ACS 5.2와의 Nexus 통합 구성 예

소개

이 문서에서는 Nexus 스위치에서 TACACS+ 인증 컨피그레이션의 예를 제공합니다.기본적으로 ACS(Access Control Server)를 통해 인증하기 위해 Nexus 스위치를 구성하는 경우, 읽기 전용 액세스를 제공하는 network-operator/vdc-operator 역할에 자동으로 배치됩니다.network-admin/vdc-admin 역할에 배치하려면 ACS 5.2에 셸을 생성해야 합니다. 이 문서에서는 해당 프로세스에 대해 설명합니다.

사전 요구 사항

요구 사항

이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

• ACS에서 Nexus 스위치를 클라이언트로 정의합니다.

• ACS 및 Nexus에서 IP 주소 및 동일한 공유 비밀 키를 정의합니다.

참고: 변경하기 전에 Nexus에서 체크포인트 또는 백업을 생성합니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• ACS 5.2

• Nexus 5000, 5.2(1)N1(1)

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

구성

이 섹션에서는 이 문서에 설명된 기능을 구성하는 정보를 제공합니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.

ACS 5.2 구성을 통한 인증 및 권한 부여용 Nexus 디바이스

다음 단계를 완료하십시오.

1. 대체(fallback)를 위한 전체 권한을 가진 Nexus 스위치에 로컬 사용자를 생성합니다.

   username admin privilege 15 password 0 cisco123!
   

2. TACACS+를 활성화한 다음 TACACS+ 서버(ACS)의 IP 주소를 제공합니다.

   feature tacacs+
   

   tacacs-server host IP-ADDRESS key KEY
   
   

   tacacs-server key KEY
   
   

   tacacs-server directed-request
   

   aaa group server tacacs+ ACS
   

   server IP-ADDRESS
   
   

   use-vrf management
   

   source-interface mgmt0
   

   참고: 키는 이 Nexus 디바이스에 대해 ACS에 구성된 공유 암호와 일치해야 합니다.

3. TACACS 서버 가용성을 테스트합니다.

   test aaa group group-name username password  

   서버가 구성되지 않았으므로 테스트 인증이 서버의 거부 메시지와 함께 실패해야 합니다.이 거부 메시지는 TACACS+ 서버에 연결할 수 있음을 확인합니다.

4. 로그인 인증을 구성합니다.

   aaa authentication login default group ACS
   

   aaa authentication login console group ACS
   

   aaa accounting default group ACS
   

   aaa authentication login error-enable
   

   aaa authorization commands default local
   

   aaa authorization config-commands default local
   

   참고: 인증 서버에 연결할 수 없는 경우 Nexus는 로컬 인증을 사용합니다.

ACS 5.x 구성

다음 단계를 완료하십시오.

1. 셸 프로필을 생성하려면 Policy Elements(정책 요소) > Authentication and Permissions(인증 및 권한) > Device Administration(디바이스 관리) > Shell Profiles(셸 프로파일)로 이동합니다.

   

2. 프로파일 이름을 입력합니다.

3. Custom Attributes(맞춤형 특성) 탭에서 다음 값을 입력합니다.

   특성:cisco av 쌍

   요구 사항:필수

   가치:셸:역할*"network-admin vdc-admin"

   

4. Nexus 스위치에 대한 특성 기반 역할을 생성하려면 변경 사항을 제출합니다.

5. 올바른 액세스 정책에서 새 권한 부여 규칙을 생성하거나 기존 규칙을 수정합니다.기본적으로 TACACS+ 요청은 기본 디바이스 관리자 액세스 정책에 의해 처리됩니다.

6. Conditions(조건) 영역에서 적절한 조건을 선택합니다.Results(결과) 영역에서 Nexus OS 셸 프로필을 선택합니다.

   

7. 확인을 클릭합니다.

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다.OIT를 사용하여 show 명령 출력의 분석을 봅니다.

• show tacacs+—TACACS+ 통계를 표시합니다.

• show running-config tacacs+—실행 중인 컨피그레이션의 TACACS+ 컨피그레이션을 표시합니다.

• show startup-config tacacs+ - 시작 컨피그레이션의 TACACS+ 컨피그레이션을 표시합니다.

• show tacacs-server—구성된 모든 TACACS+ 서버 매개변수를 표시합니다.

관련 정보

• 기술 지원 및 문서 − Cisco Systems