简介
本文档介绍交换矩阵和非交换矩阵网络场景下有线和无线设备的Cisco Catalyst Center(以前称为Cisco DNA Center)凭证更改过程的步骤。
背景信息
本文档也适用于具有动态网络访问控制(Cisco Catalyst Center)托管或非托管身份验证、授权和记帐(AAA)的站点。
简要说明
本文档讨论网络需要更新Cisco Catalyst Center用于自动化的凭证的情况。 受管设备由Cisco Catalyst Center使用用户名和密码发现,Cisco Catalyst Center使用这些相同的凭证与受管设备进行SSH连接(用于自动化/资产收集等)。本文档介绍在Cisco Catalyst Center发现受管设备后更改其密码的最佳实践。
解决方案(最佳实践)
要求
- 适用于具有Cisco Catalyst Center托管AAA的站点
- 要求更改用户的密码(不更改使能密码)。
- 要求更改用户的密码和使能密码。
- 对于具有Cisco Catalyst Center非托管AAA的站点
- 要求更改用户的密码(不更改使能密码)。
- 要求更改用户的密码和使能密码。
前提条件
- 确保未在Cisco Catalyst Center中为所有非SDA站点配置AAA。
- 使用Python脚本验证所有Catalyst 9k交换机(SDA或非SDA)是否使用RADIUS到ISE进行SSH登录到VTY线路。修复使用本地凭据的所有设备。
- 对于扩展节点
- 要更新线路vty 0到4,请使用这些配置命令(这可能是扩展节点的第一步)。
line vty 0 4
authorization exec VTY_author
login authentication VTY_authen
从Cisco Catalyst Center更改凭证的过程
具有Cisco Catalyst Center托管AAA的站点
要求更改用户的密码(不更改使能密码)
- 首先更新ISE中的凭证(相关用户名的密码)。这将导致资产收集失败,且受管设备资产状态将更改为“无法访问”、“部分收集失败”或“错误凭证”。
- 在Provision > Inventory页面上,选择一个或多个设备并选择Actions > Inventory > Edit Device > Credentials选项卡。接下来,使用新的用户名和/或密码(保留相同的启用密码)更新“添加设备特定凭证”。此时,Cisco Catalyst Center将能够使用更新的凭证登录设备,设备资产状态将返回到Managed。
- 设备的本地凭证可以更新为回退,以确保Cisco Catalyst Center能够在外部AAA服务器无法访问时登录到设备。本地凭证可以使用Cisco Catalyst Center的模板编辑器、自定义Python脚本或手动进行更新。
- 最后一步是在Global Credentials页面上更新这些相同的凭证。 这样可以确保新发现的设备或已添加的设备使用LAN Automation将使用Design页面>网络设置>设备凭证> CLI凭证>编辑用户名>更新用户的密码而不更改使能密码。
注意:SSH/Telnet登录由外部AAA服务器进行身份验证。 本地设备凭证未更新。
注:在Cisco Catalyst Center的“设计”页面上为站点配置外部AAA服务器时,当您更改/修改“全局凭证”页面上的凭证时,Cisco Catalyst Center不会对受管设备或ISE采取任何操作。
要求更改用户的密码和使能密码
- 首先更新ISE中的凭证(相关用户名的密码)。这将导致资产收集失败,且受管设备资产状态将更改为“无法访问”、“部分收集失败”或“错误凭证”。
- 在Provision > Inventory页面上,选择一个或多个设备并选择Actions > Inventory > Edit Device > Credentials选项卡。接下来,使用新的用户名和/或密码以及启用密码更新“添加设备特定凭证”。此时,Cisco Catalyst Center将能够使用更新的凭证登录设备,设备资产状态将返回到Managed。
- 最后一步是在Global Credentials页面上更新这些相同的凭证。 这样可以确保新发现的设备或已添加的使用LAN自动化的设备使用来自Design页面>网络设置>设备凭证> CLI凭证>编辑用户名>更新用户密码和启用密码的更新凭证。
注意:当外部AAA服务器可访问时,用户名和密码由外部AAA服务器进行身份验证,使能密码由受管设备在本地进行身份验证。
注:在Cisco Catalyst Center的“设计”页面上为站点配置外部AAA服务器时,当您在“全局凭证”页面上更改或修改凭证时,Cisco Catalyst Center不会对设备或ISE采取任何操作。
具有Cisco Catalyst Center非托管AAA的站点
要求更改用户的密码(不更改使能密码)
- 在Global Credentials页面上更新凭据,该页面位于Design > Network Settings > Device Credentials > CLI Credentials > edit the username > update the user's password without change the enable password。
- 在Global Credentials页面上修改凭证后,Cisco Catalyst Center不管理AAA的站点的受管设备可以使用更新的凭证进行重新配置。 Cisco Catalyst Center可以推送临时EEM脚本以验证凭证。 如果登录成功,可以保留配置。
注意:对于Cisco Catalyst Center不管理AAA配置的站点的受管设备,Cisco Catalyst Center并不知道受管设备是否使用外部AAA服务器手动配置,或者受管设备是否仅使用本地凭证,因此,如果在受管设备上配置了密码,请确保在外部AAA服务器上更新密码,然后再继续执行这些步骤。
要求更改用户的密码和使能密码
- 在全局凭证(Global Credentials)页面上更新凭证,其地址为:设计(Design)>网络设置(Network Settings)>设备凭证(Device Credentials)> CLI凭证(CLI Credentials)>编辑用户名(edit username)>更新用户的密码以及启用密码(enable password)。
- 在Global Credentials页面上修改凭证后,Cisco Catalyst Center不管理AAA的站点的受管设备可以使用更新的凭证进行重新配置。 Cisco Catalyst Center可以推送临时EEM脚本以验证凭证。 如果登录成功,可以保留配置。
注意:对于Cisco Catalyst Center不管理AAA配置的站点的受管设备,Cisco Catalyst Center并不知道受管设备是否使用外部AAA服务器手动配置,或者受管设备是否仅使用本地凭证,因此,如果在受管设备上配置了密码,请确保在外部AAA服务器上更新密码,然后再继续执行这些步骤。