Cisco ACI APIC — аутентификация пользователей и RBAC

Опубликовано: 19 Апреля, 2023

Что мне действительно нравится в графическом интерфейсе ACI (Application Centric Infrastructure) APIC (Application Policy Infrastructure Controller) — это то, насколько он полезен. Есть несколько продуктов, которые использовали идею размещения Quick Start в своем продукте на страницах приветствия, таких как VMware SRM и Zenoss, и теперь APIC GUI имеет это, как показано ниже.

Изображение 15234
фигура 1

Когда вы нажимаете на ссылки в кратком руководстве, вы получаете учебник о том, как это сделать, а также дополнительное видео для просмотра. Справа от Quick Start находится список слов и понятий, которые помогут вам ознакомиться с сетевыми понятиями в целом и с ACI в частности.

В этой статье я подробно расскажу о втором этапе . Кроме того, первым шагом быстрого запуска является , о которой я уже рассказывал здесь. Как и в случае с первоначальным «Быстрым стартом», у нас есть дополнительные «Краткие старты», специально детализированные для определенной темы. Итак, когда мы нажмем на вкладку ADMIN, мы увидим руководство ниже.

Изображение 15235
фигура 2

Хотя нам не всегда нужно все, что здесь включено, важно понимать все это, чтобы мы знали, что нам действительно нужно в нашей среде. Часто для некоторых из этих параметров уже настроены параметры по умолчанию, например для связок ключей.

Для тех, кто не знаком, кольцо для ключей очень похоже на его физическую копию.

Изображение 15236
Рисунок 3

Он буквально хранит пароли или сертификаты для вас. Чтобы создать новую связку ключей, мы сначала создадим центр сертификации. Опять же, есть кольцо для ключей по умолчанию, так что это не обязательно, но сделает среду более безопасной.

Настройка сертификатов и связок ключей

  1. На вкладке «АДМИНИСТР» разверните «Управление открытыми ключами».
  2. Щелкните Центр сертификации.
  3. Нажмите раскрывающееся меню «Действия» и выберите «Создать центр сертификации».
  4. Дайте центру сертификации имя, описание и цепочку сертификатов, затем нажмите «Отправить».
  5. Нажмите «Кольца для ключей», и вы увидите там кольцо для ключей по умолчанию.
  6. Нажмите раскрывающееся меню «Действия» и выберите «Создать связку ключей».
  7. Дайте ему имя, описание, сертификат, выберите модуль для сертификата и выберите центр сертификации, с которым вы хотите его связать.

Далее мы собираемся настроить глобальные политики паролей. Если вы нажмете «Настроить свойства политики паролей» в разделе «Быстрый старт» на вкладке «АДМИНИСТРАЦИЯ» (подвкладка «ААА»), что является вторым шагом, вы перейдете на вкладку «Аутентификация ААА» на панели навигации слева. Здесь у вас есть три варианта, как показано.

Изображение 15237
Рисунок 4

Мы можем выбрать, разрешать ли нам удаленный вход в систему или мы должны указать определенную роль, чтобы разрешить людям удаленный вход в систему. Мы также можем выбрать аутентификацию по умолчанию. Если мы планируем использовать локальных пользователей или пользователей, которых администратор создает в APIC, оставьте их в локальной сфере. Если нет, вы можете выбрать LDAP, RADIUS или TACACS+ (также используя LDAP для подключений к Active Directory). То же самое можно сделать для аутентификации консоли.

Если мы развернем объект аутентификации AAA, мы увидим домены входа. Существует домен входа по умолчанию, называемый резервным, который подключен к локальной области и существует на случай, если администраторы каким-то образом заблокируют себя с помощью внешних учетных записей. Однако мы можем создавать новые домены входа и связывать с ними пользователей. Эти домены входа могут быть подключены к локальной области или LDAP, RADIUS или TACACS+. Они также помогают держать объекты безопасности и пользователей более организованными. Дополнительные сведения см. в документации Cisco здесь.

Домены безопасности

Третьим действием в этом конкретном кратком руководстве является создание доменов безопасности. Уже существует три домена: All, Common и Mgmt. Домен безопасности «Все» обычно включает в себя все в дереве управляющей информации. Общий обычно используется, когда есть потребность в общих ресурсах между арендаторами, а домен безопасности Mgmt, очевидно, предназначен для управления, где, например, вероятно, лежат администраторы вашей структуры. При необходимости вы можете добавить домены безопасности. Например, если вы хотите иметь многопользовательскую среду, вы должны создать домен безопасности для каждого арендатора. Затем мы можем создавать пользователей и назначать их определенным доменам безопасности или арендаторам.

Создайте домен безопасности:

  1. Разверните Управление безопасностью на панели навигации слева.
  2. Щелкните Домены безопасности.
  3. Нажмите раскрывающееся меню «Действия» и выберите «Создать домен безопасности».
  4. Дайте вашему домену безопасности имя и необязательное описание.

Роли

ACI использует RBAC или управление доступом на основе ролей. Это очень распространенный способ реализации безопасности в решении. По сути, это означает, что у вас есть администраторы, у которых есть разрешения на управление всем в решении, в ACI это администратор Fabric (admin). Они могут назначать разрешения или роли другим пользователям, что дает им детальный доступ к определенным вещам. В ACI есть роли по умолчанию, как показано ниже.

Изображение 15238
Рисунок 5

Мы можем назначать пользователям эти роли или создавать настраиваемые роли на основе более детальных разрешений в рамках каждой из этих ролей. Мы можем указать, хотим ли мы, чтобы пользователи могли только читать или также читать/писать. Как и в большинстве других задач, упомянутых в этом блоге, для создания новой роли нам просто нужно выделить роли, а затем использовать меню «Действия» для создания новых. Роли/разрешения будут доступны в выбираемом меню, чтобы мы могли назначить новую пользовательскую роль.

Настройка учетных записей пользователей

В ACI администратор может ввести локальных пользователей вручную или использовать что-то вроде LDAP, RADIUS, Active Directory или TACACS+, чтобы указать пользователей, которым будет разрешено управлять определенными частями сети ACI.

Настройте локальных пользователей:

  1. Нажмите на вкладку ADMIN вверху.
  2. Нажмите «Аутентификация AAA» на панели навигации слева.
  3. Убедитесь, что Local указан как Realm. Если нет, укажите его и нажмите Отправить.
  4. Нажмите «Управление безопасностью» на панели навигации слева.
  5. Выберите раскрывающийся список «Действия» и нажмите «Создать локального пользователя».
  6. Укажите всю необходимую информацию о безопасности и нажмите «Далее».
  7. Выберите роли, которые вы хотите назначить этому пользователю, например «Чтение/запись» для администратора или администратора арендатора и т. д., и нажмите «Далее».
  8. Укажите регистрационную информацию для пользователя, как показано ниже, и нажмите «Готово».

Изображение 15239
Рисунок 6

Создание учетных записей удаленных пользователей похоже на то, что мы все, скорее всего, видели в прошлом. Если мы создаем учетную запись LDAP, нам нужно сначала настроить поставщика LDAP. Это означает, что нам нужен IP-адрес или имя хоста сервера LDAP, порт, который он использует для связи, и любая другая соответствующая информация, которая позволит нам подключиться к этому серверу. То же самое верно для RADIUS и TACACS+. Затем мы можем дополнительно настроить группы, из которых разрешено считывать данные и захватывать их, чтобы выбрать, какие удаленные пользователи получат доступ к сети ACI.

Виртуализация

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Типы клиентов Citrix: возможности и ограничения
25 Апреля, 2023
Мой процессор на 100%, что я могу с этим поделать?
25 Апреля, 2023
Запуск устаревших 16-разрядных приложений в среде службы терминалов
25 Апреля, 2023
Внутри среды изоляции приложений Citrix Presentation Server
25 Апреля, 2023
Управление полосой пропускания: Часть 1 – Старомодный способ
25 Апреля, 2023
Управление специфичными для пользователя данными конфигурации приложения в среде службы терминалов
25 Апреля, 2023
Работа с плохой пропускной способностью и задержкой
25 Апреля, 2023
Терминальный сервер и вызов профиля
25 Апреля, 2023