セキュリティ : Cisco Secure Access Control System

Nexus 設定例の RADIUS の ACS 限られたユーザアクセス

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

それらが RADIUSサーバとしてしか Cisco Secure Access Control Server (ACS)の一部指揮を入力できないようにこの資料に Nexus ユーザに制限された アクセスを提供する方法を記述されています。 たとえば、ユーザに特権かコンフィギュレーションモードにログインにできてほしく、interface コマンドを入力することができるかもしれません。 これを実現させるために、使用する RADIUSサーバのユーザ向けのカスタム ロールを作成して下さい。

Contributed by Minakshi Kumar, Cisco TAC Engineer.

前提条件

要件

RADIUSサーバ(この例の ACS)および Nexus は互いに連絡し、認証を行えます必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ACS バージョン 5.x
  • Nexus 7000 スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

Nexus のカスタム ロールの設定

interface コマンドのためにだけ読み書きアクセスを提供する役割を作成するために、入力して下さい:

switch(config)# role name Limited-Access
switch(config-role)# rule 1 permit read-write feature interface

追加割り当てアクセス規則はこの構文と定義されます:

switch(config-role)# rule 1 permit read-write feature snmp
switch(config-role)# rule 2 permit read-write feature snmp
TargetParamsEntry

switch(config-role)# rule 3 permit read-write feature snmp
TargetAddrEntry

認証 および 権限のための Nexus を設定して下さい

  1. スイッチのローカルユーザをフォールバックのための完全な特権で作成するために、username コマンドを入力して下さい:
    Switch(config)#username admin privilege 15 password 0 cisco123!
  2. RADIUSサーバ(ACS)の IP アドレスを提供するために、入力して下さい:
    switch# conf terminal
    switch(config)# Radius-server host 10.10.1.1 key cisco123
    authenticationaccounting

    switch(config)# aaa group server radius RadServer
    switch(config-radius)#server 10.10.1.1
    switch(config-radius)# use-vrf Management

    : キーはこの Nexus デバイスのための RADIUSサーバで設定される共有秘密を一致する必要があります。

  3. RADIUSサーバ アベイラビリティをテストするために、テスト aaa コマンドを入力して下さい:
    switch# test aaa server Radius 10.10.1.1 user1 Ur2Gd2BH
    テスト認証はサーバからの拒絶とまだ設定されていないので失敗する必要があります。 ただしサーバが到達可能であることを、確認します。
  4. ログイン認証を設定するために、入力して下さい:
    Switch(config)#aaa authentication login default group Radserver
    Switch(config)#aaa accounting default group Radserver
    Switch(config)#aaa authentication login error-enable
    RADIUSサーバが利用できない場合ローカルにローカル フォールバック 方式をので Nexus フォールバック単独でここに心配する必要がありません。

ACS の設定

  1. ポリシー要素 > 認証へのナビゲートおよび権限 > ネットワーク アクセス > 許可 プロファイル 許可 プロファイルを作成するため。

  2. プロファイルの名前を入力して下さい。
  3. カスタム属性の下でこれらの値を記録して下さい、入力して下さい:
    • 辞書タイプ: 半径 Cisco
    • [Attribute]: cisco-av-pair
    • 要件: Mandatory
    • [Value]: シェル: roles=Limited_Access

  4. Nexus スイッチのためのアトリビュート ベースのロールを作成するために変更を入れて下さい。

  5. 新しい承認規則を作成するか、または正しいアクセスポリシーの現在のルールを編集して下さい。 RADIUS要求はネットワーク アクセス ポリシーによってデフォルトで処理されます。
  6. 条件エリアで、適切な状態を選択して下さい。 結果エリアで、Limited_Access プロファイルを選択して下さい。


  7. [OK] をクリックします。

確認

このセクションでは、設定が正常に機能していることを確認します。

Nexus 確認ロールの

定義されたロールおよび設定されたアクセス ルールを表示するために Nexus のコマンド提示ロールの入力して下さい。

switch# show role  (Displays all the roles and includes
custom roles that you have created and their permissions.)

Role: network-admin

Description: Predefined network admin role has access to all
commands on the switch.
-------------------------------------------------------------------
Rule Perm Type Scope Entity
----------------------------------------------------------------
1 permit read-write

Role:Limited_Access
Description: Predefined Limited_Access role has access to these commands.
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit read-write feature Interface

Nexus 確認 ユーザの役割の割り当て

ACS でユーザ名 および パスワードが設定されている Nexus へのログイン。 ログオンの後で、テスト ユーザは Limited_Access ロールがあることを確認するために提示ユーザアカウント コマンドを入力して下さい:

switch# show user-account
user:admin
this user account has no expiry date
roles:network-admin

user:Test
this user account has no expiry date
roles:Limited_Access


ユーザアクセス役割が確認されたら、コンフィギュレーションモードに切り替え、interface コマンド以外コマンドを入力するように試みて下さい。 ユーザは拒否されたアクセス権であるはずです。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

  • 示して下さいロール-ロール定義および設定されたアクセス ルールを表示する。
  • 示して下さいユーザアカウント-ユーザアカウント 詳細を表示する、ロールの割り当てを含まれています。

トラブルシューティング

このセクションはスイッチ設定をトラブルシューティングするために使用できる情報を提供します。

ロールの割り当てのためのスイッチのこれらのステップを完了して下さい:

  1. どの AAA グループが show running-config AAA と認証のために使用される確認し、AAA認証コマンドをか示して下さい
  2. RADIUS に関しては、提示 AAA認証および show running-config radius コマンドで AAA グループのバーチャルルーティングおよびフォワーディング(VRF)アソシエーションを確認して下さい。
  3. アソシエーションは正しいことをこれらのコマンドが確認したら、トレースロギングを有効に するために debug radius をすべてのコマンド入力して下さい。
  4. 正しい属性が ACS から押されていることを確認して下さい。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • show running-config AAA
  • AAA 認証を示して下さい
  • show running-config 半径
  • debug radius すべて

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116236