Ce document décrit comment fournir un accès restreint aux utilisateurs Nexus afin qu'ils puissent seulement entrer des commandes limitées avec Cisco Secure Access Control Server (ACS) comme serveur RADIUS. Par exemple, vous pouvez souhaiter qu'un utilisateur puisse se connecter à un mode privilégié ou à un mode de configuration et qu'il ne soit autorisé qu'à entrer des commandes d'interface. Pour ce faire, vous devez créer un rôle personnalisé pour l'utilisateur sur le serveur RADIUS utilisé.
Le serveur RADIUS (ACS dans cet exemple) et Nexus doivent être capables de se contacter et d'effectuer des authentifications.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Afin de créer un rôle qui fournit uniquement un accès en lecture/écriture pour la commande d'interface, entrez :
switch(config)# role name Limited-Access
switch(config-role)# rule 1 permit read-write feature interface
D'autres règles d'autorisation d'accès sont définies avec cette syntaxe :
switch(config-role)# rule 1 permit read-write feature snmp
switch(config-role)# rule 2 permit read-write feature snmp
TargetParamsEntry
switch(config-role)# rule 3 permit read-write feature snmp
TargetAddrEntry
Switch(config)#username admin privilege 15 password 0 cisco123!
switch# conf terminal
switch(config)# Radius-server host 10.10.1.1 key cisco123
authenticationaccounting
switch(config)# aaa group server radius RadServer
switch(config-radius)#server 10.10.1.1
switch(config-radius)# use-vrf Management
switch# test aaa server Radius 10.10.1.1 user1 Ur2Gd2BHLe test d'authentification doit échouer avec un refus du serveur, car il n'est pas encore configuré. Cependant, il confirme que le serveur est accessible.
Switch(config)#aaa authentication login default group RadserverVous n'avez pas à vous soucier de la méthode de secours locale ici, parce que Nexus bascule vers local sur son propre si le serveur RADIUS n'est pas disponible.
Switch(config)#aaa accounting default group Radserver
Switch(config)#aaa authentication login error-enable
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Entrez la commande show role sur Nexus afin d'afficher les rôles définis et les règles d'accès configurées.
switch# show role (Displays all the roles and includes
custom roles that you have created and their permissions.)
Role: network-admin
Description: Predefined network admin role has access to all
commands on the switch.
-------------------------------------------------------------------
Rule Perm Type Scope Entity
----------------------------------------------------------------
1 permit read-write
Role:Limited_Access
Description: Predefined Limited_Access role has access to these commands.
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit read-write feature Interface
Connectez-vous à Nexus avec le nom d'utilisateur et le mot de passe configurés sur ACS. Après la connexion, entrez la commande show user-account afin de vérifier que l'utilisateur test a le rôle Limited_Access :
switch# show user-account
user:admin
this user account has no expiry date
roles:network-admin
user:Test
this user account has no expiry date
roles:Limited_Access
Une fois le rôle d'accès utilisateur confirmé, passez en mode de configuration et essayez d'entrer une commande autre qu'une commande d'interface. L'accès doit être refusé à l'utilisateur.
L'Outil d'interprétation de sortie (clients enregistrés seulement) prend en charge certaines commandes d'affichage. Utilisez l'Outil d'interprétation de sortie afin de visualiser une analyse de commande d'affichage de sortie .
Cette section fournit des informations que vous pouvez utiliser afin de dépanner votre configuration de commutateur.
Effectuez ces étapes sur le commutateur pour l'attribution de rôle :
L'Outil d'interprétation de sortie (clients enregistrés seulement) prend en charge certaines commandes d'affichage. Utilisez l'Outil d'interprétation de sortie afin de visualiser une analyse de commande d'affichage de sortie .
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
11-Jul-2013 |
Première publication |