Avez-vous un compte?
Ce document décrit comment fournir l'accès restreint aux utilisateurs de Nexus de sorte qu'ils puissent seulement sélectionner des commandes limitées avec le Cisco Secure Access Control Server (ACS) en tant que serveur de RAYON. Par exemple, vous pourriez vouloir qu'un utilisateur puisse ouvrir une session à un privilégié ou à un mode de configuration et seulement être laissé sélectionner des commandes d'interface. Afin de réaliser ceci, vous devez créer un rôle fait sur commande pour l'utilisateur sur le serveur de RAYON qui est utilisé.
Le serveur de RAYON (ACS dans cet exemple) et le Nexus doivent pouvoir se contacter et exécuter des authentifications.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Afin de créer un rôle qui fournit seulement l'accès lecture/écriture pour la commande d'interface, entrez :
switch(config)# role name Limited-Access
switch(config-role)# rule 1 permit read-write feature interface
Des règles d'accès supplémentaires d'autorisation sont définies avec cette syntaxe :
switch(config-role)# rule 1 permit read-write feature snmp
switch(config-role)# rule 2 permit read-write feature snmp
TargetParamsEntry
switch(config-role)# rule 3 permit read-write feature snmp
TargetAddrEntry
Switch(config)#username admin privilege 15 password 0 cisco123!
switch# conf terminal
switch(config)# Radius-server host 10.10.1.1 key cisco123
authenticationaccounting
switch(config)# aaa group server radius RadServer
switch(config-radius)#server 10.10.1.1
switch(config-radius)# use-vrf Management
switch# test aaa server Radius 10.10.1.1 user1 Ur2Gd2BHLe test d'authentification devrait échouer avec un rejet du serveur puisqu'il n'est pas encore configuré. Cependant, il confirme que le serveur est accessible.
Switch(config)#aaa authentication login default group RadserverVous ne devez pas s'inquiéter de la méthode locale de retour ici, parce que des retours de Nexus aux gens du pays seule si le serveur de RAYON est indisponible.
Switch(config)#aaa accounting default group Radserver
Switch(config)#aaa authentication login error-enable
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Écrivez le show role de commande sur le Nexus afin d'afficher les rôles définis et avez configuré des règles d'accès.
switch# show role (Displays all the roles and includes
custom roles that you have created and their permissions.)
Role: network-admin
Description: Predefined network admin role has access to all
commands on the switch.
-------------------------------------------------------------------
Rule Perm Type Scope Entity
----------------------------------------------------------------
1 permit read-write
Role:Limited_Access
Description: Predefined Limited_Access role has access to these commands.
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit read-write feature Interface
Ouvrez une session au Nexus avec le nom d'utilisateur et mot de passe configuré sur l'ACS. Après procédure de connexion, sélectionnez la commande de show user-account afin de vérifier que l'utilisateur de test a le rôle de Limited_Access :
switch# show user-account
user:admin
this user account has no expiry date
roles:network-admin
user:Test
this user account has no expiry date
roles:Limited_Access
Une fois que le rôle d'accès client est confirmé, commutez dans le mode de configuration et tentez de sélectionner une commande autre qu'une commande d'interface. L'utilisateur devrait être refusé l'accès.
L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.
Cette section fournit des informations que vous pouvez employer afin de dépanner votre configuration de commutateur.
Terminez-vous ces étapes sur le commutateur pour l'affectation de rôle :
L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.