LOGO CISCOKonfigurimi i bazuar në role të zgjeruara
Kontrolli i aksesit, Publikimi 12.1.3

Përmbajtja fshehin
1 Informacion i ri dhe i ndryshuar
2 Kontroll i përmirësuar i aksesit i bazuar në role
3 Rastet e përdorimit të përmirësuar të RBAC
4 E drejta e autorit
5 Dokumentet / Burimet
5.1 Referencat

Informacion i ri dhe i ndryshuar

Tabela e mëposhtme jep një mbiview nga ndryshimet e rëndësishme deri në këtë version aktual. Tabela nuk ofron një listë shteruese të të gjitha ndryshimeve ose të veçorive të reja deri në këtë version.

Versioni i lëshimit  Veçori Përshkrimi
Lëshimi i NDFC 12.1.3 Përmbajtje e riorganizuar Përmbajtja brenda këtij dokumenti fillimisht u dha në Udhëzuesin e Konfigurimit të Kontrolluesit Cisco NDFC-Fabric ose në Udhëzuesin e konfigurimit të kontrolluesit Cisco NDFC-SAN. Duke filluar me versionin 12.1.3, kjo përmbajtje tani ofrohet vetëm në këtë dokument dhe nuk ofrohet më në ato dokumente.

Kontroll i përmirësuar i aksesit i bazuar në role

Duke filluar nga versioni 12.0.1(a) i Cisco Dashboard Dashboard Release, i gjithë RBAC është në Panelin e Nexus. Rolet e përdoruesit dhe qasja përcaktohen nga Paneli i Nexus për pëlhura në NDFC.
Roli i administratorit të Panelit të Nexus konsiderohet si roli i administratorit të rrjetit në NDFC.
DCNM kishte pesë role për të kryer akses dhe operacione të ndryshme. Nëse një përdorues ka akses në një pëlhurë me rrjet stagE roli ka akses në të gjitha pëlhurat e tjera si një rrjet stagrolin. Prandaj, një emër përdoruesi është i kufizuar me rolin e tyre në DCNM.
Cisco NDFC Release 12.0.1(a) ka të njëjtat pesë role, por ju mund të bëni RBAC granular me integrimin e Panelit të Nexus. Nëse një përdorues akseson një pëlhurë si një rrjet stagNë rolin e tij, i njëjti përdorues mund të hyjë në pëlhura të ndryshme me një rol tjetër përdoruesi si administratori ose roli i operatorit. Prandaj, një përdorues mund të ketë akses të ndryshëm në pëlhura të ndryshme në NDFC.
NDFC RBAC mbështet rolet e mëposhtme:

  • NDFC Access Admin
  • Aprovuesi i ndryshimit të NDFC
  • NDFC Change Deployer
  • Administratori i përmirësimit të pajisjes NDFC
  • Administratori i rrjetit NDFC
  • Operatori i rrjetit NDFC
  • Rrjeti NDFC Stager

Tabela e mëposhtme përshkruan rolet e përdoruesve dhe privilegjet e tyre në NDFC.

Rolet Privilegjet
NDFC Access Admin Lexo/Shkruaj
Aprovuesi i ndryshimit të NDFC Lexo/Shkruaj
NDFC Change Deployer Lexo/Shkruaj
Administratori i përmirësimit të pajisjes NDFC Lexo/Shkruaj
Administratori i rrjetit NDFC Lexo/Shkruaj
Operatori i rrjetit NDFC Lexoni
Rrjeti NDFC Stager Lexo/Shkruaj

Rolet e mëposhtme mbështeten në DCNM për pajtueshmërinë e prapambetur:

  • Global-admin (hartë në rrjet-admin)
  • Server-admin (hartë me administratorin e rrjetit)

KUJDES Në çdo dritare, veprimet që kufizohen nga roli i përdoruesit që është identifikuar janë gri.
NDFC Access Admin
Një përdorues me rolin e administratorit të aksesit NDFC mund të kryejë operacione vetëm në dritaren e "Menaxherit të ndërfaqes" për të gjitha tekstet.
Një administrator i aksesit NDFC mund të kryejë veprimet e mëposhtme:

  • Shtoni, modifikoni, fshini dhe vendosni kanalet e portit të shtresës 2 dhe vPC.
  • Ndrysho ndërfaqet vPC të hostit dhe ethernet.
  • Ruaj, paraview, dhe vendoset nga ndërfaqet e menaxhimit.
  • Redaktoni ndërfaqet për pëlhurat klasike LAN dhe IPFM.

Përveç nve, menaxhimit, tunelit, nënndërfaqes, SVI, grupimit të ndërfaqes dhe ndërfaqeve loopback
Megjithatë, një përdorues me rolin e administratorit të aksesit të "Cisco Nexus Dashboard Controller" nuk mund të kryejë veprimet e mëposhtme:

  • Nuk mund të redaktohen kanalet e portit të shtresës 3, ST FEX, AA FEX, ndërfaqet loopback, ndërfaqet nve dhe nënndërfaqet.
  • Nuk mund të modifikohen ndërfaqet e anëtarëve dhe kanalet e portave të Layer 3, ST FEX, AA FEX.
  • Nuk mund të modifikohen ndërfaqet me politikën e lidhur nga shtresa e poshtme dhe lidhja për pëlhura të lehta.
  • Kanali i portës së lidhjes homologe nuk mund të modifikohet.
  • Ndërfaqja e menaxhimit nuk mund të modifikohet.
  • Tuneli nuk mund të modifikohet.

KUJDES Ikonat dhe butonat janë gri për këtë rol kur pëlhura ose kontrolluesi i pëlhurës së panelit të panelit Cisco Nexus është në modalitetin e ngrirjes së vendosjes.
Aprovuesi i ndryshimit të NDFC
Roli i miratuesit të ndryshimeve NDFC u bë i disponueshëm si pjesë e veçorive të kontrollit të ndryshimit dhe rikthimit, të prezantuara në versionin 12.1.3 të NDFC. Shiko Ndrysho Kontrollin dhe Rikthimin për më shumë informacion.
Përdoruesit me privilegjin e miratuesit të ndryshimit NDFC mund të miratojnë biletat e kontrollit të ndryshimit.
Një përdorues që i është caktuar roli i miratuesit të ndryshimeve NDFC mund të kontrollojë dy herë ndryshimet që lidhen me një biletë specifike dhe t'i miratojë ose mohojë ato ndryshime.
NDFC Change Deployer
Roli i NDFC Change Deployer u bë i disponueshëm si pjesë e funksioneve të kontrollit të ndryshimit dhe rikthimit, të prezantuara në versionin 12.1.3 të NDFC. Shih Cvaret Kontrolli dhe Rikthimi për më shumë informacion.
Përdoruesit me privilegjin e NDFC Change Deployer mund të vendosin biletat e kontrollit të ndryshimit.
Pasi një biletë kontrolli ndryshimi të miratohet nga një përdorues me rolin e miratuesit të ndryshimit NDFC, ajo biletë është më pas e disponueshme për çdo përdorues që i është caktuar roli i NDFC Change Deployer, i cili më pas mund të vendosë ndryshimet që kanë kaluar në vendosjentage në rrjedhën e punës të kontrollit të ndryshimit.
Administratori i përmirësimit të pajisjes NDFC
Një përdorues me rolin e administratorit të përmirësimit të pajisjes NDFC mund të kryejë veprime vetëm në dritaren e "Menaxhimit të imazhit".
Shihni Menaxhimi i imazhit: LAN për më shumë informacion.
Administratori i rrjetit NDFC
Një përdorues me rolin e administratorit të rrjetit NDFC mund të kryejë të gjitha operacionet në "Cisco Nexus Dashboard Controller".
Nga Cisco Nexus Dashboard Fabric Controller Release 12.1.1e, një përdorues me këtë rol mund të kryejë të gjitha operacionet për pëlhurat MSD në Rrjetet dhe VRF.
Mund të ngrini një pëlhurë të veçantë ose të gjitha pëlhurat në "Cisco Nexus Dashboard Controller Fabric Controller" nëse jeni përdorues me rolin e Administratorit të Rrjetit NDFC.
Administratori i rrjetit NDFC
Një përdorues me rolin e administratorit të rrjetit NDFC mund të kryejë të gjitha operacionet në "Cisco Nexus Dashboard Controller".
Nga Cisco Nexus Dashboard Fabric Controller Release 12.1.1e, një përdorues me këtë rol mund të kryejë të gjitha operacionet për pëlhurat MSD në Rrjetet dhe VRF.
Mund të ngrini një pëlhurë të veçantë ose të gjitha pëlhurat në "Cisco Nexus Dashboard Controller Fabric Controller" nëse jeni përdorues me rolin e Administratorit të Rrjetit NDFC.
KUJDES Sigurohuni që roli i përdoruesit të ndërruesit për zbulimin ose shtimin e çelësave ose kredencialet LAN për NDFC duhet të ketë rolin e administratorit të rrjetit.
Operatori i rrjetit NDFC
Një operator rrjeti mund view ndërtues pëlhure, cilësimet e pëlhurës, paraview konfigurimet, politikat dhe shabllonet. Megjithatë, një operator rrjeti nuk mund të kryejë veprimet e mëposhtme:

  • Nuk mund të ndryshojë konfigurimet e pritshme të ndonjë ndërprerës brenda çdo pëlhure.
  • Nuk mund të vendoset asnjë konfigurim te çelësat.
  • Nuk mund të aksesoni opsionet e administrimit si licencimi, krijimi i më shumë përdoruesve etj.

Dallimi midis një operatori rrjeti dhe një rrjeti stager është se, si një rrjet stagJu mund të përcaktoni vetëm qëllimin për pëlhurat ekzistuese, por nuk mund t'i vendosni ato konfigurime.
Vetëm një administrator i rrjetit mund të vendosë ndryshimet dhe modifikimet që janë staged nga një përdorues me rrjetin stagnjë rol.
Rrjeti NDFC Stager
Një përdorues me Rrjetin NDFC StagKy rol mund të bëjë ndryshime konfigurimi në kontrolluesin e pëlhurës së panelit të pultit Cisco Nexus. Një përdorues me rolin e administratorit të rrjetit NDFC mund t'i vendosë këto ndryshime më vonë. Një rrjet stager mund të kryejë veprimet e mëposhtme:

  • Ndryshoni konfigurimet e ndërfaqes
  • View ose modifikoni politikat
  • Krijo ndërfaqe
  • Ndryshoni cilësimet e pëlhurës
  • Ndryshoni ose krijoni shabllone

Megjithatë, një rrjet stager nuk mund të kryejë veprimet e mëposhtme:

  • Nuk mund të bëhet asnjë vendosje konfigurimi te çelësat.
  • Nuk mund të kryejë veprime të lidhura me vendosjen nga kontrolluesi i pëlhurës së panelit të panelit të Cisco Nexus Web UI ose API-të REST.
  • Nuk mund të aksesoni opsionet e administrimit si licencimi, krijimi i më shumë përdoruesve etj.
  • Nuk mund të lëvizë çelësat brenda dhe jashtë modalitetit të mirëmbajtjes.
  • Nuk mund të lëvizë pëlhurat brenda dhe jashtë modalitetit të ngrirjes së vendosjes.
  • Nuk mund të instalohen arna.
  • Çelësat nuk mund të përmirësohen.
  • Nuk mund të krijojë ose fshijë pëlhura.
  • Çelësat nuk mund të importohen ose fshihen.

Zgjedhja e domenit të paracaktuar të vërtetimit
Si parazgjedhje, ekrani i identifikimit në Panelin e Nexus zgjedh domenin lokal për vërtetim. Ju mund të ndryshoni domenin në kohën e hyrjes duke zgjedhur domenet e disponueshme nga lista rënëse.
Paneli i Nexus mbështet vërtetimin lokal dhe në distancë. Ofruesit e vërtetimit në distancë për Panelin Nexus përfshijnë RADIUS dhe TACACS. Për më shumë informacion mbi mbështetjen e vërtetimit, shihni https://www.cisco.com/c/en/us/td/docs/dcn/nd/2x/user-guide/cisco-nexus-dashboarduser-guide-211.pdf.
Tabela e mëposhtme përshkruan krahasimin RBAC midis aksesit DCNM dhe NDFC:

DCNM 11.5 (x) NDFC 12.0.x dhe 12.1.x
• Përdoruesi ka një rol të vetëm.
• Të gjitha API-të dhe burimet aksesohen me këtë rol të vetëm.		 • Përdoruesi mund të ketë një rol të ndryshëm në Panelin e ndryshëm të Nexus për domene sigurie.
• Domeni i sigurisë përmban një panel të vetëm Nexus, dhe çdo panel i kontrollit Nexus përmban një pëlhurë të vetme NDFC.
Një rol i vetëm lidhet me përdoruesin duke çaktivizuar ose kufizuar aksesin në opsionet në DCNM. Një rol i vetëm shfaq vetëm burimet e privilegjuara në faqen e zgjedhur dhe qasja e kufizuar zbehet bazuar në domenin e sigurisë të lidhur me burimin e zgjedhur në opsionet e mëtejshme në
NDFC.
Formati i çiftit DCNM AV me predha, role dhe kufizime opsionale të aksesit. Formati i çiftimit të AV Paneli i Nexus me predha, domene.
Rolet e mbështetura bazuar në llojin e vendosjes LAN, SAN ose PMN. Rolet e mbështetura si administratori i rrjetit, operatori i rrjetit, administratori i pajisjes, rrjetettagPra, administratori i aksesit janë në NDFC.Mbështetje për rolet e vjetra për pajtueshmërinë e prapambetur. Roli i administratorit të panelit të Nexus si administrator i rrjetit të DCNM.

Tabela e mëposhtme përshkruan formatin e çiftit AV DCNM 11.5(x):

Roli i Cisco DCNM RADIUS Cisco-AV-Vlera e çiftit  TACACS+ Shell Cisco-AV-Pair Value
Rrjeti-Operator shell:roles = “network-operator” dcnm-access=”group1 group2 group5″ cisco-avpair=shell:roles=”networkoperator” dcnm-access=”group1 group2 group5″
Rrjeti-Admin shell:roles = “network-admin” dcnm-access=”group1group2 group5″ cisco-avpair=shell:roles=”networkadmin” dcnm-access=”group1 group2 group5″

Tabela e mëposhtme përshkruan formatin NDFC 12.x AV Pair:

Roli i përdoruesit Vlera AVPair
NDFC Access Admin Access-admin
Administratori i përmirësimit të pajisjes NDFC Device-upg-admin
Administratori i rrjetit NDFC Rrjeti-admin
Operatori i rrjetit NDFC Operator i rrjetit
Rrjeti NDFC Stager Rrjeti-stager

Formati i vargut të çiftit AV ndryshon kur konfiguroni një rol lexim/shkrim, rol vetëm për lexim ose një kombinim rolesh lexim/shkrim dhe vetëm lexim për një përdorues specifik. Një varg tipik përfshin domenin, i ndjekur nga rolet lexim-shkrim të ndara nga rolet vetëm për lexim duke përdorur karakterin e pjerrët (/); rolet individuale ndahen me karakterin tub (|): shell:domains= / | / |

Rastet e përdorimit të përmirësuar të RBAC

Ka pëlhura të ndryshme në NDFC. Si parazgjedhje një përdorues është një administrator për të gjitha pëlhurat. Për një ishampKështu, një emër përdoruesi Cisco mund të ketë akses në rolin e administratorit në një Fabric-A dhe stager aksesin e rolit në një FabricB tjetër. Në Panelin e Nexus, të gjitha politikat e sigurisë janë pjesë e domeneve të sigurisë. Ju mund të krijoni përdoruesin dhe të jepni akses në këto domene sigurie.
Për të krijuar një përdorues dhe për të përcaktuar role specifike, kryeni hapat e mëposhtëm:

  1. Për të krijuar përdorues në domenet e sigurisë:
    a. Identifikohu në Panelin e Nexus me rolin e administratorit dhe lundroni te skeda Administrative.
    b. Në skedën Domeni i Sigurisë, klikoni Krijo Domenin e Sigurisë dhe krijoni domenet e mëposhtme të sigurisë:
    ▪ të gjithë – Ngjashëm me rolin e administratorit të rrjetit. Ky domen ka qasje administrative në Panelin e Nexus dhe aplikacionin e shërbimit NDFC.
    ▪ cisco-admin – akses i plotë i administratorit të rrjetit në Fabric-A
    ▪ cisco-stager – rrjet-stagka vetëm akses në Fabric-B
  2. Për të krijuar një përdorues lokal Cisco.
    a. Navigoni te Përdoruesit > Lokal.
    b. Në skedën Local, klikoni Krijo përdorues lokal.
    Shfaqet dritarja Krijo Përdorues Lokal.
    c. Futni Cisco në fushën e tekstit të ID-së së përdoruesit, jepni fjalëkalimet e duhura në fushat përkatëse.
    d. Pasi të krijoni një përdorues Cisco, lundroni te dritarja Local, klikoni në ikonën e elipseve në rreshtin e emrit të përdoruesit të Cisco-s dhe më pas klikoni Edit User.
    Shfaqet dritarja Edit User.
  3. Në dritaren Edit User, si parazgjedhje, ekziston i gjithë domeni i sigurisë. Klikoni "Shto domenin dhe rolet e sigurisë" për të shtuar domene të tjera sigurie.
    Shfaqet dritarja Shto domenin dhe rolet e sigurisë.
    a. Zgjidhni domenin cisco-admin nga lista rënëse e opsioneve dhe zgjidhni kutinë e kontrollit të NDFC Access Admin dhe më pas klikoni Ruaj.
    b. Përsëriteni hapin a për të shtuar cisco-stager domain për Rrjetin NDFC Stagnjë rol.
    c. Për të lidhur domenet e sigurisë me faqet përkatëse të rrobave, bëni sa më poshtë:
    Në Panelin e Nexus, lundroni te dritarja e sajteve. Klikoni në emrin e faqes Fabric-A.
    Shfaqet një panel rrëshqitës. Ti mundesh view i gjithë domeni i sigurisë për sajtin Fabric-A.
    d. Për të shtuar përdoruesin Cisco si administrator të rrjetit për Fabric-A, klikoni ikonën Elipse dhe Edit Site.
    e. Fshini të gjithë domenin e sigurisë dhe shtoni domenin e administratorit të rrjetit dhe ruani ndryshimet.
    Në mënyrë të ngjashme mund të shtoni për rrjetettager domain.
    f. Dilni nga Paneli i Nexus dhe identifikohuni përsëri si përdorues i Cisco-s.
    KUJDES Roli i përdoruesit Cisco mund view vetëm opsionet e lidhura me NDFC në Panelin e Nexus bazuar në lejet. Qasja e përdoruesit është e kufizuar në shërbimet e Panelit të Nexus.
    g. Navigoni te aplikacioni NDFC.
    Përdoruesi Cisco mund të kryejë operacione në dy sajte në NDFC, pasi përdoruesi është caktuar si rol administratori i rrjetit për Fabric-A dhe network-stager rol për Fabric-B.
    KUJDES Roli i administratorit të rrjetit mund të krijojë një ndërfaqe për Fabric-A dhe ta vendosë atë. Ndërsa rrjet-stagKy rol mund të krijojë një ndërfaqe për Fabric-B, por qasja është e kufizuar për t'u vendosur.

E drejta e autorit

SPECIFIKIMET DHE INFORMACIONET LIDHUR ME PRODUKTET NË KËTË MANUAL JANË TË NDRYSHIM PA NJOFTIM. TË GJITHA DEKLARATAT, INFORMACIONET DHE REKOMANDIMET NË KËTË MANUAL BESOHEN SE SAKTË POR PARAQITEN PA ASNJË LLOJ GARANCI, TË SHPREHUR APO TË nënkuptuara. PËRDORËSIT DUHET TË MARRIN PËRGJEGJËSINË E PLOTË PËR APLIKACIONIN E TYRE PËR ÇDO PRODUKT.
LICENCA E SOFTWAREVE DHE GARANCI E KUFIZUAR PËR PRODUKTIN SHOQËRUES PËRPËRQYREN NË PAKETËN INFORMACIONALE QË DORËZOHET ME PRODUKTIN DHE JANË PËRFSHIRË KËTU NGA KJO REFERENCE. NËSE NUK JENI TË GJITHËNË LICENCËN E softuerëve OSE GARANCIONIN E KUFIZUAR, KONTAKTONI PËRFAQËSUESIN TUAJ CISCO PËR NJË KOPJE.
Implementimi Cisco i kompresimit të kokës TCP është një përshtatje e një programi të zhvilluar nga Universiteti i Kalifornisë, Berkeley (UCB) si pjesë e versionit të domenit publik të sistemit operativ UNIX të UCB. Të gjitha të drejtat e rezervuara. E drejta e autorit © 1981, Regents of University of California.
PAVETË GJITHË DOKUMENTIT TË GJITHË GARANCI FILES DHE SOFTUERI I KËTË FURNIZUESVE JANË "SIÇ ËSHTË" ME TË GJITHA DISPOZITAT. CISCO DHE FURNIZUESIT TË EMËRTUAR MË LIRË HEQEN TË GJITHA GARANCITË, TË SHPREHURA APO TË LËNDIKUARA, PËRFSHIRË, PA KUFIZIM, ATO TË TREGTUESHMËRISË, PËRSHTATSHMËRISË PËR NJË QËLLIM TË VEÇANTË DHE JO KUFIZIMET E KUFIZUARAVE, PËRDORIMI, OSE PRAKTIKA E TREGTISË.
NË ASNJË RAST CISCO OSE FURNIZUESIT E SAJ NUK DUHET PËRGJEGJËS PËR NDONJË DËM TË INDIREKT, TË VEÇANTË, PASOJËS APO RASTËSISHËM, PËRFSHIRË, PA KUFIZIM, FITIMET E HUMBURA OSE HUMBJEN OSE HUMBJEN OSE DËMIM PËR TË PËRDORUR KËTË MANUAL, EDHE NËSE CISCO OSE FURNIZUESIT E SAJ ËSHTË KËSHILLUAR PËR MUNDËSINË E DËMEVE TË KËTA.
Adresat dhe numrat e telefonit të Protokollit të Internetit (IP) të përdorura në këtë dokument nuk kanë për qëllim të jenë adresa dhe numra telefoni aktualë. Çdo ishamples, dalja e ekranit të komandave, diagramet e topologjisë së rrjetit dhe figurat e tjera të përfshira në dokument tregohen vetëm për qëllime ilustruese. Çdo përdorim i adresave IP aktuale ose numrave të telefonit në përmbajtje ilustruese është i paqëllimshëm dhe i rastësishëm.
Dokumentacioni i vendosur për këtë produkt përpiqet të përdorë gjuhë pa paragjykime. Për qëllimet e këtij grupi dokumentacioni, pa paragjykim përkufizohet si gjuhë që nuk nënkupton diskriminim në bazë të moshës, aftësisë së kufizuar, gjinisë, identitetit racor, identitetit etnik, orientimit seksual, statusit socio-ekonomik dhe ndërsektorialitetit. Përjashtimet mund të jenë të pranishme në dokumentacion për shkak të gjuhës që është e koduar në ndërfaqet e përdoruesit të softuerit të produktit, gjuhës së përdorur bazuar në dokumentacionin RFP ose gjuhës që përdoret nga një produkt i palës së tretë të referuar.
Cisco dhe logoja Cisco janë marka tregtare ose marka të regjistruara të Cisco-s dhe/ose filialeve të saj në SHBA dhe vende të tjera. te view një listë të markave tregtare Cisco, shkoni te kjo URL: http://www.cisco.com/go/trademarks. Markat tregtare të palëve të treta të përmendura janë pronë e pronarëve të tyre përkatës. Përdorimi i fjalës partner nuk nënkupton një marrëdhënie partneriteti midis Cisco-s dhe ndonjë kompanie tjetër. (1110R)
© 2017-2023 Cisco Systems, Inc. Të gjitha të drejtat e rezervuara.

Dokumentet / Burimet

CISCO 12.1.3 Kontrolli i zgjeruar i aksesit i bazuar në role [pdfUdhëzuesi i përdoruesit
12.1.3, 12.1.3 Kontrolli i zgjeruar i aksesit i bazuar në role, kontrolli i aksesit i përmirësuar i bazuar në role, kontrolli i aksesit i bazuar në role, kontrolli i aksesit

Referencat

Lini një koment

Adresa juaj e emailit nuk do të publikohet. Fushat e kërkuara janë shënuar *