Ce document fournit un exemple de configuration de l'authentification TACACS+ sur un commutateur Nexus. Par défaut, si vous configurez le commutateur Nexus afin de vous authentifier via le serveur de contrôle d'accès (ACS), vous êtes automatiquement placé dans le rôle d'opérateur réseau/opérateur vdc, qui fournit un accès en lecture seule. Pour être placé dans le rôle network-admin/vdc-admin, vous devez créer un shell sur ACS 5.2. Ce document décrit ce processus.
Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :
Définissez votre commutateur Nexus comme client dans ACS.
Définissez l'adresse IP et une clé secrète partagée identique sur ACS et Nexus.
Remarque : créez un point de contrôle ou une sauvegarde sur Nexus avant d'effectuer des modifications.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
ACS 5.2
Nexus 5000, 5.2(1)N1(1)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
Procédez comme suit :
Créez un utilisateur local sur le commutateur Nexus avec des privilèges complets pour la reprise :
username admin privilege 15 password 0 cisco123!
Activez TACACS+, puis fournissez l'adresse IP du serveur TACACS+ (ACS) :
feature tacacs+
tacacs-server host IP-ADDRESS key KEY
tacacs-server key KEY
tacacs-server directed-request
aaa group server tacacs+ ACS
server IP-ADDRESS
use-vrf management
source-interface mgmt0
Remarque : la clé doit correspondre au secret partagé configuré sur ACS pour ce périphérique Nexus.
Testez la disponibilité du serveur TACACS :
test aaa group group-name username password
Le test d'authentification doit échouer avec un message de rejet du serveur, car le serveur n'a pas été configuré. Ce message de rejet confirme que le serveur TACACS+ est accessible.
Configurer les authentifications de connexion :
aaa authentication login default group ACS
aaa authentication login console group ACS
aaa accounting default group ACS
aaa authentication login error-enable
aaa authorization commands default local
aaa authorization config-commands default local
Remarque : Nexus utilise l'authentification locale si le serveur d'authentification est inaccessible.
Procédez comme suit :
Accédez à Policy Elements > Authentication and Permissions > Device Administration > Shell Profiles afin de créer un profil Shell.
Entrez un nom pour le profil.
Sous l'onglet Attributs personnalisés, entrez les valeurs suivantes :
Attribut : cisco-av-pair
Exigence : Obligatoire
Valeur : shell:roles*"network-admin vdc-admin"
Soumettez les modifications afin de créer un rôle basé sur les attributs pour le commutateur Nexus.
Créez une nouvelle règle d'autorisation ou modifiez une règle existante dans la stratégie d'accès appropriée. Par défaut, les demandes TACACS+ sont traitées par la stratégie d'accès Administrateur de périphérique par défaut.
Dans la zone Conditions, sélectionnez les conditions appropriées. Dans la zone Résultats, sélectionnez le profil de shell Nexus OS.
Cliquez sur OK.
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
show tacacs+ : affiche les statistiques TACACS+.
show running-config tacacs+ : affiche la configuration TACACS+ dans la configuration en cours.
show startup-config tacacs+ : affiche la configuration TACACS+ dans la configuration initiale.
show tacacs-server : affiche tous les paramètres de serveur TACACS+ configurés.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
22-Jan-2013 |
Première publication |