Nexus와 ACS 5.2 통합 컨피그레이션 예

소개

이 문서에서는 Nexus 스위치에 대한 TACACS+ 인증 컨피그레이션의 예를 제공합니다. 기본적으로 ACS(Access Control Server)를 통해 인증하기 위해 Nexus 스위치를 구성하는 경우 읽기 전용 액세스를 제공하는 network-operator/vdc-operator 역할에 자동으로 배치됩니다. network-admin/vdc-admin 역할에 배치하려면 ACS 5.2에서 셸을 생성해야 합니다. 이 문서에서는 해당 프로세스에 대해 설명합니다.

사전 요구 사항

요구 사항

이 컨피그레이션을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

• Nexus 스위치를 ACS에서 클라이언트로 정의합니다.

• ACS 및 Nexus에서 IP 주소와 동일한 공유 비밀 키를 정의합니다.

참고: 변경하기 전에 Nexus에서 체크포인트 또는 백업을 생성합니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• ACS 5.2

• Nexus 5000, 5.2(1)N1(1)

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 이 섹션에 사용된 명령에 대한 자세한 내용을 보려면 명령 조회 도구(등록된 고객만 해당)를 사용하십시오.

ACS 5.2 컨피그레이션을 사용한 인증 및 권한 부여용 Nexus 디바이스

다음 단계를 완료하십시오.

1. Nexus 스위치에서 폴백에 대한 전체 권한이 있는 로컬 사용자를 생성합니다.

   username admin privilege 15 password 0 cisco123!
   

2. TACACS+를 활성화한 다음 TACACS+ 서버(ACS)의 IP 주소를 제공합니다.

   feature tacacs+
   

   tacacs-server host IP-ADDRESS key KEY
   
   

   tacacs-server key KEY
   
   

   tacacs-server directed-request
   

   aaa group server tacacs+ ACS
   

   server IP-ADDRESS
   
   

   use-vrf management
   

   source-interface mgmt0
   

   참고: 키는 이 Nexus 디바이스에 대해 ACS에 구성된 공유 암호와 일치해야 합니다.

3. TACACS 서버 가용성을 테스트합니다.

   test aaa group group-name username password  

   서버가 구성되지 않았으므로 테스트 인증은 서버의 거부 메시지와 함께 실패해야 합니다. 이 거부 메시지는 TACACS+ 서버가 연결 가능함을 확인합니다.

4. 로그인 인증을 구성 합니다.

   aaa authentication login default group ACS
   

   aaa authentication login console group ACS
   

   aaa accounting default group ACS
   

   aaa authentication login error-enable
   

   aaa authorization commands default local
   

   aaa authorization config-commands default local
   

   참고: 인증 서버에 연결할 수 없는 경우 Nexus는 로컬 인증을 사용합니다.

ACS 5.x 컨피그레이션

다음 단계를 완료하십시오.

1. 셸 프로파일을 생성하려면 Policy Elements(정책 요소) > Authentication and Permissions(인증 및 권한) > Device Administration(디바이스 관리) > Shell Profiles(셸 프로파일)로 이동합니다.

   

2. 프로필의 이름을 입력합니다.

3. Custom Attributes(사용자 지정 특성) 탭에서 다음 값을 입력합니다.

   특성: cisco-av-pair

   요구 사항: 필수

   값: shell:roles*"network-admin vdc-admin"

   

4. Nexus 스위치에 대한 특성 기반 역할을 생성하기 위해 변경 사항을 제출합니다.

5. 올바른 액세스 정책에서 새 권한 부여 규칙을 생성하거나 기존 규칙을 수정합니다. 기본적으로 TACACS+ 요청은 기본 디바이스 관리 액세스 정책에 의해 처리됩니다.

6. Conditions(조건) 영역에서 적절한 조건을 선택합니다. Results(결과) 영역에서 Nexus OS 셸 프로필을 선택합니다.

   

7. OK(확인)를 클릭합니다.

다음을 확인합니다.

설정이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

OIT(Output Interpreter Tool)(등록된 고객만 해당)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력 분석을 볼 수 있습니다.

• show tacacs+ - TACACS+ 통계를 표시합니다.

• show running-config tacacs+ - 실행 중인 컨피그레이션의 TACACS+ 컨피그레이션을 표시합니다.

• show startup-config tacacs+ - 시작 컨피그레이션의 TACACS+ 컨피그레이션을 표시합니다.

• show tacacs-server - 구성된 모든 TACACS+ 서버 매개변수를 표시합니다.

관련 정보

• 기술 지원 및 문서 − Cisco Systems