De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u lokale gebruikersaccounts op Cisco Nexus-apparaten kunt configureren om Rol-Based Access Control (RBAC) rollen te gebruiken die beperkt zijn tot opdrachten die worden gebruikt door de back-uptools van het geoxideerde of RANCID-netwerkapparaat voor de configuratie van het apparaat.
U moet toegang hebben tot ten minste één gebruikersaccount waarmee u andere lokale gebruikersrekeningen en RBAC-rollen kunt maken. Meestal houdt deze gebruikersaccount de standaard 'netwerk-beheerder' rol, maar de toepasselijke rol kan verschillen voor de omgeving en configuratie van uw netwerk.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document bestrijkt deze back-uptools voor de configuratie van netwerkapparaten:
De informatie in dit document is gemaakt van apparatuur in een specifieke labomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Dit gedeelte bevat configuratie-instructies voor de back-uptools van het geoxideerde en RANCID-netwerkapparaat.
Opmerking: Als u een ander back-upgereedschap voor de configuratie van het netwerkapparaat gebruikt, gebruikt u de geoxideerde en RANCID-procedures als voorbeelden en wijzigt u de instructies naar wens voor uw situatie.
Zoals gezien in het model NX-OS van Oxidized, voert Oxidized deze lijst van opdrachten door standaard uit op een Cisco Nexus apparaat dat NX-OS in werking stelt:
Om een gebruikersaccount te configureren die alleen deze opdrachten mag uitvoeren, voert u deze procedure uit:
Nexus# configure terminal Nexus(config)# role name oxidized Nexus(config-role)# description Role for Oxidized network device configuration backup tool Nexus(config-role)# rule 1 permit command terminal length 0 Nexus(config-role)# rule 2 permit command show version Nexus(config-role)# rule 3 permit command show inventory Nexus(config-role)# rule 4 permit command show running-config Nexus(config-role)# end Nexus#
Voorzichtig: Vergeet niet een regel toe te voegen die de eindlengte 0 opdracht toestaat zoals in het bovenstaande voorbeeld wordt getoond. Als deze opdracht niet is toegestaan, dan ontvangt de geoxideerde gebruikersaccount een "% Toestemming geweigerd voor de rol" foutmelding wanneer de eindlengte 0 opdracht wordt uitgevoerd. Als de uitvoer van een opdracht die door Oxidized is uitgevoerd, de standaard eindlengte van 24 overschrijdt, zal Oxidized de "—More—" melding (hieronder aangetoond) niet scherp behandelen en zal een "Time-out::Fout met msg "executie verlopen" waarschuwingssignaal opvoeren nadat deze opdrachten op het apparaat uitvoert.
Nexus# show version Cisco Nexus Operating System (NX-OS) Software TAC support: http://www.cisco.com/tac Copyright (C) 2002-2019, Cisco and/or its affiliates. All rights reserved. The copyrights to certain works contained in this software are owned by other third parties and used and distributed under their own licenses, such as open source. This software is provided "as is," and unless otherwise stated, there is no warranty, express or implied, including but not limited to warranties of merchantability and fitness for a particular purpose. Certain components of this software are licensed under the GNU General Public License (GPL) version 2.0 or GNU General Public License (GPL) version 3.0 or the GNU Lesser General Public License (LGPL) Version 2.1 or Lesser General Public License (LGPL) Version 2.0. A copy of each such license is available at http://www.opensource.org/licenses/gpl-2.0.php and http://opensource.org/licenses/gpl-3.0.html and http://www.opensource.org/licenses/lgpl-2.1.php and http://www.gnu.org/licenses/old-licenses/library.txt. Software BIOS: version 08.35 NXOS: version 7.0(3)I7(6) --More-- <<<
Nexus# configure terminal Nexus(config)# username oxidized role oxidized password oxidized!123 Nexus(config)# end Nexus#
nexus01.local:192.0.2.1:nxos:oxidized:oxidized!123 nexus02.local:192.0.2.2:nxos:oxidized:oxidized!123 nexus03.local:192.0.2.3:nxos:oxidized:oxidized!123 nexus04.local:192.0.2.4:nxos:oxidized:oxidized!123 nexus05.local:192.0.2.5:nxos:oxidized:oxidized!123
De relevante geoxideerde bronconfiguratie voor de bovenstaande CSV-bron wordt hieronder weergegeven.
--- source: default: csv csv: file: "/filepath/to/router.db" delimiter: !ruby/regexp /:/ map: name: 0 ip: 1 model: 2 username: 3 password: 4
Zoals te zien is in het NX-OS-model van RANCID voert RANCID deze lijst met opdrachten standaard uit op elk Cisco Nexus-apparaat dat NX-OS draait:
Sommige opdrachten in deze lijst kunnen alleen worden uitgevoerd door gebruikersaccounts die de gebruikersrol van de netwerk-beheerder behouden. Zelfs als de opdracht expliciet is toegestaan door een aangepaste gebruikersrol, gebruikersrekeningen die die rol houden zouden de opdracht niet kunnen uitvoeren en zullen een "%Permission die voor de rol" foutbericht wordt ontkend teruggeven. Deze beperking is gedocumenteerd in het hoofdstuk "Gebruikersrekeningen en RBAC configureren" van de Security Configuration Guide van elk Nexus-platform:
"Ongeacht de lezen-schrijf regel die voor een gebruikersrol wordt gevormd, kunnen sommige opdrachten slechts door de vooraf bepaalde netwerk-beheerder rol worden uitgevoerd."
Als resultaat van deze beperking vereist de standaard commandolijst van RANCID dat de "network-admin" rol wordt toegewezen aan de NX-OS gebruikersaccount die door RANCID wordt gebruikt. Om deze gebruikersaccount te configureren voert u deze procedure uit:
Nexus# configure terminal Nexus(config)# username rancid role network-admin password rancid!123 Nexus(config)# end Nexus#
Opmerking: De loginconfiguratie van RANCID wordt doorgaans cloginrc genoemd, maar de inzet van RANCID kan een andere naam hebben.
Opmerking: Als de gebruikersaccount van Nexus die door RANCID wordt gebruikt, om beveiligingsredenen de "netwerk-beheerder"-rol absoluut niet kan aanhouden en als de opdrachten die deze rol vereisen, niet nodig zijn in uw omgeving, kunt u deze opdrachten handmatig uit de lijst verwijderen die door RANCID wordt uitgevoerd. Start eerst de volledige lijst met opdrachten die hierboven zijn aangegeven vanuit een Nexus-gebruikersaccount die alleen de hiervoor genoemde opdrachten mag uitvoeren. De opdrachten die de rol "network-admin" vereisen, geven een "%Permission terug die wordt ontkend voor de rol" foutmelding. U kunt vervolgens handmatig de opdrachten verwijderen die de foutmelding weergeven in de lijst met opdrachten die door RANCID zijn uitgevoerd. De exacte procedure om deze opdrachten te verwijderen, is niet binnen het bereik van dit document.
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.