права администратора в ISE, который также может просматривать, но не редактировать наборы политик.

Rik van der Mark_

Здравствуйте,
я знаю, что эта тема уже обсуждалась ранее.
Я нашел
[«Решено: ISE 2.4 Создание учетной записи администратора только для чтения. — Сообщество]
[Cisco]
» и
[«Решено: Права доступа в ISE — Сообщество Cisco».] К сожалению
, статья «Понимание административного доступа и политик RBAC в ISE — Cisco»
не содержит того, что я ищу.
И да,
мне известны
ошибки
CSCvm01451
,
CSCvt09639
и
CSCvv10127
. Эта проблема существует уже много лет, и я, честно говоря, удивлен, что она до сих пор не решена. Я пытаюсь настроить «администратора идентификации», который также может просматривать наборы политик, но не может их редактировать. И пользователя ReadOnly с таким же измененным доступом к меню, но который не может редактировать ничего, как и измененный «администратор идентификации».
У нас есть клиент, которому требуется доступ для некоторых своих инженеров, чтобы они могли добавлять MAC-адреса в EIG, но они также хотели бы просматривать политики. Пользователь ReadOnly может видеть все, но, конечно, не может ничего менять. Когда я дублирую «Identity Admin Menu Access» и добавляю доступ к меню политик, я не могу ограничить доступ в «Data Access». Поэтому, когда я создаю новую политику RBAC, «Customer-X_Identity Admin» теперь может просматривать наборы политик, но также и редактировать их. А они не должны иметь возможность редактировать наборы политик. Для ReadOnly по умолчанию работает «Super Admin Menu Access» и «Read Only Admin Data Access». Чтобы просматривать все, но не иметь возможности что-либо редактировать.
Я создал новую политику RBAC с настраиваемым «Customer-X Identity Admin Menu Access» и «Read Only Admin Data Access» по умолчанию. Чтобы создать версию только для чтения с таким же, но более ограниченным просмотром, чем предоставляет пользователю флажок ReadOnly по умолчанию.
Просмотр тогда работает как ожидается/требуется, но моя тестовая учетная запись пользователя в группе пользователей «Customer-X_ReadOnly» также может редактировать элементы, даже если в новой политике RBAC выбран параметр «Read Only Admin Data Access». Есть ли надежда, что это станет возможным в будущем? Заранее спасибо!

Arne Bier

@Rik van der Mark_
— Не знаю, читают ли сотрудники Cisco эти сообщения в сообществе, но вы абсолютно правы — ограничения на данные касаются только конструкций ISE Group и ничего больше. Вы можете защитить группы администраторов, группы идентификации пользователей, группы идентификации конечных точек и группы сетевых устройств. Но все остальные настраиваемые элементы можно изменить, если меню видно этому пользователю. Я бы подал запрос на улучшение функциональности («
Make a Wish
») — Cisco прислушивается к таким запросам. Похоже, что BU давно не делала ничего значительного в области RBAC — даже нажатие этих переключателей в конфигурации RBAC вызывает раздражение (и всегда вызывало).

balaji.bandi

Я предлагаю определить, какой ID используется: перейдите в раздел «Операции» > «Отчеты» > «Аудит» > «Административный аудит». Отфильтруйте по вашему тестовому пользователю. Будет показано, какой именно идентификатор операции был использован для выполнения изменения, что поможет определить, какое разрешение на доступ к данным является «утечкой». BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

Rik van der Mark_

Я посмотрю на это позже сегодня, чтобы понять, поможет ли это, и отчитаюсь.

Rik van der Mark_

Спасибо, я понимаю это.
Я планирую высказать пожелание и также создать случай TAC. Поскольку я слышал об этой проблеме на протяжении многих лет, я подумал, что было бы полезно создать публичный пост для будущего использования.
![]
RBAC действительно вызывает разочарование, я очень надеюсь, что его удастся улучшить, пусть даже немного.