TACACS+-verificatiedomein configureren in UCS Manager met ISE Server

Inleiding

In dit document wordt de configuratie beschreven van de verificatie Terminal Access Controller Access-Control System Plus (TACACS+) op Unified Compute System Manager (UCSM). TACACS+ is een netwerkprotocol dat wordt gebruikt voor authenticatie-, autorisatie- en verantwoordingsdiensten (AAA) , het biedt een gecentraliseerde methode om Network Access Devices (NAD) te beheren waar u regels kunt beheren en maken via een server, in dit gebruiksscenario gebruiken we Identity Services Engine (ISE). 

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco UCS Manager (UCSM)
• Terminal Access Controller Access Control System Plus (TACACS+)
• Identity Services Engine (ISE)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• UCSM 4.2 (3d)
• Cisco Identity Services Engine (ISE) versie 3.2

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configuratie

TACACS+-configuratie op ISE

Opzetten van TACACS+ op ISE

Stap 1. De eerste taak is om te controleren of de ISE de juiste mogelijkheden heeft om TACACS+-verificaties te verwerken, zodat u moet controleren of u in de gewenste Policy Service Node (PSN) de functie voor Device Admin Service hebt, bladert u door het menu Beheer > Systeem > Implementatie, selecteert u de node waar de ISE TACACS+ uitvoert en selecteert u de knop bewerken.

Stap 2. Scroll naar beneden totdat u de bijbehorende functie ziet met de naam Apparaatbeheerservice (merk op dat u voor deze functie eerst Policy Server-persona op de node moet hebben ingeschakeld en bovendien licenties voor TACACS+ beschikbaar moet hebben in uw implementatie), selecteer dat selectievakje en sla de configuratie op:

Stap 3. Configureer het Network Access Device (NAD) dat de ISE als TACACS+ gebruikt als server, navigeer naar het menu Beheer > Netwerkbronnen > Netwerkapparaten en selecteer vervolgens de knop +Toevoegen.

Stap 4. Configureer in deze sectie:

• Een naam voor de UCSM om de TACACS+-client te zijn.
• De IP-adressen die de UCSM gebruikt om verzoeken naar ISE te sturen.
• TACACS+ Shared Secret, dit is het wachtwoord dat moet worden gebruikt om de pakketten tussen de UCSM en ISE te coderen 

Opmerking: voeg voor een clusterconfiguratie de IP-adressen van de beheerpoort toe voor beide verbindingen. Deze configuratie zorgt ervoor dat externe gebruikers kunnen blijven inloggen als de eerste verbindingsverbinding mislukt en het systeem niet overschakelt naar de tweede verbindingsverbinding. Alle aanmeldingsverzoeken zijn afkomstig van deze IP-adressen, niet van het virtuele IP-adres dat wordt gebruikt door Cisco UCS Manager.

Configureer de attributen en regels op ISE

Stap 1. Maak een TACACS+ profiel, ga naar het menu Work Centers > Device Administration > Policy Elements > Results > TACACS Profiles, en selecteer Add

Stap 2. In deze sectie configureert u het profiel met een naam en in de sectie Aangepaste kenmerken selecteert u Toevoegen, vervolgens maakt u een kenmerk van kenmerk VERPLICHT, noemt u het cisco-av-pair en selecteert u in de waarde een van de rollen die beschikbaar zijn binnen de UCSM en voert u in dat als een shell-rol, in dit voorbeeld gebruikt u de rol admin en de geselecteerde invoer moet shell:roles="admin" zijn zoals hier wordt weergegeven, 

Als u in hetzelfde menu de onbewerkte weergave voor het TACACS-profiel selecteert, kunt u de corresponderende configuratie van het kenmerk dat via ISE moet worden verzonden, controleren. 

Opmerking: De naam cisco-av-pair is de tekenreeks die de attribuut-ID voor de TACACS+-provider biedt.

Stap 3. Selecteer op het vinkje en sla uw configuratie op.

Stap 4. Maak een Device Admin Policy Set die voor uw UCSM kan worden gebruikt, navigeer in het menu Work Centers > Device Administration > Device Admin Policy Sets, selecteer vervolgens vanuit een bestaande beleidsset het tandwielpictogram om vervolgens nieuwe rij invoegen te selecteren

Stap 5. Noem deze nieuwe beleidsset, voeg voorwaarden toe afhankelijk van de kenmerken van de TACACS+-verificaties die op de UCSM-server worden uitgevoerd en selecteer als Toegestane protocollen > Standaardapparaatbeheer, sla uw configuratie op.

Stap 6. Selecteer in de optie > weergave en selecteer in de sectie Authenticatiebeleid de externe identiteitsbron van waaruit de ISE de gebruikersnaam en referenties opvraagt die in de UCSM worden ingevoerd, in dit voorbeeld komen de referenties overeen met interne gebruikers die zijn opgeslagen in ISE.

Stap 7. Scroll omlaag tot de sectie Autorisatiebeleid tot het standaardbeleid, selecteer het tandwielpictogram en plaats vervolgens één regel.

Stap 8. Geef de nieuwe autorisatieregel een naam, voeg voorwaarden toe met betrekking tot de gebruiker die al zijn geverifieerd als groepslidmaatschap en voeg in de sectie Shell-profielen het TACACS-profiel toe dat u eerder hebt geconfigureerd, sla de configuratie op.

TACACS+-configuratie op UCSM

Meld u aan Cisco UCS Managerbij de GUI met een gebruiker met beheerdersbevoegdheden.

Rollen voor gebruikers maken

Stap 1. Selecteer in het navigatiedeelvenster het tabblad Beheer.
Stap 2. Vouw op het tabblad Beheer > Alles > Gebruikersbeheer > Gebruikersservices > Rollen uit.

Stap 3. Selecteer inWorkhet deelvensterGeneralhet tabblad.

Stap 4. Selecteer Toevoegen voor aangepaste rollen. Dit voorbeeld gebruikt standaard rollen.

Stap 5. Controleer of de naam van de rol overeenkomt met de naam die eerder is geconfigureerd in het TACACS-profiel.

Een TACACS+-provider maken

Stap 1. Selecteer in het navigatiedeelvenster het tabblad Beheer.
Stap 2. Vouw op het tabblad Beheer Alles > Gebruikersbeheer > TACACS+ uit.

Stap 3. Selecteer het tabblad inWorkhetGeneral deelvenster.

Stap 4. Selecteer inActionshet gebiedCreate TACACS+ Provider.

 

Stap 5. Voer inCreate TACACS+ Providerde wizard de juiste informatie in.

• Typ in het veld Hostname het IP-adres of de hostnaam van TACACS+ Server.
• In het veld Bestelling, de volgorde waarin Cisco UCS deze provider gebruikt om gebruikers te verifiëren.

  Voer een geheel getal in tussen 1 en 16 of voer laagst beschikbare of 0 (nul) in als u wilt dat Cisco UCS de volgende beschikbare volgorde toewijst op basis van de andere providers die in deze Cisco UCS-instantie zijn gedefinieerd.

• In het veld Sleutel staat de SSL-coderingssleutel voor de database.

• In het veld Sleutel bevestigen wordt de SSL-coderingssleutel herhaald voor bevestigingsdoeleinden.
• In het veld Port, De poort waardoor Cisco UCS communiceren met de TACACS+ database (Port 49 standaard poort).

• In het veld Time-out: De tijdsduur in seconden die het systeem besteedt aan het zoeken naar contact met de TACACS+-database voordat de time-out optreedt.

 Stap 6. Selecteer OK.

Opmerking: Als u een hostnaam gebruikt in plaats van een IP-adres, moet u een DNS-server configureren in Cisco UCS Manager.

Een TACAC+-providergroep maken

Stap 1.Selecteer inNavigationhet deelvenster het Admin tabblad.

Stap 2. OpAdminde tab, breid All > User Management > TACACS+uit.

Stap 3. Selecteer inWorkhet deelvenster het General tabblad.

Stap 4. InActionshet gebied Create TACACS+ Providerselecteert u Groep.

Stap 5. Voer in het dialoogvenster TACACS+-providergroep maken de gevraagde informatie in.

• Voer in het veld Naam een unieke naam voor de groep in.
• In de tabel TACACS+ Providers kiest u de providers die u wilt opnemen in de groep.
• Selecteer de knop >> om de providers toe te voegen aan de tabel Inclusieve providers.

Stap 6. Selecteer OK.

Een verificatiedomein maken

Stap 5. Voer in het dialoogvenster Domein maken de gevraagde informatie in.

• Voer in het veld Naam een unieke naam voor het domein in.
• In het Realm, selecteer de Tacacs optie.
• Selecteer in de vervolgkeuzelijst Provider Group de eerder gemaakte TACACS+-providergroep en selecteer OK

Problemen oplossen

Gemeenschappelijke TACACS+-kwesties inzake UCSM

• Verkeerde sleutel of ongeldige tekens.
• Onjuiste poort.
• Geen communicatie met onze provider vanwege een firewall of proxy-regel.
• FSM is niet 100%.

Verifieer de UCSM TACACS+ configuratie:

U moet ervoor zorgen dat de UCSM de configuratie heeft geïmplementeerd en de status van de Finite State Machine (FSM) wordt weergegeven als 100% voltooid.

Controleer de configuratie vanaf de opdrachtregel van de UCSM

UCS-A# scope security 
UCS-A /security # scope tacacs 
UCS-A /security/tacacs # show configuration

UCS-A /security/tacacs # show fsm status

Controleer de Tacacs-configuratie vanuit het NXOS:

UCS-A# connect nxos 
UCS-A(nx-os)# show tacacs-server 
UCS-A(nx-os)# show tacacs-server groups

Om de verificatie van NX-OS te testen, gebruikt utest aaade opdracht (alleen beschikbaar vanaf NXOS).

De configuratie van onze server valideren:

UCS-A(nx-os)# test aaa server tacacs+  <TACACS+-server-IP-address or FQDN> <username> <password>

UCSM-beoordeling

Verificatie van bereikbaarheid

UCS-A# connect local-mgmt
UCS-A(local-mgmt)# ping <TACACS+-server-IP-address or FQDN>

Havenverificatie

UCS-A# connect local-mgmt
UCS-A(local-mgmt)# telnet <TACACS+-server-IP-address or FQDN> <Port>

De meest effectieve methode om fouten te zien is om het NXOS-debug in te schakelen, met deze uitvoer kunt u de groepen, de verbinding en de foutmelding zien die miscommunicatie veroorzaakt.

•  Open een SSH-sessie naar UCSM en log in met elke geprivilegieerde gebruiker met beheerdersrechten (bij voorkeur een lokale gebruiker), wijzig de NX-OS CLI-context en start de terminalmonitor.

UCS-A# connect nxos
UCS-A(nx-os)# terminal monitor

• Schakel foutopsporingsvlaggen in en controleer de SSH-sessieuitvoer naar het logbestand.

UCS-A(nx-os)# debug aaa all
UCS-A(nx-os)# debug aaa aaa-request
UCS-A(nx-os)# debug tacacs+ aaa-request
UCS-A(nx-os)# debug tacacs+ aaa-request-lowlevel
UCS-A(nx-os)# debug tacacs+ all

•  Open nu een nieuwe GUI- of CLI-sessie en probeer in te loggen als externe gebruiker (TACACS+).
•  Zodra u een foutmelding voor het inloggen hebt ontvangen, schakelt u de foutopsporingen uit die de sessie sluiten of met deze opdracht.

UCS-A(nx-os)# undebug all

Gemeenschappelijke TACAC-kwesties inzake ISE

• Binnen ISE wordt dit gedrag weergegeven wanneer u probeert het tacacs-profiel te configureren in de attributen die nodig zijn voor UCSM om de bijbehorende rollen voor admin of een andere rol toe te wijzen, selecteert u op de knop Opslaan en dit gedrag wordt weergegeven: 

Deze fout is te wijten aan de volgende bug https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwc91917, zorg ervoor dat u hebt waar dit defect is aangepakt. 

ISE-beoordeling 

Stap 1. Controleer of de TACACS+-service actief is. Dit kan worden ingecheckt:

• GUI: Controleer of de node wordt vermeld bij de service DEVICE ADMIN in Beheer > Systeem > Implementatie.
• CLI: Voer de opdracht show ports uit | neem 49 op om te bevestigen dat er verbindingen in de TCP-poort zijn die behoren tot TACACS+

ise32/admin#show ports | include 49
tcp: 169.254.4.1:49, 169.254.2.1:49, 169.254.4.1:49, 10.31.123.57:49

Stap 2. Bevestig of er livelogs zijn met betrekking tot TACACS+-verificatiepogingen: dit kan worden gecontroleerd in het menu Bewerkingen > TACACS > Live-logs, 

Afhankelijk van de reden van de storing kunt u uw configuratie aanpassen of de oorzaak van de storing aanpakken. 

Stap 3. Als u geen livelog ziet, gaat u verder met het vastleggen van pakketten en navigeert u naar het menu Bewerkingen > Problemen oplossen > Diagnostische hulpprogramma's > Algemene hulpprogramma's > TCP-dump, selecteer bij toevoegen

Selecteer de node Policy Service van waaruit de UCSM de verificatie verzendt en ga vervolgens in filters door met het invoeren van ip-host X.X.X.X die overeenkomt met het IP-adres van de UCSM van waaruit de verificatie wordt verzonden, noem de opname en scroll naar beneden om op te slaan, voer de vastlegging uit en log in vanaf de UCSM. 

Stap 4. Schakel de component runtime-AAA in voor foutopsporing binnen de PSN van waaruit de verificatie wordt uitgevoerd in Operations > Troubleshoot > Debug Wizard > Debug log configuratie, selecteer PSN node, selecteer vervolgens volgende in bewerken knop. 

Zoek naar de component runtime-AAA en verander het niveau om te debuggen om vervolgens het probleem opnieuw te reproduceren en ga verder met het analyseren van de logs.  

Opmerking: Raadpleeg voor meer informatie de video in het YouTube-kanaal van Cisco Hoe u debugs inschakelt op ISE 3.x-versies https://www.youtube.com/watch?v=E3USz8B76c8.

Gerelateerde informatie

Beheerdershandleiding Cisco UCS Manager

Cisco UCS CIMC Configuratiegids TACACS+