Configuración del dominio de autenticación TACACS+ en UCS Manager con el servidor ISE

Introducción

Este documento describe la configuración de la autenticación de Terminal Access Controller Access-Control System Plus (TACACS+) en Unified Compute System Manager (UCSM). TACACS+ es un protocolo de red que se utiliza para los servicios de autenticación, autorización y responsabilidad (AAA) , que proporciona un método centralizado para gestionar los dispositivos de acceso a la red (NAD), donde puede administrar y crear reglas a través de un servidor. En este caso práctico, utilizaremos Identity Services Engine (ISE). 

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Cisco UCS Manager (UCSM)
• Terminal Access Controller Access-Control System Plus (TACACS+)
• Identity Services Engine (ISE)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• UCSM 4.2(3d)
• Cisco Identity Services Engine (ISE) versión 3.2

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Configuración

Configuración de TACACS+ en ISE

Configuración de TACACS+ sobre ISE

Paso 1. La primera tarea es revisar si ISE tiene las capacidades correctas para manejar las autenticaciones TACACS+ para lo cual necesita verificar si dentro del Policy Service Node (PSN) desea que tenga la función de Device Admin Service, navegue por el menú Administration > System > Deployment, seleccione el nodo donde ISE realizará TACACS+ y luego seleccione el botón edit.

Paso 2. Desplácese hacia abajo hasta que vea la función correspondiente llamada Device Administration Service (observe que para habilitar esta función primero necesita tener Policy Server Persona habilitado en el nodo y además tener licencias para TACACS+ disponibles en su implementación), seleccione esa casilla de verificación y luego guarde la configuración:

Paso 3. Configure el dispositivo de acceso a la red (NAD) que utilizará el ISE como TACACS+ como servidor, navegue hasta el menú Administration > Network Resources > Network Devices y, a continuación, seleccione el botón +Add.

Paso 4. En esta sección configure :

• Un nombre para que UCSM sea el cliente TACACS+.
• Las direcciones IP que utiliza UCSM para enviar solicitudes a ISE.
• TACACS+ Shared Secret , esta es la contraseña que se utilizará para cifrar los paquetes entre UCSM e ISE 

Configurar los atributos y las reglas en ISE

Paso 1. Cree un perfil TACACS+, navegue hasta el menú Centros de trabajo > Administración de dispositivos > Elementos de política > Resultados > Perfiles TACACS y, a continuación, seleccione Agregar

Paso 2. En esta sección, configure el perfil con un nombre y en la sección Atributos personalizados, seleccione Agregar , luego cree un atributo de la característica OBLIGATORIO , denomínelo como cisco-av-pair y en el valor seleccione uno de los roles disponibles dentro de UCSM e ingrese que como un rol de shell , en este ejemplo se utilizará el rol admin y la entrada seleccionada debe ser shell:roles="admin", como se muestra a continuación, 

En el mismo menú, si selecciona la Vista sin procesar para el perfil TACACS, puede verificar la configuración correspondiente del atributo que se enviará a través de ISE. 

Paso 3. Seleccione en la marca y guarde la configuración.

Paso 4. Cree un Conjunto de políticas de administración de dispositivos para utilizarlo en su UCSM, navegue por el menú Centros de trabajo > Administración de dispositivos > Conjuntos de políticas de administración de dispositivos, a continuación, desde un conjunto de políticas existente, seleccione el icono de engranaje para seleccionar Insertar nueva fila arriba

Paso 5. Dé un nombre a este nuevo conjunto de políticas, agregue condiciones en función de las características de las autenticaciones TACACS+ que se llevarán a cabo desde el servidor UCSM y seleccione como Protocolos permitidos > Administrador de dispositivos predeterminado, guarde su configuración.

Paso 6. Seleccione la opción > y seleccione en la sección Política de autenticación, el origen de identidad externo desde el que ISE consultará el nombre de usuario y las credenciales que se introducirán en UCSM; en este ejemplo, las credenciales corresponden a los usuarios internos almacenados en ISE.

Paso 7. Desplácese hacia abajo hasta la sección Authorization Policy hasta la Default policy, seleccione el icono del engranaje y luego inserte una regla arriba.

Paso 8. Asigne un nombre a la nueva regla de autorización, agregue condiciones relativas al usuario que se autenticará ya como miembro del grupo y, en la sección Perfiles de shell, agregue el perfil TACACS que configuró anteriormente y guarde la configuración.

Configuración de TACACS+ en UCSM

Inicie sesión enCisco UCS ManagerGUI con una usuario con privilegios de administrador.

Crear funciones para usuarios

Paso 1. En el panel de navegación, seleccione la ficha Admin.
Paso 2. En la pestaña Admin, expanda All > User Management >User Services > Roles.

Paso 3. En elWorkpanel, seleccione elGeneralficha.

Paso 4. Seleccione Agregar para roles personalizados. Este ejemplo utiliza Roles predeterminados.

Paso 5. Verifique las coincidencias de rol de nombre con nombre configurado previamente en el perfil TACACS.

Crear un proveedor TACACS+

Paso 1. En el panel de navegación, seleccione la ficha Admin.
Paso 2. En la pestaña Admin, expanda All > User Management > TACACS+.

Paso 3. En elWorkpanel, seleccione elGeneral ficha.

Paso 4. En elActionsárea, seleccioneCreate TACACS+ Provider.

 

Paso 5. En elCreate TACACS+ Providerasistente, introduzca la información correspondiente.

• En el campo Hostname, escriba la dirección IP o el nombre de host del servidor TACACS+.
• En el campo Pedido, el orden en el que Cisco UCS utiliza este proveedor para autenticar a los usuarios.

  Introduzca un número entero entre 1 y 16, o bien introduzca el número más bajo disponible o 0 (cero) si desea que Cisco UCS asigne el siguiente pedido disponible en función de los otros proveedores definidos en esta instancia de Cisco UCS.

• En el campo Key, la clave de cifrado SSL para la base de datos.

• En el campo Confirm Key, la clave de cifrado SSL se repite con fines de confirmación.
• En el campo Puerto, el puerto a través del cual Cisco UCS se comunica con la base de datos TACACS+ (puerto predeterminado 49).

• En el campo Tiempo de espera, el tiempo en segundos que el sistema emplea para intentar contactar con la base de datos TACACS+ antes de que se agote el tiempo de espera.

 Paso 6. Seleccione Aceptar.

Nota: si utiliza un nombre de host en lugar de una dirección IP, debe configurar un servidor DNS en Cisco UCS Manager.

Crear un grupo de proveedores TACAC+

Paso 1.En elNavigationpanel, seleccione el Admin ficha.

Paso 2. En elAdminficha, expandir All > User Management > TACACS+.

Paso 3. En elWorkpanel, seleccione el General ficha.

Paso 4. En elActionsárea, seleccioneCreate TACACS+ ProviderGrupo.

 

Paso 5. En el cuadro de diálogo Create TACACS+ Provider Group, ingrese la información solicitada.

• En el campo Nombre, introduzca un nombre único para el grupo.
• En la tabla Proveedores TACACS+, elija los proveedores que se incluirán en el grupo.
• Seleccione el botón >> para agregar los proveedores a la tabla Proveedores incluidos.

Paso 6. Seleccione Aceptar.

Crear un dominio de autenticación

Paso 1. En el Navigation panel, seleccione el Admin ficha.

Paso 2. En el Admin ficha, expandir All > User Management > Authentication

Paso 3. En elWorkpanel, seleccione el General ficha.

Paso 4. En elActionsárea, seleccioneCreate a Domain.

Paso 5. En el cuadro de diálogo Create Domain, ingrese la información solicitada.

• En el campo Nombre, introduzca un nombre único para el dominio.
• En el rango, seleccione la opción Tacacs.
• En la lista desplegable Grupo de Proveedores, seleccione el grupo de proveedores TACACS+ creado anteriormente y seleccione Aceptar

 

Troubleshoot

Problemas comunes de TACACS+ en UCSM

• Clave incorrecta o caracteres no válidos.
• Puerto Incorrecto.
• No hay comunicación con nuestro proveedor debido a una regla de firewall o proxy.
• FSM no es el 100%.

Verifique la configuración de UCSM TACACS+:

Debe asegurarse de que UCSM haya implementado la configuración. Para comprobar que el estado de la máquina de estado finito (FSM) aparece como 100% completado.

Verifique la configuración desde la línea de comandos de UCSM

UCS-A# scope security 
UCS-A /security # scope tacacs 
UCS-A /security/tacacs # show configuration

UCS-A /security/tacacs # show fsm status

 

Verifique la configuración de Tacacs desde el NXOS:

UCS-A# connect nxos 
UCS-A(nx-os)# show tacacs-server 
UCS-A(nx-os)# show tacacs-server groups

Para probar la autenticación de NX-OS, utilice eltest aaa(solo disponible desde NXOS).

Valide la configuración de su servidor:

UCS-A(nx-os)# test aaa server tacacs+  <TACACS+-server-IP-address or FQDN> <username> <password>

Revisión de UCSM

Verificación de disponibilidad

UCS-A# connect local-mgmt
UCS-A(local-mgmt)# ping <TACACS+-server-IP-address or FQDN>

 

Verificación de puertos

UCS-A# connect local-mgmt
UCS-A(local-mgmt)# telnet <TACACS+-server-IP-address or FQDN> <Port>

El método más efectivo para ver errores es habilitar la depuración de NXOS, con esta salida puede ver los grupos, la conexión y el mensaje de error que causa la mala comunicación.

•  Abra una sesión SSH en UCSM e inicie sesión con cualquier usuario con privilegios con permisos de administrador (preferiblemente un usuario local), cambie al contexto de la CLI de NX-OS e inicie el monitor de terminal.

UCS-A# connect nxos
UCS-A(nx-os)# terminal monitor

• Habilite los indicadores de depuración y verifique el resultado de la sesión SSH en el archivo de registro.

UCS-A(nx-os)# debug aaa all
UCS-A(nx-os)# debug aaa aaa-request
UCS-A(nx-os)# debug tacacs+ aaa-request
UCS-A(nx-os)# debug tacacs+ aaa-request-lowlevel
UCS-A(nx-os)# debug tacacs+ all

•  Ahora abra una nueva sesión GUI o CLI e intente iniciar sesión como usuario remoto (TACACS+).
•  Una vez que haya recibido un mensaje de error de inicio de sesión, desactive los debugs que cierran la sesión o con el siguiente comando.

UCS-A(nx-os)# undebug all

Problemas comunes de TACAC en ISE

• En ISE, se muestra el siguiente comportamiento al intentar configurar un perfil tacacs en los atributos necesarios para que UCSM asigne los roles correspondientes a admin o a cualquier otro rol. Seleccione en el botón save (guardar) y se muestra el siguiente comportamiento: 

Este error se debe al siguiente bug https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwc91917 , por favor asegúrese de que tiene donde se ha solucionado este defecto. 

Revisión de ISE 

Paso 1. Revise si la facilidad de mantenimiento de TACACS+ se está ejecutando, esto se puede registrar:

• GUI: Revise si tiene el nodo enumerado con el servicio DEVICE ADMIN en Administration > System > Deployment.
• CLI: ejecute el comando show ports | incluya 49 para confirmar que hay conexiones en el puerto TCP que pertenecen a TACACS+

ise32/admin#show ports | include 49
tcp: 169.254.4.1:49, 169.254.2.1:49, 169.254.4.1:49, 10.31.123.57:49

Paso 2. Confirme si hay livelogs concernientes a los intentos de autenticación de TACACS+ : esto se puede verificar en el menú Operaciones > TACACS > Registros en vivo , 

Dependiendo del motivo del fallo, puede ajustar la configuración o abordar la causa del fallo. 

Paso 3. En caso de que no vea ningún livelog, continúe para tomar una captura de paquetes y navegue hasta el menú Operaciones > Troubleshooting > Diagnostic Tools > General Tools > TCP Dump , seleccione on add

Seleccione el nodo de Servicio de políticas desde el que UCSM envía la autenticación y, a continuación, en los filtros, proceda a introducir ip host X.X.X.X correspondiente a la IP de UCSM desde la que se envía la autenticación, asigne un nombre a la captura y desplácese hacia abajo para guardarla, ejecute la captura e inicie sesión desde UCSM . 

Paso 4. Habilite el componente Runtime-AAA en debug dentro de PSN desde donde se realiza la autenticación en Operaciones > Troubleshooting > Debug Wizard > Debug log configuration, seleccione el nodo PSN , luego seleccione next en el botón edit . 

Busque el componente runtime-AAA y cambie su nivel a debug para luego reproducir el problema otra vez, y proceda a analizar los registros .  

Información Relacionada

Guía de administración de Cisco UCS Manager

Guía de configuración de Cisco UCS CIMC TACACS+