehreren Ebenen von Gruppenadministratoren ermöglichen absolute Attribute einem Systemadministrator, ausgewählte Gruppenattributwerte festzulegen, die Gruppenadministratoren auf niedrigeren Ebenen nicht überschreiben können.

Attribute, denen ein absoluter Status zugewiesen werden kann, werden im Feld "Attribute" des Cisco Secure Administrator Advanced Configuration-Programms mit einem Kontrollkästchen "Absolut" angezeigt. Aktivieren Sie das Kontrollkästchen, um den absoluten Status zu aktivieren.

14f.gif

Können Gruppenattributwerte und Benutzerattributwerte miteinander in Konflikt geraten?

Die Konfliktlösung zwischen den Attributwerten, die den übergeordneten Gruppenprofilen, untergeordneten Gruppenprofilen und Mitgliederbenutzerprofilen zugewiesen werden, hängt davon ab, ob die Attributwerte absolut sind und ob es sich um TACACS+- oder RADIUS-Attribute handelt:

  • TACACS+- oder RADIUS-Attributwerte, die einem Gruppenprofil mit absolutem Status zugewiesen sind, überschreiben alle konkurrierenden Attributwerte, die auf einer untergeordneten Gruppen- oder Benutzerprofilebene festgelegt sind.

  • Wenn der absolute Status eines TACACS+-Attributwerts auf Gruppenprofilebene nicht aktiviert ist, wird er von einem konkurrierenden Attributwert überschrieben, der auf einer untergeordneten Gruppen- oder Benutzerprofilebene festgelegt ist.

  • Wenn der absolute Status eines RADIUS-Attributwerts auf der Ebene der übergeordneten Gruppe nicht aktiviert ist, führen konkurrierende Attributwerte, die auf einer untergeordneten Gruppe festgelegt werden, zu einem unvorhersehbaren Ergebnis. Wenn Sie RADIUS-Attributwerte für eine Gruppe und ihre Mitglieder definieren, vermeiden Sie, dass dem Benutzer- und Gruppenprofil dasselbe Attribut zugewiesen wird.

Verwenden der Verbots- und Genehmigungsoptionen

Überschreiben Sie für TACACS+ die Verfügbarkeit geerbter Dienstwerte, indem Sie dem Schlüsselwort offer oder permit die Dienstspezifikation voranstellen. Das permit-Schlüsselwort lässt bestimmte Dienste zu. Das Schlüsselwort ban lässt bestimmte Dienste nicht zu. Zusammen mit diesen Schlüsselwörtern können Sie "alles außer" Konfigurationen erstellen. Diese Konfiguration ermöglicht beispielsweise den Zugriff von allen Diensten mit Ausnahme von X.25: 

default service = permit
prohibit service = x25

Zuweisen von TACACS+-Attributen zu einer Gruppe oder einem Benutzerprofil

Um einer Gruppe oder einem Benutzerprofil bestimmte TACACS+-Dienste und -Attribute zuzuweisen, gehen Sie wie folgt vor:

  1. Wählen Sie im Cisco Secure Administrator Advanced Configuration-Programm die Registerkarte Members aus. Klicken Sie im Navigatorbereich auf das Symbol für die Gruppe oder das Benutzerprofil, der bzw. dem die TACACS+-Attribute zugewiesen sind.

  2. Klicken Sie ggf. im Profilbereich auf das Profil-Symbol, um es zu erweitern.

    Im Fenster unten rechts auf dem Bildschirm wird eine Liste oder ein Dialogfeld mit den Attributen angezeigt, die auf das ausgewählte Profil oder den ausgewählten Service anwendbar sind. Die Informationen in diesem Fenster ändern sich je nachdem, welches Profil oder welchen Service Sie im Profilbereich auswählen.

  3. Klicken Sie auf den Dienst oder das Protokoll, den bzw. das Sie hinzufügen möchten, und klicken Sie auf Apply. Der Service wird dem Profil hinzugefügt.

  4. Geben Sie den gewünschten Text im Attributfenster ein, oder wählen Sie ihn aus.

    Gültige Einträge werden im Abschnitt Strategien zur Attributanwendung des CSU 2.3 for UNIX Reference Guide erläutert.

    Hinweis: Wenn Sie einen Attributwert auf Gruppenprofilebene zuweisen und das von Ihnen angegebene Attribut ein Kontrollkästchen Absolut anzeigt, aktivieren Sie dieses Kontrollkästchen, um den Wert als absoluten Status zuzuweisen. Ein absoluter Status, dem ein Wert zugewiesen wurde, kann nicht durch konkurrierende Werte überschrieben werden, die auf untergeordneten Gruppenprofilebenen oder auf Benutzerprofilebenen zugewiesen wurden.

  5. Wiederholen Sie die Schritte 1 bis 6 für jeden zusätzlichen Dienst oder jedes zusätzliche Protokoll, das Sie hinzufügen müssen.

  6. Wenn Sie alle Änderungen vorgenommen haben, klicken Sie auf Senden.

    14g.gif

Zuweisen von RADIUS-Attributen zu einer Gruppe oder einem Benutzerprofil

So weisen Sie einer Gruppe oder einem Benutzerprofil bestimmte RADIUS-Attribute zu:

  1. Weisen Sie dem Gruppenprofil ein RADIUS-Wörterbuch zu:

    1. Klicken Sie im Cisco Secure Administrator Advanced Configuration-Programm auf der Seite Mitglieder auf das Symbol Gruppe oder Benutzer und anschließend auf das Symbol Profil im Bereich Profile. Im Bereich "Attribute" wird das Menü "Optionen" angezeigt.

    2. Klicken Sie im Menü Optionen auf den Namen des RADIUS-Wörterbuchs, das die Gruppe oder der Benutzer verwenden soll. (Beispiel: RADIUS - Cisco.) Klicken Sie auf Apply (Anwenden).

      14h.gif

  2. Fügen Sie dem RADIUS-Profil die erforderlichen Kontrollkästchen und Antwortattribute hinzu:

    Hinweis: Check-Elemente sind Attribute, die für die Authentifizierung erforderlich sind, z. B. Benutzer-ID und Kennwort. Antwortattribute sind Attribute, die an den Network Access Server (NAS) gesendet werden, nachdem das Profil die Authentifizierungsprozedur bestanden hat, z. B. Framed-Protocol. Listen und Erläuterungen zu Check Items und Reply Attributes finden Sie im RADIUS Attribute-Value Pairs and Dictionary Management in CSU 2.3 for UNIX Reference Guide.

    1. Klicken Sie im Profilfenster auf das Ordnersymbol RADIUS - dictionaryname. (Sie müssen wahrscheinlich auf das +-Symbol des Profils klicken, um den Ordner RADIUS zu erweitern.) Die Optionen "Artikel prüfen" und "Attribute antworten" werden im Fenster "Attributgruppe" angezeigt.

    2. Um eines oder mehrere dieser Attribute zu verwenden, klicken Sie auf die gewünschten Attribute und anschließend auf Anwenden. Sie können mehrere Attribute gleichzeitig hinzufügen.

    3. Klicken Sie auf das Symbol + für das RADIUS - dictionaryname, um den Ordner zu erweitern.

      Hinweis: Wenn Sie die Option RADIUS-Cisco11.3 auswählen, stellen Sie sicher, dass Cisco IOS® Software Release 11.3.3(T) oder höher auf Ihren NAS-Verbindungsgeräten installiert ist, und fügen Sie Ihren NAS-Konfigurationen neue Befehlszeilen hinzu. Weitere Informationen finden Sie im Referenzhandbuch zur vollständigen Aktivierung des RADIUS-Cisco11.3-Wörterbuchs in CSU 2.3 für UNIX.

  3. Geben Sie Werte für die hinzugefügten Scheck- und Antwortattribute an:

    caution Achtung: Beim RADIUS-Protokoll ist Vererbung additiv und nicht hierarchisch. (Das Protokoll TACACS+ verwendet eine hierarchische Vererbung). Wenn Sie z. B. den Benutzer- und Gruppenprofilen die gleichen Antwortattribute zuweisen, schlägt die Autorisierung fehl, da das NAS-Gerät doppelt so viele Attribute erhält. Es macht keinen Sinn für die Antwortattribute. Weisen Sie dem Gruppen- und Benutzerprofil nicht dasselbe Kontrollkästchen- oder Antwortattribut zu.

    1. Klicken Sie auf Artikel oder Antwortattribute, oder klicken Sie auf beide. Unten rechts wird eine Liste der zutreffenden Werte für Scheck- und Antwortattribute angezeigt. Klicken Sie auf das Symbol +, um den Ordner zu erweitern.

    2. Klicken Sie auf die Werte, die Sie zuweisen möchten, und klicken Sie dann auf Übernehmen. Weitere Informationen zu den Werten finden Sie unter RADIUS Attribute-Value Pairs and Dictionary Management in CSU 2.3 for UNIX Reference Guide.

      Hinweis: Wenn Sie einen Attributwert auf Gruppenprofilebene zuweisen und das von Ihnen angegebene Attribut ein Kontrollkästchen "Absolut" anzeigt, aktivieren Sie dieses Kontrollkästchen, um den Wert "Absolut" zuzuweisen. Ein absoluter Status zugewiesener Wert kann nicht durch konkurrierende Werte überschrieben werden, die auf untergeordneten Gruppenprofil- oder Benutzerprofilebenen zugewiesen sind.

    3. Wenn Sie alle Änderungen vorgenommen haben, klicken Sie auf Senden.

      14i.gif

  4. Um eines oder mehrere dieser Attribute zu verwenden, klicken Sie auf die gewünschten Attribute und anschließend auf Anwenden. Sie können mehrere Attribute gleichzeitig anwenden.

Zugriffskontrolle-Berechtigungsebenen zuweisen

Der Superuser-Administrator weist Cisco Secure-Benutzern mithilfe des Web-Berechtigungsattributs eine Berechtigungsstufe für die Zugriffskontrolle zu.

  1. Klicken Sie im Cisco Secure Administrator Advanced Configuration-Programm auf den Benutzer, dessen Zugriffskontrollberechtigung Sie zuweisen möchten, und klicken Sie dann im Bereich "Profile" auf das Profilsymbol.

  2. Klicken Sie im Menü Optionen auf Web Privilege, und wählen Sie einen dieser Werte aus.

    • 0 - Verweigert dem Benutzer Zugriffsberechtigungen, darunter die Möglichkeit, sein Cisco Secure-Kennwort zu ändern.

    • 1 - Gewährt dem Benutzer Zugriff auf die CSUser-Webseite. Dadurch können Benutzer von Cisco Secure ihre Cisco Secure Passwörter ändern. Weitere Informationen zum Ändern von Kennwörtern finden Sie unter Funktionen auf Benutzerebene (Ändern eines Kennworts) in der einfachen Benutzer- und ACS-Verwaltung.

    • 12 - Gewährt Administratorberechtigungen für Benutzergruppen.

    • 15 - Gewährt dem Benutzer Systemadministratorberechtigungen.

    Hinweis: Wenn Sie eine andere Web-Privilegoption als 0 auswählen, müssen Sie auch ein Kennwort angeben. Um die Anforderungen für das Web-Privileg-Passwort zu erfüllen, ist ein einziger Leerraum minimal zulässig.

CSU starten und anhalten

Normalerweise startet CSU automatisch, wenn Sie die SPARCstation starten oder neu starten, auf der sie installiert ist. Sie können die CSU jedoch manuell starten oder herunterfahren, ohne die gesamte SPARCStation herunterzufahren.

Melden Sie sich als [Root] bei der SPARCStation an, auf der Sie CSU installiert haben.

Um die CSU-Anfrage manuell zu starten, geben Sie Folgendes ein:

# /etc/rc2.d/S80CiscoSecure

Geben Sie Folgendes ein, um die CSU-Anfrage manuell zu beenden: 

# /etc/rc0.d/K80CiscoSecure

Überprüfung

Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
10-Dec-2001
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren