Einleitung
In diesem Dokument wird beschrieben, wie Sie eine benutzerdefinierte Nexus-Rolle für TACACS über die CLI auf NK9 konfigurieren.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- TACACS+
- ISE 3.2
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Die Cisco Nexus 9000 NXOS-Image-Datei lautet: bootflash:///nxos.9.3.5.bin
- Identity Service Engine Version 3.2
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Lizenzanforderungen:
Cisco NX-OS - TACACS+ erfordert keine Lizenz.
Cisco Identity Service Engine - Für neue ISE-Installationen verfügen Sie über eine 90-tägige Testlizenz mit Zugriff auf alle ISE-Funktionen. Wenn Sie keine Testlizenz besitzen, benötigen Sie für die Verwendung der ISE TACACS-Funktion eine Device Admin-Lizenz für den Policy Server Node, der die Authentifizierung übernimmt.
Nachdem sich die Admin-/Helpdesk-Benutzer auf dem Nexus-Gerät authentifiziert haben, gibt die ISE die gewünschte Nexus Shell-Rolle zurück.
Der Benutzer mit dieser Rolle kann eine grundlegende Fehlerbehebung durchführen und bestimmte Ports zurückweisen.
Die TACACS-Sitzung, die die Nexus-Rolle übernimmt, muss nur die folgenden Befehle und Aktionen verwenden und ausführen können:
- Zugriff auf das konfigurierte Terminal, um NUR herunterzufahren und keine heruntergefahrenen Schnittstellen vom 1/1-1/21 und 1/25-1/30 auszuführen
- SSH
- SSH6
- telnet
- Telnet6
- Routenverfolgung
- Routenverfolgung6
- Ping
- Ping 6:
- Aktivieren
Konfigurieren
Netzwerkdiagramm
Diagramm der Datenflusskomponenten
Schritt 1: Konfigurieren von Nexus 9000
1. AAA-Konfiguration
Warnung: Nach der Aktivierung der TACACS-Authentifizierung verwendet das Nexus-Gerät keine lokale Authentifizierung mehr und verwendet stattdessen die auf AAA-Servern basierende Authentifizierung.
Nexus9000(config)# feature tacacs+
Nexus9000(config)# tacacs-server host <Your ISE IP> key 0 Nexus3xample
Nexus9000(config)# tacacs-server key 0 "Nexus3xample"
Nexus9000(config)# aaa group server tacacs+ IsePsnServers
Nexus9000(config-tacacs+)# server <Your ISE IP>
Nexus9000(config)# aaa authentication login default group IsePsnServers local
2. Konfigurieren Sie die benutzerdefinierte Rolle mit den angegebenen Anforderungen.
Nexus9000(config)# role name helpdesk
Nexus9000(config-role)# description Can perform basic Toubleshooting and bounce certain ports
Nexus9000(config-role)# rule 1 permit read
Nexus9000(config-role)# rule 2 permit command enable *
Nexus9000(config-role)# rule 3 permit command ssh *
Nexus9000(config-role)# rule 4 permit command ssh6 *
Nexus9000(config-role)# rule 5 permit command ping *
Nexus9000(config-role)# rule 6 permit command ping6 *
Nexus9000(config-role)# rule 7 permit command telnet *
Nexus9000(config-role)# rule 8 permit command traceroute *
Nexus9000(config-role)# rule 9 permit command traceroute6 *
Nexus9000(config-role)# rule 10 permit command telnet6 *
Nexus9000(config-role)# rule 11 permit command config t ; interface * ; shutdown
Nexus9000(config-role)# rule 12 permit command config t ; interface * ; no shutdownvlan policy deny
interface policy denyNexus9000(config-role-interface)# permit interface Ethernet1/1
Nexus9000(config-role-interface)# permit interface Ethernet1/2
Nexus9000(config-role-interface)# permit interface Ethernet1/3
Nexus9000(config-role-interface)# permit interface Ethernet1/4
Nexus9000(config-role-interface)# permit interface Ethernet1/5
Nexus9000(config-role-interface)# permit interface Ethernet1/6
Nexus9000(config-role-interface)# permit interface Ethernet1/7
Nexus9000(config-role-interface)# permit interface Ethernet1/8
Nexus9000(config-role-interface)# permit interface Ethernet1/8
Nexus9000(config-role-interface)# permit interface Ethernet1/9
Nexus9000(config-role-interface)# permit interface Ethernet1/10
Nexus9000(config-role-interface)# permit interface Ethernet1/11
Nexus9000(config-role-interface)# permit interface Ethernet1/12
Nexus9000(config-role-interface)# permit interface Ethernet1/13
Nexus9000(config-role-interface)# permit interface Ethernet1/14
Nexus9000(config-role-interface)# permit interface Ethernet1/15
Nexus9000(config-role-interface)# permit interface Ethernet1/16
Nexus9000(config-role-interface)# permit interface Ethernet1/17
Nexus9000(config-role-interface)# permit interface Ethernet1/18
Nexus9000(config-role-interface)# permit interface Ethernet1/19
Nexus9000(config-role-interface)# permit interface Ethernet1/20
Nexus9000(config-role-interface)# permit interface Ethernet1/21
Nexus9000(config-role-interface)# permit interface Ethernet1/22
Nexus9000(config-role-interface)# permit interface Ethernet1/25
Nexus9000(config-role-interface)# permit interface Ethernet1/26
Nexus9000(config-role-interface)# permit interface Ethernet1/27
Nexus9000(config-role-interface)# permit interface Ethernet1/28
Nexus9000(config-role-interface)# permit interface Ethernet1/29
Nexus9000(config-role-interface)# permit interface Ethernet1/30Nexus9000# copy running-config startup-config
[########################################] 100%
Copy complete, now saving to disk (please wait)...Copy complete.
Schritt2: Identity Service Engine 3.2 konfigurieren
1. Konfigurieren Sie die Identität, die während der Nexus TACACS-Sitzung verwendet wird.
Die lokale ISE-Authentifizierung wird verwendet.
Navigieren Sie zur Registerkarte Administration > Identity Management > Groups (Verwaltung > Identitätsverwaltung > Gruppen), und erstellen Sie die Gruppe, der der Benutzer angehören muss. Die für diese Demonstration erstellte Identitätsgruppe lautet iseUsers (iseUsers).
Erstellen einer Benutzergruppe
Klicken Sie auf die Schaltfläche "Senden".
Navigieren Sie anschließend zu Administration > Identity Management > Identity (Verwaltung > Identität).
Drücken Sie auf die Schaltfläche Hinzufügen.
Erstellung von Benutzern
Beginnen Sie in den Pflichtfeldern mit dem Namen des Benutzers. In diesem Beispiel wird der Benutzername iseiscool verwendet.
Benennen des Benutzers und Erstellen desselben
Der nächste Schritt besteht darin, dem erstellten Benutzernamen ein Kennwort zuzuweisen. VainillaISE97 ist das in dieser Demonstration verwendete Kennwort.
Kennwortzuweisung
Weisen Sie schließlich den Benutzer der zuvor erstellten Gruppe zu, in diesem Fall iseUsers (iseUsers).
Gruppenzuweisung
2. Konfigurieren und Hinzufügen des Netzwerkgeräts
Fügen Sie das NEXUS 9000-Gerät der ISE-Administration > Network Resources > Network Devices hinzu.
Klicken Sie auf die Schaltfläche Hinzufügen, um zu starten.
Seite "Network Access Device"
Geben Sie die Werte in das Formular ein, weisen Sie dem von Ihnen erstellten NAD einen Namen und eine IP-Adresse zu, über die der NAD die ISE für die TACACS-Konversation kontaktiert.
Netzwerkgerät konfigurieren
Die Dropdown-Optionen können leer gelassen und weggelassen werden. Mit diesen Optionen können Sie Ihre NADs nach Standort, Gerätetyp und Version kategorisieren und dann den Authentifizierungsfluss auf Basis dieser Filter ändern.
Wählen Sie Administration > Network Resources > Network Devices > Your NAD > TACACS Authentication Settings.
Fügen Sie den gemeinsamen geheimen Schlüssel hinzu, den Sie in der NAD-Konfiguration für diese Demonstration verwendet haben. In dieser Demonstration wird Nexus3xample verwendet.
"; $head.append(linkElement); } if (cdc.eot.isToc && ! linkItemsLen ) { addNewTocStyleSheet(); } else if(cdc.eot.isEot) { var linkItemsLen=jQuery("#eot-doc-wrapper link[rel='stylesheet']").length; jQuery("#eot-doc-wrapper link[rel='stylesheet']").each(function(){ var linkTag=jQuery(this); var hrefVal=jQuery(linkTag).attr("href"); if(hrefVal!=undefined && hrefVal.indexOf("support-responsive.css")==-1 && hrefVal.indexOf("_responsive.css")==-1){ var fileName=hrefVal.substr(hrefVal.lastIndexOf("/")+1,hrefVal.length).split(".css")[0]; var filePath="/etc/designs/cdc/transformation/"; if(fileName=="ccimr"){ fileName="techdocs_responsive"; }else if(fileName=="support-docs"){ fileName="support-responsive"; }else if(fileName=="framework"){ fileName="responsiveframework"; }else if(fileName=="dcmt"){ fileName="wemdcmt_responsive"; }else if(fileName=="techdocs_85_11_word"){ fileName="techdocs_85_11_word"; if (cdc.eot.isToc) { addNewTocStyleSheet(); } }else{ fileName+="_responsive"; } jQuery(linkTag).attr("href",filePath+fileName+".css"); } if(hrefVal.indexOf("support-responsive.css")>-1){ jQuery(linkTag).attr("href","/etc/designs/cdc/transformation/support-responsive.css"); } }); jQuery("#eot-doc-wrapper > table").wrap("
"); //jQuery("#eot-doc-wrapper table").parent().attr("style","overflow-x:auto !important"); jQuery("#eot-doc-wrapper table:not('.olh_note')").parent().css({overflowX:"auto"});// commented above line coz its overriding existing inline styles } });