계정이 있습니까?

  •   맞춤형 콘텐츠
  •   제품 및 지원

계정이 필요하십니까?

계정 만들기

ACS Limited User Access with RADIUS on Nexus 컨피그레이션 예

다운로드 옵션

  • PDF     (399.9 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (192.7 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (192.6 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2013년 7월 11일 (목)
문서 ID:116236
번역에 관하여

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Nexus 사용자에게 제한된 액세스를 제공하여 Cisco ACS(Secure Access Control Server)를 RADIUS 서버로 사용하는 제한적 명령만 입력할 수 있도록 하는 방법에 대해 설명합니다.예를 들어, 사용자가 권한 또는 컨피그레이션 모드에 로그인할 수 있고 인터페이스 명령만 입력할 수 있도록 할 수 있습니다.이를 위해서는 RADIUS 서버에서 사용되는 사용자에 대한 사용자 지정 역할을 생성해야 합니다.

사전 요구 사항

요구 사항

RADIUS 서버(이 예에서는 ACS)와 Nexus는 서로 연결하고 인증을 수행할 수 있어야 합니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • ACS 버전 5.x
  • Nexus 7000 스위치

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

Nexus에서 사용자 지정 역할 구성

interface 명령에 대한 읽기/쓰기 액세스만 제공하는 역할을 생성하려면 다음을 입력합니다.

switch(config)# role name Limited-Access
switch(config-role)# rule 1 permit read-write feature interface

추가 허용 액세스 규칙은 다음 구문으로 정의됩니다.

switch(config-role)# rule 1 permit read-write feature snmp
switch(config-role)# rule 2 permit read-write feature snmp
TargetParamsEntry
switch(config-role)# rule 3 permit read-write feature snmp
TargetAddrEntry

인증 및 권한 부여를 위한 Nexus 구성

  1. 대체(fallback)에 대한 전체 권한을 가진 스위치에 로컬 사용자를 생성하려면 username 명령을 입력합니다.
    Switch(config)#username admin privilege 15 password 0 cisco123!
  2. RADIUS 서버(ACS)의 IP 주소를 제공하려면 다음을 입력합니다.
    switch# conf terminal
    switch(config)# Radius-server host 10.10.1.1 key cisco123
    authenticationaccounting
    switch(config)# aaa group server radius RadServer
    switch(config-radius)#server 10.10.1.1
    switch(config-radius)# use-vrf Management

    참고:키는 이 Nexus 디바이스에 대해 RADIUS 서버에 구성된 공유 암호와 일치해야 합니다.

  3. RADIUS 서버 가용성을 테스트하려면 test aaa 명령을 입력합니다. 
    switch# test aaa server Radius 10.10.1.1 user1 Ur2Gd2BH
    테스트 인증은 아직 구성되지 않았으므로 서버에서 거부로 실패해야 합니다.그러나 서버에 연결할 수 있음을 확인합니다.
  4. 로그인 인증을 구성하려면 다음을 입력합니다.
    Switch(config)#aaa authentication login default group Radserver
    Switch(config)#aaa accounting default group Radserver
    Switch(config)#aaa authentication login error-enable
    RADIUS 서버를 사용할 수 없는 경우 Nexus가 자체 로컬 시스템으로 폴백되므로 여기서 로컬 폴백 방법에 대해 걱정할 필요가 없습니다.

ACS 구성

  1. Policy Elements(정책 요소) > Authentication and Permissions(인증 및 권한) > Network Access(네트워크 액세스) > Authorization Profile(권한 부여 프로파일)로 이동하여 권한 부여 프로파일을 생성합니다.

  2. 프로파일 이름을 입력합니다.
  3. Custom Attributes(사용자 지정 특성) 탭에서 다음 값을 입력합니다.
    • 사전 유형:Radius-Cisco
    • 특성:cisco av 쌍
    • 요구 사항:필수
    • 가치:셸:roles=Limited_Access

  4. Nexus 스위치에 대한 특성 기반 역할을 생성하려면 변경 사항을 제출합니다.

  5. 새 권한 부여 규칙을 생성하거나 올바른 액세스 정책에서 현재 규칙을 수정합니다.RADIUS 요청은 기본적으로 네트워크 액세스 정책에 의해 처리됩니다.
  6. Conditions(조건) 영역에서 적절한 조건을 선택합니다.Results(결과) 영역에서 Limited_Access 프로파일을 선택합니다.


  7. 확인 클릭합니다.

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

Nexus 역할 확인

정의된 역할 및 구성된 액세스 규칙을 표시하려면 Nexus에서 show role 명령을 입력합니다.

switch# show role  (Displays all the roles and includes
custom roles that you have created and their permissions.)

Role: network-admin

  Description: Predefined network admin role has access to all
  commands on the switch.
  -------------------------------------------------------------------
   Rule    Perm    Type        Scope               Entity
  ----------------------------------------------------------------
    1       permit  read-write

Role:Limited_Access
  Description: Predefined Limited_Access role has access to these commands.
  -------------------------------------------------------------------
  Rule    Perm    Type        Scope               Entity
  -------------------------------------------------------------------
  1       permit  read-write  feature             Interface

Nexus 사용자 역할 할당 확인

ACS에 구성된 사용자 이름 및 비밀번호로 Nexus에 로그인합니다.로그인 후 테스트 사용자가 Limited_Access 역할을 가지고 있는지 확인하려면 show user-account 명령을 입력합니다.

switch# show user-account
        user:admin
        this user account has no expiry date
        roles:network-admin

user:Test
      this user account has no expiry date
      roles:Limited_Access


사용자 액세스 역할이 확인되면 컨피그레이션 모드로 전환하고 interface 명령 이외의 명령을 입력하려고 시도합니다.사용자는 액세스가 거부되어야 합니다.

Output Interpreter 도구(등록된 고객만 해당)는 특정 show 명령 지원합니다.show 명령 출력의 분석을 보려면 [출력 인터프리터 도구]를 사용합니다.

  • show role - 역할 정의 및 구성된 액세스 규칙을 표시합니다.
  • show user-account - 사용자 계정 세부 정보를 표시하고 역할 할당을 포함합니다.

문제 해결

이 섹션에서는 스위치 컨피그레이션을 트러블슈팅하는 데 사용할 수 있는 정보를 제공합니다.

역할 할당을 위해 스위치에서 다음 단계를 완료합니다.

  1. show running-config aaa와 show aaa authentication 명령을 사용하여 인증에 사용할 AAA 그룹을 확인합니다.
  2. RADIUS의 경우 show aaa authentication과 함께 AAA 그룹과의 VRF(Virtual Routing and Forwarding) 연결을 확인하고 show running-config radius 명령 표시합니다.
  3. 이러한 명령이 연결이 올바른지 확인할 경우 debug radius all 명령을 입력하여 추적 로깅을 활성화합니다.
  4. 올바른 특성이 ACS에서 푸시되고 있는지 확인합니다.

Output Interpreter 도구(등록된 고객만 해당)는 특정 show 명령 지원합니다.show 명령 출력의 분석을 보려면 [출력 인터프리터 도구]를 사용합니다.

참고:debug 명령을 사용하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.

  • show running-config aaa-
  • show aaa authentication-
  • show running-config radius
  • 디버그 radius 모두
TAC Authored

Cisco 엔지니어가 작성

  • Minakshi Kumar
    Cisco TAC Engineer.

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품

시스코 소개
문의하기
시스코와 협력하기