Comprensión del acceso Admin y de lasdirectivas RBAC en el ISE Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosConfigurarConfiguraciones de la autenticaciónGrupos Admin de la configuraciónUsuarios administradores de la configuraciónPermisos de la configuraciónDirectivas de la configuración RBACConfiguraciones de la configuración para el acceso Admin 

Introducción

Este documento describe las características en el ISE para manejar el acceso administrativo en elmotor del servicio de la identidad (ISE).

Prerequisites

Requisitos

La información en este documento se basa en la versión 2.1 del motor del servicio de la identidad

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

2.1 del motor del servicio de la identidad●

Servicios de Active Directory en el r2 2008 del Servidor Windows●

Configurar

Configuraciones de la autenticación

Necesidad de Usuarios administradores de autenticarse antes de acceder cualquier informaciónsobre el ISE. La identidad de los Usuarios administradores se puede verfied usando el almacéninterno de la identidad o un almacén externo de la identidad. La autenticidad se puede verificar

por una contraseña o un certificado. Para configurar estas configuraciones, navegue a laadministración > al acceso > a la autenticación Admin.

El motor del servicio de la identidad no permite configurar la política de contraseña para elcomando line interface(cli) del CLI. La política de contraseña para el Interfaz gráfica del usuario(GUI) y el CLI se puede configurar solamente vía el GUI del ISE. Para configurar esto, navegar ala administración > al acceso > a la autenticación Admin y navegar a la lengueta de la política decontraseña.

El ISE tiene una disposición de inhabilitar a un Usuario administrador inactivo. Para configuraresto, navegar a la administración > al acceso > a la autenticación Admin y navegar a la lenguetade la directiva de la neutralización de la cuenta.

Para manejar el acceso administrativo, hay necesidad de los grupos de administración, de losusuarios y de las diversas directivas, las reglas de controlar y de manejar los privilegios.

Grupos Admin de la configuración

Navegue a la administración > al acceso Admin > a los administradores > a los grupos Adminpara configurar a los Grupos del administrador. Hay pocos grupos que se incorporan porabandono y no pueden ser borrados.

Una vez que crean a un grupo, los usuarios administradores pueden ser agregados a ese gruposeleccionando al grupo y haciendo clic en edite. Hay disposición de asociar a los grupos externosde la identidad a los grupos Admin en el ISE de modo que un Usuario administrador externoconsiga los permisos requeridos. Para configurar esto, seleccione el tipo como externo mientrasque agrega al usuario.

Configure a los Usuarios administradores

Para configurar a los Usuarios administradores, navegue a la administración > al acceso > a losadministradores > a los Usuarios administradores Admin.

Haga clic en Add (Agregar). Hay dos opciones a elegir de. Uno es agregar a un usuario nuevo enconjunto. El otro es hacer un usuario de la red es decir, a un usuario configurado como usuariointerno para acceder la red/los dispositivos, como admin.

Después de seleccionar una opción, los detalles requeridos deben ser proporcionados y el grupode usuarios debe ser seleccionado sobre la base de quien los permisos y los privilegios al usuariose dan.

Permisos de la configuración

Hay dos clases de permisos que se puedan configurar para un grupo de usuarios.

Acceso del menú1.Acceso de datos2.

Controles de acceso del menú la visibilidad navegacional en el ISE. Hay dos opciones para cadalengueta, muestra u oculta, que puede ser configurada. Una regla de acceso del menú se puedeconfigurar para mostrar o para ocultar las lenguetas seleccionadas.

Los controles de acceso de los datos leer/acceso de la capacidad/modifican los datos de laidentidad sobre el ISE. El permiso de acceso se puede configurar solamente para los gruposAdmin, los grupos de la identidad, los grupos del punto final y los grupos de dispositivos de red.Hay tres opciones para estas entidades en el ISE que puede ser configurado. Son acceso de totalacceso, del read only y ningún acceso. Una regla del acceso de datos se puede configurar paraelegir una de estas tres opciones para cada lengueta en el ISE.

Las directivas del acceso del menú y de un acceso de datos deben ser creadas antes de quepuedan ser aplicadas a cualquier admin group. Hay pocas directivas que son incorporadas porabandono pero pueden ser personalizadas siempre o un nuevo puede ser creado.

Para configurar una política de acceso del menú, navegue a la administración > al acceso Admin

> a la autorización > a los permisos > al acceso del menú.

Haga clic en Add (Agregar). Cada opción navegacional en el ISE se puede configurar para sermostrado/para ser ocultado en una directiva.

Para configurar la directiva del acceso de datos, navegue a la administración > al acceso > a laautorización > a los permisos > al acceso de datos Admin.

El tecleo agrega para crear una nueva directiva para configurar los permisos para acceder losgrupos del /Network Admin/de la identidad/de Edpoint.

Directivas de la configuración RBAC

El papel de la significa RBAC basó el control de acceso. El papel (admin group) a las cuales unusuario pertenece se puede configurar para utilizar las directivas deseadas del menú y del accesode datos. Puede haber directivas múltiples RBAC configuradas para un solo papel o los papelesmúltiples se pueden configurar en una sola directiva para acceder el menú y/o los datos. Todasesas directivas aplicables serán evaluadas cuando un Usuario administrador intenta realizar unaacción. La decisión final será el agregado de todas las directivas aplicables para ese papel. Si haylas reglas contridictory que permiten y niegan al mismo tiempo, la regla del permiso reemplazarála regla de la negación.

Duplicar/separador de millares/cancelación de las acciones del tecleo una directiva.

Note: Sistema-creado y las políticas predeterminadas no pueden ser actualizadas, y laspolíticas predeterminadas no pueden ser borradas.

Note: Los permisos múltiples del menú/de acceso de datos no se pueden configurar en unasola regla.

Configuraciones de la configuración para el acceso Admin 

Además de las directivas RBAC, hay pocas configuraciones que pueden ser configuradas queson comunes a todos los Usuarios administradores.

Para configurar el número de sesiones máximas permitidas, los banners del PRE-login y delPoste-login para el GUI y el CLI, navegan a la administración > al acceso > a las configuraciones> al acceso Admin.

Para configurar la lista de IP Addresses de la cual el GUI y el CLI pueden ser accedidos, navegara la administración > al acceso > a las configuraciones > al acceso Admin y navegar a la lenguetadel IP Access.

Para configurar el descanso debido a la inactividad para una sesión, navegue a la administración> al acceso > a las configuraciones > a la sesión Admin.

Para ver/invalide a las sesiones activas actuales, navegue a la administración > al acceso > a lasconfiguraciones > a la sesión Admin y haga clic la lengueta de la información de la sesión.