이 문서에서는 Nexus 사용자가 Cisco Secure ACS(Access Control Server)를 RADIUS 서버로 사용하는 경우에만 제한된 명령을 입력할 수 있도록 Nexus 사용자에게 제한된 액세스를 제공하는 방법에 대해 설명합니다. 예를 들어, 사용자가 권한 또는 컨피그레이션 모드에 로그인하고 인터페이스 명령만 입력할 수 있도록 하려는 경우가 있습니다. 이를 위해 사용되는 RADIUS 서버에서 사용자에 대한 사용자 지정 역할을 생성해야 합니다.
RADIUS 서버(이 예에서는 ACS)와 Nexus는 서로 연결하여 인증을 수행할 수 있어야 합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
interface 명령에 대한 읽기/쓰기 액세스만 제공하는 역할을 만들려면 다음을 입력합니다.
switch(config)# role name Limited-Access
switch(config-role)# rule 1 permit read-write feature interface
추가 허용 액세스 규칙은 다음 구문으로 정의됩니다.
switch(config-role)# rule 1 permit read-write feature snmp
switch(config-role)# rule 2 permit read-write feature snmp
TargetParamsEntry
switch(config-role)# rule 3 permit read-write feature snmp
TargetAddrEntry
Switch(config)#username admin privilege 15 password 0 cisco123!
switch# conf terminal
switch(config)# Radius-server host 10.10.1.1 key cisco123
authenticationaccounting
switch(config)# aaa group server radius RadServer
switch(config-radius)#server 10.10.1.1
switch(config-radius)# use-vrf Management
switch# test aaa server Radius 10.10.1.1 user1 Ur2Gd2BH테스트 인증은 아직 구성되지 않았으므로 서버에서 거부됨으로 인해 실패합니다. 그러나 서버에 연결할 수 있음을 확인합니다.
Switch(config)#aaa authentication login default group RadserverRADIUS 서버를 사용할 수 없는 경우 Nexus가 자체적으로 로컬에 폴백하므로 여기서 로컬 폴백 방법을 걱정하지 않아도 됩니다.
Switch(config)#aaa accounting default group Radserver
Switch(config)#aaa authentication login error-enable
구성이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.
정의된 역할과 구성된 액세스 규칙을 표시하려면 Nexus에서 show role 명령을 입력합니다.
switch# show role (Displays all the roles and includes
custom roles that you have created and their permissions.)
Role: network-admin
Description: Predefined network admin role has access to all
commands on the switch.
-------------------------------------------------------------------
Rule Perm Type Scope Entity
----------------------------------------------------------------
1 permit read-write
Role:Limited_Access
Description: Predefined Limited_Access role has access to these commands.
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit read-write feature Interface
ACS에 구성된 사용자 이름과 비밀번호를 사용하여 Nexus에 로그인합니다. 로그인 후 테스트 사용자에게 Limited_Access 역할이 있는지 확인하려면 show user-account 명령을 입력합니다.
switch# show user-account
user:admin
this user account has no expiry date
roles:network-admin
user:Test
this user account has no expiry date
roles:Limited_Access
사용자 액세스 역할이 확인되면 컨피그레이션 모드로 전환하고 인터페이스 명령이 아닌 다른 명령을 입력하려고 시도합니다. 사용자에게 액세스가 거부되어야 합니다.
아웃풋 인터프리터 툴(등록 고객 전용)은 특정 show 명령을 지원합니다. show 명령 출력의 분석을 보려면 아웃풋 인터프리터 툴을 사용합니다.
이 섹션에서는 스위치 컨피그레이션의 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
스위치에서 역할 할당을 위한 다음 단계를 완료합니다.
아웃풋 인터프리터 툴(등록 고객 전용)은 특정 show 명령을 지원합니다. show 명령 출력의 분석을 보려면 아웃풋 인터프리터 툴을 사용합니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
11-Jul-2013 |
최초 릴리스 |