Configuración de Cisco ACS 5

Configuración de Cisco ACS 5.3 junto con Active Directory



Tecnologías de red , red , Cisco



Tutorial



Cisco ACS (Servidor de control de acceso) es un sistema para la autenticación centralizada, la autorización y la contabilidad del usuario en todo tipo de equipos, en particular, en equipos de red activos de varios fabricantes Tener ener bast bastant ante e e!per e!perie ienc ncia ia como como admi admini nist stra rador dor de sist sistem emas as en una una gran gran empr empresa esa de segm segment ento o empresarial llegó a la conclusión de que cada administrador de sistemas idealmente debería tener una cuenta para autorizar todos los recursos que necesita" necesita" equipos de red, servidores, servidores, estaciones estaciones de traba#o, traba#o, etc $sto se debe a cómo con la comodidad de la administración y con seguridad $n el caso del despido de una persona, solo puede tener una cuenta en una bóveda y perder acceso a todo %ero no &ay casos ideales, como sabes $n este artículo, intentaremos acercarnos al ideal y configurar la autorización de los usuarios en los equipos de red activos utilizando una cuenta de Active 'irectory $ntonces, en nuestra red  campus" dos usuarios y servidores 'e acuerdo con la estructura del campus de construcción, los dispositivos de red se dividen en grupos" capa de acceso, capa de distribución, capa central %or separado, &ay un grupo de borde para la admi dminis nistrac ración de $dge" ge" enr enrutado adores de borde rde, firea ealls, puert ertas de enl enlace *%+, etc etc  A los administradores se les otorgan permisos basados en políticas de acceso #errquico -os administradores con poca e!periencia laboral solo pueden traba#ar con &ardare de nivel de acceso y un campus personalizado no crítico Con la adquisición de e!periencia, los administradores reciben permisos en el nivel de acceso de la gran#a de servidores servidores Al Al mismo tiempo, tambi.n tambi.n pueden traba#ar con el equipo del usuario $l siguiente modelo se usa para diferenciar diferenciar el acceso -a estructura de autoridad se muestra muestra en la figura"

Cada rea rectangular es la autoridad de &ardare que se otorga a un grupo específico de administradores

Configurando el Servidor ACS

'espu.s 'espu.s de descarg descargar ar desde desde el rastrea rastreador dor de torrent torrents s compran comprando do un nuevo nuevo &arda &ardare re Cisco Cisco //01 y la instalación inicial, llegamos a la pgina de inicio de sesión y la contrase2a"

3ngresamos el nombre de usuario y la contrase2a, que son martillados durante la instalación y llegamos a la pgina de inicio"

Recursos de red

-a sección 4ecursos de red describe las ubicaciones, tipos de dispositivos y, de &ec&o, los propios dispositivos %rimero, debemos describir los dispositivos que se conectarn al servidor *aya a la sección 4ecursos de red 5 6bicación y cree al menos  ubicaciones de dispositivo" Campus /, Campus 0, 7ran#a de servidores"

$n la secc secció ión n Tipo ipo de dis disposi posittivo, ivo, crea creamo mos s 'istribution-ayerSitc&es,



tipo tipos s de disp dispos osiitivo tivos" s" Acce Access ss-a -aye yerS rS itc& itc&es es,, Core-ayerSitc&es

 A continuación, en la sección 'ispositivos de red y Clientes AAA, describimos las direcciones 3% de los dispositivos y los vinculamos a ubicaciones y tipos Cisco ACS puede usar tacacs 8 y 8 y punciones de radio  +uestros dispositivos funcionarn en el protocolo Tacacs 8, pongan un tic9 frente a Tacacs 8 $n el campo Secreto compartido, mane#a la tecla

-a configuración de la sección 4ecursos de red a&ora est completa Usuarios y tiendas de identidad

%asemos a configurar los enlaces de Active 'irectory Abra la sección 6suarios e 3dentity Stores 5 $!ternal 3dentity Stores 5 Active 'irectory -lena los campos %ara conectarse a A', se requiere una cuenta de administrador de dominio %or qu. : +o s. Con la cuenta del usuario ordinario no funciona

-a

pesta2a

7rupos

de

directorios

se

une

a

grupos

de

Active

'irectory

-a pesta2a Atributos de directorio es necesaria para configurar políticas para un usuario específico

-a configuración de un paquete con A' a&ora est completa Elementos de poltica

%asemos a configurar los elementos de política Crea un perfil de acceso completo al dispositivo %ara &acerlo, en la sección $lementos de política, dirí#ase al grupo Autorizaciones y permisos 5 Administración de dispositivos 5 %erfiles de s&ell Cree un perfil de acceso completo $n la pesta2a Tareas comunes, establezca los privilegios m!imos"

;aga clic en $nviar Todo, la configuración del perfil est terminada !olticas de acceso

'irectamente, las

políticas

de

acceso

se

configuran en la

sección

%olíticas de

acceso

$n primer lugar, debe crear una política para traba#ar con Active 'irectory ;aga clic en el enlace Servicios de acceso y cree una nueva política de acceso"

%onemos

0

marcas

de

identidad

y

autorización

 A continuación, debe especificar en qu. política de acceso traba#arn los dispositivos ;aga clic en el enlace 4eglas de selección de servicios Creamos una regla seg
'e acuerdo con esta regla, todos los dispositivos que soliciten datos a trav.s del protocolo tacacs 8 sern procesados por la política creada anteriormente *amos directamente a configurar políticas de acceso $l elemento 3dentity configura el origen de la cuenta Seleccione Active 'irectory -a autorización especifica reglas para la autorización del usuario 'e manera predeterminada, las columnas que necesitamos no estn disponibles, deben activarse &aciendo clic en el botón %ersonalizar

-a sección %ersonalizar resultados selecciona las opciones posibles para el perfil de línea de comando y el

con#unto

de

%ara

crear

comandos una

$n

nuestro

regla,

caso, &aga

solo clic

se

usa en

un

con#unto el

de

botón

comandos Crear

%usimos tics y condiciones $lemento A'/" mail+ic9name es necesario si la regla est configurada con un enlace a un nombre de usuario específico, en lugar de a todo el grupo  A continuación, debe configurar las reglas de acuerdo con la primera imagen Ejemplos de configuración de tacacs " autori#aciones en dispositivos Cisco y $UA%E&

-a autorización pasa a trav.s del servidor tacacs, si no est disponible, pero las cuentas locales estn marcadas

Cisco" = tacacs:server &ost //// tacacs:server 9ey >?ecret9ey@ = aaa ne:model aaa aut&entication login default group tacacs8 local aaa aut&entication enable default group tacacs8 enable aaa aut&orization e!ec default group tacacs8 local if:aut&enticated aaa aut&orization commands 1 / group tacacs8 local aaa accounting send stop:record aut&entication failure aaa accounting e!ec default start:stop group tacacs8 aaa accounting commands 1 / start:stop group tacacs8 aaa accounting connection default start:stop group tacacs8 = ;6AB$3" = &tacacs:server template &t &tacacs:server aut&entication //// &tacacs:server aut&orization //// &tacacs:server accounting //// &tacacs:server s&ared:9ey cip&er >?ecret9ey@ = aaa aut&entication:sc&eme default aut&entication:sc&eme l& aut&entication:mode &tacacs local aut&entication: super &tacacs super aut&orization:sc&eme default aut&orization:sc&eme &tacacs aut&orization:cmd  &tacacs aut&orization:mode &tacacs accounting:sc&eme default accounting:sc&eme &tacacs accounting:mode &tacacs accounting start:fail online accounting realtime  recording:sc&eme sc&eme1 recording:mode &tacacs &t cmd recording:sc&eme sc&eme1 outbound recording:sc&eme sc&eme1 system recording:sc&eme sc&eme1 domain default domain default>admin domain &uaei aut&entication: sc&eme l& accounting:sc&eme &tacacs aut&orization:sc&eme &tacacs &tacacs:server &t = uniper S4D (&ubrouse m1ps )" set system aut&entication:order tacplus set system tacplus:server /1/1/1/ secret E9eyF set system tacplus:server /1/1/1/ source:address /G0/HI// set system accounting events login set system accounting events c&ange:log set system accounting events interactive:commands set system accounting destination tacplusset system login user 4$JKT$>S6 full:name ETacacs8 template for remote S6 accessF set system login user 4$JKT$>S6 class super:user  A continuación, en %erfiles de S&ell, creamos un perfil uniperLullAccess en los Atributos personalizados, de los cuales creamos un atributo denominado local:user:name y el valor es el nombre de la plantilla de perfil de usuario (en mi e#emplo, 4$JKT$>S6)  A&ora vaya a %olíticas de acceso y cree una regla apropiada en el men< de Autorización, seg
◆

 

MNu.

es

Cisco

Secure

ACSO

Cisco Secure ACS es un servidor de control de acceso que admite m
8

 ACS ! es la
'escripción general de Cisco Secure ACS !

Características de ACS !

'escripción

Jodelo de política basado en Aplicación de política fle!ible por modelo de política de atributo de reglas modelo de regla 3ntegración de monitoreo, informes 3ntegración de la función de salida de registro durante la y registro monitorización, la generación de informes y la resolución de problemas Je#ora de la colaboración e!terna

Cooperación me#orada de autenticación e!terna como Active 'irectory, -'A% y base de datos de políticas

4eplicación diferencial

-a sincronización entre la mquina primaria y secundaria se e#ecuta con actualización diferencial

Soporte para diferentes

0

plataformas 'ispositivo de &ardare basado en -inu! o dispositivo virtual de *Jare

◆

$specificación

Cisco

Secure

ACS



◆ $specificación del dispositivo Cisco //0/ Secure ACS 

Componente

$specificación

C%6

3ntel Deon 0HH 7;z N G11 (cuatro n
Jemoria del sistema

 7U ''4 33 $CC

'isco duro

0 D 01 7U V0 Q 4%J  pulgadas SATA

 Almacenamiento óptico

'*':4KJ

3nterface

 /1/11/111, interfaz 4:

%uerto de $  S

%uerto serie ! /, 6SU 01 !  (Lrente ! 0, Atrs ! 0), *ideo S*7A

'imensiones (/ 46)   cm (anc&o) ! ,G (profundidad) ! , (altura) cm  //,1 (mínimo) a /0,V 9g %eso (m!imo) Capacidad de potencia

/ B Cambio automtico de propósito general

◆ 4equisitos mínimos para Cisco Secure ACS  para *Jare

Componente

$specificación

-a versión de *Jare

*Jare $SD /, i / o 1

KS

-inu!

C%6

0 C%6 (C%6 doble, Deon, Core 0 'uo o 0 C%6 individuales)

Jemoria del sistema

 7 U 4A J

4equisitos del disco duro

-a configuración de usuario de H1 a V1 7U es posible (recomendado" /1 7U o ms)

3nterface

/ 7bps

◆ Lunciones de Cisco Secure ACS D

Lunción

Cisco //0/ Secure ACS D

%rotocolo compatible AAA 4A'36S, TACACS 8 Lunción pro!y

4A'36S, TACACS 8

%rotocolo autenticación

de  ASC33  %A%, JSC;A%v/  JSC;A%v0, C;A%

%rotocolo autenticación ($A%)

de $A%:J' , -$A%, %$A% ($A%:7TC), $A%:LAST, $A%:JSC;A%v 0, $A%:T-S, %$A%:T-S

Uase de datos autenticación

de  ACS -ocal 'U, A', -'A%, Kne Time %ass (4SA Secur3', 4A'36S)

Capacidad

'escripción

Uase de datos local ACS" 11,111 usuarios  dispositivo AAA" 1,111 unidades

general

de

Cisco

Secure

ACS

!

$l men< de configuración de ACS ! est en el lado izquierdo como se muestra a continuación $n ACS !,

establezca

de

acuerdo

con

este

men<

de

configuración

Como en el orden de men<, (/) Crear recursos de red 5 (0) Configuración de 3dentity Stores (vinculación de

Active

'irectory)

5

③ Configuración de los elementos de política 5 setting Configuración de las políticas de acceso 5 ⑤ $misión

o

instalación

del

certificado

 Aquí, primero presentaremos una tabla comparativa cuyo men< de configuración de ACS ! corresponde al

men<

de

configuración

de

ACS

!

Como se muestra a continuación, ACS ! se compara con ACS !, puede ver que la #erarquía de los men
 ACS !

ACS !

4ecursos de red

Configuración de red Configuración de usuario

6suarios y tiendas de identidad

Configuración grupal Uases de datos de usuario e!terno Configuración de usuario

$lementos de política

Configuración grupal Componentes de perfil compartido

%olíticas de acceso

Configuración grupal Uases de datos de usuario e!terno

%erfiles de acceso a la red Configuración del sistema  Administración del sistema Control de administración

$l resumen de cada men< de ACS ! es el siguiente

 ACS !

'escripción $nrutador Cisco o cliente Catalyst AAA (cliente 4adius o Tacacs 8 cliente) Jen< para registrarse $l cliente AAA almacena información de ubicación (ubicación

4ecursos de red

del

dispositivo)

y

tipo

de

dispositivo

(tipo

de

dispositivo)

Se puede clasificar en dos atributos 7eneralmente, el orden de generación es Tipo de ubicación 5 Tipo de dispositivo 5 Cliente AAA Jen< para registrar la base de datos que se utilizar para la autenticación Al usar la base

de

datos

interna

de

ACS

%ara usar bases de datos e!ternas como 3nternal 3dentity Store y Active 'irectory 6suarios y Tiendas de identidad $stablecer en el Almac.n de identidad e!terna $n el caso de la tienda interna, el atributo

del

usuario

puede

ser

reglas

de

acceso

Tambi.n es posible establecerlo como referencia en la política  Asignación dinmica de *-A+, descargue el men< AC- para establecer la información

de

autorización

despu.s

de

la

autenticación

$lementos de política -os atributos especificados a los que se &ace referencia en Active 'irectory tambi.n pueden ser gestionados por $lementos de política

6n men< de configuración que realiza autenticación (Autenticación) y autorización (Autorización) Uasado en los contenidos de la solicitud de autenticación 'ecida el servicio de acceso de acuerdo con la regla de selección Uasado en las %olíticas de acceso

reglas

de

identidad

en

el

Servicio

de

acceso

'etermine el Almac.n de identidades para usar para la autenticación Linalmente despu.s de la autenticación e!itosa Uasado en las reglas de Autorización 'etermine el perfil de autorización para otorgar  Administración sistema

del Copia de seguridad de configuración, emisión de autocertificados de ACS, configuración de duplicación, etc Jen< de administración del sistema

$l flu#o de procesamiento de la política de acceso de Cisco

Secure

ACS

es

el

siguiente

%or
 un

protocolo

para

acceder

3% a

la

base

de

datos

del

directorio

en

la

red

 A' (Active 'irectory) es el nombre del servicio del servicio de directorio de Jicrosoft que utiliza -'A% $l servidor -'A% tiene softare comercial para A' a partir de softare abierto como Kpen-'A%, pero A'

es la empresa ms utilizada Cuando se usa A' para el servicio de directorio, se usa el t.rmino A', pero en una configuración que usa -'A% que no sea A', a menudo se escribe como Pservidor -'A%P ◆

3nstalación

de

Cisco

Secure

ACS

:

%atc&

$l softare de ACS / es de apro!imadamente H11 JU, que es considerablemente ms grande que el 3KS

de

enrutadores

e

interruptores,

$l parc&e tambi.n es de buen tama2o Adems, se requiere el reinicio de ACS al instalar o eliminar  parc&es de ACS %rimero, descargue el
 A continuación , crear. un nuevo repositorio de LT%  6semos LT% ya que este traba#o de instalación de parc&es no funciona bien cuando se realiza con TLT% -a pantalla de configuración es la siguiente, PAdministración

⇒

Seleccione

del PCrearP

sistemaP en

⇒  P4epositorios

PKperacionesP de

softareP

 Active el servidor LT% en la %C de administración de /G0/HI1/ y configure los contenidos anteriores configurados por nombre de usuario" cisco /0, contrase2a" cisco /0 y ACS en el servidor LT% tambi.n $n el servidor LT% este cisco /0 tiene privilegios completos -uego, realice una cone!ión de consola a ACS e ingrese el comando de instalación de parc&e acs %or e#emplo, si %atc& es  : / : 1 :  : , ingrese de la siguiente manera %or cierto, si descarga %atc& desde el Centro de descarga de Cisco, la e!tensión ser tar en lugar de pgp Sin embargo, dado que la
 ACS1/

de



admin

arc&ivo

=

acs

de

ese

patc&

install

parc&e

de

:/:1::targpg

tar

repositorio

a

pgp

LT%:4$%KS3T

Cuando se completa la transferencia de arc&ivos, la instalación del parc&e ACS requiere reiniciar los Servicios

ACS

MContinuarO

(Sí



+o)

Como se muestra, ingrese P sí P 'espu.s de eso, ACS reiniciar automticamente el servicio 'espu.s de que el servicio finalice, puede verificar la aplicación de %atc&" en la versión del programa

◆

Cisco

Secure

ACS

:

Configuración

de

replicación

Cuando se implementa la redundancia instalando m
como

secundario

-uego, la configuración en la aplicación establecida por el ACS primario se replica automticamente (duplica)

al

ACS

secundario

Wo te de#ar. Aquí presentamos la configuración de replicación ※ Certificado, etc no estn duplicados

$n primer lugar, dado que ACS usa el puerto TC% P0HIP no solo para la replicación de la base de datos sino tambi.n para otros usos, no filtre por n
 A continuación, en el secundario, PAdministración del sistemaP ⇒ PKperacionesP ⇒ PKperaciones localesP ⇒ P'espliegue $n la pantalla Kperaciones, ingrese el nombre de &ost o la dirección 3% del servidor primario en 3nstancia primaria %ara P+ombre de usuario de administradorP y PContrase2a de administradorP, ingrese el nombre de usuario y

la

contrase2a

de

la

cuenta

de

administrador

 A continuación, seleccione el botón P4egistrarse en el primarioP -a configuración bsica &a terminado

 A continuación, PAdministración del sistemaP en el principal ⇒ PKperacionesP ⇒ PAdministración del sistema distribuidoP Confirme que el servidor secundario est registrado en la 3nstancia secundaria Si el servidor secundario no est activo, verifique el servidor secundario correspondiente y seleccione el botón PActivoP

Sin embargo, esta operación se realiza en el servidor ACS que se muestra en 3nstancia primaria con PActivar

activación

3nstancias

registradas

automtica Pno

est

marcada,

para es

necesario

+elyP verificar

si

%uede verificar el ACS de la 3nstancia, seleccionar el botón P$ditarP y verificar en la siguiente pantalla

Linalmente, se introduce el significado de los valores de estado de replicación que se pueden verificar con 'istributed System Janagement $stado 4eplicación

de

 ACT6A-3XA'K

'escripción 4eplicación completada en la instancia secundaria

%$+'3$+T$

6n estado en el que se &a iniciado una solicitud de replicación completa o un cambio de configuración en el primario no se &a propagado al secundario

4$%-3CA+'K

$stado del proceso de replicación de primario a secundario

JK'K -KCA-

-a instancia secundaria no recibe replicación del primario y mantiene su configuración local

-os derec&os

-a instancia secundaria no est registrada desde la instancia primaria

3nca

-a instancia secundaria est inactiva $s necesario seleccionar el botón PActivarP

+A

+o &ay replicación de la instancia primaria

R 3ncluso si la replicación es e!itosa, el estado %$+'3$+T$ aparecer durante un tiempo prolongado, pero ser despu.s de PACT6A-3XA'KP dentro de / minuto *erifique con PActualizarP R Si repite el registro, el registro, etc in
de

reiniciar

el

lado

secundario

$n ese caso, creo que YmanagementY est en el estado Y3nitiateY en s&o acs de estado de la aplicación, pero reiniciarlo nuevamente lo restaurar 'icencias de ACS

creado por T&omas ;oard el 0 de noviembre de 01/, "G pm, modificado por
-as licencias se proporcionan como claves de activación del producto (%AQ) que deben estar registradas en el portal de licencias de productos de Cisco   Descripción general de la licencia de ACS 5.+

'icencia

/+imo Dispositivos -encimiento de red

-icencia base de G1 dias evaluación

-icencia base

+ A

1

11

!or  servidor  ACS0

Sí

Sí

'espliegue grande +  A

3limitado

+o

-icencia de funciones -icencia de +  A funciones de ACS *ie

+A

+o

1otas

Se requiere una licencia bsica
MNu. licencias se requieren para una evaluación o pruebaO Se requiere una licencia bsica
 ACS ! comprado con su 3' de CCK registrada 'e lo contrario, cualquier empleado de Cisco tendr que publicar o descargar las imgenes para ellos M-a licencia de evaluación limita la funcionalidad de ACSO +o, la licencia de evaluación base proporciona una funcionalidad equivalente a la licencia permanente de base -a
MCules son los YdispositivosY a los que se &ace referencia en las licencias de ACS O -os dispositivos son los clientes AAA (generalmente dispositivos de red) que envían solicitudes AAA a ACS, por e#emplo, enrutadores, conmutadores, controladores inalmbricos, etc -os dispositivos no son terminales como computadoras porttiles, impresoras, tel.fonos inteligentes (a menos que sean AAA) clientela) MCómo cuenta ACS los dispositivos con el propósito de licenciarO  ACS cuenta la cantidad de direcciones 3% representadas por los dispositivos de red configurados en Recursos de red 6 Dispositivos de red y Clientes AAA   %or e#emplo, un dispositivo de red configurado con un rango de 3% de /1/1/110 representar 0H dispositivos (@) $n el recuento de dispositivos $l n
%uede confirmar lo que ACS cree que es el recuento actual del dispositivo mirando ba#o Administración del sistema 6 'icencias 6 4pciones de funciones   M$l dispositivo cuenta por servidor ACSO +o, el recuento de dispositivos se realiza por implementación de ACS (una implementación consta de un  ACS primario y cero o ms secundarios) +o e!iste el recuento de dispositivos por servidor, ya que la configuración del dispositivo se replica a lo largo de la implementación de ACS M+ecesito la licencia de implementación grandeO -a licencia base cubre 11 dispositivos en una implementación de ACS %ara ms de 11 dispositivos, se requiere la licencia de 'espliegue grande Solo se requiere / licencia de implementación grande +o me gusta la idea de esta licencia de implementación grande M%or qu. es esto requeridoO -as versiones anteriores de ACS tenían por licencia de servidor ACS  introdu#o una licencia por licencia de servidor (como ACS ) y una licencia de 3mplementación grande para configuraciones de ACS que usan ms de 11 dispositivos $sto fue para mantener los precios ba#os para los clientes peque2os y para que los clientes ms grandes paguen por la escala adicional MCómo aplica ACS  el recuento de dispositivos para la licencia bsicaO +o es así %uede seguir agregando dispositivos, pero ver mensa#es de advertencia en la interfaz de usuario, lo que indica que se &a e!cedido el recuento de dispositivos con licencia MCómo se autoriza la supervisión avanzada y la solución de problemas de ACS !O %ara ACS 1, a&ora puede obtener la licencia ordenando el n
 Al actualizar, Mpuedo usar mis licencias anteriores de ACS , o recibir. nuevasO  Al realizar una actualización menor (por e#emplo, / a 0), no se emiten nuevas licencias Solo debe aplicar el nuevo softare y usar las licencias e!istentes MNu. debe &acer mi cliente para migrar desde dos dispositivos ACS //0/ a *J editionO  ACS se puede migrar sin cargo de un dispositivo a *J, sin embargo, requiere la compra de un contrato de servicio  soporte para la *J -as licencias se pueden migrar a trav.s de una copia de seguridad  restauración -a versión I del sistema de control de acceso seguro de Cisco est actualmente disponible -os clientes interesados en comprar este producto pueden realizar pedidos a trav.s de sus canales de venta normales $l Sistema de control de acceso seguro vincula la política de acceso a la red y la estrategia de identidad de una empresa $sta plataforma de control de acceso basada en políticas altamente sofisticada ofrece" \ Administración de dispositivos
3nformación sobre pedidos $sta solución se puede comprar como una de las siguientes ofertas" \ Aplicación en Cisco Secure +etor9 Server /, o G \ Actualización de softare para un 'ispositivo de Control de Acceso Seguro e!istente //0/ 'ispositivo, Cisco Secure +etor9 Server /, o Cisco Secure +etor9 Server G \ 'ispositivo de softare para la instalación como una mquina virtual en *Jare $SD o $SDi 1, /,  o H1 Todas las versiones e#ecutan la misma imagen de softare y admiten las mismas características %ara conocer las especificaciones del sistema, consulte la &o#a de datos en &ttp"ciscocomcenusproductscollateralsecuritysecure:access:control:systemdatas&eet:cVI: VG/&tml  Kpciones de licencia $l dispositivo y las versiones de *Jare incluyen una licencia base -a licencia base es necesaria para cada dispositivo o instancia de softare en una red Con la licencia Uase, un dispositivo o mquina virtual de softare puede admitir el despliegue de &asta 11 dispositivos de acceso a la red (+A'), como enrutadores y conmutadores $stos no son clientes de autenticación, autorización y contabilidad (AAA) -a cantidad de dispositivos de red se basa en la cantidad de direcciones 3%
Números de parte para nuevas órdenes

1umero de parte

Descripción del producto

S+S:/:ACS:QG con Kpción de Softare  Aplicación"  ACS:SB:/:QG

la de

'ispositivo Secure +etor9 Server / para el Sistema de control de acceso seguro, Jotor de servicios de identidad y Control de admisión de red Softare de aplicación Secure Access Control System en el dispositivo / con licencia base

S+S:G:ACS:QG con opción de softare aplicación"  ACS:SB:G:QG

4:CSACS:I*J:QG ]

la 'ispositivo Secure +etor9 Server G para productos de Secure de  Access System, 3dentity Services $ngine y +etor9 Admission Control Softare de aplicación Secure Access Control System en el dispositivo G con licencia base Sistema de control de acceso seguro I Softare *Jare y licencia base (e:delivery)

-icencias adicionales Si necesita alguna licencia adicional, como la licencia de implementación grande para admitir ms de 11 dispositivos, solicite uno de los productos que se muestran en la Tabla 0 7ala 9.

Números de parte para licencias adicionales

1umero de parte

Descripción del producto

CSACS::-47:-3C

-icencia de complemento de Secure Access Control System ! -arge 'eployment (e:delivery)

-:CSACS::-47: -3C ]

-icencia de complemento de Secure Access Control System ! -arge 'eployment (e:delivery)

CSACS::A'*:-3C

-icencia de sistema de acceso de grupo de seguridad de Secure Access Control System ! (e:delivery)

-:CSACS::A'*: -3C ]

-icencia de sistema de acceso de grupo de seguridad de Secure Access Control System ! (e:delivery)

 Actualizaciones y Jigración

-os clientes pueden actualizar a la *ersión I desde cualquier versión anterior -a versión I incluye utilidades de softare para migrar datos de versiones anteriores %or favor, mira las guías de migración para ms detalles %ara actualizar desde la versión 0 o anterior, eli#a el producto relevante de la Tabla  7ala 3.

Actualizar números de pieza para la versión 4.2 y anteriores

1umero de parte

Descripción

S+S:/:ACS:QG con Kpción de Softare  Aplicación"  ACS:SB:/:6%:QG

la de

'ispositivo Secure +etor9 Server / para el Sistema de control de acceso seguro, Jotor de servicios de identidad y Control de admisión de red  Actualice a softare de aplicación de sistema de control de acceso seguro en el dispositivo / con licencia base de versiones anteriores

S+S:G:ACS:QG con opción de softare aplicación"  ACS:SB:G:6%:QG

la de

'ispositivo de red segura Servidor G para sistemas de control de acceso seguro, motor de servicios de identidad y control de acceso a la red  Actualice a softare de aplicación de sistema de control de acceso seguro en el dispositivo G con licencia base de versiones anteriores

4:CSACS:I*J6%:QG ]

Sistema de control de acceso seguro I Actualización de softare *Jare de versiones anteriores (entrega electrónica)

$li#a los productos relevantes de la Tabla  si est actualizando desde" \ \ \ \

'ispositivo de control de acceso seguro //0/ 'ispositivo que e#ecuta la versión / o posterior Cisco Secure +etor9 Server / e#ecutando la versión  o posterior Cisco Secure +etor9 Server G e#ecutando la versión  o posterior Secure Access Control System 1 o posterior e#ecutndose en *Jare

+ota" 'ebe seleccionar el n
Actualizar números de pieza para la versión 5.0 y posterior

1umero de parte

Descripción del producto

CSACS:ISB:

Actualización menor del sistema de control de acceso seguro I para clientes sin

J4:QG ]

soporte de aplicaciones de softare (e:delivery)

CSACS:ISB: S4:QG ]

 Actualización menor del sistema de control de acceso seguro I para clientes con soporte de aplicaciones de softare (e:delivery)

$ntrega $lectrónica -a entrega electrónica est disponible para las versiones de dispositivos de softare *Jare de Secure  Access Control System I y para opciones de licencia adicionales, como la licencia de implementación grande 'espu.s de pedir uno de los productos de entrega electrónica, recibir detalles sobre cómo descargar el softare y obtener una licencia por correo electrónico -a opción de entrega electrónica le permite obtener  el softare sin tener que esperar la entrega de medios físicos y paquetes de licencias Soporte de softare y &ardare  Algunos contratos de servicios Cisco Smart +et Total Care ^ para los dispositivos / y G incluyen soporte de &ardare y soporte de mantenimiento de softare de aplicación, incluidas actualizaciones para futuras versiones del Sistema de control de acceso seguro y acceso a recursos en línea y servicios de soporte %ara obtener ms información sobre nuestro Soporte de aplicaciones de softare y Smart +et Total Care Service, visite &ttp"ciscocomen6Sproductssvcsps1ps0I0Vserv>category>&ome&tml  %ara encontrar ofertas de soporte y opciones relacionadas con productos específicos, visite &ttp"cisco:servicefindercom  +ota" -os n
Secure Access Control System, un componente central de la solución Cisco TrustSec`, es una plataforma de políticas altamente sofisticada que proporciona servicios 4A'36S y TACACS 8 $s compatible con las políticas cada vez ms comple#as necesarias para cumplir con las demandas actuales de gestión y cumplimiento de control de acceso 7estiona las políticas de acceso para la administración de dispositivos y para escenarios de acceso a redes inalmbricas, cableadas 3$$$ I10/D y remotas (*%+) -a Ligura / muestra los dispositivos Cisco Secure +etor9 Server /G que se basan en la plataforma Cisco 6CS ` C001 J 4ac9 Server -a versión I del softare del sistema de control de acceso seguro se puede e#ecutar en los dispositivos Secure +etor9 Server / y G, así como en los servidores de red segura e!istentes / y G, que &an llegado a sus fec&as de finalización de la venta 'ispositivos de servidor de red seguros /G 'ispositivos para sistema de control de acceso seguro I :igura 8.

-as organizaciones confían en redes empresariales para realizar rutinas diarias de traba#o Con el n
Características y Ueneficios $l Sistema de control de acceso seguro I sirve como punto de administración de políticas (%A%) y punto de decisión de políticas (%'%) para control de acceso a dispositivos de red basado en políticas, ofreciendo un gran con#unto de capacidades de administración de identidades, que incluyen" \ Administración de dispositivos
Principales caracteríscas y benecios

Caracterstica

Completa solución control de acceso confidencialidad

*eneficio

de y

-a solución se puede implementar con otros componentes de Cisco TrustSec, incluidos los componentes de políticas, los componentes de cumplimiento de la infraestructura, los componentes de punto final y los servicios profesionales

Caracterstica

*eneficio

%rotocolos de autenticación, autorización y contabilidad (AAA)

Se admiten dos protocolos AAA distintos" 4A'36S para el control de acceso a la red y TACACS 8 para el control de acceso a los dispositivos de red $l Sistema de control de acceso seguro es un sistema
Kpciones de base

$l Sistema de control de acceso seguro I admite un repositorio de usuarios integrado adems de la integración con repositorios de identidad e!ternos e!istentes, como servidores de Jicrosoft Active 'irectory, servidores -'A% y servidores to9en 4SA %uede usar m
%rotocolos de autenticación

Se admite una amplia gama de protocolos de autenticación, incluidos %A%, JS:C;A%, %rotocolo de autenticación e!tensible ($A%) :J', $A% protegido (%$A%), Autenticación fle!ible $A% mediante t
%olíticas de acceso

$l modelo de política basada en reglas y guiado por atributos proporciona una mayor potencia y fle!ibilidad para las políticas de control de acceso, que pueden incluir requisitos de protocolo de autenticación, restricciones de dispositivo, restricciones de tiempo del día y otros requisitos de acceso $l Sistema de control de acceso seguro puede aplicar listas de control de acceso descargables ('AC-), asignaciones de *-A+ y otros parmetros de autorización Adems, permite una comparación entre los valores de

Caracterstica

*eneficio

dos atributos que estn disponibles para que el Sistema de control de acceso seguro se use en reglas de identidad, de mapeo de grupo y de política de autorización 7estión centralizada

Soporte para disponibilidad implementaciones grandes

-a 763 liviana y basada en la eb es fcil de usar 6n esquema de replicación incremental eficiente propaga rpidamente los cambios de los sistemas primarios a los secundarios, proporcionando un control centralizado de las implementaciones distribuidas -as actualizaciones de softare tambi.n se administran a trav.s de la 763 y el sistema primario las puede distribuir a instancias secundarias alta en ms

3nterfaz programtica

Jonitoreo, informes resolución de problemas

$l Sistema de control de acceso seguro I admite &asta 00 instancias en un solo cl
y

Se puede acceder a un componente integrado de monitoreo, informes y solución de problemas a trav.s de la 763 basada en eb $sta &erramienta proporciona una e!celente visibilidad de las políticas configuradas y las actividades de autenticación y autorización en toda la red -os registros son visibles y e!portables para su uso en otros sistemas tambi.n

Servicios pro!y

-a solución puede funcionar como un pro!y 4A'36S o TACACS 8 para un servidor AAA e!terno 4eenvía las solicitudes AAA entrantes desde un dispositivo de acceso a la red (+A') al servidor e!terno y reenvía las respuestas de ese servidor al +A' iniciando dic&as solicitudes Tambi.n puede agregar y sobrescribir los atributos de 4A'36S en las solicitudes  AAA aprobadas enviadas al servidor AAA e!terno, así como aquellas en las respuestas enviadas desde el servidor e!terno AAA

L3%S /1:0 +ivel /

$l Sistema de control de acceso seguro I cumple con el $stndar  Lederal de %rocesamiento de 3nformación (L3%S) /1:0 +ivel / -a implementación embebida L3%S /1:0 +ivel / de la solución utiliza módulos validados del Jódulo criptogrfico com
Caracterstica

*eneficio

seguridad de red (+SS), ad&iri.ndose a L3%S /1:0 7uía de 3mplementación, sección 7, pautas $l tama2o de la clave de los certificados de la Autoridad de certificación y los certificados del servidor  que se utilizan en el Sistema de control de acceso seguro debe ser de al menos 01I bits $l tama2o de clave de los certificados del cliente debe ser de al menos /10 bits -a versión I est disponible como un dispositivo Cisco S+S / o G basado en -inu!, cerrado o reforzado, o como una imagen de sistema operativo de softare para *Jare $SD o $SDi / y H1 Tambi.n es compatible con el antiguo dispositivo Secure Access Control System //0/, que &a llegado a su fec&a de finalización de la venta -a versión I agrega las siguientes características nuevas a las características disponibles en la versión V" \ Soporte de biblioteca %oerUro9er 3dentity Services (%U3S) para la integración de Active 'irectory \ Capacidad para autenticar a los administradores contra la identidad 4SA y los servidores 4A'36S Secur3' \ Capacidad para e!portar políticas desde la interfaz eb \ Capacidad de cambiar las contrase2as internas de los usuarios mediante la A%3 de transferencia de estado representacional (4$ST) \ ;as& de contrase2a de administrador interno \ Conformidad con el nivel / de L3%S /1:0 4equisitos del sistema $l Sistema de control de acceso seguro I est disponible como un dispositivo basado en -inu! de / unidad de rac9 y endurecimiento de seguridad con softare de sistema preinstalado en los dispositivos Cisco S+S / y G, así como el antiguo Cisco //0/ para el sistema de control de acceso seguro  Aparatos de motor Tambi.n est disponible como una imagen de sistema operativo de softare para su instalación en una mquina virtual en *Jare $SD y $SDi , actualización de actualización 1, actualización de 1, actualización de versión 1, actualización de versión 1 -a Tabla 0 y la Tabla  enumeran las especificaciones del sistema para los dispositivos Cisco S+S / y G, respectivamente %ara conocer los requisitos del sistema *Jare $SDi, consulte la Tabla  7ala 9.

S+S / $specificaciones del aparato

Componente

!resupuesto

6%C

/ : 3ntel Denon 01 7;z $:0H01 (H n
Jemoria del sistema

/H 7U (0 ! I 7U)

6nidad de disco duro (;'')

/ : 0 pulgadas H11 7U de H 7b SAS /1Q 4%J

 Almacenamiento en cac&. del  Almacenamiento en cac&. solo, 4A3' no es compatible con S+S:/ controlador 4A3' Conectividad de red

3nterfaces de tar#eta de interfaz de red (+3C) de H ! / 7U 1ota2 solo $t&ernet1 se puede usar para funciones de administración[ todas las interfaces escuc&an las solicitudes AAA

Jonta#e en rac9

Jonta#e de  postes

'imensiones físicas (/46) (; ! B ! ')

/V ! /HG ! 0GI in (0 !  ! VH cm)

!oder

!resupuesto

Cantidad de fuentes de alimentación

/

Tama2o de la fuente de alimentación

VV1B universal (volta#e de entrada" G1 a 0H1 *[ V a H ;z)

Amiental

!resupuesto

4ango de temperatura funcionamiento  Altitud de funcionamiento 7ala 3.

de

/ a G  L ( a   C) (funcionamiento, nivel del mar, sin ventilador, sin regulación de la C%6, modo turbo) 1 a /1,111 pies (1 a 111m)

!specicaciones del disposivo "N" #5$5

Componente

!resupuesto

6%C

/ : 3ntel Denon 0H1 7;z $:0H1 (I n
Jemoria del sistema

H 7U ( ! /H 7U)

'isco duro

 : 0 pulgadas H11 7U de H 7b SAS /1Q 4%J

 Almacenamiento en cac&. del controlador 4A3'

+ivel /1 Controlador 4A3' modular Cisco /07 SAS

Conectividad de red

H interfaces de +3C de / 7U 1ota2 solo $t&ernet1 se puede usar para funciones de administración[ todas las interfaces escuc&an las solicitudes AAA

Jonta#e en rac9

Jonta#e de  postes

'imensiones físicas (/46) (; ! B ! ')

/V ! /HG ! 0GI in (0 !  ! VH cm)

!oder

!resupuesto

Cantidad de fuentes de alimentación

0

Tama2o de la fuente de alimentación

VV1B universal (volta#e de entrada" G1 a 0H1 *[ V a H ;z)

Amiental

4ango de temperatura funcionamiento  Altitud de funcionamiento

!resupuesto

de

/ a G  L ( a   C) (funcionamiento, nivel del mar, sin ventilador, sin regulación de la C%6, modo turbo) 1 a /1,111 pies (1 a 111m)

7ala ,.

%e&uisitos de '()are

Componente

!resupuesto

-a versión de *Jare

*Jare $SD y $SDi /,  y H1

6%C

0 C%6 (C%6 duales, procesadores 3ntel Deon, Core 0 'uo o 0 C%6 individuales)

Jemoria del sistema

 7U o 4AJ

4equisitos duro

Configurable por el usuario entre H1 y V1 7U (se recomienda un mínimo de /1 7U)

del

disco

+3C

+3C de red (/ 7bps) disponible para el uso de la aplicación Cisco Secure ACS

3nformación sobre pedidos Cisco -os productos de Secure Access Control System estn disponibles para comprar a trav.s de Cisco regular ventas y distribución canales en todo el mundo Consulte a la Cisco Secure Access Control System I producto boletín para n