Segurança : Cisco Secure Access Control System

Integração do nexo com exemplo de configuração ACS 5.2

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece um exemplo da configuração da autenticação TACACS+ em um interruptor do nexo. À revelia, se você configura o interruptor do nexo a fim autenticar com o Access Control Server (ACS), você é colocado automaticamente no papel do operador de rede/operador, que fornece o acesso somente leitura. A fim para ser colocado no papel rede-admin/admin, você precisa de criar um shell no ACS 5.2. Este documento descreve esse processo.

Nota: Contribuído por Minakshi Kumar, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Defina seu interruptor do nexo como um cliente no ACS.

  • Defina o endereço IP de Um ou Mais Servidores Cisco ICM NT e uma chave secreta compartilhada idêntica no ACS e no nexo.

Nota: Crie um ponto de verificação ou um backup no nexo antes que você faça todas as mudanças.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • ACS 5.2

  • Nexo 5000, 5.2(1)N1(1)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Dispositivo do nexo para a authentication e autorização com configuração ACS 5.2

Conclua estes passos:

  1. Crie um usuário local no interruptor do nexo com os privilégios completos para a reserva:

    username admin privilege 15 password 0 cisco123!
    
  2. Permita o TACACS+, a seguir forneça o endereço IP de Um ou Mais Servidores Cisco ICM NT do server TACACS+ (ACS):

    feature tacacs+
    
    tacacs-server host IP-ADDRESS key KEY
    
    
    tacacs-server key KEY
    
    
    tacacs-server directed-request
    
    aaa group server tacacs+ ACS
    
    server IP-ADDRESS
    
    
    use-vrf management
    
    source-interface mgmt0
    

    Nota: A chave deve combinar o segredo compartilhado configurado no ACS para este dispositivo do nexo.

  3. Teste a Disponibilidade do servidor de TACACS:

    test aaa group group-name username password  

    A autenticação de teste deve falhar com uma mensagem da rejeição do server, desde que o server não foi configurado. Esta mensagem da rejeição confirma que o server TACACS+ é alcançável.

  4. Configurar autenticações de login:

    aaa authentication login default group ACS
    
    aaa authentication login console group ACS
    
    aaa accounting default group ACS
    
    aaa authentication login error-enable
    
    aaa authorization commands default local
    
    aaa authorization config-commands default local
    

    Nota: O nexo usa a autenticação local se o Authentication Server é inacessível.

Configuração ACS 5.x

Conclua estes passos:

  1. Navegue aos elementos da política > à autenticação e às permissões > à administração > ao shell do dispositivo perfis a fim criar um perfil do shell.

    nexus-integration-acs-01.jpg

  2. Dê entrada com um nome para o perfil.

  3. Sob os atributos feitos sob encomenda catalogue, incorpore estes valores:

    Atributo: Cisco-av-pair

    Exigência: Obrigatório

    Valor: shell: roles* " rede-admin VDC-admin”

    nexus-integration-acs-02.jpg

  4. Submeta as mudanças a fim criar um papel atributo-baseado para o interruptor do nexo.

  5. Crie uma regra nova da autorização, ou edite uma regra existente, na política de acesso correta. À revelia, os pedidos TACACS+ são processados pela política de acesso Admin do dispositivo do padrão.

  6. Na área das circunstâncias, escolha as circunstâncias apropriadas. Na área de resultados, escolha o perfil do shell do OS do nexo.

    nexus-integration-acs-03.jpg

  7. Clique a aprovação.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.


Informações Relacionadas


Document ID: 115925