与ACS 5.2配置示例的连结集成
简介
本文在连结交换机提供TACACS+认证配置示例。默认情况下,如果配置连结交换机为了通过访问控制服务器(ACS)验证,您在网络操作员/VDC操作员角色自动地安置,提供只读访问。为了将安置在网络Admin/VDC Admin角色,您需要创建在ACS 5.2的一shell。本文描述该进程。
先决条件
要求
尝试进行此配置之前,请确保满足以下要求:
-
定义您的连结交换机作为ACS的一个客户端。
-
定义IP地址和相同的共享密钥在ACS和连结。
注意: 在您做所有变动前,请创建一个检查点或一个备份在连结。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
ACS 5.2
-
连结5000, 5.2(1)N1(1)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
配置
本部分提供有关如何配置本文档所述功能的信息。
注意: 使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息。
认证和授权的连结设备与ACS 5.2配置
完成这些步骤:
-
创建连结交换机的一个本地用户有fallback的全双工权限:
username admin privilege 15 password 0 cisco123!
-
启用TACACS+,然后提供TACACS+服务器(ACS)的IP地址:
feature tacacs+
tacacs-server host IP-ADDRESS key KEY
tacacs-server key KEYtacacs-server directed-request
aaa group server tacacs+ ACS
server IP-ADDRESSuse-vrf management
source-interface mgmt0
注意: 密钥必须匹配在此连结设备的ACS配置的共享机密。
-
测试TACACS服务器可用性:
test aaa group group-name username password
因为服务器未配置,测验验证应该失效与从服务器的拒绝消息。此拒绝消息确认TACACS+服务器可及的。
-
配置登录认证:
aaa authentication login default group ACS
aaa authentication login console group ACS
aaa accounting default group ACS
aaa authentication login error-enable
aaa authorization commands default local
aaa authorization config-commands default local
注意: 连结用途本地认证,如果认证服务器是不可得到的。
ACS 5.x配置
完成这些步骤:
-
导航到策略元素>验证和权限>设备Administration > Shell配置文件为了创建Shell配置文件。
-
输入一名称对于配置文件。
-
在自定义属性下请选中,输入这些值:
属性:cisco-av-pair
需求:必须
值:shell :roles* "网络Admin VDC Admin”
-
提交更改为了创建连结交换机的一个基于属性的角色。
-
创建一个新的授权规则或者编辑一个现有规则,在正确访问策略。默认情况下, TACACS+请求由默认设备Admin访问策略处理。
-
在情况地区中,请选择适当的条件。在成果区域中,请选择连结OS shell配置文件。
-
单击 Ok。
验证
使用本部分可确认配置能否正常运行。
命令输出解释程序(仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。
-
显示TACACS+ —显示TACACS+统计信息。
-
show running-config TACACS+ —显示在运行的配置的TACACS+配置。
-
show startup-config tacacs+ —在启动配置里显示TACACS+配置。
-
显示tacacs-server —显示所有已配置的TACACS+服务器参数。
反馈