Esempio di integrazione di Nexus con ACS 5.2

Opzioni per il download

  • PDF     (389.0 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (204.0 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (200.6 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:15 marzo 2013
ID documento:115925

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento offre un esempio di configurazione dell'autenticazione TACACS+ su uno switch Nexus. Per impostazione predefinita, se si configura lo switch Nexus per l'autenticazione tramite Access Control Server (ACS), viene assegnato automaticamente il ruolo di operatore di rete/operatore vdc, che consente l'accesso in sola lettura. Per essere assegnato al ruolo network-admin/vdc-admin, è necessario creare una shell su ACS 5.2. Questo documento descrive tale processo.

Prerequisiti

Requisiti

Prima di provare questa configurazione, accertarsi di soddisfare i seguenti requisiti:

  • Definire lo switch Nexus come client in ACS.

  • Definire l'indirizzo IP e una chiave segreta condivisa identica su ACS e Nexus.

Nota: creare un checkpoint o un backup su Nexus prima di apportare modifiche.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • ACS 5.2

  • Nexus 5000, 5.2(1)N1(1)

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.

Configurazione

In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.

Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi (solo utenti registrati).

Dispositivo Nexus per autenticazione e autorizzazione con configurazione ACS 5.2

Attenersi alla seguente procedura:

  1. Creare un utente locale sullo switch Nexus con privilegi completi per il fallback:

    username admin privilege 15 password 0 cisco123!

  2. Abilitare TACACS+, quindi fornire l'indirizzo IP del server TACACS+ (ACS):

    feature tacacs+

    tacacs-server host IP-ADDRESS key KEY


    tacacs-server key KEY


    tacacs-server directed-request

    aaa group server tacacs+ ACS

    server IP-ADDRESS


    use-vrf management

    source-interface mgmt0

    Nota: la chiave deve corrispondere al segreto condiviso configurato nell'ACS per questo dispositivo Nexus.

  3. Verificare la disponibilità del server TACACS:

    test aaa group group-name username password

    L'autenticazione di prova non deve riuscire con un messaggio di rifiuto dal server, poiché il server non è stato configurato. Questo messaggio di rifiuto conferma che il server TACACS+ è raggiungibile.

  4. Configurare le autenticazioni di accesso: 

    aaa authentication login default group ACS

    aaa authentication login console group ACS

    aaa accounting default group ACS

    aaa authentication login error-enable

    aaa authorization commands default local

    aaa authorization config-commands default local

    Nota: Nexus utilizza l'autenticazione locale se il server di autenticazione non è raggiungibile.

Configurazione ACS 5.x

Attenersi alla seguente procedura:

  1. Per creare un profilo shell, selezionare Elementi criteri > Autenticazione e autorizzazioni > Amministrazione dispositivi > Profili di shell.

    nexus-integration-acs-01.jpg

  2. Immettere un nome per il profilo.

  3. Nella scheda Attributi custom, immettere i seguenti valori:

    Attributo: cisco-av-pair

    Requisito: obbligatorio

    Valore: shell:roles*"network-admin vdc-admin"

    nexus-integration-acs-02.jpg

  4. Inviare le modifiche per creare un ruolo basato su attributi per lo switch Nexus.

  5. Creare una nuova regola di autorizzazione o modificare una regola esistente nel criterio di accesso corretto. Per impostazione predefinita, le richieste TACACS+ vengono elaborate dai criteri di accesso predefiniti di amministrazione dei dispositivi.

  6. Nell'area Condizioni (Conditions), selezionate le condizioni appropriate. Nell'area Risultati (Results), selezionate il profilo della shell del sistema operativo Nexus.

    nexus-integration-acs-03.jpg

  7. Fare clic su OK.

Verifica

Per verificare che la configurazione funzioni correttamente, consultare questa sezione.

Lo strumento Output Interpreter (solo utenti registrati) (OIT) supporta alcuni comandi show. Usare OIT per visualizzare un'analisi dell'output del comando show.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
22-Jan-2013
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Minakshi Kumar
    Cisco TAC Engineer.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti