Система управления доступом Cisco Secure Access Control Server (ACS)
Для управления доступом на любой сетевой элемент Cisco Systems разработала архитектуру AAA – Authentication, Authorization, Accounting (Аутентификация, Авторизация, Учёт). Данная архитектура реализуется на базе программных и аппаратных средств за счет использования протоколов RADIUDS или TACACS+. Оба протокола реализованы в продукте Cisco Secure Access Control Server (ACS) на базе программной или аппаратной платформы.
Основные возможности Cisco ACS:
|
|
Реализация аутентификации, авторизации и учёта (ААУ)
|
Cisco Secure ACS версии 5.6 поддерживает два протокола ААУ: RADIUS для контроля сетевого доступа и TACACS+ для контроля доступа к сетевым устройствам.
В рамках контроля доступа к сетевым устройствам Cisco Secure ACS реализует:
- авторизацию вводимых администраторами команд – для каждой команды принимается решение об авторизации;
- учёт действий администраторов, в т.ч. – изменений конфигурации.
|
База данных о пользователях и администраторах
|
Cisco Secure ACS 5.6 реализует собственный каталог пользователей, а также поддерживает интеграцию с внешними каталогами, такими как:
- Microsoft Active Directory (AD);
- LDAP;
- RSA tokens.
Cisco ACS позволяет использовать различные атрибуты каталогов AD и LDAP, в т.ч. сочетание атрибутов, для определения политики ААУ. Возможно определение нескольких независимых политик ААУ и использование различных каталогов для каждой политики. Cisco ACS позволяет сочетать в одной политике использование нескольких каталогов.
Аутентификация администраторов Cisco ACS может производиться как с использованием собственного каталога пользователей, так и с использованием внешних каталогов.
Проектным решением предусмотрено использование собственного каталога и службы каталогов AD, размещаемой в ЦОД ТК НТВ для:
- реализации аутентификации, администрации и учёта (ААУ);
- аутентификации и авторизации управления функциональным модулем управления доступом
Решение позволяет использовать единый каталог AD для хранения информации об администраторах и обеспечить высокую доступность сервисов ААУ за счёт хранения части информации об администраторах в собственном каталоге Cisco ACS.
|
|
Cisco Secure ACS 5.6 реализует модель доступа, основанную на правилах и атрибутах, что позволяет гибко определить политики ААУ, в т.ч.:
- возможные протоколы ААУ;
- специфические ограничения, применяемые к отдельным узлам;
- ограничения по времени доступа.
|
Поддержка отказоустойчивой конфигурации
|
Cisco Secure ACS 5.6 поддерживает объединение нескольких инсталляций в единый кластер, в котором один из узлов является основным, а остальные – резервными. Резервные системы могут полностью заменить основную в случае её выхода из строя.
В рамках кластера осуществляется репликация политики доступа и прочих данных между основным и резервными узлами.
|
Централизованное управление
|
Cisco Secure ACS 5.6 поддерживает централизованный веб-интерфейс управления. Для управления кластером используется веб-интерфейс основного узла, внесённые изменения за счёт репликации распространяются на все узлы кластера.
|
|
Сisco Secure ACS 5.6 включет интегрированный компонент мониторинга, отчётности и отладки. Компонент обеспечивает сохранение событий в журналах и предоставление к ним доступа в интерфейсе управления. Также поддерживается отправка событий сторонним получателям, в т.ч. – по протоколу Syslog.
Для мониторинга состояния с установленным ПО Cisco Secure ACS, поддерживается опрос по протоколу SNMP и отправка SNMP traps.
|