Exemple de configuration de l'intégration Nexus avec ACS 5.2

Introduction

Ce document fournit un exemple de configuration de l'authentification TACACS+ sur un commutateur Nexus. Par défaut, si vous configurez le commutateur Nexus afin de vous authentifier via le serveur de contrôle d'accès (ACS), vous êtes automatiquement placé dans le rôle d'opérateur réseau/opérateur vdc, qui fournit un accès en lecture seule. Pour être placé dans le rôle network-admin/vdc-admin, vous devez créer un shell sur ACS 5.2. Ce document décrit ce processus.

Conditions préalables

Exigences

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

• Définissez votre commutateur Nexus comme client dans ACS.

• Définissez l'adresse IP et une clé secrète partagée identique sur ACS et Nexus.

Remarque : créez un point de contrôle ou une sauvegarde sur Nexus avant d'effectuer des modifications.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• ACS 5.2

• Nexus 5000, 5.2(1)N1(1)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Configurer

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Configuration du périphérique Nexus pour l'authentification et l'autorisation avec ACS 5.2

Procédez comme suit :

1. Créez un utilisateur local sur le commutateur Nexus avec des privilèges complets pour la reprise :

   username admin privilege 15 password 0 cisco123!
   

2. Activez TACACS+, puis fournissez l'adresse IP du serveur TACACS+ (ACS) :

   feature tacacs+
   

   tacacs-server host IP-ADDRESS key KEY
   
   

   tacacs-server key KEY
   
   

   tacacs-server directed-request
   

   aaa group server tacacs+ ACS
   

   server IP-ADDRESS
   
   

   use-vrf management
   

   source-interface mgmt0
   

   Remarque : la clé doit correspondre au secret partagé configuré sur ACS pour ce périphérique Nexus.

3. Testez la disponibilité du serveur TACACS :

   test aaa group group-name username password  

   Le test d'authentification doit échouer avec un message de rejet du serveur, car le serveur n'a pas été configuré. Ce message de rejet confirme que le serveur TACACS+ est accessible.

4. Configurer les authentifications de connexion :

   aaa authentication login default group ACS
   

   aaa authentication login console group ACS
   

   aaa accounting default group ACS
   

   aaa authentication login error-enable
   

   aaa authorization commands default local
   

   aaa authorization config-commands default local
   

   Remarque : Nexus utilise l'authentification locale si le serveur d'authentification est inaccessible.

Configuration ACS 5.x

Procédez comme suit :

1. Accédez à Policy Elements > Authentication and Permissions > Device Administration > Shell Profiles afin de créer un profil Shell.

   

2. Entrez un nom pour le profil.

3. Sous l'onglet Attributs personnalisés, entrez les valeurs suivantes :

   Attribut : cisco-av-pair

   Exigence : Obligatoire

   Valeur : shell:roles*"network-admin vdc-admin"

   

4. Soumettez les modifications afin de créer un rôle basé sur les attributs pour le commutateur Nexus.

5. Créez une nouvelle règle d'autorisation ou modifiez une règle existante dans la stratégie d'accès appropriée. Par défaut, les demandes TACACS+ sont traitées par la stratégie d'accès Administrateur de périphérique par défaut.

6. Dans la zone Conditions, sélectionnez les conditions appropriées. Dans la zone Résultats, sélectionnez le profil de shell Nexus OS.

   

7. Cliquez sur OK.

Vérifier

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

• show tacacs+ : affiche les statistiques TACACS+.

• show running-config tacacs+ : affiche la configuration TACACS+ dans la configuration en cours.

• show startup-config tacacs+ : affiche la configuration TACACS+ dans la configuration initiale.

• show tacacs-server : affiche tous les paramètres de serveur TACACS+ configurés.

Informations connexes

• Assistance et documentation techniques - Cisco Systems