Este documento proporciona un ejemplo de configuración de autenticación TACACS+ en un switch Nexus. De forma predeterminada, si configura el switch Nexus para que se autentique a través de Access Control Server (ACS), se le asignará automáticamente la función de operador de red/operador de vdc, que proporciona acceso de solo lectura. Para ser colocado en el rol network-admin/vdc-admin, debe crear un shell en ACS 5.2. Este documento describe ese proceso.
Asegúrese de cumplir estos requisitos antes de intentar esta configuración:
Defina su switch Nexus como cliente en ACS.
Defina la dirección IP y una clave secreta compartida idéntica en ACS y Nexus.
Nota: Cree un punto de control o una copia de seguridad en Nexus antes de realizar cambios.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
ACS 5.2
Nexus 5000, 5.2(1)N1(1)
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.
Complete estos pasos:
Cree un usuario local en el switch Nexus con privilegios completos para el respaldo:
username admin privilege 15 password 0 cisco123!
Habilite TACACS+ y, a continuación, proporcione la dirección IP del servidor TACACS+ (ACS):
feature tacacs+
tacacs-server host IP-ADDRESS key KEY
tacacs-server key KEY
tacacs-server directed-request
aaa group server tacacs+ ACS
server IP-ADDRESS
use-vrf management
source-interface mgmt0
Nota: La clave debe coincidir con el secreto compartido configurado en el ACS para este dispositivo Nexus.
Pruebe la disponibilidad del servidor TACACS:
test aaa group group-name username password
La autenticación de prueba debe fallar con un mensaje de rechazo del servidor, ya que el servidor no se ha configurado. Este mensaje de rechazo confirma que el servidor TACACS+ es accesible.
Configurar autenticaciones de inicio de sesión:
aaa authentication login default group ACS
aaa authentication login console group ACS
aaa accounting default group ACS
aaa authentication login error-enable
aaa authorization commands default local
aaa authorization config-commands default local
Nota: Nexus utiliza la autenticación local si el servidor de autenticación no está disponible.
Complete estos pasos:
Navegue hasta Elementos de política > Autenticación y permisos > Administración de dispositivos > Perfiles de shell para crear un perfil de shell.
Introduzca un nombre para el perfil.
En la ficha Atributos personalizados, introduzca estos valores:
Atributo: cisco-av-pair
Requisito: obligatorio
Valor: shell:roles*"network-admin vdc-admin"
Envíe los cambios para crear un rol basado en atributos para el switch Nexus.
Cree una nueva regla de autorización o edite una regla existente en la directiva de acceso correcta. De forma predeterminada, las solicitudes TACACS+ son procesadas por la política de acceso de administrador de dispositivos predeterminado.
En el área Condiciones, elija las condiciones apropiadas. En el área Resultados, seleccione el perfil de shell de Nexus OS.
Click OK.
Use esta sección para confirmar que su configuración funciona correctamente.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.
show tacacs+ : muestra las estadísticas de TACACS+.
show running-config tacacs+ : muestra la configuración de TACACS+ en la configuración en ejecución.
show startup-config tacacs+ : muestra la configuración de TACACS+ en la configuración de inicio.
show tacacs-server —Muestra todos los parámetros configurados del servidor TACACS+.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
22-Jan-2013 |
Versión inicial |