セキュリティ : Cisco Secure Access Control System

ACS 5.2 との Nexus 統合の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は Nexus スイッチで TACACS+ 認証 設定の例を提供したものです。 デフォルトで Access Control Server (ACS)によって認証するために Nexus スイッチを設定すれば読み取り専用アクセスを提供するネットワーク オペレータ/vdc オペレータ ロールに自動的に置かれます。 ネットワーク Admin/vdc Admin ロールに置かれるために、ACS 5.2 のシェルを作成する必要があります。 この資料はそのプロセスを説明したものです。

注: Contributed by Minakshi Kumar, Cisco TAC Engineer.

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • ACS のクライアントと Nexus スイッチを定義して下さい。

  • ACS および Nexus の IP アドレスおよび同一の共有秘密 キーを定義して下さい。

注: 変更を行なう前に Nexus のチェックポイントかバックアップを作成して下さい。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ACS 5.2

  • Nexus 5000、5.2(1)N1(1)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ACS 5.2 設定の認証 および 権限のための Nexus デバイス

次の手順を実行します。

  1. フォールバックのための完全な特権で Nexus スイッチのローカルユーザを作成して下さい:

    username admin privilege 15 password 0 cisco123!
    
  2. TACACS+ を有効に し、そして TACACS+ サーバ(ACS)の IP アドレスを提供して下さい:

    feature tacacs+
    
    tacacs-server host IP-ADDRESS key KEY
    
    
    tacacs-server key KEY
    
    
    tacacs-server directed-request
    
    aaa group server tacacs+ ACS
    
    server IP-ADDRESS
    
    
    use-vrf management
    
    source-interface mgmt0
    

    注: キーはこの Nexus デバイスのための ACS で設定される共有秘密を一致する必要があります。

  3. TACACSサーバ アベイラビリティをテストして下さい:

    test aaa group group-name username password  

    テスト認証はサーバからのリジェクト メッセージとサーバが設定されなかったので失敗する必要があります。 このリジェクト メッセージは TACACS+ サーバが到達可能であることを確認します。

  4. ログイン認証を設定して下さい:

    aaa authentication login default group ACS
    
    aaa authentication login console group ACS
    
    aaa accounting default group ACS
    
    aaa authentication login error-enable
    
    aaa authorization commands default local
    
    aaa authorization config-commands default local
    

    注: Nexus は認証サーバが到達不能である場合ローカル認証を使用します。

ACS 5.x 設定

次の手順を実行します。

  1. ポリシー要素 > 認証へのナビゲートおよび権限 > デバイス Administration > シェル プロファイル シェル プロファイルを作成するため。

    nexus-integration-acs-01.jpg

  2. プロファイルの名前を入力して下さい。

  3. カスタム属性の下でこれらの値を記録して下さい、入力して下さい:

    [Attribute]: cisco-av-pair

    要件: Mandatory

    [Value]: シェル: roles* "ネットワーク Admin vdc Admin」

    nexus-integration-acs-02.jpg

  4. Nexus スイッチのためのアトリビュート ベースのロールを作成するために変更を入れて下さい。

  5. 新しい承認規則を作成するか、または正しいアクセスポリシーの既存のルールを、編集して下さい。 デフォルトで、TACACS+ 要求はデフォルト デバイス Admin アクセスポリシーによって処理されます。

  6. 条件エリアで、適切な状態を選択して下さい。 結果エリアで、Nexus OS シェル プロファイルを選択して下さい。

    nexus-integration-acs-03.jpg

  7. [OK] をクリックします。

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 115925