Introduction
Este documento descreve como limitar um usuário a acessar os switches Nexus 5500, Nexus 5600 e Nexus 6000 usando RBAC (Role Base Access Control).
O RBAC permite definir as regras de uma função de usuário atribuída para restringir a autorização de um usuário que tenha acesso às operações de gerenciamento do switch.
Você pode criar e gerenciar uma conta de usuário e atribuir funções que limitam o acesso aos switches Nexus 5500, Nexus 5600 e Nexus 6000.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Comandos de configuração CLI dos switches Nexus 5500, Nexus 5600 e Nexus 6000
- Cisco Fabric Services (CFS).
Componentes Utilizados
As informações neste documento são baseadas nos switches Nexus 5500, Nexus 5600 e Nexus 6000 que executam o NXOS 5.2(1)N1(9) 7.3(1)N1(1).
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Requisitos do usuário
Estes são alguns requisitos do usuário que precisam ser atendidos:
- Somente usuários com função de administrador de rede podem criar funções.
- Somente usuários com função de administrador de rede podem exibir a saída de show role.
- Mesmo que os usuários tenham permissão para executar todos os comandos show, eles não têm permissão para exibir a saída show role, a menos que esses usuários recebam uma função network-admin.
- Uma conta de usuário deve ter pelo menos uma função de usuário.
Funções de usuário
Cada função pode ser atribuída a vários usuários e cada usuário pode fazer parte de várias funções.
Por exemplo, os usuários da função A podem emitir comandos show e os usuários da função B podem fazer alterações na configuração.
Se um usuário estiver atribuído à função A e à função B, ele poderá emitir o comando show e fazer alterações na configuração.
O comando Permit access tem prioridade sobre o comando deny access.
Por exemplo, se você pertencer a uma função que nega o acesso aos comandos de configuração.
No entanto, se você também pertencer a uma função que tenha acesso aos comandos de configuração, terá acesso aos comandos de configuração.
Há cinco funções de usuário padrão:
- network-admin - Acesso completo de leitura e gravação ao switch inteiro.
- operador de rede - acesso de leitura completo ao switch inteiro.
- vdc-admin - Acesso de leitura e gravação limitado a um VDC
- vdc-operator - Acesso de leitura limitado a um VDC
- san-admin - Acesso completo de leitura e gravação aos administradores de SAN.
Nota:Não é possível modificar/excluir funções de usuário padrão.
Note: O comando show role exibirá a função disponível no switch
Regras de função de usuário
A regra é o elemento básico de uma função.
Uma regra define quais operações a função permite que o usuário execute.
Você pode aplicar regras para estes parâmetros:
- Comando- Um comando ou grupo de comandos definido em uma expressão regular.
- Recurso - Comandos que se aplicam a uma função fornecida pelo software NX-OS.
- Grupo de recursos- Grupo de recursos padrão ou definido pelo usuário.
Esses parâmetros criam uma relação hierárquica. O parâmetro de controle mais básico é o comando.
O próximo parâmetro de controle é o recurso, que representa todos os comandos associados ao recurso.
O último parâmetro de controle é o grupo de recursos. O grupo de recursos combina recursos relacionados e permite que você gerencie regras facilmente.
O número de regra especificado pelo usuário determina a ordem na qual as regras são aplicadas.
As regras são aplicadas em ordem decrescente.
Por exemplo, a regra 1 é aplicada antes da regra 2, que é aplicada antes da regra 3, e assim por diante.
O comando rule especifica operações que podem ser executadas por uma função específica. Cada regra consiste em um número de regra, um tipo de regra (permitir ou negar),
um tipo de comando (por exemplo, configuração, show, exec, debug) e um nome de recurso opcional (por exemplo, FCOE, HSRP, VTP, interface).
Distribuição da função de usuário
As configurações baseadas em funções usam a infraestrutura do Cisco Fabric Services (CFS) para permitir o gerenciamento eficiente do banco de dados e para fornecer um único ponto de configuração na rede.
Quando você habilita a distribuição de CFS para um recurso em seu dispositivo, o dispositivo pertence a uma região de CFS que contém outros dispositivos na rede que você também habilitou para a distribuição de CFS para o recurso. A distribuição CFS para o recurso de função de usuário está desabilitada por padrão.
Você deve habilitar o CFS para funções de usuário em cada dispositivo para o qual deseja distribuir alterações de configuração.
Depois de habilitar a distribuição CFS para funções de usuário no switch, o primeiro comando de configuração de função de usuário inserido faz com que o software NX-OS do switch execute estas ações:
- Cria uma sessão CFS no switch.
- Bloqueia a configuração da função de usuário em todos os switches na região CFS com CFS ativado para o recurso de função de usuário.
- Salva as alterações de configuração da função de usuário em um buffer temporário no switch.
As alterações permanecem no buffer temporário no switch até que você as confirme explicitamente para serem distribuídas aos dispositivos na região CFS.
Ao confirmar as alterações, o software NX-OS executa estas ações:
- Aplica as alterações à configuração em execução no switch.
- Distribui a configuração atualizada da função de usuário para os outros switches na região CFS.
- Desbloqueia a configuração da função de usuário nos dispositivos na região CFS.
- Termina a sessão do CFS.
Essas configurações são distribuídas:
- Nomes e descrições das funções
- Lista de regras para as funções
Comandos configuration e show
|
Comando |
Propósito |
Etapa 1. |
configure terminal Exemplo: switch# configure terminal switch(config)# |
Entra no modo de configuração global. |
Etapa 2. |
nome da função nome da função Exemplo: switch(config)# nome da função Usuário A switch(config-role)# |
Especifica uma função de usuário e entra no modo de configuração de função. |
Etapa 3. |
vlan policy deny Exemplo: switch(config-role)# vlan policy deny switch(config-role-vlan)# |
Entra no modo de configuração de política de vlan de função. |
Etapa 4. |
permit vlan vlan-id Exemplo: switch(config-role-vlan)# permit vlan 1 |
Especifica a vlan que a função pode acessar. Repita esse comando para quantas vlans forem necessárias. |
Etapa 5. |
sair Exemplo: switch(config-role-vlan)# exit switch(config-role)# |
Sai do modo de configuração de política de vlan de função. |
Etapa 6. |
show role Exemplo: switch(config-role)# show role |
(Opcional) Exibe a configuração da função. |
Passo 7. |
show role {pending | pending-diff} Exemplo: switch(config-role)# show role pending |
(Opcional) Exibe a configuração da função de usuário pendente para distribuição |
Etapa 8. |
confirmação de função Exemplo: switch(config-role)# atribuição |
(Opcional) Aplica as alterações da configuração da função de usuário no banco de dados temporário à configuração em execução e distribui a configuração da função de usuário para outros switches se você tiver ativado a distribuição da configuração do CFS para o recurso de função de usuário. |
Etapa 9. |
copy running-config startup-config Exemplo: switch# copy running-config startup-config |
(Opcional) Copia a configuração atual para a configuração de inicialização. |
Estas etapas permitem a distribuição da configuração da função:
|
Comando |
Propósito |
Etapa 1. |
switch# config t switch(config)# |
Entra no modo de configuração. |
Etapa 2. |
switch(config)# função distribute |
Ativa a distribuição da configuração de funções. |
switch(config)#nenhuma distribuição de função |
Desativa a distribuição da configuração da função (padrão). |
Estas etapas confirmam alterações na configuração da função:
|
Comando |
Propósito |
Passo 1 |
Nexus# config t Nexus(config)# |
Entra no modo de configuração. |
Passo 2 |
Nexus(config)# confirmação de função |
Confirma as alterações na configuração da função. |
Estas etapas descartam as alterações de configuração de função:
|
Comando |
Propósito |
Passo 1 |
Nexus# config t Nexus(config)# |
Entra no modo de configuração. |
Passo 2 |
Nexus(config)# cancelamento de função |
Descarta as alterações de configuração da função e limpa o banco de dados de configuração pendente. |
Para exibir informações de configuração de RBAC e conta de usuário, execute uma destas tarefas:
Comando |
Propósito |
show role |
Exibe a configuração da função de usuário. |
show role feature |
Exibe a lista de recursos. |
show role feature-group |
Exibe a configuração do grupo de recursos. |
Limpe a sessão de distribuição da função de usuário
Você pode limpar a sessão de distribuição contínua do Cisco Fabric Services (se houver) e desbloquear a estrutura do recurso de função do usuário.
Caution: Qualquer alteração no banco de dados pendente será perdida quando você emitir esse comando.
|
Comando |
Propósito |
Passo 1 |
switch# clear role session Exemplo: switch#clear role session |
Limpa a sessão e desbloqueia a estrutura. |
Passo 2 |
show role session status Exemplo: switch#show role session status |
(Opcional) Exibe o status da sessão da função de usuário CFS. |
Exemplo de configuração
Neste exemplo, vamos criar um TAC de conta de usuário com a seguinte permissão de acesso:
- Acesso ao comando clear
- Acesso ao comando de configuração
- Acesso ao comando debug
- Acesso ao comando exec
- Acesso ao comando show
- Acesso somente à vlan 1-10
C5548P-1# config t
Enter configuration commands, one per line. End with CNTL/Z
C5548P-1(config)# role name Cisco
C5548P-1(config-role)# rule 1 permit command clear
C5548P-1(config-role)# rule 2 permit command config
C5548P-1(config-role)# rule 3 permit command debug
C5548P-1(config-role)# rule 4 permit command exec
C5548P-1(config-role)# rule 5 permit command show
C5548P-1(config-role)# vlan policy deny
C5548P-1(config-role-vlan)# permit vlan 1-10
C5548P-1(config-role-vlan)# end
C5548P-1# show role name Cisco
Role: Cisco
Description: new role
vsan policy: permit (default)
Vlan policy: deny
Permitted vlans: 1-10
Interface policy: permit (default)
Vrf policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
5 permit command show
4 permit command exec
3 permit command debug
2 permit command config
1 permit command clear
C5548P-1#
C5548P-1# config t
Enter configuration commands, one per line. End with CNTL/Z.
C5548P-1(config)# username TAC password Cisco123 role Cisco
C5548P-1(config)# show user-account TAC
user:TAC
this user account has no expiry date
roles:Cisco
Requisitos de licenciamento
Produto |
Requisito de licença |
NX-OS |
As contas de usuário e o RBAC não exigem licença. |
Verificar
No momento, não há procedimento de verificação disponível para esta configuração.
Troubleshoot
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.