ACS 5.2 との Nexus 統合の設定例

ダウンロード オプション

  • PDF     (467.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (201.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (199.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2013 年 3 月 15 日
Document ID:115925

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Nexus スイッチでの TACACS+ 認証の設定例について説明します。デフォルトでは、Access Control Server (ACS)で認証する Nexus スイッチを設定すると、読み取り専用アクセスが許可される network-operator または vdc-operator ロールが自動的に付与されます。network-admin または vdc-admin ロールを取得するには、ACS 5.2 でシェルを作成する必要があります。このドキュメントでは、この作成プロセスを説明します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • ACS で、Nexus スイッチをクライアントとして定義します。

  • ACS と Nexus 上で、IP アドレスおよび同一の共有秘密キーを定義します。

注:変更を行う前に、Nexusでチェックポイントまたはバックアップを作成します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • ACS 5.2

  • Nexus 5000, 5.2(1)N1(1)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。

ACS 5.2 認証の Nexus デバイスの設定

次のステップを実行します。

  1. Nexus スイッチで、フォールバックのすべての権限を持つローカル ユーザを作成します。

    username admin privilege 15 password 0 cisco123!

  2. TACACS+ を有効にし、TACACS+ サーバ(ACS)の IP アドレスを提供します。

    feature tacacs+

    tacacs-server host IP-ADDRESS key KEY


    tacacs-server key KEY


    tacacs-server directed-request

    aaa group server tacacs+ ACS

    server IP-ADDRESS


    use-vrf management

    source-interface mgmt0

    注:キーは、このNexusデバイス用にACSで設定された共有秘密と一致する必要があります。

  3. TACACS サーバの可用性をテストします。

    test aaa group group-name username password

    サーバは設定されていないため、テスト認証は失敗し、サーバから拒否のメッセージが送出されなければなりません。この拒否メッセージにより、TACACS+ サーバに到達可能であることが確認できます。

  4. ログイン認証を設定します。 

    aaa authentication login default group ACS

    aaa authentication login console group ACS

    aaa accounting default group ACS

    aaa authentication login error-enable

    aaa authorization commands default local

    aaa authorization config-commands default local

    注:認証サーバに到達できない場合、Nexusはローカル認証を使用します。

ACS 5.xの設定

次のステップを実行します。

  1. シェルプロファイルを作成するため、[Policy Elements] > [Authentication and Permissions] > [Device Administration] > [Shell Profiles] を開きます。

    nexus-integration-acs-01.jpg

  2. プロファイル名を入力します

  3. [Custom Attributes] タブで、次の値を入力してください:

    属性:cisco-av-pair

    要件:必須

    値:shell:roles*"network-admin vdc-admin"

    nexus-integration-acs-02.jpg

  4. Nexusスイッチの属性ベースのロールを作成するには、変更を送信します。

  5. 新しい許可ルールを作成するか、または適切なアクセス ポリシーの既存のルールを編集します。デフォルトでは、TACACS+ 要求は Default Device Admin のアクセス ポリシーによって処理されます。

  6. [Conditions] 領域で、適切な状態を選択します。[Results] 領域で、Nexus OS のシェル プロファイルを選択します。

    nexus-integration-acs-03.jpg

  7. [OK] をクリックします。

確認

このセクションでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して show コマンド出力の解析を表示します。

関連情報

更新履歴

改定 発行日 コメント
1.0
22-Jan-2013
初版
TAC Authored

シスコ エンジニア提供

  • Minakshi Kumar
    Cisco TAC Engineer.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています