ACS 4.2 TACACS と Prime Infrastructure 統合の設定例

概要

このドキュメントでは、Cisco Prime Infrastructure（PI）アプリケーションでの Terminal Access Controller Access Control System（TACACS+）の

認証および認可について、設定例を示して説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• アクセス コントロール サーバ（ACS）でクライアントとして PI を定義します。
• ACS と PI で IP アドレスおよび同一の共有秘密キーを定義します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• ACS バージョン 4.2
• Prime Infrastructure リリース 3.0

 このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

設定

設定

PI に TACACS サーバとして ACS を追加

次の手順を実行して、ACS を TACACS サーバとして追加します。

ステップ1: 管理 ＞ [ユーザ（Users）] ＞ ユーザ、ロール、AAA PIで

ステップ2：左側のサイドバーメニューから[TACACS+ Servers]を選択し、[Add TACACS+ servers]の下にある[Go]をクリックします。ページが図のように表示されます。

手順 3：ACS サーバの IP アドレスを追加します。

手順 4：ACS サーバに設定されている TACACS+ 共有秘密を入力します。

ステップ 5：[Confirm Shared Secret] テキスト ボックスに共有秘密を再度入力します。

ステップ 6：デフォルト設定のフィールドの他のままにします。

ステップ 7：[Submit] をクリックします。

PI での AAA モードの設定

認証、許可、アカウンティング（AAA ）モードを選択するには、次の手順を実行します。

ステップ 1：[Administration] > [AAA] に移動します。

手順 2：左側のサイドバー メニューから [AAA Mode] を選択すると、次のようなページが表示されます。       

手順 3：[TACACS+] を選択します。

ステップ4：管理者がACSサーバに到達できない場合にローカルデータベースを使用する場合は、[Enable Fallback to Local]チェックボックスをオンにします。これは推奨設定です。

PI からのユーザ ロール属性の取得

ステップ 1：[Administration] > [AAA] > [User Groups] の順に移動します。次の例は、管理者の認証を示します。リストで [Admin] グループ名を探し、右側の [Task List] オプションをクリックします（下記の図を参照）。

[Task List] オプションをクリックすると、次のようなウィンドウが表示されます。

手順 2：これらの属性をコピーしてメモ帳ファイルに保存します。

ステップ3：カスタム仮想ドメイン属性をACSサーバに追加する必要がある場合があります。カスタム仮想ドメイン属性は、同じ [Task List] ページの下部から利用できます。   

手順 4：仮想ドメイン属性ページに移動するための [click here] オプションをクリックすると、次ようなページが表示されます。

ACS 4.2 の設定

ステップ 1：[ACS Admin GUI] にログインして、[Interface Configuration] > [TACACS+] に移動します。

手順 2：Prime 用の新しいサービスを作成します。この例では、NCS というサービス名が設定されています（下記の図を参照）。

手順 3：ステップ 2 で作成したメモ帳から、すべての属性をユーザまたはグループの設定に追加します。仮想ドメイン属性が追加されたことを確認します。

手順 4：[OK] をクリックします。

確認

作成した新しいユーザ名で Prime にログインして、Admin ロールを持っていることを確認します。

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

/opt/CSCOlumos/logs ディレクトリで Prime の root CLI を使用して、usermgmt.log を検査します。エラー メッセージがないことを確認します。

2016-05-12 15:24:18,517 [http-bio-443-exec-10] DEBUG usermgmt - [        [TacacsLoginModule] user entered username: 138527]
2016-05-12 15:24:18,517 [http-bio-443-exec-10] DEBUG usermgmt - [        [TacacsLoginModule] Primary server=172.18.70.243:49]
2016-05-12 15:24:18,517 [http-bio-443-exec-10] DEBUG usermgmt - Thread Id : [835], Entering Method : [login], Class : [com.cisco.xmp.jaas.tacacs.TacacsLoginClient].
2016-05-12 15:24:18,517 [http-bio-443-exec-10] DEBUG usermgmt - Thread Id : [835], Entering Method : [login], Class : [com.cisco.xmp.jaas.tacacs.SecondaryTacacsLoginClient].
2016-05-12 15:24:18,518 [http-bio-443-exec-10] INFO  usermgmt - [Tacacs:connectTacacs()] : [prepare to ping TACACS+ server (> 0):/172.18.70.243 (-1)].
2016-05-12 15:24:18,619 [http-bio-443-exec-10] INFO  usermgmt - [Tacacs:connectTacacs()] : [Tacacs: Num of ACS is  3].
2016-05-12 15:24:18,619 [http-bio-443-exec-10] INFO  usermgmt - [Tacacs:connectTacacs()] : [Tacacs:activeACSIndex is  0].
2016-05-12 15:24:18,619 [http-bio-443-exec-10] INFO  usermgmt - [Tacacs:connectTacacs()] : [Tacacs: Unable to connect to Server 2: /172.18.70.243 Reason: Connection refused].
2016-05-12 15:24:18,619 [http-bio-443-exec-10] DEBUG usermgmt - [        [Thu May 12 15:24:18 EST 2016] [TacacsLoginModule] exception in client.login( primaryServer, primaryPort,seconda..: com.cisco.xmp.jaas.XmpAuthenticationServerException: Server Not Reachable: Connection refused]

この例はエラー メッセージのサンプルを示しています。エラー メッセージは、ファイアウォールや中間デバイス等により接続を拒否された場合など、さまざまな原因によって発生します。