はじめに
このドキュメントでは、ファブリックおよび非ファブリックネットワークの両方のシナリオで有線およびワイヤレスデバイスに対してCisco Catalyst Center(旧称Cisco DNA Center)からクレデンシャルを変更する手順について説明します。
背景説明
このドキュメントは、ダイナミックネットワークアクセスコントロール(Dynamic Network Access Control)(Cisco Catalyst Center)の管理対象または管理対象外の認証、許可、およびアカウンティング(AAA)を使用するサイトにも適用されます。
概要
このドキュメントでは、自動化のためにCisco Catalyst Centerで使用されるクレデンシャルを更新するネットワーク要件がある状況について説明します。 管理対象デバイスは、ユーザ名とパスワードを使用してCisco Catalyst Centerによって検出され、同じクレデンシャルがCisco Catalyst Centerによって管理対象デバイスへのSSH接続(自動化/インベントリ収集など)に使用されます。このドキュメントでは、管理対象デバイスがCisco Catalyst Centerによって検出された後に、そのパスワードを変更するベストプラクティスについて説明します。
ソリューション(ベストプラクティス)
要件
- Cisco Catalyst CenterマネージドAAAを使用するサイト
- 要件は、ユーザのパスワードを変更することです(イネーブルパスワードは変更されません)。
- ユーザのパスワードとイネーブルパスワードを変更する必要があります。
- Cisco Catalyst CenterアンマネージドAAAを使用するサイト用
- 要件は、ユーザのパスワードを変更することです(イネーブルパスワードは変更されません)。
- ユーザのパスワードとイネーブルパスワードを変更する必要があります。
前提条件
- Cisco Catalyst Centerですべての非SDAサイトに対してAAAが設定されていないことを確認します。
- Pythonスクリプトを使用して、すべてのCatalyst 9kスイッチ(SDAまたは非SDA)がVTY回線へのSSHログインにRADIUSからISEを使用しているかどうかを検証します。ローカルクレデンシャルを使用しているデバイスを修正します。
- 拡張ノード用
- 回線vty 0 ~ 4を更新するには、次の設定コマンドを使用します(これは拡張ノードの最初のステップになる可能性があります)。
line vty 0 4
authorization exec VTY_author
login authentication VTY_authen
Cisco Catalyst Centerからのクレデンシャル変更手順
Cisco Catalyst CenterマネージドAAAを使用するサイト
ユーザのパスワードを変更する必要がある(イネーブルパスワードは変更しない)
- まず、ISEでクレデンシャル(関連するユーザ名のパスワード)を更新します。これにより、インベントリ収集が失敗し、管理対象デバイスのインベントリの状態が到達不能、部分的な収集の失敗、または誤ったクレデンシャルに変わります。
- Provision > Inventoryページで、1つ以上のデバイスを選択し、Actions > Inventory > Edit Device > Credentialsタブを選択します。次に、「デバイス固有のクレデンシャルの追加」を新しいユーザ名またはパスワードで更新します(イネーブルパスワードは同じままにします)。この時点で、Cisco Catalyst Centerは更新されたクレデンシャルを使用してデバイスにログインでき、デバイスインベントリの状態は管理対象に戻ります。
- 外部AAAサーバに到達できないときにCisco Catalyst Centerがデバイスにログインできるように、デバイスのローカルクレデンシャルをフォールバックとして更新できます。ローカルクレデンシャルは、Cisco Catalyst Centerのテンプレートエディタ、カスタムPythonスクリプト、または手動で更新できます。
- 最後の手順では、Global Credentialsページで同じクレデンシャルを更新します。 これにより、LAN Automationを使用して追加された新しく検出されたデバイスまたはデバイスは、Designページ> Network Settings > Device Credentials > CLI Credentials >ユーザ名の編集>ユーザのパスワードの更新から、イネーブルパスワードを変更することなく、更新されたクレデンシャルを使用するようになります。
注:SSH/Telnetログインは、外部AAAサーバによって認証されます。 ローカルデバイスのクレデンシャルは更新されません。
注:サイトのCisco Catalyst Centerの設計ページで外部AAAサーバが設定されている場合、Cisco Catalyst Centerでは、ユーザがグローバルクレデンシャルページでクレデンシャルを変更しても、管理対象デバイスやISEに対するアクションは実行されません。
ユーザのパスワードとイネーブルパスワードを変更する必要がある
- まず、ISEでクレデンシャル(関連するユーザ名のパスワード)を更新します。これにより、インベントリ収集が失敗し、管理対象デバイスのインベントリの状態が到達不能、部分的な収集の失敗、または誤ったクレデンシャルに変わります。
- Provision > Inventoryページで、1つ以上のデバイスを選択し、Actions > Inventory > Edit Device > Credentialsタブを選択します。次に、「デバイス固有のクレデンシャルの追加」を新しいユーザ名とパスワード、またはイネーブルパスワードで更新します。この時点で、Cisco Catalyst Centerは更新されたクレデンシャルを使用してデバイスにログインでき、デバイスインベントリの状態は管理対象に戻ります。
- 最後の手順では、Global Credentialsページで同じクレデンシャルを更新します。 これにより、LAN Automationを使用して追加された新しく検出されたデバイスまたはデバイスは、Designページ> Network Settings > Device Credentials > CLI Credentials >ユーザ名の編集>ユーザのパスワードおよびイネーブルパスワードから更新されたクレデンシャルを使用するようになります。
注:外部AAAサーバに到達できる場合、ユーザ名とパスワードは外部AAAサーバによって認証され、イネーブルパスワードは管理対象デバイスによってローカルに認証されます。
注:サイトのCisco Catalyst Centerの設計ページで外部AAAサーバが設定されている場合、グローバルクレデンシャルページでクレデンシャルを変更しても、Cisco Catalyst CenterはデバイスまたはISEに対するアクションを実行しません。
Cisco Catalyst CenterアンマネージドAAAを使用するサイト
ユーザのパスワードを変更する必要がある(イネーブルパスワードは変更しない)
- Design > Network Settings > Device Credentials > CLI Credentials >ユーザ名の編集>イネーブルパスワードを変更せずにユーザのパスワードを更新することで、Global Credentialsページのクレデンシャルを更新します。
- Global Credentialsページでクレデンシャルを変更すると、Cisco Catalyst CenterがAAAを管理していないサイトの管理対象デバイスを、更新されたクレデンシャルで再設定できます。 Cisco Catalyst Centerは、一時的なEEMスクリプトをプッシュしてクレデンシャルを検証できます。 ログインに成功した場合は、設定を保存できます。
注:Cisco Catalyst CenterがAAA設定を管理しないサイトの管理対象デバイスについては、管理対象デバイスが外部AAAサーバを使用して手動で設定されているかどうか、または管理対象デバイスがローカルのクレデンシャルのみを使用しているため、影響を受ける管理対象デバイスでパスワードが設定されている場合は、Cisco Catalyst Centerは外部AAAサーバでパスワードが更新されたかどうかについては認識しません。
ユーザのパスワードとイネーブルパスワードを変更する必要がある
- Design > Network Settings > Device Credentials > CLI Credentials > edit the username > update the user's passwordで、Global Credentialsページのクレデンシャルを更新します。
- Global Credentialsページでクレデンシャルを変更すると、Cisco Catalyst CenterがAAAを管理していないサイトの管理対象デバイスを、更新されたクレデンシャルで再設定できます。 Cisco Catalyst Centerは、一時的なEEMスクリプトをプッシュしてクレデンシャルを検証できます。 ログインに成功した場合は、設定を保存できます。
注:Cisco Catalyst CenterがAAA設定を管理しないサイトの管理対象デバイスについては、管理対象デバイスが外部AAAサーバを使用して手動で設定されているかどうか、または管理対象デバイスがローカルのクレデンシャルのみを使用しているため、影響を受ける管理対象デバイスでパスワードが設定されている場合は、Cisco Catalyst Centerは外部AAAサーバでパスワードが更新されたかどうかについては認識しません。