SDAおよび非SDAの両方のネットワークシナリオで、有線およびワイヤレスデバイスのCisco Catalyst Centerからデバイスクレデンシャルを変更する

Updated: 2023 年 12 月 21 日
Document ID:221455

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、ファブリックおよび非ファブリックネットワークの両方のシナリオで有線およびワイヤレスデバイスに対してCisco Catalyst Center(旧称Cisco DNA Center)からクレデンシャルを変更する手順について説明します。

    背景説明

    このドキュメントは、ダイナミックネットワークアクセスコントロール(Dynamic Network Access Control)(Cisco Catalyst Center)の管理対象または管理対象外の認証、許可、およびアカウンティング(AAA)を使用するサイトにも適用されます。

    概要

    このドキュメントでは、自動化のためにCisco Catalyst Centerで使用されるクレデンシャルを更新するネットワーク要件がある状況について説明します。  管理対象デバイスは、ユーザ名とパスワードを使用してCisco Catalyst Centerによって検出され、同じクレデンシャルがCisco Catalyst Centerによって管理対象デバイスへのSSH接続(自動化/インベントリ収集など)に使用されます。このドキュメントでは、管理対象デバイスがCisco Catalyst Centerによって検出された後に、そのパスワードを変更するベストプラクティスについて説明します。

    ソリューション(ベストプラクティス) 

    要件

    1. Cisco Catalyst CenterマネージドAAAを使用するサイト
    • 要件は、ユーザのパスワードを変更することです(イネーブルパスワードは変更されません)。
    • ユーザのパスワードとイネーブルパスワードを変更する必要があります。
    1. Cisco Catalyst CenterアンマネージドAAAを使用するサイト用
    • 要件は、ユーザのパスワードを変更することです(イネーブルパスワードは変更されません)。
    • ユーザのパスワードとイネーブルパスワードを変更する必要があります。

    前提条件

    • Cisco Catalyst Centerですべての非SDAサイトに対してAAAが設定されていないことを確認します。
    • Pythonスクリプトを使用して、すべてのCatalyst 9kスイッチ(SDAまたは非SDA)がVTY回線へのSSHログインにRADIUSからISEを使用しているかどうかを検証します。ローカルクレデンシャルを使用しているデバイスを修正します。 
    • 拡張ノード用 
      • 回線vty 0 ~ 4を更新するには、次の設定コマンドを使用します(これは拡張ノードの最初のステップになる可能性があります)。
    line vty 0 4
    authorization exec VTY_author
    login authentication VTY_authen

    Cisco Catalyst Centerからのクレデンシャル変更手順

    Cisco Catalyst CenterマネージドAAAを使用するサイト

    ユーザのパスワードを変更する必要がある(イネーブルパスワードは変更しない)

    1. まず、ISEでクレデンシャル(関連するユーザ名のパスワード)を更新します。これにより、インベントリ収集が失敗し、管理対象デバイスのインベントリの状態が到達不能、部分的な収集の失敗、または誤ったクレデンシャルに変わります。
    2. Provision > Inventoryページで、1つ以上のデバイスを選択し、Actions > Inventory > Edit Device > Credentialsタブを選択します。次に、「デバイス固有のクレデンシャルの追加」を新しいユーザ名またはパスワードで更新します(イネーブルパスワードは同じままにします)。この時点で、Cisco Catalyst Centerは更新されたクレデンシャルを使用してデバイスにログインでき、デバイスインベントリの状態は管理対象に戻ります。 
    3. 外部AAAサーバに到達できないときにCisco Catalyst Centerがデバイスにログインできるように、デバイスのローカルクレデンシャルをフォールバックとして更新できます。ローカルクレデンシャルは、Cisco Catalyst Centerのテンプレートエディタ、カスタムPythonスクリプト、または手動で更新できます。
    4. 最後の手順では、Global Credentialsページで同じクレデンシャルを更新します。  これにより、LAN Automationを使用して追加された新しく検出されたデバイスまたはデバイスは、Designページ> Network Settings > Device Credentials > CLI Credentials >ユーザ名の編集>ユーザのパスワードの更新から、イネーブルパスワードを変更することなく、更新されたクレデンシャルを使用するようになります。
    note-icon

    :SSH/Telnetログインは、外部AAAサーバによって認証されます。  ローカルデバイスのクレデンシャルは更新されません。

    note-icon

    :サイトのCisco Catalyst Centerの設計ページで外部AAAサーバが設定されている場合、Cisco Catalyst Centerでは、ユーザがグローバルクレデンシャルページでクレデンシャルを変更しても、管理対象デバイスやISEに対するアクションは実行されません。

    ユーザのパスワードとイネーブルパスワードを変更する必要がある

    1. まず、ISEでクレデンシャル(関連するユーザ名のパスワード)を更新します。これにより、インベントリ収集が失敗し、管理対象デバイスのインベントリの状態が到達不能、部分的な収集の失敗、または誤ったクレデンシャルに変わります。
    2. Provision > Inventoryページで、1つ以上のデバイスを選択し、Actions > Inventory > Edit Device > Credentialsタブを選択します。次に、「デバイス固有のクレデンシャルの追加」を新しいユーザ名とパスワード、またはイネーブルパスワードで更新します。この時点で、Cisco Catalyst Centerは更新されたクレデンシャルを使用してデバイスにログインでき、デバイスインベントリの状態は管理対象に戻ります。
    3. 最後の手順では、Global Credentialsページで同じクレデンシャルを更新します。  これにより、LAN Automationを使用して追加された新しく検出されたデバイスまたはデバイスは、Designページ> Network Settings > Device Credentials > CLI Credentials >ユーザ名の編集>ユーザのパスワードおよびイネーブルパスワードから更新されたクレデンシャルを使用するようになります。
    note-icon

    :外部AAAサーバに到達できる場合、ユーザ名とパスワードは外部AAAサーバによって認証され、イネーブルパスワードは管理対象デバイスによってローカルに認証されます。

    note-icon

    :サイトのCisco Catalyst Centerの設計ページで外部AAAサーバが設定されている場合、グローバルクレデンシャルページでクレデンシャルを変更しても、Cisco Catalyst CenterはデバイスまたはISEに対するアクションを実行しません。

    Cisco Catalyst CenterアンマネージドAAAを使用するサイト

    ユーザのパスワードを変更する必要がある(イネーブルパスワードは変更しない)

    1. Design > Network Settings > Device Credentials > CLI Credentials >ユーザ名の編集>イネーブルパスワードを変更せずにユーザのパスワードを更新することで、Global Credentialsページのクレデンシャルを更新します。
    2. Global Credentialsページでクレデンシャルを変更すると、Cisco Catalyst CenterがAAAを管理していないサイトの管理対象デバイスを、更新されたクレデンシャルで再設定できます。  Cisco Catalyst Centerは、一時的なEEMスクリプトをプッシュしてクレデンシャルを検証できます。  ログインに成功した場合は、設定を保存できます。
    note-icon

    :Cisco Catalyst CenterがAAA設定を管理しないサイトの管理対象デバイスについては、管理対象デバイスが外部AAAサーバを使用して手動で設定されているかどうか、または管理対象デバイスがローカルのクレデンシャルのみを使用しているため、影響を受ける管理対象デバイスでパスワードが設定されている場合は、Cisco Catalyst Centerは外部AAAサーバでパスワードが更新されたかどうかについては認識しません。

    ユーザのパスワードとイネーブルパスワードを変更する必要がある

    1. Design > Network Settings > Device Credentials > CLI Credentials > edit the username > update the user's passwordで、Global Credentialsページのクレデンシャルを更新します。
    2. Global Credentialsページでクレデンシャルを変更すると、Cisco Catalyst CenterがAAAを管理していないサイトの管理対象デバイスを、更新されたクレデンシャルで再設定できます。  Cisco Catalyst Centerは、一時的なEEMスクリプトをプッシュしてクレデンシャルを検証できます。  ログインに成功した場合は、設定を保存できます。
    note-icon

    :Cisco Catalyst CenterがAAA設定を管理しないサイトの管理対象デバイスについては、管理対象デバイスが外部AAAサーバを使用して手動で設定されているかどうか、または管理対象デバイスがローカルのクレデンシャルのみを使用しているため、影響を受ける管理対象デバイスでパスワードが設定されている場合は、Cisco Catalyst Centerは外部AAAサーバでパスワードが更新されたかどうかについては認識しません。

    更新履歴

    改定 発行日 コメント
    1.0
    21-Dec-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • ラクシュミガネシュコンダヴェーティ
      テクニカルリーダー

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています