Questo documento offre un esempio di configurazione dell'autenticazione TACACS+ su uno switch Nexus. Per impostazione predefinita, se si configura lo switch Nexus per l'autenticazione tramite Access Control Server (ACS), viene assegnato automaticamente il ruolo di operatore di rete/operatore vdc, che consente l'accesso in sola lettura. Per essere assegnato al ruolo network-admin/vdc-admin, è necessario creare una shell su ACS 5.2. Questo documento descrive tale processo.
Prima di provare questa configurazione, accertarsi di soddisfare i seguenti requisiti:
Definire lo switch Nexus come client in ACS.
Definire l'indirizzo IP e una chiave segreta condivisa identica su ACS e Nexus.
Nota: creare un checkpoint o un backup su Nexus prima di apportare modifiche.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
ACS 5.2
Nexus 5000, 5.2(1)N1(1)
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.
In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.
Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi (solo utenti registrati).
Attenersi alla seguente procedura:
Creare un utente locale sullo switch Nexus con privilegi completi per il fallback:
username admin privilege 15 password 0 cisco123!
Abilitare TACACS+, quindi fornire l'indirizzo IP del server TACACS+ (ACS):
feature tacacs+
tacacs-server host IP-ADDRESS key KEY
tacacs-server key KEY
tacacs-server directed-request
aaa group server tacacs+ ACS
server IP-ADDRESS
use-vrf management
source-interface mgmt0
Nota: la chiave deve corrispondere al segreto condiviso configurato nell'ACS per questo dispositivo Nexus.
Verificare la disponibilità del server TACACS:
test aaa group group-name username password
L'autenticazione di prova non deve riuscire con un messaggio di rifiuto dal server, poiché il server non è stato configurato. Questo messaggio di rifiuto conferma che il server TACACS+ è raggiungibile.
Configurare le autenticazioni di accesso:
aaa authentication login default group ACS
aaa authentication login console group ACS
aaa accounting default group ACS
aaa authentication login error-enable
aaa authorization commands default local
aaa authorization config-commands default local
Nota: Nexus utilizza l'autenticazione locale se il server di autenticazione non è raggiungibile.
Attenersi alla seguente procedura:
Per creare un profilo shell, selezionare Elementi criteri > Autenticazione e autorizzazioni > Amministrazione dispositivi > Profili di shell.
Immettere un nome per il profilo.
Nella scheda Attributi custom, immettere i seguenti valori:
Attributo: cisco-av-pair
Requisito: obbligatorio
Valore: shell:roles*"network-admin vdc-admin"
Inviare le modifiche per creare un ruolo basato su attributi per lo switch Nexus.
Creare una nuova regola di autorizzazione o modificare una regola esistente nel criterio di accesso corretto. Per impostazione predefinita, le richieste TACACS+ vengono elaborate dai criteri di accesso predefiniti di amministrazione dei dispositivi.
Nell'area Condizioni (Conditions), selezionate le condizioni appropriate. Nell'area Risultati (Results), selezionate il profilo della shell del sistema operativo Nexus.
Fare clic su OK.
Per verificare che la configurazione funzioni correttamente, consultare questa sezione.
Lo strumento Output Interpreter (solo utenti registrati) (OIT) supporta alcuni comandi show. Usare OIT per visualizzare un'analisi dell'output del comando show.
show tacacs+: visualizza le statistiche di TACACS+.
show running-config tacacs+: visualizza la configurazione di TACACS+ nella configurazione in esecuzione.
show startup-config tacacs+: visualizza la configurazione TACACS+ nella configurazione di avvio.
show tacacs-server: visualizza tutti i parametri configurati del server TACACS+.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
22-Jan-2013 |
Versione iniziale |