Este documento describe cómo proporcionar acceso restringido a los usuarios de Nexus para que solo puedan ingresar comandos limitados con Cisco Secure Access Control Server (ACS) como servidor RADIUS. Por ejemplo, es posible que desee que un usuario pueda iniciar sesión en un modo con privilegios o en un modo de configuración y sólo se le permita ingresar comandos de interfaz. Para lograr esto, debe crear una función personalizada para el usuario en el servidor RADIUS que se utiliza.
El servidor RADIUS (ACS en este ejemplo) y Nexus deben poder ponerse en contacto entre sí y realizar autenticaciones.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Para crear un rol que sólo proporcione acceso de lectura/escritura para el comando interface, ingrese:
switch(config)# role name Limited-Access
switch(config-role)# rule 1 permit read-write feature interface
Las reglas de acceso a permisos adicionales se definen con esta sintaxis:
switch(config-role)# rule 1 permit read-write feature snmp
switch(config-role)# rule 2 permit read-write feature snmp
TargetParamsEntry
switch(config-role)# rule 3 permit read-write feature snmp
TargetAddrEntry
Switch(config)#username admin privilege 15 password 0 cisco123!
switch# conf terminal
switch(config)# Radius-server host 10.10.1.1 key cisco123
authenticationaccounting
switch(config)# aaa group server radius RadServer
switch(config-radius)#server 10.10.1.1
switch(config-radius)# use-vrf Management
switch# test aaa server Radius 10.10.1.1 user1 Ur2Gd2BHLa autenticación de prueba debe fallar con un Rechazo del servidor ya que aún no está configurado. Sin embargo, confirma que el servidor es accesible.
Switch(config)#aaa authentication login default group RadserverNo tiene que preocuparse por el método de reserva local, ya que Nexus se reserva a local por sí solo si el servidor RADIUS no está disponible.
Switch(config)#aaa accounting default group Radserver
Switch(config)#aaa authentication login error-enable
Utilize esta sección para confirmar que su configuración funcione correctamente.
Ingrese el comando show role en Nexus para mostrar los roles definidos y las reglas de acceso configuradas.
switch# show role (Displays all the roles and includes
custom roles that you have created and their permissions.)
Role: network-admin
Description: Predefined network admin role has access to all
commands on the switch.
-------------------------------------------------------------------
Rule Perm Type Scope Entity
----------------------------------------------------------------
1 permit read-write
Role:Limited_Access
Description: Predefined Limited_Access role has access to these commands.
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit read-write feature Interface
Inicie sesión en Nexus con el nombre de usuario y la contraseña configurados en ACS. Después de iniciar sesión, ingrese el comando show user-account para verificar que el usuario de prueba tiene el rol Limited_Access:
switch# show user-account
user:admin
this user account has no expiry date
roles:network-admin
user:Test
this user account has no expiry date
roles:Limited_Access
Una vez confirmado el rol de acceso de usuario, cambie al modo de configuración e intente ingresar un comando que no sea un comando de interfaz. Se debe denegar el acceso al usuario.
La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.
Esta sección proporciona información que puede utilizar para resolver problemas de configuración de su switch.
Complete estos pasos en el switch para la asignación de roles:
La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
11-Jul-2013 |
Versión inicial |