이 문서에서는 Nexus 스위치에 대한 TACACS+ 인증 컨피그레이션의 예를 제공합니다. 기본적으로 ACS(Access Control Server)를 통해 인증하기 위해 Nexus 스위치를 구성하는 경우 읽기 전용 액세스를 제공하는 network-operator/vdc-operator 역할에 자동으로 배치됩니다. network-admin/vdc-admin 역할에 배치하려면 ACS 5.2에서 셸을 생성해야 합니다. 이 문서에서는 해당 프로세스에 대해 설명합니다.
이 컨피그레이션을 시도하기 전에 다음 요구 사항을 충족해야 합니다.
Nexus 스위치를 ACS에서 클라이언트로 정의합니다.
ACS 및 Nexus에서 IP 주소와 동일한 공유 비밀 키를 정의합니다.
참고: 변경하기 전에 Nexus에서 체크포인트 또는 백업을 생성합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
ACS 5.2
Nexus 5000, 5.2(1)N1(1)
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.
참고: 이 섹션에 사용된 명령에 대한 자세한 내용을 보려면 명령 조회 도구(등록된 고객만 해당)를 사용하십시오.
다음 단계를 완료하십시오.
Nexus 스위치에서 폴백에 대한 전체 권한이 있는 로컬 사용자를 생성합니다.
username admin privilege 15 password 0 cisco123!
TACACS+를 활성화한 다음 TACACS+ 서버(ACS)의 IP 주소를 제공합니다.
feature tacacs+
tacacs-server host IP-ADDRESS key KEY
tacacs-server key KEY
tacacs-server directed-request
aaa group server tacacs+ ACS
server IP-ADDRESS
use-vrf management
source-interface mgmt0
참고: 키는 이 Nexus 디바이스에 대해 ACS에 구성된 공유 암호와 일치해야 합니다.
TACACS 서버 가용성을 테스트합니다.
test aaa group group-name username password
서버가 구성되지 않았으므로 테스트 인증은 서버의 거부 메시지와 함께 실패해야 합니다. 이 거부 메시지는 TACACS+ 서버가 연결 가능함을 확인합니다.
로그인 인증을 구성 합니다.
aaa authentication login default group ACS
aaa authentication login console group ACS
aaa accounting default group ACS
aaa authentication login error-enable
aaa authorization commands default local
aaa authorization config-commands default local
참고: 인증 서버에 연결할 수 없는 경우 Nexus는 로컬 인증을 사용합니다.
다음 단계를 완료하십시오.
셸 프로파일을 생성하려면 Policy Elements(정책 요소) > Authentication and Permissions(인증 및 권한) > Device Administration(디바이스 관리) > Shell Profiles(셸 프로파일)로 이동합니다.
프로필의 이름을 입력합니다.
Custom Attributes(사용자 지정 특성) 탭에서 다음 값을 입력합니다.
특성: cisco-av-pair
요구 사항: 필수
값: shell:roles*"network-admin vdc-admin"
Nexus 스위치에 대한 특성 기반 역할을 생성하기 위해 변경 사항을 제출합니다.
올바른 액세스 정책에서 새 권한 부여 규칙을 생성하거나 기존 규칙을 수정합니다. 기본적으로 TACACS+ 요청은 기본 디바이스 관리 액세스 정책에 의해 처리됩니다.
Conditions(조건) 영역에서 적절한 조건을 선택합니다. Results(결과) 영역에서 Nexus OS 셸 프로필을 선택합니다.
OK(확인)를 클릭합니다.
설정이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.
OIT(Output Interpreter Tool)(등록된 고객만 해당)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력 분석을 볼 수 있습니다.
show tacacs+ - TACACS+ 통계를 표시합니다.
show running-config tacacs+ - 실행 중인 컨피그레이션의 TACACS+ 컨피그레이션을 표시합니다.
show startup-config tacacs+ - 시작 컨피그레이션의 TACACS+ 컨피그레이션을 표시합니다.
show tacacs-server - 구성된 모든 TACACS+ 서버 매개변수를 표시합니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
22-Jan-2013 |
최초 릴리스 |