Letysite.ru

IT Новости с интернет пространства
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Access control server

Система управления доступом Cisco Secure Access Control Server (ACS)

Реализация аутентификации, авторизации и учёта (ААУ)

Cisco Secure ACS версии 5.6 поддерживает два протокола ААУ: RADIUS для контроля сетевого доступа и TACACS + для контроля доступа к сетевым устройствам.

В рамках контроля доступа к сетевым устройствам Cisco Secure ACS реализует:

— авторизацию вводимых администраторами команд – для каждой команды принимается решение об авторизации;

— учёт действий администраторов, в т.ч. – изменений конфигурации.

База данных о пользователях и администраторах

Cisco Secure ACS 5.6 реализует собственный каталог пользователей, а также поддерживает интеграцию с внешними каталогами, такими как:

— Microsoft Active Directory (AD);

Cisco ACS позволяет использовать различные атрибуты каталогов AD и LDAP , в т.ч. сочетание атрибутов, для определения политики ААУ. Возможно определение нескольких независимых политик ААУ и использование различных каталогов для каждой политики. Cisco ACS позволяет сочетать в одной политике использование нескольких каталогов.

Аутентификация администраторов Cisco ACS может производиться как с использованием собственного каталога пользователей, так и с использованием внешних каталогов.

Проектным решением предусмотрено использование собственного каталога и службы каталогов AD , размещаемой в ЦОД ТК НТВ для:

— реализации аутентификации, администрации и учёта (ААУ);

— аутентификации и авторизации управления функциональным модулем управления доступом

Решение позволяет использовать единый каталог AD для хранения информации об администраторах и обеспечить высокую доступность сервисов ААУ за счёт хранения части информации об администраторах в собственном каталоге Cisco ACS .

Cisco Secure ACS 5.6 реализует модель доступа, основанную на правилах и атрибутах, что позволяет гибко определить политики ААУ, в т.ч.:

— возможные протоколы ААУ;

— специфические ограничения, применяемые к отдельным узлам;

— ограничения по времени доступа.

Поддержка отказоустойчивой конфигурации

Cisco Secure ACS 5.6 поддерживает объединение нескольких инсталляций в единый кластер, в котором один из узлов является основным, а остальные – резервными. Резервные системы могут полностью заменить основную в случае её выхода из строя.

В рамках кластера осуществляется репликация политики доступа и прочих данных между основным и резервными узлами.

Cisco Secure ACS 5.6 поддерживает централизованный веб-интерфейс управления. Для управления кластером используется веб-интерфейс основного узла, внесённые изменения за счёт репликации распространяются на все узлы кластера.

С isco Secure ACS 5.6 включет интегрированный компонент мониторинга, отчётности и отладки. Компонент обеспечивает сохранение событий в журналах и предоставление к ним доступа в интерфейсе управления. Также поддерживается отправка событий сторонним получателям, в т.ч. – по протоколу Syslog .

Для мониторинга состояния с установленным ПО Cisco Secure ACS , поддерживается опрос по протоколу SNMP и отправка SNMP traps .

Access control server

Компания Cisco представляет программный продукт Cisco Secure Access Control Server (ACS) для Windows 2000 и NT, который позволяет контролировать растущее количество сетевых устройств, которые прямо или косвенно осуществляют подключение пользователей к сети Internet или к внутренней корпоративной сети.

Серия Cisco Secure Access Control Server – это программное обеспечение для администрации корпоративных сетей и поставщиков услуг, позволяющее определить правила доступа – какие пользователи имеют право доступа во внутреннюю сеть или в Интернет и какими услугами они могут воспользоваться. Cisco Secure ACS используется для идентификации совместно с другими устройствами Cisco – серверами доступа по коммутируемым линиям, маршрутизаторами и межсетевыми экранами. Это дает возможность совместить в одном месте контроль и авторизацию на серверах коммутируемого доступа и межсетевых экранах и контроль над управлением коммутаторами и маршрутизаторами. При использовании Cisco Secure Access Control Server администраторы сети могут проконтролировать следующие этапы:

  • аутентификацию (кто может войти в сеть),
  • авторизацию (какие права имеет каждый пользователь),
  • учет (какую информацию о деятельности пользователя нужно сохранить для будущего использования).

Cisco Secure ACS выпускается для платформы Windows NT/2000. Функционально Cisco Secure ACS служит центральным хранилищем учета и аудита. Информацию обо всех сессиях, установленных пользователями, можно полностью записать в базу данных, а затем использовать в целях определения политик безопасности, планирования роста сети или для ведения учета и оплаты использования сетевых ресурсов.

Cisco Secure ACS v2.6 для Windows NT (ACS2000) представляет собой легко масштабируемый и надежный сервер контроля доступа (Access Control Server), который запускается как сервис Windows 2000 или NT и управляет идентификацией, авторизацией и учетом тысяч пользователей сети.

ACS2000 позволяет централизовать контроль и учет работы пользователей с такими компонентами сети как сервера доступа, виртуальные частные сети (VPN), межсетевые экраны (firewall), IP-телефония, маршрутизаторы и коммутаторы. Используя ACS2000, сетевые администраторы могут легко управлять пользовательскими учетными записями, а также изменять уровни безопасности и сетевой защиты для целых групп пользователей.

Основные характеристики и отличительные особенности

Cisco Secure ACS является мощным сервером контроля доступа обладающим высокой надежностью и легкой масштабируемостью:

  • Поддержка RADIUS для идентификации и авторизации клиентов использующих беспроводный доступ в решениях Cisco Aironet Wireless.
  • Поддержка протокола Lightweight Extensible Authentication Protocol (LEAP) для Cisco Aironet Wireless.
  • Динамический ключ авторизации беспроводной сети, основанный на RADIUS.
  • Одновременная поддержка TACACS+ и RADIUS.
  • Поддержка Windows 2000 Active Directory и базы данных пользователей Windows NT для единой авторизации пользователей в рамках сети.
  • Поддержка CHAP (Challenge Handshake Authentication Protocol), MS-CHAP (Microsoft Challenge Handshake Authentication Protocol), PAP (Password Authentication Protocol) и ARA (AppleTalk Remote Access).
  • Пользовательский интерфейс на базе HTML/JAVA упрощает конфигурирование пользовательских профилей, профилей групп и ACS и любой точки сети.
  • Подсказки и встроенная документация для быстрого решения возникающих трудностей.
  • Использование групп пользователей позволяет достичь максимальной гибкости и упростить процесс внесения изменений в правила безопасности.
  • Дифференцированные уровни доступа для администраторов Cisco Secure ACS.
  • Возможность объединить несколько устройств в группу упрощает управление ими.
  • «Разумная» обработка неопознанных пользователей.
  • Поддержка Vendor Specific Attribute (VSA) в Cisco IOS, Cisco VPN 3000 и VPN 5000.
  • Идентификация пользователей с использованием NDS.
  • Импорт ODBC.
  • Использование динамических квот.
  • Автоматическая репликация.
  • Поддержка VPDN для инициирования и терминации VPDN (L2F) туннелей.
  • Механизм быстрого импорта большого числа пользователей.
  • Поддержка Token Server для Security Dynamics, Axent Technologies, Secure Computing и CryptoCard.
  • Кэширование Token-ов для терминальных адаптеров ISDN.
  • Ограничение доступа по времени суток и дню недели.
  • Ограничение доступа на основе CLID.
  • Отключение учетной записи по дате.
  • Отключение учетной записи после N неудачных попыток идентификации.
  • Просмотр списка зарегистрировавшихся пользователей.
  • Использование Windows Performance Monitor для просмотра статистики в реальном времени.
  • Информация по учету и аудиту сохраняется в формате CSV. Это позволяет импортировать ее в приложения тарификации.
Читать еще:  Как повернуть текст в опен офисе

При помощи Cisco Secure Access Control Server, администратор сети может контролировать:

  • Права доступа в сеть.
  • Привилегии каждого пользователя сети.
  • Учетную информацию о действиях пользователя в сети.

NStor | ООО «Нстор» | Комплексные поставки и интеграция интеллектуального оборудования для бизнеса, предприятий, образования, торговли: по обработке, хранению, передаче и презентации данных, автоматизации торговли и производства.

Данная информация не является публичной офертой, определяемой положениями статей 435,437 Гражданского Кодекса РФ

Cisco Secure Access Control Server

CiscoSecure Access Control Server

Cisco Upgrade any ACS version to ACS SE 4.X 1113 Appliance (CSACSE-1113-UP-K9)

381 546 руб. 5 781.00 USD 5 195.34 EUR


Cisco Secure ACS 4.X Solution Engine 1113 Appliance (CSACSE-1113-K9)

620 202 руб. 9 397.00 USD 8 445.02 EUR


Cisco Minor Release update for CSACS Sol. Eng. SW 3.3.3-Apr 05 (CSACSE-APR05MR-K9)

23 628 руб. 358.00 USD 321.73 EUR


Cisco Service use Only/ Minor Rel -CSACS Sol. Eng. SW3.3.3-Apr 05 (CSACSE-APR05SR-K9)

47 520 руб. 720.00 USD 647.06 EUR


Cisco Service use only: Minor release update for ACS SE 4.1 (CSACSE4.1-SW-SR-K9)

23 628 руб. 358.00 USD 321.73 EUR


Cisco Minor Release update for ACS SE 4.1 (CSACSE4.1-SW-MR-K9)

23 628 руб. 358.00 USD 321.73 EUR


Cisco Upgrade any 111x appliance to ACS SE 4.1 software (CSACSE-4.1-SWUP-K9)

214 566 руб. 3 251.00 USD 2 921.65 EUR


Cisco Upgrade any 111x appliance to ACS SE 4.0 software (CSACSE-4.0-SWUP-K9)

214 566 руб. 3 251.00 USD 2 921.65 EUR


Cisco Service use only: Minor release update for ACS 4.1 (CSACS4.1-WIN-SR-K9)

23 628 руб. 358.00 USD 321.73 EUR


Cisco Minor Release update for ACS 4.1 (CSACS4.1-WIN-MR-K9)

23 628 руб. 358.00 USD 321.73 EUR


Cisco ACS 4.1 Windows upgrade for ACS 3.x (CSACS-4.1-WINUP-K9)

214 566 руб. 3 251.00 USD 2 921.65 EUR


Cisco Upgrade any ACS version to ACS 4.0 Windows (CSACS-4.0-WINUP-K9)

214 566 руб. 3 251.00 USD 2 921.65 EUR


Cisco Secure ACS 4.0 for Windows (CSACS-4.0-WIN-K9)

429 264 руб. 6 504.00 USD 5 845.10 EUR


Cisco CiscoSecure ACS 2.3 UNIX w/ DSM (4 server) (CSU-DSM-4S-2.3)

3 650 790 руб. 55 315.00 USD 49 711.19 EUR


Cisco CiscoSecure DMS Feature Module for ACS 2.3 UNIX (CSU-DSM-UG)

1 037 982 руб. 15 727.00 USD 14 133.74 EUR


Не нашли на сайте то, что искали?
Сообщите нам, какой товар Вас интересует, мы постараемся помочь Вам приобрести нужное оборудование.

Dynamic Access Control в Windows Server 2012

В Windows Server 2012 появился новая концепция централизованного управления доступом к файлам и папкам на уровне всей компании под названием Dynamic Access Control (динамический контроль доступа). Основное отличие новой системы динамического контроля доступа от старой системы доступа к файлам и папкам Access Control List (ACL — списки контроля доступа), позволяющей предоставлять доступ только на учетных записей пользователей и групп, заключается в том, что с помощью Dynamic Access Control (DAC) можно управлять доступом на основе практически любого заданного атрибута и даже критерия. С помощью Dynamic Access Control в Windows Server 2012 можно создавать целые правила управления доступа к данным, которые позволят проворить, например, входит ли пользователь в определенные группы, числится ли он в финансовом отделе и поддерживает ли его планшет шифрование RMS. Эти правила в виде политик в дальнейшем можно применить к любому (или всем) файловым серверам организации, создав тем самым единую систему безопасности.

Читать еще:  Файл опен офис

Недостатки организации доступа на основе ACL

Каким образом реализовывался доступ к общим каталогам на файловых серверах до появления Dynamic Access Control. На общую папку на уровне NTFS и/или шары назначались определенные списки доступа, включающиеся в себя определенные группы в AD (или локальные группы сервера) или конкретные учетные записи. Чтобы пользователь получил доступ к нужному каталогу, администратор должен был включить его в соответствующую группу. Какие недостатки такой модели организации доступа?

· Доступ регулируется только на основании только членства в группе

· При большом количестве общих папок необходимо создавать большое количество групп (выливается в увеличение билета Kerberos)

· Отсутствует возможность контроля доступа на основании характеристик устройства пользователя, с которого подключается пользователь

· Невозможность реализации сложных сценариев доступа

При контроле доступа только на основе ACL нередки случаи, когда пользователь случайно выкладывает конфиденциальную информацию (зарплаты топ-менеджеров, например) на общедоступный (public) ресурс, где все желающие могут с ней познакомится.

Указанные выше недостатки призвана устранить технология динамического контроля доступа.

Архитектура и принципы Windows Server 2012 Dynamic Access Control

В Windows Server 2012 Dynamic Access Control создает еще один уровень управления доступом к файловым объектам на уровне всего домена, причем на эти объекты продолжают действовать NTFS разрешениями
(ACL). Отметим, что правила DAC могут действовать повсеместно, независимо от того, какие NTFS права выставлены на объекте.

Одной из основных концептов модели DAC является понятие claim (заявка или утверждение). В модели управления доступом Windows Server 2012 claim представляет собой атрибут Active Directory, которой определен для использования с централизованными политиками доступа (Central Access Policies). В качестве критериев можно использовать практически любые сохранные в AD параметры, принадлежащие определенному объекту, например, ID устройства, способ входа в систему, местонахождение, личные данные и т.д. Настройка claim-ов осуществляется с помощью консоли управления Active Directory Administrative Center (ADAC) в новом контейнере Claim Based Access. В этом контейнере (изначально пустом) можно создавать собственные утверждения и связывать их с атрибутами пользователей или компьютеров. Основываясь на значениях claim-ов можно определить давать ли доступ данному пользователю/устройству к тому или иному объекту файловой системы.

Следующий компонент DAC – свойства ресурсов (Resource Properties), с помощью которых определяются свойства ресурсов, которые в дальнейшем будут использовать в правила авторизации. Resource Properties – это также отдельный контейнер в Dynamic Access Control.

Следующими элементами DAC являются правила Central Access Rules и политики Central Access Policy. CentralAccess Rules описывают какой уровень доступа предоставить к файлам, каким пользователям, с какими заданными утвержденями, с каких устройств и т.д. Central Access Policy – это политика, содержащая в себе правила Central Access Rules, которая в дальнейшем посредством GPO будет распространена по всей организации (или конкретной OU).

Каким образом можно перейти на модель управления доступом Dynamic Access Control в организации:

1. Создать один/несколько видов клаймов.

2. Активировать одни/несколько свойств ресурсов (метки или теги у файловых объектов)

3. Создать правило Central Access Rule, в котором определяется условия предоставления доступа

4. Добавить созданные правила в политику Central Access Policy

5. С помощью групповых политик распространить CAP на файловые сервера

Естественно, перед внедрением Dynamic Access Control необходимо настроить систему классификации файлов, как это сделать описывается в статье : Классификация файлов с помощью File Classification Infrastructure в Windows Server 2012. Этап определения и классификация данных, хранящихся на файл-серверах наиболее тяжелый и трудоемкий, результатом которого будет назначение управляемым файловым объектам NTFS тэгов.

Каким образом осуществляется проверка разрешений пи доступе к файлу/каталогу конечного пользователя, ведь теперь помимо прав доступа на NTFS осуществляется еще и проверка на соответствие клаймов? Последовательность проверки разрешений следующая:

· Central Access Policy

Пример использования Dynamic Access Control в Windows Server 2012

Попробуем разобрать на практике возможные пример настройки DAC в Windows 2012. Предположим, что мы хотим создать политику доступа, регулирующую доступ на основе департамента пользователи и страны, в которой он находится.

С помощью консоли AD Administrative Center создадим два новых claim-a: Department и Country. Для этого перейдите в контейнер Dynamic Access Control -> Claim Types и в меню выберите пункт New:

Создадим новое утверждение с именем Department :

и Country :

В атрибуте Country укажем два предопределенных (suggested) значения (EG – Египет, и QR – Катар):

Далее создадим новое свойство ресурса (Resource Properties) для утверждения Country: New-> Resource Properties.

Затем в контейнере Resource Properties активируйте утверждение Department

Теперь создадим новое правило Central Access Rule. В этом правиле будут указаны разрешения, которые применяются к объекту, если claim совпадает с правилом, описанном в CAR.

Читать еще:  Как открыть офис 2020 в 2003

Предположим, мы правило, определяющее, что пользовали Finance Admins (Department=Finance и County=EG), имеют полный доступ, а пользователи Finance Execs (Department=Finance) – доступ только на чтение. Это правило будет применено ко всем правилам, классифицированным, как относящиеся к финансовому департаменту:

В итоге, правило будет выглядеть так:

Затем создадим политику Central Access Policy (CAP), которая с помощью GPO будет применена ко всем файловым серверам.

В новую политику CAP, включим правило для финансового департамента, созданное ранее:

Далее правило Central Access Policy с помощью групповых политик нужно применить ко всем файловым серверам. Для этого нужно создать новую политику GPO и прилинковать ее к OU с файловыми серверами.

В окне редактора групповых политик (Group Policy Management Editor) перейдите в раздел Computer Configuration->Policies->Windows Settings->Security Settings->File System-Central Access Policy->Manage Central access policies.

В окне настроек Central Access Policies Configuration добавим политику Finance Data и нажмем OK.

Далее нужно разрешить всем доменным контроллерам назначать клаймы. Это также выполняется с помощью GPO, однако в этом случае нам нужно отредактировать политику контроллеров домена — Default Domain Controllers Policy . Перейдите в раздел Computer Configuration->Policies->Administrative Templates->System-> KDC. Откройте параметр KDC Support for claims, compound authentication and Kerberos armoring, задайте ему значение Enabled , а в выпадающем списке выберите Supported

Закройте редактор групповых политик и обновите политики на контроллере домена и файловых серверах командой

Посмотрим, что же у нас получилось.

Откройте на файлом сервере, к которому применяется созданная нами политика, свойства любой общей папки или документа, и перейдите на вкладку Classification. Как вы видите, в нем появились два утверждения. Если автоклассификация не настроена, их значения будут не заданы.

Примечание: Чтобы при доступе к файлу проверялись еще и разрешения DAC, у пользователей должен быть доступ к каталогу/файлу на уровне NTFS. В этом примере мы предоставим всем полный доступ на уровне NTFS.

Проверим текущие разрешения на папку.

Перейдем на вкладку Central Policy и применим политику Finance Data.

Если у пользователя не назначены утверждения (он входит в нужную группу, но у него не определены атрибуты department и country), доступа к каталогу у него не будет.

Заключение

С помощью комбинации технологий DAC, AD RMS (как организовать динамическое шифрование файлов с помощью AD RMS и FCI )и FCI можно создавать мощные схемы управления доступом к документам и зашиты конфиденциальной информации, реализуя полноценную DLP систему на базе инфраструктуры Windows Server 2012.

Cisco Secure Access Control Server

Отображаются все 19 результатов

Cisco ACS 4.1 Windows upgrade for ACS 3.x (CSACS-4.1-WINUP-K9)

Cisco Service use Only Minor Rel -CSACS Sol. Eng. SW3.3.3-Apr 05 (CSACSE-APR05SR-K9)

Cisco Service use only: Minor release update for ACS SE 4.1 (CSACSE4.1-SW-SR-K9)

Cisco Service use only: Minor release update for ACS 4.1 (CSACS4.1-WIN-SR-K9)

Cisco Upgrade any 111x appliance to ACS SE 4.1 software (CSACSE-4.1-SWUP-K9)

Cisco CSU Unix upgrade from CS NT (CSU-2.3-UPGRADE)

Cisco Minor Release update for ACS 4.1 (CSACS4.1-WIN-MR-K9)

Cisco Minor Release update for CSACS Sol. Eng. SW 3.3.3-Apr 05 (CSACSE-APR05MR-K9)

Cisco Upgrade any 111x appliance to ACS SE 4.0 software (CSACSE-4.0-SWUP-K9)

Cisco CiscoSecure ACS 2.3 UNIX w DSM (1 server) (CSU-DSM-2.3)

Cisco Secure ACS 4.X Solution Engine 1113 Appliance (CSACSE-1113-K9)

Cisco CiscoSecure ACS 2.3.6 UNIX (CSU-2.3)

Cisco CiscoSecure ACS 2.3 UNIX w DSM (4 server) (CSU-DSM-4S-2.3)

Cisco Upgrade any ACS version to ACS SE 4.X 1113 Appliance (CSACSE-1113-UP-K9)

Cisco CiscoSecure ACS 1.0 2.x UNIX to 2.3 upgrade (CSU-2.3-UG)

Cisco CiscoSecure DMS Feature Module for ACS 2.3 UNIX (CSU-DSM-UG)

Cisco Secure ACS 4.0 for Windows (CSACS-4.0-WIN-K9)

Cisco Upgrade any ACS version to ACS 4.0 Windows (CSACS-4.0-WINUP-K9)

Cisco Minor Release update for ACS SE 4.1 (CSACSE4.1-SW-MR-K9)

Максимальная эффективность решений, которые создаются для корпоративного сектора, достигается за счет применяемого технологического багажа. Данный метод позволяет создавать такие надежные продукты как Cisco Secure Access Control Server, способные влиять на общее качество инфраструктуры. При этом необходимость использования товаров подобного рода даже не обсуждается, так как все специалисты понимают, насколько это важно. Современное мощное оборудование и ПО дает большие преимущества, в сравнении со старыми образцами техники и программ. В данном ключе, Cisco Secure Access Control Server, а также схожие группы товаров являются важным дополнением для организации надежных и эффективных структур. Наш каталог содержит огромное число позиций, представленных с официальной гарантией разработчика и готовых работать в инфраструктурах заказчиков. Вы всегда можете запросить КП на Cisco Secure Access Control Server или другую продукцию из ассортимента.

Похожие товары

Cisco Minor Release update for CSACS Sol. Eng. SW 3.3.3-Apr 05 (CSACSE-APR05MR-K9)

Ссылка на основную публикацию
Adblock
detector