CISCO LOGOTäiustatud rollipõhise konfigureerimine
Juurdepääsukontroll, väljalase 12.1.3

Sisu peita
1 Uus ja muudetud teave
2 Täiustatud rollipõhine juurdepääsukontroll
3 Täiustatud RBAC kasutusjuhtumid
4 Autoriõigus
5 Dokumendid / Ressursid
5.1 Viited

Uus ja muudetud teave

Järgmine tabel annab üleview olulistest muudatustest kuni selle praeguse versioonini. Tabelis ei ole ammendavat loendit kõigist muudatustest või uutest funktsioonidest kuni selle versioonini.

Väljalaskeversioon  Funktsioon Kirjeldus
NDFC väljalase 12.1.3 Ümberkorraldatud sisu Selle dokumendi sisu esitati algselt Cisco NDFC-Fabric-kontrolleri konfiguratsioonijuhendis või Cisco NDFC-SAN-kontrolleri konfiguratsioonijuhendis. Alates versioonist 12.1.3 on see sisu nüüd esitatud ainult selles dokumendis ja seda enam neis dokumentides ei kuvata.

Täiustatud rollipõhine juurdepääsukontroll

Alates Cisco Nexus Dashboard Fabric Controlleri versioonist 12.0.1(a) on kogu RBAC Nexuse armatuurlaual. NDFC kangaste kasutajarollid ja juurdepääs määratakse Nexuse armatuurlaual.
Nexuse armatuurlaua administraatori rolli peetakse NDFC-s võrguadministraatori rolliks.
DCNM-il oli viis rolli erinevate juurdepääsu ja toimingute tegemiseks. Kui kasutajal on juurdepääs võrgule stagRollil on võrguna juurdepääs kõikidele teistele kangasteletage roll. Seetõttu on kasutajanimi piiratud nende rolliga DCNM-is.
Cisco NDFC väljalasel 12.0.1(a) on samad viis rolli, kuid Nexuse armatuurlaua integreerimisega saate teha üksikasjalikku RBAC-i. Kui kasutaja pääseb kangale juurde võrguna stagRolli korral pääseb sama kasutaja juurde erinevatele kangale teiste kasutajarollidega, näiteks administraatori või operaatori rolliga. Seetõttu võib kasutajal olla NDFC erinevatele kangastele erinev juurdepääs.
NDFC RBAC toetab järgmisi rolle:

  • NDFC juurdepääsu administraator
  • NDFC muudatuste kinnitaja
  • NDFC muutmise juurutaja
  • NDFC-seadme uuendamise administraator
  • NDFC võrguadministraator
  • NDFC võrguoperaator
  • NDFC-võrk Stager

Järgmises tabelis kirjeldatakse kasutajarolle ja nende õigusi NDFC-s.

Rollid Privileegid
NDFC juurdepääsu administraator Loe/kirjuta
NDFC muudatuste kinnitaja Loe/kirjuta
NDFC muutmise juurutaja Loe/kirjuta
NDFC-seadme uuendamise administraator Loe/kirjuta
NDFC võrguadministraator Loe/kirjuta
NDFC võrguoperaator Lugege
NDFC-võrk Stager Loe/kirjuta

Tagasiühilduvuse tagamiseks toetatakse DCNM-is järgmisi rolle.

  • Globaalne administraator (vastandatud võrguadministraatorile)
  • Server-admin (kaardistatud võrguadministraatoriga)

ETTEVAATUST Igas aknas on sisselogitud kasutaja rolliga piiratud toimingud hallid.
NDFC juurdepääsu administraator
NDFC Accessi administraatori rolliga kasutaja saab kõigi kangaste puhul toiminguid teha ainult liidesehalduri aknas.
NDFC juurdepääsuadministraator saab teha järgmisi toiminguid.

  • Lisage, redigeerige, kustutage ja juurutage 2. kihi pordikanaleid ja vPC-d.
  • Redigeerige hosti vPC-d ja Etherneti liideseid.
  • Salvesta, eelviewja juurutada haldusliidestest.
  • Redigeerige LAN-i klassikalise ja IPFM-i kangaste liideseid.

Peale nve, halduse, tunneli, alamliidese, SVI, liideste rühmitamise ja tagasisilmusliidesed
Cisco Nexus Dashboard Fabric Controlleri juurdepääsuadministraatori rolliga kasutaja ei saa aga teha järgmisi toiminguid.

  • Ei saa redigeerida kihi 3 pordikanaleid, ST FEX-i, AA FEX-i, tagasisilmusliideseid, nve-liideseid ja alamliideseid.
  • Layer 3, ST FEX, AA FEX liikmeliideseid ja pordikanaleid ei saa redigeerida.
  • Aluskatte ja lihtsate kangaste lingi poliitikaga seotud liideseid ei saa muuta.
  • Partnerlingi pordi kanalit ei saa redigeerida.
  • Haldusliidest ei saa redigeerida.
  • Tunnelit ei saa muuta.

ETTEVAATUST Kui kangas või Cisco Nexuse armatuurlaua kangakontroller on juurutamise-külmutamise režiimis, on ikoonid ja nupud selle rolli jaoks hallid.
NDFC muudatuste kinnitaja
NDFC muudatuste kinnitaja roll sai kättesaadavaks osana NDFC versioonis 12.1.3 tutvustatud muudatuste juhtimise ja tagasipööramise funktsioonidest. Vaata Juhtimise ja tagasipööramise muutmine lisateabe saamiseks.
Kasutajad, kellel on NDFC muudatuste kinnitaja õigus, saavad muudatuste kontrollpileteid kinnitada.
Kasutaja, kellele on määratud NDFC muudatuste kinnitaja roll, saab konkreetse piletiga seotud muudatusi üle kontrollida ja need muudatused heaks kiita või tagasi lükata.
NDFC muutmise juurutaja
NDFC muudatuste juurutaja roll sai kättesaadavaks osana NDFC versioonis 12.1.3 tutvustatud muudatuste juhtimise ja tagasipööramise funktsioonidest. Vaata Change Juhtimine ja tagasipööramine lisateabe saamiseks.
Kasutajad, kellel on NDFC Change Deployeri õigused, saavad juurutada muudatuste kontrollpileteid.
Kui NDFC muudatuste kinnitaja rolliga kasutaja on muudatuste kontrollipileti heaks kiitnud, on see pilet saadaval kõigile kasutajatele, kellele on määratud NDFC muudatuste juurutaja roll, kes saab seejärel juurutada muudatused, mis on viidud juurutusse.tage muudatuste juhtimise töövoos.
NDFC-seadme uuendamise administraator
NDFC Device Upgrade Admin rolliga kasutaja saab toiminguid teha ainult pildihalduse aknas.
Vaata Pildihaldus: LAN lisateabe saamiseks.
NDFC võrguadministraator
NDFC võrguadministraatori rolliga kasutaja saab teha kõiki toiminguid rakenduses Cisco Nexus Dashboard Fabric Controller.
Alates Cisco Nexuse armatuurlaua kangakontrolleri versioonist 12.1.1e saab selle rolliga kasutaja teha võrkudes ja VRF-ides kõiki MSD-kangaste toiminguid.
Kui olete NDFC võrguadministraatori rolliga kasutaja, saate Cisco Nexuse armatuurlaua kangakontrolleris külmutada konkreetse kanga või kõik kangad.
NDFC võrguadministraator
NDFC võrguadministraatori rolliga kasutaja saab teha kõiki toiminguid rakenduses Cisco Nexus Dashboard Fabric Controller.
Alates Cisco Nexuse armatuurlaua kangakontrolleri versioonist 12.1.1e saab selle rolliga kasutaja teha võrkudes ja VRF-ides kõiki MSD-kangaste toiminguid.
Kui olete NDFC võrguadministraatori rolliga kasutaja, saate Cisco Nexuse armatuurlaua kangakontrolleris külmutada konkreetse kanga või kõik kangad.
ETTEVAATUST Veenduge, et avastamise või NDFC jaoks lülitite või LAN-mandaatide lisamise kasutajarollil peab olema võrguadministraatori roll.
NDFC võrguoperaator
Võrguoperaator saab view kangaehitaja, kangaseaded, eelview konfiguratsioonid, poliitikad ja mallid. Võrguoperaator ei saa aga teha järgmisi toiminguid:

  • Ühegi lüliti eeldatavaid konfiguratsioone ei saa muuta üheski kangas.
  • Ühtegi konfiguratsiooni ei saa lülititele juurutada.
  • Ei pääse juurde haldussuvanditele, nagu litsentsimine, kasutajate arvu loomine ja nii edasi.

Võrguoperaatori ja võrgu erinevus stager on see, kui võrk stager saate kavatsuse määratleda ainult olemasolevate kangaste jaoks, kuid ei saa neid konfiguratsioone juurutada.
Ainult võrguadministraator saab juurutada muudatusi ja muudatusi, mis on stagredigeerinud kasutaja võrguga stager roll.
NDFC-võrk Stager
NDFC-võrgu S kasutajatager roll saab teha Cisco Nexuse armatuurlaua kangakontrolleri konfiguratsioonimuudatusi. NDFC võrguadministraatori rolliga kasutaja saab need muudatused hiljem juurutada. Võrk stagsaab teha järgmisi toiminguid:

  • Muutke liidese konfiguratsioone
  • View või muuta eeskirju
  • Loo liidesed
  • Muutke kanga seadeid
  • Muutke või looge malle

Kuid võrk stagei saa teha järgmisi toiminguid:

  • Lülitites ei saa konfiguratsiooni juurutada.
  • Ei saa teostada juurutamisega seotud toiminguid Cisco Nexuse armatuurlaua kangakontrolleri kaudu Web UI või REST API-d.
  • Ei pääse juurde haldussuvanditele, nagu litsentsimine, kasutajate arvu loomine ja nii edasi.
  • Lüliteid ei saa hooldusrežiimi sisse ja välja liigutada.
  • Kangaid ei saa teisaldada kasutuselevõtu-külmutamise režiimi ja sealt välja.
  • Plaastreid ei saa installida.
  • Lüliteid ei saa uuendada.
  • Kangaid ei saa luua ega kustutada.
  • Lüliteid ei saa importida ega kustutada.

Vaikeautentimise domeeni valimine
Vaikimisi valib Nexuse armatuurlaua sisselogimiskuva autentimiseks kohaliku domeeni. Saate domeeni muuta sisselogimise ajal, valides ripploendist saadaolevad domeenid.
Nexuse armatuurlaud toetab kohalikku ja kaugautentimist. Nexuse armatuurlaua kaugautentimise pakkujate hulka kuuluvad RADIUS ja TACACS. Autentimise toe kohta lisateabe saamiseks vt https://www.cisco.com/c/en/us/td/docs/dcn/nd/2x/user-guide/cisco-nexus-dashboarduser-guide-211.pdf.
Järgmises tabelis kirjeldatakse RBAC-i võrdlust DCNM-i ja NDFC-juurdepääsu vahel.

DCNM 11.5 (x) NDFC 12.0.x ja 12.1.x
• Kasutajal on üks roll.
• Selle ühe rolliga pääseb juurde kõikidele API-dele ja ressurssidele.		 • Kasutajal võib olla erinevatel turvadomeenidel Nexuse armatuurlaual erinev roll.
• Turvadomeen sisaldab ühte Nexuse armatuurlauda ja iga Nexuse armatuurlaud sisaldab ühte NDFC kangast.
Kasutajaga seostatakse üks roll, keelates või piirates juurdepääsu DCNM-i suvanditele. Üks roll kuvab valitud lehel ainult privilegeeritud ressursse ja piiratud juurdepääs on valitud ressursiga seotud turbedomeeni alusel hallina ja muudes valikutes
NDFC.
DCNM AV-paarivorming koos kestade, rollide ja valikuliste juurdepääsupiirangutega. Nexuse armatuurlaua AV-paarivorming koos kestade ja domeenidega.
Toetatud rollid, mis põhinevad juurutustüübil LAN, SAN või PMN. Toetatud rollid, nagu võrguadministraator, võrguoperaator, seadme upg-admin, võrgudtagee, juurdepääs-admin on NDFC-s. Tagasiühilduvuse pärandrollide tugi. Nexuse armatuurlaua administraatori roll DCNM-i võrguadministraatorina.

Järgmine tabel kirjeldab DCNM 11.5(x) AV-paari vormingut.

Cisco DCNM-i roll RADIUS Cisco-AV-paari väärtus  TACACS+ Shell Cisco-AV-paari väärtus
Võrguoperaator shell:rolles = "võrguoperaator" dcnm-access="group1 group2 group5" cisco-avpair=shell:roles=”võrguoperaator” dcnm-access=”group1 group2 group5”
Võrguadministraator shell:rolles = “võrguadministraator” dcnm-access=”group1group2 group5” cisco-avpair=shell:roles=”networkadmin” dcnm-access=”group1 group2 group5”

Järgmine tabel kirjeldab NDFC 12.x AV-paari vormingut.

Kasutaja roll AVPair väärtus
NDFC juurdepääsu administraator Juurdepääs-admin
NDFC-seadme uuendamise administraator Seadme-upg-admin
NDFC võrguadministraator Võrguadministraator
NDFC võrguoperaator Võrguoperaator
NDFC-võrk Stager Võrgudtager

AV-paari stringivorming erineb konkreetse kasutaja jaoks lugemis-/kirjutamisrolli, kirjutuskaitstud rolli või lugemis-/kirjutus- ja kirjutuskaitstud rollide kombinatsiooni konfigureerimisel. Tüüpiline string sisaldab domeeni, millele järgnevad lugemis- ja kirjutamisrollid, mis on eraldatud kirjutuskaitstud rollidest, kasutades kaldkriipsu (/); üksikud rollid on eraldatud toru (|) märgiga: shell:domeenid= / | / |

Täiustatud RBAC kasutusjuhtumid

NDFC-s on erinevaid kangaid. Vaikimisi on kasutaja kõigi kangaste administraator. Endise jaoksample, kasutajanimel Cisco võib olla administraatorirolli juurdepääs Fabric-A-le ja s-letager rollijuurdepääs teisele FabricB-le. Nexuse juhtpaneelil on kõik turbepoliitikad osa turvadomeenidest. Saate luua kasutaja ja anda juurdepääsu nendele turbedomeenidele.
Kasutaja loomiseks ja konkreetsete rollide määratlemiseks tehke järgmist.

  1. Turvadomeenides kasutaja loomiseks tehke järgmist.
    a. Logige administraatorirolliga Nexuse armatuurlauale sisse ja navigeerige vahekaardile Haldus.
    b. Klõpsake vahekaardil Turvadomeen nuppu Loo turvadomeen ja looge järgmised turbedomeenid:
    ▪ kõik – sarnane võrguadministraatori rolliga. Sellel domeenil on administraatorijuurdepääs Nexuse armatuurlauale ja NDFC teenuserakendusele.
    ▪ cisco-admin – täielik võrguadministraatori juurdepääs Fabric-A-le
    ▪ cisco-stager – võrgudtager ainult juurdepääs Fabric-B-le
  2. Kohaliku Cisco kasutaja loomiseks.
    a. Liikuge jaotisse Kasutajad > Kohalik.
    b. Klõpsake vahekaardil Kohalik nuppu Loo kohalik kasutaja.
    Ilmub aken Loo kohalik kasutaja.
    c. Sisestage kasutaja ID tekstiväljale Cisco, sisestage vastavatele väljadele sobivad paroolid.
    d. Pärast Cisco kasutaja loomist navigeerige kohalikku aknasse, klõpsake Cisco kasutajanime real elipside ikooni ja seejärel klõpsake nuppu Redigeeri kasutajat.
    Ilmub aken Redigeeri kasutajat.
  3. Aknas Redigeeri kasutajat on vaikimisi kogu turbedomeen olemas. Muude turbedomeenide lisamiseks klõpsake nuppu Lisa turbedomeen ja -rollid.
    Ilmub turbedomeeni ja -rollide lisamise aken.
    a. Valige ripploendist cisco-admin domeen ja märkige ruut NDFC Access Admin ja seejärel klõpsake nuppu Salvesta.
    b. Cisco-de lisamiseks korrake sammu atager domeen NDFC Network S jaokstager roll.
    c. Turvadomeenide seostamiseks vastavate kanga saitidega tehke järgmist.
    Navigeerige Nexuse juhtpaneelil Sites'i aknasse. Klõpsake Fabric-A saidi nime.
    Ilmub sisselibistatav paan. Sa saad view kogu Fabric-A saidi turbedomeen.
    d. Cisco kasutaja lisamiseks Fabric-A võrguadministraatoriks klõpsake Elipse ikoonil ja Redigeeri saiti.
    e. Kustutage kogu turbedomeen ja lisage võrguadministraatori domeen ning salvestage muudatused.
    Samamoodi saate lisada võrgudtager domeen.
    f. Logige Nexuse armatuurlauast välja ja logige tagasi Cisco kasutajana.
    ETTEVAATUST Kasutaja roll, mida Cisco suudab view ainult NDFC-ga seotud valikud Nexuse armatuurlaual lubade alusel. Kasutaja juurdepääs on piiratud Nexuse armatuurlaua teenustega.
    g. Liikuge NDFC-rakendusse.
    Kasutaja Cisco saab NDFC kaudu toiminguid teha kahel saidil, kuna kasutajale on määratud Fabric-A ja võrguadministraatori rolltager roll Fabric-B jaoks.
    ETTEVAATUST Võrguadministraatori roll saab luua Fabric-A liidese ja juurutada selle. Kusjuures võrgu-stager roll saab luua Fabric-B liidese, kuid juurdepääs on juurutamiseks piiratud.

Autoriõigus

KÄESOLEVA JUHENDI SPETSIFIKATSIOONID JA TEAVE TOODETE KOHTA VÕIB TEATAMATA MUUTUDA. KÕIK SELLES JUHENDIS ESITATUD AVALDUSED, TEAVE JA SOOVITUSED ON TÄPSED, KUID ON ESITATUD ILMA MINGI OTSESE VÕI KAUDSE GARANTIITA. KASUTAJAD PEAVAD VÕTMA TÄIELIKULT VASTUTUSE MÕISTE TOODETE KASUTAMISE EEST.
TARKVARA LITSENTS JA KAASASOLEVA TOOTE PIIRATUD GARANTII ON ESITATUD TOOTEGA KAASAS SAANUD TEABEPAKETIS JA ON SELLE VIIDEGA SIIN SISALdatud. KUI TE EI TOHI LEIA TARKVARA LITSENTSI VÕI PIIRATUD GARANTIITI, VÕTKE KOopia saamiseks ühendust OMA CISCO ESINDAJAGA.
TCP päise tihendamise Cisco teostus on California ülikooli Berkeley (UCB) poolt välja töötatud programmi kohandamine UNIX-i operatsioonisüsteemi UCB üldkasutatava versiooni osana. Kõik õigused kaitstud. Autoriõigus © 1981, California ülikooli regents.
HOIATAMATA MISKIst MUIST SIIN OLEVAst GARANTIIST KÕIK DOKUMENT FILENENDE TARNIJATE TARKVARA JA TARKVARA ON KÕIGI RIKEDEGA PAKUSTATUD „NAGU ON”. CISCO JA ÜLALnimetatud TARNIJAD LAHTUMA LAHTI KÕIGIST VÄLJASELGETUD VÕI KAUDSETE GARANTIIDEST, KAASA arvatud PIIRAMATU KAUBANDUSVÕIME, KONKREETSEKS EESMÄRGIKS SOBIVUSE, USA VÕI MITTERIIKKUMISE, VÕI JUHTIMISE MITTERIKKUMISE GARANTIIDEST KAUBANDUSPRAKTIKA.
CISCO EGA SELLE TARNIJAD EI VASTUTA ÜHTEGI JUHUL ÜHTEGI KAUDSETE, ERILISTE, TAGAJÄRGSETE VÕI JUHUSLIKKE KAHJUDE EEST, SEALHULGAS PIIRAMATU KAOTATUD KASUMID VÕI ANDMEKAHJUD VÕI KAHJUD, MIS TEKKINUD KASUTAMISEGA KASUTAMISEKS. ISEGI KUI CISCOt VÕI SELLE TARNIJAT ON SELLISTE KAHJUDE VÕIMALUSEST TEAVITATUD.
Käesolevas dokumendis kasutatud Interneti-protokolli (IP) aadressid ja telefoninumbrid ei ole mõeldud tegelikeks aadressideks ja telefoninumbriteks. Igasugune eksamples, käsu kuva väljund, võrgu topoloogia diagrammid ja muud dokumendis sisalduvad joonised on näidatud ainult illustratiivsel eesmärgil. Tegelike IP-aadresside või telefoninumbrite kasutamine illustratiivses sisus on tahtmatu ja juhuslik.
Selle toote dokumentatsioonikomplekt püüab kasutada erapoolikust keelt. Selle dokumentatsioonikomplekti tähenduses on eelarvamustevaba keel, mis ei tähenda diskrimineerimist vanuse, puude, soo, rassilise identiteedi, etnilise identiteedi, seksuaalse sättumuse, sotsiaalmajandusliku staatuse ja intersektsionaalsuse alusel. Dokumentatsioonis võib esineda erandeid, mis tulenevad toote tarkvara kasutajaliidestes kõvakodeeritud keelest, RFP dokumentatsioonil põhinevast keelest või keelest, mida kasutab viidatud kolmanda osapoole toode.
Cisco ja Cisco logo on Cisco ja/või tema sidusettevõtete kaubamärgid või registreeritud kaubamärgid USA-s ja teistes riikides. To view Cisco kaubamärkide loend, avage see URL: http://www.cisco.com/go/trademarks. Mainitud kolmandate isikute kaubamärgid on nende vastavate omanike omand. Sõna partner kasutamine ei tähenda partnerlussuhet Cisco ja ühegi teise ettevõtte vahel. (1110R)
© 2017–2023 Cisco Systems, Inc. Kõik õigused kaitstud.

Dokumendid / Ressursid

CISCO 12.1.3 Täiustatud rollipõhine juurdepääsukontroll [pdfKasutusjuhend
12.1.3, 12.1.3 Täiustatud rollipõhine juurdepääsukontroll, täiustatud rollipõhine juurdepääsukontroll, rollipõhine juurdepääsukontroll, juurdepääsukontroll

Viited

Jäta kommentaar

Teie e-posti aadressi ei avaldata. Kohustuslikud väljad on märgitud *