Ejemplo de Configuración de Acceso de Usuario Limitado ACS con RADIUS en Nexus

Opciones de descarga

  • PDF     (494.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (196.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (196.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:11 de julio de 2013
ID del documento:116236

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo proporcionar acceso restringido a los usuarios de Nexus para que solo puedan ingresar comandos limitados con Cisco Secure Access Control Server (ACS) como servidor RADIUS. Por ejemplo, es posible que desee que un usuario pueda iniciar sesión en un modo con privilegios o en un modo de configuración y sólo se le permita ingresar comandos de interfaz. Para lograr esto, debe crear una función personalizada para el usuario en el servidor RADIUS que se utiliza.

Prerequisites

Requirements

El servidor RADIUS (ACS en este ejemplo) y Nexus deben poder ponerse en contacto entre sí y realizar autenticaciones.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • ACS versión 5.x
  • Switches Nexus 7000

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Configurar

Configuración de funciones personalizadas en el Nexus

Para crear un rol que sólo proporcione acceso de lectura/escritura para el comando interface, ingrese:

switch(config)# role name Limited-Access
switch(config-role)# rule 1 permit read-write feature interface

Las reglas de acceso a permisos adicionales se definen con esta sintaxis:

switch(config-role)# rule 1 permit read-write feature snmp
switch(config-role)# rule 2 permit read-write feature snmp
TargetParamsEntry
switch(config-role)# rule 3 permit read-write feature snmp
TargetAddrEntry

Configuración de Nexus para autenticación y autorización

  1. Para crear un usuario local en el switch con privilegios completos para el respaldo, ingrese el comando username:
    Switch(config)#username admin privilege 15 password 0 cisco123!
  2. Para proporcionar la dirección IP del servidor RADIUS (ACS), ingrese:
    switch# conf terminal
    switch(config)# Radius-server host 10.10.1.1 key cisco123
    authenticationaccounting
    switch(config)# aaa group server radius RadServer
    switch(config-radius)#server 10.10.1.1
    switch(config-radius)# use-vrf Management

    Nota: la clave debe coincidir con el secreto compartido configurado en el servidor RADIUS para este dispositivo Nexus.

  3. Para probar la disponibilidad del servidor RADIUS, ingrese el comando test aaa: 
    switch# test aaa server Radius 10.10.1.1 user1 Ur2Gd2BH
    La autenticación de prueba debe fallar con un Rechazo del servidor ya que aún no está configurado. Sin embargo, confirma que el servidor es accesible.
  4. Para configurar las autenticaciones de inicio de sesión, ingrese:
    Switch(config)#aaa authentication login default group Radserver
    Switch(config)#aaa accounting default group Radserver
    Switch(config)#aaa authentication login error-enable
    No tiene que preocuparse por el método de reserva local, ya que Nexus se reserva a local por sí solo si el servidor RADIUS no está disponible.

Configuración de ACS

  1. Navegue hasta Elementos de política > Autenticación y permisos > Acceso a la red > Perfil de autorización para crear un Perfil de autorización.

  2. Introduzca un nombre para el perfil.
  3. En la pestaña Custom Attributes, ingrese estos valores:
    • Tipo de diccionario: Radius-Cisco
    • Atributo: cisco-av-pair
    • Requisito: obligatorio
    • Valor: shell:roles=Acceso_limitado

  4. Envíe los cambios para crear un rol basado en atributos para el switch Nexus.

  5. Cree una nueva regla de autorización o edite una regla actual en la directiva de acceso correcta. Las solicitudes RADIUS son procesadas por la política de acceso a la red de forma predeterminada.
  6. En el área Condiciones, elija las condiciones apropiadas. En el área Resultados, elija el perfil Limited_Access.


  7. Click OK.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Verificación de funciones de Nexus

Ingrese el comando show role en Nexus para mostrar los roles definidos y las reglas de acceso configuradas.

switch# show role  (Displays all the roles and includes
custom roles that you have created and their permissions.)

Role: network-admin

  Description: Predefined network admin role has access to all
  commands on the switch.
  -------------------------------------------------------------------
   Rule    Perm    Type        Scope               Entity
  ----------------------------------------------------------------
    1       permit  read-write

Role:Limited_Access
  Description: Predefined Limited_Access role has access to these commands.
  -------------------------------------------------------------------
  Rule    Perm    Type        Scope               Entity
  -------------------------------------------------------------------
  1       permit  read-write  feature             Interface

Verificación de la asignación de funciones de usuario de Nexus

Inicie sesión en Nexus con el nombre de usuario y la contraseña configurados en ACS. Después de iniciar sesión, ingrese el comando show user-account para verificar que el usuario de prueba tiene el rol Limited_Access:

switch# show user-account
        user:admin
        this user account has no expiry date
        roles:network-admin

user:Test
      this user account has no expiry date
      roles:Limited_Access


Una vez confirmado el rol de acceso de usuario, cambie al modo de configuración e intente ingresar un comando que no sea un comando de interfaz. Se debe denegar el acceso al usuario.

La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.

  • show role - Muestra la definición del rol y las reglas de acceso configuradas.
  • show user-account: muestra los detalles de la cuenta de usuario e incluye la asignación de roles.

Troubleshoot

Esta sección proporciona información que puede utilizar para resolver problemas de configuración de su switch.

Complete estos pasos en el switch para la asignación de roles:

  1. Verifique qué grupo AAA se utiliza para la autenticación con los comandos show running-config aaa y show aaa authentication.
  2. Para RADIUS, verifique la asociación de Virtual Routing and Forwarding (VRF) con el grupo AAA con los comandos show aaa authentication y show running-config radius.
  3. Si estos comandos verifican que la asociación es correcta, ingrese el comando debug radius all para habilitar el registro de seguimiento.
  4. Verifique que los atributos correctos sean transferidos desde el ACS.

La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

  • show running-config aaa-
  • show aaa authentication-
  • show running-config radius
  • debug radius all

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
11-Jul-2013
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Minakshi Kumar
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos