スイッチ : Cisco Nexus 5000 シリーズ スイッチ

Nexus 4005I での TACACS+ の設定例

2012 年 9 月 26 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2010 年 6 月 1 日) | フィードバック

Nexus 4005I での TACACS+ の設定例

概要

このドキュメントでは、Nexus 4000 シリーズ スイッチに Terminal Access Controller Access Control System(TACACS+)を設定する方法を説明します。Nexus 4000 シリーズでの TACACS+ 認証は、Cisco Catalyst スイッチの場合と少し異なります。

前提条件

要件

次の項目に関する知識があることが推奨されます。Cisco Nexus 7000 シリーズ NX-OS Fundamentals コマンド

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Nexus 4005I スイッチ

  • Cisco Secure Access Control Server(ACS)5.x

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記法については、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項の設定例では、1 台の Nexus 4005I スイッチと 1 台の TACACS+ サーバを設定する方法を説明します。

手順説明

Nexus スイッチおよび TACACS+ サーバを設定するには、次の手順を実行します。

  1. TACACS+ プロトコル機能を有効にします。

    ACS サーバの IP アドレスに事前共有キーが設定されている必要があります。ACS サーバが複数存在する場合は、両方のホストを設定する必要があります。

  2. AAA の概念および AAA サーバ グループを有効にします。

    この設定例では、AAA グループの名前は「ACS」です。

TACACS+ CLI の設定

ASA

!--- デバイス上の TACACS+ を有効にします。

feature tacacs+ 
tacacs-server host 10.0.0.1 key 7 Cisco
tacacs-server host 10.0.0.2 key 7 Cisco
tacacs-server directed-request


!--- ACS サーバの名前を指定します。

aaa group server tacacs+ ACS

!---「tacacs-server host」コマンドで参照する 
!--- TACACS サーバの IP アドレスを明記します。

server 10.0.0.1 
server 10.0.0.2

!--- Telnet および SSH セッション。

aaa authentication login default group ACS local 

!--- コンソール セッション。

aaa authentication login console group ACS local 

!--- アカウンティング コマンド。

aaa accounting default group ACS

注:ACS サーバでは、Nexus 4000 シリーズと ACS サーバの間の認証に同じ事前共有キー「Cisco」を使用してください。

注:TACACS+ サーバが停止している場合は、ユーザ名およびパスワードをスイッチに設定することにより、ローカル認証にフォールバックできます。

Nexus オペレーティング システムでは、特権レベルという概念の代わりにロールという概念を使用します。デフォルトでは、network-operator ロールが割り当てられます。ユーザにフル権限を付与するには、ユーザに network-admin ロールを割り当てる必要があり、ユーザがログインするときに属性を割り当てるように TACACS サーバを設定する必要があります。TACACS+ の場合は、元の値 roles="roleA" の TACACS カスタム属性を渡します。完全なアクセス権を持つユーザについては、次の設定を使用します。cisco-av-pair*shell:roles="network-admin"

cisco-av-pair*shell:roles="network-admin"(The
	 * makes it optional)
shell:roles="network-admin"

確認

TACACS+ サーバの設定を確認するには、この項のコマンドを使用します。

  • show tacacs-server:TACACS+ サーバ設定が表示されます。

  • show aaa authentication [login {error-enable |mschap}]:設定されている認証情報が表示されます。

アウトプット インタープリタ ツール(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112006