In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie lokale Benutzerkonten auf Cisco Nexus-Geräten so konfiguriert werden, dass sie RBAC-Rollen (Role-Based Access Control) verwenden, die auf Befehle beschränkt sind, die von Backup-Tools für die Oxidierte oder RANCID-Netzwerkgerätekonfiguration verwendet werden.
Sie müssen auf mindestens ein Benutzerkonto zugreifen können, das andere lokale Benutzerkonten und RBAC-Rollen erstellen kann. In der Regel verfügt dieses Benutzerkonto über die Standard-Rolle "network-admin". Die entsprechende Rolle kann jedoch je nach Netzwerkumgebung und -konfiguration unterschiedlich sein.
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Die Informationen in diesem Dokument behandeln die folgenden Backup-Tools für die Konfiguration von Netzwerkgeräten:
Die Informationen in diesem Dokument wurden von Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Dieser Abschnitt enthält Konfigurationsanweisungen für die Backup-Tools für die Oxidierte und RANCID-Netzwerkgerätekonfiguration.
Hinweis: Wenn Sie ein anderes Sicherungstool für die Konfiguration von Netzwerkgeräten verwenden, verwenden Sie als Beispiele die Oxidationsverfahren und RANCID-Verfahren, und ändern Sie die Anweisungen entsprechend Ihrer Situation.
Wie im NX-OS-Modell von Oxidated zu sehen ist, wird diese Befehlsliste standardmäßig auf jedem Cisco Nexus-Gerät ausgeführt, das NX-OS ausführt:
So konfigurieren Sie ein Benutzerkonto, das nur diese Befehle ausführen darf:
Nexus# configure terminal Nexus(config)# role name oxidized Nexus(config-role)# description Role for Oxidized network device configuration backup tool Nexus(config-role)# rule 1 permit command terminal length 0 Nexus(config-role)# rule 2 permit command show version Nexus(config-role)# rule 3 permit command show inventory Nexus(config-role)# rule 4 permit command show running-config Nexus(config-role)# end Nexus#
Vorsicht: Vergessen Sie nicht, eine Regel hinzuzufügen, die den Befehl Terminal-Länge 0 zulässt, wie im Beispiel oben gezeigt. Wenn dieser Befehl nicht zulässig ist, wird beim Ausführen des Befehls Terminal length 0 eine Fehlermeldung mit der Fehlermeldung "% Permission weigert for the role" angezeigt, wenn das Benutzerkonto oxidiert. Wenn die Ausgabe eines Befehls, der durch Oxidated ausgeführt wird, die standardmäßige Terminallänge von 24 überschreitet, verarbeitet Oxidated nicht ordnungsgemäß die Eingabeaufforderung "- More—" (weiter unten gezeigt) und löst ein Warnsyslog mit der Meldung "Timeout::Error with msg 'Execution abgelaufen" aus, nachdem es Befehle auf dem Gerät ausführt.
Nexus# show version Cisco Nexus Operating System (NX-OS) Software TAC support: http://www.cisco.com/tac Copyright (C) 2002-2019, Cisco and/or its affiliates. All rights reserved. The copyrights to certain works contained in this software are owned by other third parties and used and distributed under their own licenses, such as open source. This software is provided "as is," and unless otherwise stated, there is no warranty, express or implied, including but not limited to warranties of merchantability and fitness for a particular purpose. Certain components of this software are licensed under the GNU General Public License (GPL) version 2.0 or GNU General Public License (GPL) version 3.0 or the GNU Lesser General Public License (LGPL) Version 2.1 or Lesser General Public License (LGPL) Version 2.0. A copy of each such license is available at http://www.opensource.org/licenses/gpl-2.0.php and http://opensource.org/licenses/gpl-3.0.html and http://www.opensource.org/licenses/lgpl-2.1.php and http://www.gnu.org/licenses/old-licenses/library.txt. Software BIOS: version 08.35 NXOS: version 7.0(3)I7(6) --More-- <<<
Nexus# configure terminal Nexus(config)# username oxidized role oxidized password oxidized!123 Nexus(config)# end Nexus#
nexus01.local:192.0.2.1:nxos:oxidized:oxidized!123 nexus02.local:192.0.2.2:nxos:oxidized:oxidized!123 nexus03.local:192.0.2.3:nxos:oxidized:oxidized!123 nexus04.local:192.0.2.4:nxos:oxidized:oxidized!123 nexus05.local:192.0.2.5:nxos:oxidized:oxidized!123
Die relevante oxidierte Quellkonfiguration für die obige CSV-Quelle ist unten aufgeführt.
--- source: default: csv csv: file: "/filepath/to/router.db" delimiter: !ruby/regexp /:/ map: name: 0 ip: 1 model: 2 username: 3 password: 4
Wie im NX-OS-Modell von RANCID gezeigt, führt RANCID diese Befehlsliste standardmäßig auf jedem Cisco Nexus-Gerät aus, das NX-OS ausführt:
Einige der Befehle in dieser Liste können nur von Benutzerkonten ausgeführt werden, die die Rolle "network-admin" besitzen. Selbst wenn der Befehl explizit von einer benutzerdefinierten Benutzerrolle zugelassen wird, können Benutzerkonten, die diese Rolle besitzen, den Befehl möglicherweise nicht ausführen und eine Fehlermeldung mit der Angabe "%Permission verweigert für die Rolle" zurückgeben. Diese Einschränkung ist im Kapitel "Konfigurieren von Benutzerkonten und RBAC" des Sicherheitskonfigurationsleitfadens jeder Nexus-Plattform dokumentiert:
"Unabhängig von der für eine Benutzerrolle konfigurierten Lese- und Schreibregel können einige Befehle nur über die vordefinierte Netzwerkadministratorrolle ausgeführt werden."
Aufgrund dieser Einschränkung erfordert die standardmäßige Befehlsliste von RANCID, dass die Rolle "network-admin" dem von RANCID verwendeten NX-OS-Benutzerkonto zugewiesen wird. So konfigurieren Sie dieses Benutzerkonto:
Nexus# configure terminal Nexus(config)# username rancid role network-admin password rancid!123 Nexus(config)# end Nexus#
Hinweis: Die Anmelde-Konfigurationsdatei von RANCID heißt in der Regel .cloginrc, aber bei der Bereitstellung von RANCID kann ein anderer Name verwendet werden.
Hinweis: Wenn das von RANCID verwendete Nexus-Benutzerkonto aus Sicherheitsgründen absolut nicht über die Rolle "network-admin" verfügen kann und wenn die relevanten Befehle, die diese Rolle erfordern, in Ihrer Umgebung nicht erforderlich sind, können Sie diese Befehle manuell aus der Liste entfernen, die von RANCID ausgeführt wird. Führen Sie zunächst die vollständige Liste der oben gezeigten Befehle aus einem Nexus-Benutzerkonto aus, das nur die oben genannten Befehle ausführen darf. Die Befehle, die die Rolle "network-admin" erfordern, geben die Fehlermeldung "%Permission verweigert für die Rolle" zurück. Anschließend können Sie die Befehle, die die Fehlermeldung zurückgegeben haben, manuell aus der Liste der von RANCID ausgeführten Befehle entfernen. Das genaue Verfahren zum Entfernen dieser Befehle liegt außerhalb des Anwendungsbereichs dieses Dokuments.
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.