Nexus 컨피그레이션의 RADIUS를 사용하는 ACS 제한 사용자 액세스 예

다운로드 옵션

PDF (558.0 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (190.8 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (190.5 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2013년 7월 11일 (목)

문서 ID:116236

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Nexus 사용자가 Cisco Secure ACS(Access Control Server)를 RADIUS 서버로 사용하는 경우에만 제한된 명령을 입력할 수 있도록 Nexus 사용자에게 제한된 액세스를 제공하는 방법에 대해 설명합니다. 예를 들어, 사용자가 권한 또는 컨피그레이션 모드에 로그인하고 인터페이스 명령만 입력할 수 있도록 하려는 경우가 있습니다. 이를 위해 사용되는 RADIUS 서버에서 사용자에 대한 사용자 지정 역할을 생성해야 합니다.

사전 요구 사항

요구 사항

RADIUS 서버(이 예에서는 ACS)와 Nexus는 서로 연결하여 인증을 수행할 수 있어야 합니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

ACS 버전 5.x
Nexus 7000 스위치

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

Nexus에서 사용자 지정 역할 컨피그레이션

interface 명령에 대한 읽기/쓰기 액세스만 제공하는 역할을 만들려면 다음을 입력합니다.

switch(config)# role name Limited-Access
switch(config-role)# rule 1 permit read-write feature interface

추가 허용 액세스 규칙은 다음 구문으로 정의됩니다.

switch(config-role)# rule 1 permit read-write feature snmp
switch(config-role)# rule 2 permit read-write feature snmp
TargetParamsEntry
switch(config-role)# rule 3 permit read-write feature snmp
TargetAddrEntry

인증 및 권한 부여를 위해 Nexus 구성

스위치에서 대체(fallback)에 대한 전체 권한을 가진 로컬 사용자를 생성하려면 다음과 같이 username 명령을 입력합니다.
```
Switch(config)#username admin privilege 15 password 0 cisco123!
```

RADIUS 서버(ACS)의 IP 주소를 제공하려면 다음을 입력합니다.

switch# conf terminal
switch(config)# Radius-server host 10.10.1.1 key cisco123
authenticationaccounting
switch(config)# aaa group server radius RadServer
switch(config-radius)#server 10.10.1.1
switch(config-radius)# use-vrf Management

참고: 키는 이 Nexus 디바이스에 대해 RADIUS 서버에 구성된 공유 암호와 일치해야 합니다.

RADIUS 서버 가용성을 테스트하려면 test aaa 명령을 입력합니다.
```
switch# test aaa server Radius 10.10.1.1 user1 Ur2Gd2BH
```
테스트 인증은 아직 구성되지 않았으므로 서버에서 거부됨으로 인해 실패합니다. 그러나 서버에 연결할 수 있음을 확인합니다.
로그인 인증을 구성하려면 다음을 입력합니다.
```
Switch(config)#aaa authentication login default group Radserver
Switch(config)#aaa accounting default group Radserver
Switch(config)#aaa authentication login error-enable
```
RADIUS 서버를 사용할 수 없는 경우 Nexus가 자체적으로 로컬에 폴백하므로 여기서 로컬 폴백 방법을 걱정하지 않아도 됩니다.

ACS 컨피그레이션

권한 부여 프로파일을 생성하려면 Policy Elements(정책 요소) > Authentication and Permissions(인증 및 권한) > Network Access(네트워크 액세스) > Authorization Profile(권한 부여 프로파일)로 이동합니다.
프로필의 이름을 입력합니다.
Custom Attributes(사용자 지정 특성) 탭에서 다음 값을 입력합니다.
- 사전 유형: Radius-Cisco
- 특성: cisco-av-pair
- 요구 사항: 필수
- 값: shell:roles=Limited_Access
Nexus 스위치에 대한 특성 기반 역할을 생성하기 위해 변경 사항을 제출합니다.
올바른 액세스 정책에서 새 권한 부여 규칙을 생성하거나 현재 규칙을 수정합니다. RADIUS 요청은 기본적으로 네트워크 액세스 정책에 의해 처리됩니다.
Conditions(조건) 영역에서 적절한 조건을 선택합니다. Results(결과) 영역에서 Limited_Access 프로필을 선택합니다.
OK(확인)를 클릭합니다.

다음을 확인합니다.

구성이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

Nexus 역할 확인

정의된 역할과 구성된 액세스 규칙을 표시하려면 Nexus에서 show role 명령을 입력합니다.

switch# show role  (Displays all the roles and includes
custom roles that you have created and their permissions.)

Role: network-admin

  Description: Predefined network admin role has access to all
  commands on the switch.
  -------------------------------------------------------------------
   Rule    Perm    Type        Scope               Entity
  ----------------------------------------------------------------
    1       permit  read-write

Role:Limited_Access
  Description: Predefined Limited_Access role has access to these commands.
  -------------------------------------------------------------------
  Rule    Perm    Type        Scope               Entity
  -------------------------------------------------------------------
  1       permit  read-write  feature             Interface

Nexus 사용자 역할 할당 확인

ACS에 구성된 사용자 이름과 비밀번호를 사용하여 Nexus에 로그인합니다. 로그인 후 테스트 사용자에게 Limited_Access 역할이 있는지 확인하려면 show user-account 명령을 입력합니다.

switch# show user-account
        user:admin
        this user account has no expiry date
        roles:network-admin

user:Test
      this user account has no expiry date
      roles:Limited_Access

사용자 액세스 역할이 확인되면 컨피그레이션 모드로 전환하고 인터페이스 명령이 아닌 다른 명령을 입력하려고 시도합니다. 사용자에게 액세스가 거부되어야 합니다.

아웃풋 인터프리터 툴(등록 고객 전용)은 특정 show 명령을 지원합니다. show 명령 출력의 분석을 보려면 아웃풋 인터프리터 툴을 사용합니다.

show role - 역할 정의 및 구성된 액세스 규칙을 표시합니다.
show user-account - 사용자 계정 세부 정보를 표시하고 역할 할당을 포함합니다.

문제 해결

이 섹션에서는 스위치 컨피그레이션의 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

스위치에서 역할 할당을 위한 다음 단계를 완료합니다.

show running-config aaa 및 show aaa authentication 명령을 사용하여 인증에 사용할 AAA 그룹을 확인합니다.
RADIUS의 경우 VRF(Virtual Routing and Forwarding) 연결을 show aaa authentication 및 show running-config radius 명령으로 확인합니다.
이러한 명령에서 연결이 올바른지 확인할 경우 추적 로깅을 활성화하려면 debug radius all 명령을 입력합니다.
ACS에서 올바른 특성을 푸시하는지 확인합니다.