安全 : 思科安全访问控制系统

与ACS 5.2配置示例的连结集成

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文在连结交换机提供TACACS+认证配置示例。默认情况下,如果配置连结交换机为了通过访问控制服务器(ACS)验证,您在网络操作员/VDC操作员角色自动地安置,提供只读访问。为了将安置在网络Admin/VDC Admin角色,您需要创建在ACS 5.2的一shell。本文描述该进程。

注意: 贡献用Minakshi库马尔, Cisco TAC工程师。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 定义您的连结交换机作为ACS的一个客户端。

  • 定义IP地址和相同的共享密钥在ACS和连结。

注意: 在您做所有变动前,请创建一个检查点或一个备份在连结。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • ACS 5.2

  • 连结5000, 5.2(1)N1(1)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

认证和授权的连结设备与ACS 5.2配置

完成这些步骤:

  1. 创建连结交换机的一个本地用户有fallback的全双工权限:

    username admin privilege 15 password 0 cisco123!
    
  2. 启用TACACS+,然后提供TACACS+服务器(ACS)的IP地址:

    feature tacacs+
    
    tacacs-server host IP-ADDRESS key KEY
    
    
    tacacs-server key KEY
    
    
    tacacs-server directed-request
    
    aaa group server tacacs+ ACS
    
    server IP-ADDRESS
    
    
    use-vrf management
    
    source-interface mgmt0
    

    注意: 密钥必须匹配在此连结设备的ACS配置的共享机密。

  3. 测试TACACS服务器可用性:

    test aaa group group-name username password  

    因为服务器未配置,测验验证应该失效与从服务器的拒绝消息。此拒绝消息确认TACACS+服务器可及的。

  4. 配置登录认证:

    aaa authentication login default group ACS
    
    aaa authentication login console group ACS
    
    aaa accounting default group ACS
    
    aaa authentication login error-enable
    
    aaa authorization commands default local
    
    aaa authorization config-commands default local
    

    注意: 连结用途本地认证,如果认证服务器是不可得到的。

ACS 5.x配置

完成这些步骤:

  1. 导航到策略元素>验证和权限>设备Administration > Shell配置文件为了创建Shell配置文件。

    nexus-integration-acs-01.jpg

  2. 输入一名称对于配置文件。

  3. 在自定义属性下请选中,输入这些值:

    属性:cisco-av-pair

    需求:必须

    值:shell :roles* "网络Admin VDC Admin”

    nexus-integration-acs-02.jpg

  4. 提交更改为了创建连结交换机的一个基于属性的角色。

  5. 创建一个新的授权规则或者编辑一个现有规则,在正确访问策略。默认情况下, TACACS+请求由默认设备Admin访问策略处理。

  6. 在情况地区中,请选择适当的条件。在成果区域中,请选择连结OS shell配置文件。

    nexus-integration-acs-03.jpg

  7. 单击 Ok

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 115925