このドキュメントでは、Nexus 4000 シリーズ スイッチに Terminal Access Controller Access Control System(TACACS+)を設定する方法を説明します。 Nexus 4000 シリーズでの TACACS+ 認証は、Cisco Catalyst スイッチの場合と少し異なります。
次の項目に関する知識があることが推奨されます。 Cisco Nexus 7000 シリーズ NX-OS Fundamentals コマンド。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
Cisco Nexus 4005I スイッチ
Cisco Secure Access Control Server(ACS)5.x
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
この項の設定例では、1 台の Nexus 4005I スイッチと 1 台の TACACS+ サーバを設定する方法を説明します。
Nexus スイッチおよび TACACS+ サーバを設定するには、次の手順を実行します。
TACACS+ プロトコル機能を有効にします。
ACS サーバの IP アドレスに事前共有キーが設定されている必要があります。 ACS サーバが複数存在する場合は、両方のホストを設定する必要があります。
AAA の概念および AAA サーバ グループを有効にします。
この設定例では、AAA グループの名前は「ACS」です。
ASA |
---|
!--- Enable TACACS+ on the device.feature tacacs+ tacacs-server host 10.0.0.1 key 7 Ciscotacacs-server host 10.0.0.2 key 7 Ciscotacacs-server directed-request!--- Provide the name of your ACS server.aaa group server tacacs+ ACS!--- Mention the IP address of the tacacs-servers !--- referred to in the "tacacs-server host" command.server 10.0.0.1 server 10.0.0.2!--- Telnet and ssh sessions.aaa authentication login default group ACS local !--- Console sessions.aaa authentication login console group ACS local !--- Accounting command.aaa accounting default group ACS |
注: ACS サーバでは、Nexus 4000 シリーズと ACS サーバの間の認証に同じ事前共有キー「Cisco」を使用してください。
注: TACACS+ サーバが停止している場合は、ユーザ名およびパスワードをスイッチに設定することにより、ローカル認証にフォールバックできます。
Nexus オペレーティング システムでは、特権レベルという概念の代わりにロールという概念を使用します。 デフォルトでは、network-operator ロールが割り当てられます。 ユーザにフル権限を付与するには、ユーザに network-admin ロールを割り当てる必要があり、ユーザがログインするときに属性を割り当てるように TACACS サーバを設定する必要があります。 TACACS+ の場合は、元の値 roles="roleA" の TACACS カスタム属性を渡します。 完全なアクセス権を持つユーザについては、次の設定を使用します。 cisco-av-pair*shell: roles= "ネットワーク Admin」
cisco-av-pair*shell:roles="network-admin"(The * makes it optional)
shell:roles="network-admin"
TACACS+ サーバの設定を確認するには、この項のコマンドを使用します。
tacacs サーバを示して下さいか。TACACS+ サーバコンフィギュレーションを表示します。
show aaa authentication [login {error-enable | mschap}]か。設定された認証情報を表示する。
Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。