Exemple de configuration d'ACS Limited User Access avec RADIUS sur Nexus

Options de téléchargement

  • PDF     (525.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (195.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (195.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:11 juillet 2013
ID du document:116236

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment fournir un accès restreint aux utilisateurs Nexus afin qu'ils puissent seulement entrer des commandes limitées avec Cisco Secure Access Control Server (ACS) comme serveur RADIUS. Par exemple, vous pouvez souhaiter qu'un utilisateur puisse se connecter à un mode privilégié ou à un mode de configuration et qu'il ne soit autorisé qu'à entrer des commandes d'interface. Pour ce faire, vous devez créer un rôle personnalisé pour l'utilisateur sur le serveur RADIUS utilisé.

Conditions préalables

Exigences

Le serveur RADIUS (ACS dans cet exemple) et Nexus doivent être capables de se contacter et d'effectuer des authentifications.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • ACS version 5.x
  • Commutateurs Nexus 7000

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurer

Configuration des rôles personnalisés sur le Nexus

Afin de créer un rôle qui fournit uniquement un accès en lecture/écriture pour la commande d'interface, entrez :

switch(config)# role name Limited-Access
switch(config-role)# rule 1 permit read-write feature interface

D'autres règles d'autorisation d'accès sont définies avec cette syntaxe :

switch(config-role)# rule 1 permit read-write feature snmp
switch(config-role)# rule 2 permit read-write feature snmp
TargetParamsEntry
switch(config-role)# rule 3 permit read-write feature snmp
TargetAddrEntry

Configuration de Nexus pour l'authentification et l'autorisation

  1. Afin de créer un utilisateur local sur le commutateur avec des privilèges complets pour le secours, entrez la commande username :
    Switch(config)#username admin privilege 15 password 0 cisco123!
  2. Afin de fournir l'adresse IP du serveur RADIUS (ACS), entrez :
    switch# conf terminal
    switch(config)# Radius-server host 10.10.1.1 key cisco123
    authenticationaccounting
    switch(config)# aaa group server radius RadServer
    switch(config-radius)#server 10.10.1.1
    switch(config-radius)# use-vrf Management

    Remarque : la clé doit correspondre au secret partagé configuré sur le serveur RADIUS pour ce périphérique Nexus.

  3. Afin de tester la disponibilité du serveur RADIUS, entrez la commande test aaa : 
    switch# test aaa server Radius 10.10.1.1 user1 Ur2Gd2BH
    Le test d'authentification doit échouer avec un refus du serveur, car il n'est pas encore configuré. Cependant, il confirme que le serveur est accessible.
  4. Afin de configurer les authentifications de connexion, entrez :
    Switch(config)#aaa authentication login default group Radserver
    Switch(config)#aaa accounting default group Radserver
    Switch(config)#aaa authentication login error-enable
    Vous n'avez pas à vous soucier de la méthode de secours locale ici, parce que Nexus bascule vers local sur son propre si le serveur RADIUS n'est pas disponible.

Configuration d'ACS

  1. Accédez à Policy Elements > Authentication and Permissions > Network Access > Authorization Profile afin de créer un profil d'autorisation.

  2. Entrez un nom pour le profil.
  3. Sous l'onglet Attributs personnalisés, entrez les valeurs suivantes :
    • Type de dictionnaire : Radius-Cisco
    • Attribut : cisco-av-pair
    • Exigence : Obligatoire
    • Valeur : shell:roles=Accès_Limité

  4. Soumettez les modifications afin de créer un rôle basé sur les attributs pour le commutateur Nexus.

  5. Créez une nouvelle règle d'autorisation ou modifiez une règle actuelle dans la stratégie d'accès appropriée. Les requêtes RADIUS sont traitées par la stratégie d'accès réseau par défaut.
  6. Dans la zone Conditions, sélectionnez les conditions appropriées. Dans la zone Résultats, sélectionnez le profil Limited_Access.


  7. Click OK.

Vérifier

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Vérification du rôle Nexus

Entrez la commande show role sur Nexus afin d'afficher les rôles définis et les règles d'accès configurées.

switch# show role  (Displays all the roles and includes
custom roles that you have created and their permissions.)

Role: network-admin

  Description: Predefined network admin role has access to all
  commands on the switch.
  -------------------------------------------------------------------
   Rule    Perm    Type        Scope               Entity
  ----------------------------------------------------------------
    1       permit  read-write

Role:Limited_Access
  Description: Predefined Limited_Access role has access to these commands.
  -------------------------------------------------------------------
  Rule    Perm    Type        Scope               Entity
  -------------------------------------------------------------------
  1       permit  read-write  feature             Interface

Vérification de l'attribution des rôles utilisateur Nexus

Connectez-vous à Nexus avec le nom d'utilisateur et le mot de passe configurés sur ACS. Après la connexion, entrez la commande show user-account afin de vérifier que l'utilisateur test a le rôle Limited_Access :

switch# show user-account
        user:admin
        this user account has no expiry date
        roles:network-admin

user:Test
      this user account has no expiry date
      roles:Limited_Access


Une fois le rôle d'accès utilisateur confirmé, passez en mode de configuration et essayez d'entrer une commande autre qu'une commande d'interface. L'accès doit être refusé à l'utilisateur.

L'Outil d'interprétation de sortie (clients enregistrés seulement) prend en charge certaines commandes d'affichage. Utilisez l'Outil d'interprétation de sortie afin de visualiser une analyse de commande d'affichage de sortie .

  • show role - Affiche la définition du rôle et les règles d'accès configurées.
  • show user-account - Affiche les détails du compte d'utilisateur et inclut l'affectation de rôles.

Dépannage

Cette section fournit des informations que vous pouvez utiliser afin de dépanner votre configuration de commutateur.

Effectuez ces étapes sur le commutateur pour l'attribution de rôle :

  1. Vérifiez quel groupe AAA est utilisé pour l'authentification avec les commandes show running-config aaa et show aaa authentication.
  2. Pour RADIUS, vérifiez l'association du routage et du transfert virtuels (VRF) avec le groupe AAA avec les commandes show aaa authentication et show running-config radius.
  3. Si ces commandes vérifient que l'association est correcte, entrez la commande debug radius all afin d'activer la journalisation de trace.
  4. Vérifiez que les attributs corrects sont envoyés à partir de l'ACS.

L'Outil d'interprétation de sortie (clients enregistrés seulement) prend en charge certaines commandes d'affichage. Utilisez l'Outil d'interprétation de sortie afin de visualiser une analyse de commande d'affichage de sortie .

Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.

  • show running-config aaa-
  • show aaa authentication-
  • show running-config radius
  • debug radius all

Historique de révision

Révision Date de publication Commentaires
1.0
11-Jul-2013
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Minakshi Kumar
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco