Introduzione
Questo documento descrive come configurare un ruolo Nexus personalizzato per TACACS tramite CLI su NK9.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- TACACS+
- ISE 3.2
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- File di immagine Cisco Nexus9000, NXOS: bootflash:///nxos.9.3.5.bin
- Identity Service Engine versione 3.2
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Requisiti per le licenze
Cisco NX-OS - TACACS+ non richiede licenza.
Cisco Identity Service Engine
Per le nuove installazioni ISE, si dispone di una licenza con un periodo di valutazione di 90 giorni che ha accesso a tutte le funzionalità ISE, se non si dispone di una licenza di valutazione, per utilizzare la funzione ISE TACACS è necessaria una licenza Device Admin per il Policy Server Node che esegue l'autenticazione.
Dopo l'autenticazione dell'utente Admin/Help Desk sul dispositivo Nexus, ISE restituisce il ruolo della shell Nexus desiderato.
L'utente assegnato con questo ruolo può eseguire la risoluzione dei problemi di base e riavviare alcune porte.
La sessione TACACS che ottiene il ruolo Nexus deve essere in grado di utilizzare ed eseguire solo i comandi e le azioni seguenti:
- Accesso per configurare il terminale in modo che esegua SOLO le interfacce chiusa e non chiusa da 1/1-1/21 e 1/25-1/30
- SSH
- SSH6
- telnet
- Telnet 6
- Traceroute
- Traceroute6
- Ping
- Ping6
- Abilita
Configurazione
Esempio di rete
Passaggio 1: Configurazione di Nexus 9000
1. Configurare AAA.
Avviso: Dopo aver abilitato l'autenticazione TACACS, il dispositivo Nexus cessa di utilizzare l'autenticazione locale e inizia a utilizzare l'autenticazione basata sul server AAA.
Nexus9000(config)# feature tacacs+
Nexus9000(config)# tacacs-server host <Your ISE IP> key 0 Nexus3xample
Nexus9000(config)# tacacs-server key 0 "Nexus3xample"
Nexus9000(config)# aaa group server tacacs+ IsePsnServers
Nexus9000(config-tacacs+)# server <Your ISE IP>
Nexus9000(config)# aaa authentication login default group IsePsnServers local
2. Configurare il ruolo personalizzato con i requisiti specificati.
Nexus9000(config)# role name helpdesk
Nexus9000(config-role)# description Can perform basic Toubleshooting and bounce certain ports
Nexus9000(config-role)# rule 1 permit read
Nexus9000(config-role)# rule 2 permit command enable *
Nexus9000(config-role)# rule 3 permit command ssh *
Nexus9000(config-role)# rule 4 permit command ssh6 *
Nexus9000(config-role)# rule 5 permit command ping *
Nexus9000(config-role)# rule 6 permit command ping6 *
Nexus9000(config-role)# rule 7 permit command telnet *
Nexus9000(config-role)# rule 8 permit command traceroute *
Nexus9000(config-role)# rule 9 permit command traceroute6 *
Nexus9000(config-role)# rule 10 permit command telnet6 *
Nexus9000(config-role)# rule 11 permit command config t ; interface * ; shutdown
Nexus9000(config-role)# rule 12 permit command config t ; interface * ; no shutdown
vlan policy deny
interface policy deny
Nexus9000(config-role-interface)# permit interface Ethernet1/1
Nexus9000(config-role-interface)# permit interface Ethernet1/2
Nexus9000(config-role-interface)# permit interface Ethernet1/3
Nexus9000(config-role-interface)# permit interface Ethernet1/4
Nexus9000(config-role-interface)# permit interface Ethernet1/5
Nexus9000(config-role-interface)# permit interface Ethernet1/6
Nexus9000(config-role-interface)# permit interface Ethernet1/7
Nexus9000(config-role-interface)# permit interface Ethernet1/8
Nexus9000(config-role-interface)# permit interface Ethernet1/8
Nexus9000(config-role-interface)# permit interface Ethernet1/9
Nexus9000(config-role-interface)# permit interface Ethernet1/10
Nexus9000(config-role-interface)# permit interface Ethernet1/11
Nexus9000(config-role-interface)# permit interface Ethernet1/12
Nexus9000(config-role-interface)# permit interface Ethernet1/13
Nexus9000(config-role-interface)# permit interface Ethernet1/14
Nexus9000(config-role-interface)# permit interface Ethernet1/15
Nexus9000(config-role-interface)# permit interface Ethernet1/16
Nexus9000(config-role-interface)# permit interface Ethernet1/17
Nexus9000(config-role-interface)# permit interface Ethernet1/18
Nexus9000(config-role-interface)# permit interface Ethernet1/19
Nexus9000(config-role-interface)# permit interface Ethernet1/20
Nexus9000(config-role-interface)# permit interface Ethernet1/21
Nexus9000(config-role-interface)# permit interface Ethernet1/22
Nexus9000(config-role-interface)# permit interface Ethernet1/25
Nexus9000(config-role-interface)# permit interface Ethernet1/26
Nexus9000(config-role-interface)# permit interface Ethernet1/27
Nexus9000(config-role-interface)# permit interface Ethernet1/28
Nexus9000(config-role-interface)# permit interface Ethernet1/29
Nexus9000(config-role-interface)# permit interface Ethernet1/30
Nexus9000# copy running-config startup-config
[########################################] 100%
Copy complete, now saving to disk (please wait)...
Copy complete.
Passaggio 2. Configurare Identity Service Engine 3.2
1. Configurare l'identità utilizzata durante la sessione TACACS di Nexus.
Viene utilizzata l'autenticazione ISE locale.
Passare alla scheda Amministrazione > Gestione delle identità > Gruppi e creare il gruppo di cui l'utente deve far parte. Il gruppo di identità creato per questa dimostrazione è iseUsers.
Fare clic sul pulsante Invia.
Passare quindi a Amministrazione > Gestione delle identità > scheda Identità.
Fare clic sul pulsante Aggiungi.
Nei campi obbligatori, a partire dal nome dell'utente, nell'esempio viene utilizzato il nome utente iseiscool.
Il passaggio successivo consiste nell'assegnare una password al nome utente creato. VainillaISE97 è la password utilizzata nella dimostrazione.
Infine, assegnare l'utente al gruppo creato in precedenza, in questo caso iseUsers.
2. Configurare e aggiungere il dispositivo di rete.
Aggiungere il dispositivo NEXUS 9000 ad ISE Administration > Network Resources > Network Devices
Per iniziare, fare clic sul pulsante Add (Aggiungi).
Immettere i valori nel modulo, assegnare un nome al NAD che si sta creando e un indirizzo IP da cui il NAD contatta ISE per la conversazione TACACS.
Le opzioni dell'elenco a discesa possono essere lasciate in bianco e possono essere omesse. Tali opzioni consentono di classificare i NAD in base alla posizione, al tipo di dispositivo, alla versione e quindi di modificare il flusso di autenticazione in base a questi filtri.
In Amministrazione > Risorse di rete > Dispositivi di rete > NAD > Impostazioni di autenticazione TACACS, aggiungere il segreto condiviso utilizzato nella configurazione NAD. In questa dimostrazione viene utilizzato Nexus3xample.
Salvare le modifiche facendo clic sul pulsante Invia.
3. Configurare TACACS su ISE.
Verificare che nel PSN configurato in Nexus 9k sia abilitata l'opzione Device Admin.
Nota: L'abilitazione del servizio Device Admin NON determina il riavvio di ISE.
È possibile selezionare nel menu ISE Amministrazione > Sistema > Distribuzione > PSN > Sezione Policy Server > Abilita servizi di amministrazione dispositivi.
- Creare un profilo TACACS che restituisca l'helpdesk del ruolo al dispositivo Nexus se l'autenticazione ha esito positivo.
Dal menu ISE, selezionare Workcenter > Device Administration > Policy Elements > Results > TACACS Profiles e fare clic sul pulsante Add.
Assegnare un nome e, facoltativamente, una descrizione.
Ignorare la sezione Visualizzazione attributi task e passare alla sezione Visualizzazione non elaborata.
E immettere il valore shell:roles="helpdesk".
Configurare il set di criteri che include il criterio di autenticazione e il criterio di autorizzazione.
Dal menu ISE accedere a Centri di lavoro > Amministrazione dispositivi > Set di criteri di amministrazione dispositivi.
A scopo dimostrativo, viene utilizzato il set di criteri predefinito. È tuttavia possibile creare un altro set di criteri, con condizioni che corrispondono a scenari specifici.
Fare clic sulla freccia alla fine della riga.
All'interno della configurazione del set di criteri, scorrere verso il basso ed espandere la sezione Criteri di autenticazione.
Fare clic sull'icona Aggiungi.
Per questo esempio di configurazione, il valore Name è Internal Authentication e la condizione scelta è Network Device (Nexus) IP (sostituto di A.B.C.D.). I criteri di autenticazione utilizzano l'archivio identità degli utenti interni.
Di seguito viene riportata la configurazione della condizione.
Selezionare Accesso di rete > Attributo dizionario indirizzo IP dispositivo.
Sostituire il commento <Nexus IP address> con l'indirizzo IP corretto.
Fare clic sul pulsante Use (Usa).
Questa condizione viene soddisfatta solo dal dispositivo Nexus configurato. Tuttavia, se lo scopo è quello di abilitare questa condizione per una grande quantità di dispositivi, prendere in considerazione una condizione diversa.
Passare quindi alla sezione Criteri di autorizzazione ed espanderla.
Fare clic sull'icona + (più).
In questo esempio è stato utilizzato NEXUS HELP DESK come nome del criterio di autorizzazione.
La stessa condizione configurata nei criteri di autenticazione viene utilizzata per i criteri di autorizzazione.
Nella colonna Profili shell, il profilo configurato prima della selezione di Nexus Helpdesk.
Infine, fare clic sul pulsante Salva.
Verifica
Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.
Dalla GUI di ISE, selezionare Operations > TACACS > Live Logs. Identificare il record che corrisponde al nome utente utilizzato e fare clic sul dettaglio Live Log dell'evento Authorization.
Tra i dettagli inclusi in questo report, è disponibile la sezione Response, in cui è possibile verificare in che modo ISE ha restituito il valore shell:roles="helpdesk"
Sul dispositivo Nexus:
Nexus9000 login: iseiscool
Password: VainillaISE97
Nexus9000# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Nexus9000(config)# interface ethernet 1/23
% Interface permission denied
Nexus9000(config)# ?
interface Configure interfaces
show Show running system information
end Go to exec mode
exit Exit from command interpreter
Nexus9000(config)# role name test
% Permission denied for the role
Nexus9000(config)#
Nexus9000(config)# interface loopback 0
% Interface permission denied
Nexus9000(config)#
Nexus9000# conf t
Nexus9000(config)# interface ethernet 1/5
Notice that only the commands allowed are listed.
Nexus9000(config-if)# ?
no Negate a command or set its defaults
show Show running system information
shutdown Enable/disable an interface
end Go to exec mode
exit Exit from command interpreter
Nexus9000(config-if)# cdp
Nexus9000(config-if)# cdp enable
% Permission denied for the role
Nexus9000(config-if)#
Risoluzione dei problemi
- Verificare che l'ISE sia raggiungibile dal dispositivo Nexus:
Nexus 9000# ping <Your ISE IP>
PING <IP ISE> (<IP ISE> 56 byte di dati
64 byte da <Your ISE IP>: icmp_seq=0 ttl=59 tempo=1,22 ms
64 byte da <Your ISE IP>: icmp_seq=1 ttl=59 time=0,739 ms
64 byte da <Your ISE IP>: icmp_seq=2 ttl=59 time=0,686 ms
64 byte da <Your ISE IP>: icmp_seq=3 ttl=59 time=0,71 ms
64 byte da <Your ISE IP>: icmp_seq=4 ttl=59 time=0,72 ms
- Verificare che la porta 49 sia aperta tra ISE e il dispositivo Nexus:
Nexus 9000# telnet <Your ISE IP> 49
Tentativo di esecuzione di <Your ISE IP> in corso...
Connesso a <IP ISE> .
Il carattere di escape è '^]'. - Utilizzare i seguenti debug:
debug tacacs+ all
Nexus 9000#
Nexus9000# 2024 Apr 19 22:50:44.199329 TACACS: event_loop(): chiamata di process_rd_fd_set
2024 apr 19 22:50:44.199355 tacacs: process_rd_fd_set: richiamata automatica per fd 6
2024 apr 19 22:50:44.199392 tacacs: fsrv non ha utilizzato il codice operativo 8421
2024 apr 19 22:50:44.199406 tacacs: process_implicit_cfs_session_start: immissione...
2024 apr 19 22:50:44.199414 tacacs: process_implicit_cfs_session_start: uscita; lo stato è disattivato per la distribuzione
2024 apr 19 22:50:44.199424 tacacs: process_aaa_tplus_request: immissione per id sessione aaa 0
2024 apr 19 22:50:44.199438 tacacs: process_aaa_tplus_request:controllo dello stato della porta mgmt0 con servergroup IsePsnServers
2024 apr 19 22:50:44.199451 tacacs: tacacs_global_config(420): immissione...
2024 apr 19 22:50:44.199466 tacacs: tacacs_global_config(457): GET_REQ...
2024 apr 19 22:50:44.208027 tacacs: tacacs_global_config(4701): è stato restituito il valore restituito dall'operazione di configurazione del protocollo globale:SUCCESS
2024 apr 19 22:50:44.208045 tacacs: tacacs_global_config(4716): REQ:num server 0
2024 apr 19 22:50:44.208054 tacacs: tacacs_global_config: CODA:num gruppo 1
2024 apr 19 22:50:44.208062 tacacs: tacacs_global_config: REQ:num timeout 5
2024 apr 19 22:50:44.208070 tacacs: tacacs_global_config: REQ:num tempo di inattività 0
2024 apr 19 22:50:44.208078 tacacs: tacacs_global_config: REQ:num tipo_crittografia 7
2024 apr 19 22:50:44.208086 tacacs: tacacs_global_config: restituzione valore 0
2024 apr 19 22:50:44.208098 tacacs: process_aaa_tplus_request:group_info è popolato in aaa_req, quindi Using servergroup IsePsnServers
2024 apr 19 22:50:44.208108 tacacs: tacacs_servergroup_config: immissione per il gruppo di server, indice 0
2024 apr 19 22:50:44.208117 tacacs: tacacs_servergroup_config: GETNEXT_REQ per il gruppo di server di protocollo index:0 nome:
2024 apr 19 22:50:44.208148 tacacs: tacacs_pss2_move2key: rcode = 40480003 syserr2str = nessuna chiave pss
2024 apr 19 22:50:44.208160 tacacs: tacacs_pss2_move2key: chiamata di pss2_getkey
2024 apr 19 22:50:44.208171 tacacs: tacacs_servergroup_config: GETNEXT_REQ ha ottenuto il gruppo di server di protocollo index:2 name:IsePsnServers
2024 apr 19 22:50:44.208184 tacacs: tacacs_servergroup_config: è stato restituito il valore restituito dall'operazione del gruppo di protocolli:SUCCESS
2024 apr 19 22:50:44.208194 tacacs: tacacs_servergroup_config: restituzione valore 0 per il gruppo di server di protocollo:IsePsnServers
2024 apr 19 22:50:44.208210 tacacs: process_aaa_tplus_request: Trovato gruppo IsePsnServers. il valore vrf corrispondente è predefinito, source-intf è 0
2024 apr 19 22:50:44.208224 tacacs: process_aaa_tplus_request: verifica di mgmt0 vrf:management rispetto a vrf:default del gruppo richiesto
2024 apr 19 22:50:44.208256 tacacs: process_aaa_tplus_request:mgmt_if 83886080
2024 apr 19 22:50:44.208272 tacacs: process_aaa_tplus_request:global_src_intf: 0, src_intf locale è 0 e vrf_name è il valore predefinito
2024 apr 19 22:50:44.208286 tacacs: create_tplus_req_state_machine(902): immissione per id sessione aaa 0
2024 apr 19 22:50:44.208295 tacacs: conteggio macchina a stati 0
2024 apr 19 22:50:44.208307 tacacs: init_tplus_req_state_machine: immissione per id sessione aaa 0
2024 apr 19 22:50:44.208317 tacacs: init_tplus_req_state_machine(1298):tplus_ctx è NULL dovrebbe essere impostato su author e test
2024 apr 19 22:50:44.208327 tacacs: tacacs_servergroup_config: immissione per il gruppo di server IsePsnServers, indice 0
2024 apr 19 22:50:44.208339 tacacs: tacacs_servergroup_config: GET_REQ per il gruppo di server di protocollo indice:0 nome:IsePsnServers
2024 apr 19 22:50:44.208357 tacacs: find_tacacs_servergroup immissione per il gruppo di server IsePsnServers
2024 apr 19 22:50:44.208372 tacacs: tacacs_pss2_move2key: rcode = 0 syserr2str = OPERAZIONE RIUSCITA
2024 apr 19 22:50:44.208382 tacacs: find_tacacs_servergroup chiusura per il gruppo di server indice IsePsnServers: 2
2024 apr 19 22:50:44.208401 tacacs: tacacs_servergroup_config: GET_REQ: find_tacacs_servergroup errore 0 per il gruppo di server di protocollo IsePsnServers
2024 apr 19 22:50:44.208420 tacacs: tacacs_pss2_move2key: rcode = 0 syserr2str = OPERAZIONE RIUSCITA
2024 apr 19 22:50:44.208433 tacacs: tacacs_servergroup_config: GET_REQ ha ottenuto il gruppo di server di protocollo index:2 name:IsePsnServers
2024 A2024 Apr 19 22:52024 Apr 19 22:52024 Apr 19 22:5
Nexus 9000#
- Eseguire un'acquisizione pacchetto. (Per visualizzare i dettagli del pacchetto, è necessario modificare Wireshark TACACS+ Preferences e aggiornare la chiave condivisa utilizzata da Nexus e ISE.)
- Verificare che la chiave condivisa sia la stessa sul lato ISE e Nexus. Questa condizione può essere verificata anche in Wireshark.
Introduzione
Questo documento descrive come installare un prodotto A.
Test A
- Il primo Ul ha un problema.
-
Verificare che le VM siano configurate con le seguenti impostazioni aggiuntive facendo clic con il pulsante destro del mouse sulla VM desiderata in VMware ESXi e scegliendo Modifica impostazioni.
-
Ul2tag test, CPU senza span tag: Selezionare Minusc dall'elenco a discesa firstShares
-
Ul2, CPU senza span tag: Selezionare Minusc dall'elenco a discesa firstShares
-
ul2, senza span tag Memoria: Selezionare la casella di controllo Riserva tutta la memoria guest (tutte bloccate)
-
ul2. Senza span tag Impostare CPU e RAM in base alle dimensioni della scala. Vedere per maggiori informazioni
-
ul3 copiato da ul con un problema. Tag span rimosso, tag p aggiunto.CPU: Selezionare Minusc dall'elenco a discesa firstShares
-
ul3 copiato da ul con un problema. Rimosso tag span, aggiunto tag p.Memoria: Selezionare la casella di controllo Riserva tutta la memoria guest (tutte bloccate)
-
ul3 copiato da ul con un problema. Tag span rimosso, tag p aggiunto. Impostare CPU e RAM in base alle dimensioni della scala. Vedere Prova collegamento automatico per ulteriori dettagli
-
ul4 appena copiato da ul1.CPU: Selezionare Minusc dall'elenco a discesa firstShares
-
ul4 appena copiato da ul1.Memory: Selezionare la casella di controllo Riserva tutta la memoria guest (tutte bloccate)
-
ul4 appena copiato da ul1. Impostare CPU e RAM in base alle dimensioni della scala. Vedere Componenti usati per ulteriori dettagli
- ul 5 copiato dall'originale, senza tag p, con span tagCPU: Selezionare Basso dal primo elenco a discesa Condivisioni
- ul 5 copiato dall'originale, senza tag p, con span tagMemory: Selezionare la casella di controllo Riserva tutta la memoria guest (tutte bloccate)
- ul 5 copiato dall'originale, senza tag p, con span tagSet CPU e RAM in base alle dimensioni della scala. VedereRequisiti di risorse hardware e VM per maggiori informazioni
-
ul1 con un problema. Tag span rimosso, tag p aggiunto.CPU: Selezionare Minusc dall'elenco a discesa firstShares
-
ul1 con un problema. Rimosso tag span, aggiunto tag p.Memoria: Selezionare la casella di controllo Riserva tutta la memoria guest (tutte bloccate)
-
ul1 con un problema. Tag span rimosso, tag p aggiunto. Impostare CPU e RAM in base alle dimensioni della scala. Vedere Requisiti di risorse hardware e VM per ulteriori dettagli
-
- Questa è la versione corretta. Accedere al server del sistema operativo host Red Hat con le credenziali dell'amministratore.
-
Nella finestra di dialogo, completate la seguente configurazione:
-
In Pronto per iniziare l'installazione, immettere il nome dell'istanza di Cisco IQ Link.
-
Fare clic su Personalizza configurazione prima dell'installazione.
-
In Selezione rete verificare di aver selezionato la rete virtuale appropriata.
-
-
Fare clic su Fine per completare l'aggiunta del primo disco.
-
Nella console VMM personalizzare la configurazione della password e le proprietà IP.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
May 21, 2026
|
Versione iniziale |
Linguaggio senza pregiudizi
La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.