이 문서에서는 Nexus 스위치에서 TACACS+ 인증 컨피그레이션의 예를 제공합니다.기본적으로 ACS(Access Control Server)를 통해 인증하기 위해 Nexus 스위치를 구성하는 경우, 읽기 전용 액세스를 제공하는 network-operator/vdc-operator 역할에 자동으로 배치됩니다.network-admin/vdc-admin 역할에 배치하려면 ACS 5.2에 셸을 생성해야 합니다. 이 문서에서는 해당 프로세스에 대해 설명합니다.
이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.
ACS에서 Nexus 스위치를 클라이언트로 정의합니다.
ACS 및 Nexus에서 IP 주소 및 동일한 공유 비밀 키를 정의합니다.
참고: 변경하기 전에 Nexus에서 체크포인트 또는 백업을 생성합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
ACS 5.2
Nexus 5000, 5.2(1)N1(1)
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.
이 섹션에서는 이 문서에 설명된 기능을 구성하는 정보를 제공합니다.
참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.
다음 단계를 완료하십시오.
대체(fallback)를 위한 전체 권한을 가진 Nexus 스위치에 로컬 사용자를 생성합니다.
username admin privilege 15 password 0 cisco123!
TACACS+를 활성화한 다음 TACACS+ 서버(ACS)의 IP 주소를 제공합니다.
feature tacacs+
tacacs-server host IP-ADDRESS key KEY
tacacs-server key KEY
tacacs-server directed-request
aaa group server tacacs+ ACS
server IP-ADDRESS
use-vrf management
source-interface mgmt0
참고: 키는 이 Nexus 디바이스에 대해 ACS에 구성된 공유 암호와 일치해야 합니다.
TACACS 서버 가용성을 테스트합니다.
test aaa group group-name username password
서버가 구성되지 않았으므로 테스트 인증이 서버의 거부 메시지와 함께 실패해야 합니다.이 거부 메시지는 TACACS+ 서버에 연결할 수 있음을 확인합니다.
로그인 인증을 구성합니다.
aaa authentication login default group ACS
aaa authentication login console group ACS
aaa accounting default group ACS
aaa authentication login error-enable
aaa authorization commands default local
aaa authorization config-commands default local
참고: 인증 서버에 연결할 수 없는 경우 Nexus는 로컬 인증을 사용합니다.
다음 단계를 완료하십시오.
셸 프로필을 생성하려면 Policy Elements(정책 요소) > Authentication and Permissions(인증 및 권한) > Device Administration(디바이스 관리) > Shell Profiles(셸 프로파일)로 이동합니다.
프로파일 이름을 입력합니다.
Custom Attributes(맞춤형 특성) 탭에서 다음 값을 입력합니다.
특성:cisco av 쌍
요구 사항:필수
가치:셸:역할*"network-admin vdc-admin"
Nexus 스위치에 대한 특성 기반 역할을 생성하려면 변경 사항을 제출합니다.
올바른 액세스 정책에서 새 권한 부여 규칙을 생성하거나 기존 규칙을 수정합니다.기본적으로 TACACS+ 요청은 기본 디바이스 관리자 액세스 정책에 의해 처리됩니다.
Conditions(조건) 영역에서 적절한 조건을 선택합니다.Results(결과) 영역에서 Nexus OS 셸 프로필을 선택합니다.
확인을 클릭합니다.
이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.
Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다.OIT를 사용하여 show 명령 출력의 분석을 봅니다.
show tacacs+—TACACS+ 통계를 표시합니다.
show running-config tacacs+—실행 중인 컨피그레이션의 TACACS+ 컨피그레이션을 표시합니다.
show startup-config tacacs+ - 시작 컨피그레이션의 TACACS+ 컨피그레이션을 표시합니다.
show tacacs-server—구성된 모든 TACACS+ 서버 매개변수를 표시합니다.