O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar uma função Nexus personalizada para TACACS via CLI em NK9.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Requisitos de licenciamento:
Cisco NX-OS - O TACACS+ não requer licença.
Cisco Identity Service Engine - Para novas instalações do ISE, você tem uma licença de período de avaliação de 90 dias que tem acesso a todos os recursos do ISE. Se você não tiver uma licença de avaliação, para usar o recurso ISE TACACS, você precisará de uma licença de Administrador de dispositivo para o Nó do servidor de política que faz a autenticação.
Após a autenticação dos usuários de administração/help desk no dispositivo Nexus, o ISE retorna a função desejada do shell do Nexus.
O usuário atribuído com essa função pode executar a solução básica de problemas e devolver determinadas portas.
A sessão TACACS que obtém a função Nexus deve ser capaz de usar e executar somente os próximos comandos e ações:
1. Configuração AAA.
Aviso: depois que você habilita a autenticação TACACS, o dispositivo Nexus pára de usar a autenticação local e começa a usar a autenticação baseada em servidor AAA.
Nexus9000(config)# feature tacacs+
Nexus9000(config)# tacacs-server host <Your ISE IP> key 0 Nexus3xample
Nexus9000(config)# tacacs-server key 0 "Nexus3xample"
Nexus9000(config)# aaa group server tacacs+ IsePsnServers
Nexus9000(config-tacacs+)# server <Your ISE IP>
Nexus9000(config)# aaa authentication login default group IsePsnServers local
2. Configure a função personalizada com os requisitos especificados.
Nexus9000(config)# role name helpdesk
Nexus9000(config-role)# description Can perform basic Toubleshooting and bounce certain ports
Nexus9000(config-role)# rule 1 permit read
Nexus9000(config-role)# rule 2 permit command enable *
Nexus9000(config-role)# rule 3 permit command ssh *
Nexus9000(config-role)# rule 4 permit command ssh6 *
Nexus9000(config-role)# rule 5 permit command ping *
Nexus9000(config-role)# rule 6 permit command ping6 *
Nexus9000(config-role)# rule 7 permit command telnet *
Nexus9000(config-role)# rule 8 permit command traceroute *
Nexus9000(config-role)# rule 9 permit command traceroute6 *
Nexus9000(config-role)# rule 10 permit command telnet6 *
Nexus9000(config-role)# rule 11 permit command config t ; interface * ; shutdown
Nexus9000(config-role)# rule 12 permit command config t ; interface * ; no shutdown
vlan policy deny
interface policy deny
Nexus9000(config-role-interface)# permit interface Ethernet1/1
Nexus9000(config-role-interface)# permit interface Ethernet1/2
Nexus9000(config-role-interface)# permit interface Ethernet1/3
Nexus9000(config-role-interface)# permit interface Ethernet1/4
Nexus9000(config-role-interface)# permit interface Ethernet1/5
Nexus9000(config-role-interface)# permit interface Ethernet1/6
Nexus9000(config-role-interface)# permit interface Ethernet1/7
Nexus9000(config-role-interface)# permit interface Ethernet1/8
Nexus9000(config-role-interface)# permit interface Ethernet1/8
Nexus9000(config-role-interface)# permit interface Ethernet1/9
Nexus9000(config-role-interface)# permit interface Ethernet1/10
Nexus9000(config-role-interface)# permit interface Ethernet1/11
Nexus9000(config-role-interface)# permit interface Ethernet1/12
Nexus9000(config-role-interface)# permit interface Ethernet1/13
Nexus9000(config-role-interface)# permit interface Ethernet1/14
Nexus9000(config-role-interface)# permit interface Ethernet1/15
Nexus9000(config-role-interface)# permit interface Ethernet1/16
Nexus9000(config-role-interface)# permit interface Ethernet1/17
Nexus9000(config-role-interface)# permit interface Ethernet1/18
Nexus9000(config-role-interface)# permit interface Ethernet1/19
Nexus9000(config-role-interface)# permit interface Ethernet1/20
Nexus9000(config-role-interface)# permit interface Ethernet1/21
Nexus9000(config-role-interface)# permit interface Ethernet1/22
Nexus9000(config-role-interface)# permit interface Ethernet1/25
Nexus9000(config-role-interface)# permit interface Ethernet1/26
Nexus9000(config-role-interface)# permit interface Ethernet1/27
Nexus9000(config-role-interface)# permit interface Ethernet1/28
Nexus9000(config-role-interface)# permit interface Ethernet1/29
Nexus9000(config-role-interface)# permit interface Ethernet1/30
Nexus9000# copy running-config startup-config
[########################################] 100%
Copy complete, now saving to disk (please wait)...
Copy complete.
1. Configure a identidade usada durante a sessão do Nexus TACACS.
A autenticação local do ISE é usada.
Navegue até a guia Administration > Identity Management > Groups e crie o grupo do qual o usuário precisa fazer parte, o grupo de identidade criado para esta demonstração é iseUsers.
Clique no botão Submit.
Em seguida, navegue até a guia Administração > Gerenciamento de identidades > Identidade.
Pressione o botão Add.
Como parte dos campos obrigatórios, comece com o nome do usuário, o nome de usuário isisicool é usado neste exemplo.
A próxima etapa é atribuir uma senha ao nome de usuário criado, VainillaISE97 é a senha usada nesta demonstração.
Por fim, atribua o usuário ao grupo criado anteriormente, que, nesse caso, é iseUsers.
2. Configure e Adicione o Dispositivo de Rede.
Adicione o dispositivo NEXUS 9000 à Administração do ISE > Recursos de rede > Dispositivos de rede
Clique no botão Add para iniciar.
Insira os valores do formulário, atribua um nome ao NAD que está sendo criado e um IP do qual o NAD entra em contato com o ISE para a conversação TACACS.
As opções suspensas podem ser deixadas em branco e podem ser omitidas; essas opções destinam-se a categorizar seus NADs por local, tipo de dispositivo, versão e, em seguida, alterar o fluxo de autenticação com base nesses filtros.
Em Administration > Network Resources > Network Devices > Your NAD > TACACS Authentication Settings.
Adicione o segredo compartilhado que você usou em sua configuração NAD para esta demonstração, o Nexus3xample é usado nesta demonstração.
Salve as alterações clicando no botão Submit.
3. Configuração do TACACS no ISE.
Verifique novamente se a PSN configurada no Nexus 9k tem a opção Device Admin habilitada.
Observação: Habilitar o Device Admin Service NÃO causa uma reinicialização no ISE.
Isso pode ser verificado no menu do ISE Administration > System > Deployment > Your PSN > Policy Server section > Enable Device Admin Services.
No menu ISE, navegue até Workcenters > Device Administration > Policy Elements > Results > TACACS Profiles e clique no botão Add.
Atribua um Nome e, opcionalmente, uma descrição.
Ignore a seção Exibição de Atributo de Tarefa e navegue até a seção Exibição Bruta.
E insira o valor shell:roles="helpdesk".
Configure o conjunto de políticas que inclui a política de autenticação e a política de autorização.
No menu do ISE, acesse Work Centers > Device Administration > Device Admin Policy Sets.
Para fins de demonstração, o conjunto de políticas padrão é usado. No entanto, outro conjunto de políticas pode ser criado, com condições para corresponder a cenários específicos.
Clique na seta no final da linha.
Uma vez dentro da configuração do conjunto de políticas, role para baixo e expanda a seção Authentication Policy.
Clique no ícone Add.
Para este exemplo de configuração, o valor do Nome é Autenticação interna e a condição escolhida é o IP do dispositivo de rede (Nexus) (substitua o A.B.C.D.). Esta política de Autenticação usa o Repositório de Identidades de Usuários Internos.
Veja como a condição foi configurada.
Selecione Network Access > Device IP address Dictionary Attribute.
Substitua o comentário <Nexus IP address> pelo IP correto.
Clique no botão Use.
Essa condição é atingida apenas pelo dispositivo Nexus configurado, no entanto, se a finalidade for ativar essa condição para uma grande quantidade de dispositivos, uma condição diferente deverá ser considerada.
Em seguida, navegue até a seção Política de autorização e expanda-a.
Clique no ícone + (sinal de adição).
Neste exemplo, NEXUS HELP DESK como o nome da política de autorização foi usado.
A mesma condição que foi configurada na Diretiva de Autenticação é usada para a Diretiva de Autorização.
Na coluna Perfis de shell, o perfil configurado antes de Nexus Helpdesk foi selecionado.
Por fim, clique no botão Save.
Use esta seção para confirmar se a sua configuração funciona corretamente.
Na GUI do ISE, navegue para Operations > TACACS > Live Logs, identifique o registro que corresponde ao nome de usuário usado e clique no Live Log Detail do evento de autorização.
Como parte dos detalhes que este relatório inclui, ele pode ser encontrado em uma seção Resposta, onde você pode ver como o ISE retornou o valor shell:roles="helpdesk"
No dispositivo Nexus:
Nexus9000 login: iseiscool
Password: VainillaISE97
Nexus9000# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Nexus9000(config)# interface ethernet 1/23
% Interface permission denied
Nexus9000(config)# ?
interface Configure interfaces
show Show running system information
end Go to exec mode
exit Exit from command interpreter
Nexus9000(config)# role name test
% Permission denied for the role
Nexus9000(config)#
Nexus9000(config)# interface loopback 0
% Interface permission denied
Nexus9000(config)#
Nexus9000# conf t
Nexus9000(config)# interface ethernet 1/5
Notice that only the commands allowed are listed.
Nexus9000(config-if)# ?
no Negate a command or set its defaults
show Show running system information
shutdown Enable/disable an interface
end Go to exec mode
exit Exit from command interpreter
Nexus9000(config-if)# cdp
Nexus9000(config-if)# cdp enable
% Permission denied for the role
Nexus9000(config-if)#
debug tacacs+ all
Nexus9000#
Nexus9000# 2024 Abr 19 22:50:44.199329 tacacs: event_loop(): chamando process_rd_fd_set
2024 Abr 19 22:50:44.199355 tacacs: process_rd_fd_set: chamada de retorno para fd 6
2024 Abr 19 22:50:44.199392 tacacs: fsrv não consumiu opcode 8421
2024 Abr 19 22:50:44.199406 tacacs: process_implicit_cfs_session_start: inserindo...
2024 Abr 19 22:50:44.199414 tacacs: process_implicit_cfs_session_start: saindo; estamos no estado de distribuição desabilitada
2024 Abr 19 22:50:44.199424 tacacs: process_aaa_tplus_request: informando para id de sessão de aaa 0
2024 Abr 19 22:50:44.199438 tacacs: process_aaa_tplus_request:Verificando o estado da porta mgmt0 com servergroup IsePsnServers
2024 Abr 19 22:50:44.199451 tacacs: tacacs_global_config(4220): inserindo ...
2024 Abr 19 22:50:44.199466 tacacs: tacacs_global_config(4577): GET_REQ...
2024 Abr 19 22:50:44.208027 tacacs: tacacs_global_config(4701): recuperado o valor de retorno da operação de configuração global do protocolo:SUCCESS
2024 Abr 19 22:50:44.208045 tacacs: tacacs_global_config(4716): REQ:num server 0
2024 Abr 19 22:50:44.208054 tacacs: tacacs_global_config: REQ:num group 1
2024 Abr 19 22:50:44.208062 tacacs: tacacs_global_config: REQ:num timeout 5
2024 Abr 19 22:50:44.208070 tacacs: tacacs_global_config: REQ:num deadtime 0
2024 Abr 19 22:50:44.208078 tacacs: tacacs_global_config: REQ:num encryption_type 7
2024 Abr 19 22:50:44.208086 tacacs: tacacs_global_config: return retval 0
2024 Apr 19 22:50:44.208098 tacacs: process_aaa_tplus_request:group_info é preenchido em aaa_req, então Usando servergroup IsePsnServers
2024 Abr 19 22:50:44.208108 tacacs: tacacs_servergroup_config: inserindo para grupo de servidores, índice 0
2024 Abr 19 22:50:44.208117 tacacs: tacacs_servergroup_config: GETNEXT_REQ para índice de grupo de servidor de protocolo:0 nome:
2024 Abr 19 22:50:44.208148 tacacs: tacacs_pss2_move2key: rcode = 40480003 syserr2str = no such pss key
2024 Abr 19 22:50:44.208160 tacacs: tacacs_pss2_move2key: chamando pss2_getkey
2024 Abr 19 22:50:44.208171 tacacs: tacacs_servergroup_config: GETNEXT_REQ got Protocol server group index:2 name:IsePsnServers
2024 Abr 19 22:50:44.208184 tacacs: tacacs_servergroup_config: obteve de volta o valor de retorno da operação do grupo de protocolo:SUCCESS
2024 Abr 19 22:50:44.208194 tacacs: tacacs_servergroup_config: return retval 0 for Protocol server group:IsePsnServers
2024 Abr 19 22:50:44.208210 tacacs: process_aaa_tplus_request: Group IsePsnServers encontrado. o vrf correspondente é padrão, source-intf é 0
2024 Abr 19 22:50:44.208224 tacacs: process_aaa_tplus_request: verificando mgmt0 vrf:management em relação a vrf:default do grupo solicitado
2024 Abr 19 22:50:44.208256 tacacs: process_aaa_tplus_request:mgmt_if 83886080
2024 Abr 19 22:50:44.208272 tacacs: process_aaa_tplus_request:global_src_intf : 0, src_intf local é 0 e vrf_name é padrão
2024 Abr 19 22:50:44.208286 tacacs: create_tplus_req_state_machine(902): informando para id de sessão de aaa 0
2024 Abr 19 22:50:44.208295 tacacs: contagem de máquina de estado 0
2024 Abr 19 22:50:44.208307 tacacs: init_tplus_req_state_machine: informando para id de sessão de aaa 0
2024 Abr 19 22:50:44.208317 tacacs: init_tplus_req_state_machine(1298):tplus_ctx is NULL deve ser se autor e teste
2024 Abr 19 22:50:44.208327 tacacs: tacacs_servergroup_config: inserindo para grupo de servidoresIsePsnServers, índice 0
2024 Abr 19 22:50:44.208339 tacacs: tacacs_servergroup_config: GET_REQ para índice de grupo de servidor de protocolo:0 name:IsePsnServers
2024 Abr 19 22:50:44.208357 tacacs: find_tacacs_servergroup: inserindo para grupo de servidores IsePsnServers
2024 Abr 19 22:50:44.208372 tacacs: tacacs_pss2_move2key: rcode = 0 syserr2str = SUCCESS
2024 Abr 19 22:50:44.208382 tacacs: find_tacacs_servergroup: saindo para grupo de servidores O índice IsePsnServers é 2
2024 Abr 19 22:50:44.208401 tacacs: tacacs_servergroup_config: GET_REQ: find_tacacs_servergroup error 0 for Protocol server group IsePsnServers
2024 Abr 19 22:50:44.208420 tacacs: tacacs_pss2_move2key: rcode = 0 syserr2str = SUCCESS
2024 Abr 19 22:50:44.208433 tacacs: tacacs_servergroup_config: GET_REQ got Protocol server group index:2 name:IsePsnServers
2024 A2024 Abr 19 22:52024 Abr 19 22:52024 Abr 19 22:5
Nexus9000#
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
23-Apr-2024 |
Versão inicial |