Configurazione dell'autenticazione TACACS+ su CIMC con ISE Server

Opzioni per il download

  • PDF     (372.3 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (387.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (317.6 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:29 luglio 2021
ID documento:217269

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive la configurazione dell'autenticazione Access-Control System Plus (TACACS+) di Terminal Access Controller su Cisco Integrated Management Controller (CIMC).

    TACACS+ viene comunemente utilizzato per autenticare i dispositivi di rete con un server centrale. Dalla versione 4.1(3b), Cisco IMC supporta l'autenticazione TACACS+. Il supporto TACACS+ su CIMC semplifica la gestione di più account utente che hanno accesso al dispositivo. Questa funzionalità consente di modificare periodicamente le credenziali dell'utente e di gestire gli account utente in remoto.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Cisco Integrated Management Controller (CIMC)
    • Access-Control System Plus di Terminal Access Controller (TACACS+)

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • UCS-C220-M4S
    • Versione CIMC: 4.1, paragrafo 3 ter
    • Cisco Identity Services Engine (ISE) versione 3.0.0.458

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Configurazione lato server TACACS+ per l'associazione dei privilegi

    Il livello di privilegio dell'utente viene calcolato in base al valore cisco-av-pair configurato per tale utente. È necessario creare una coppia cisco-av sul server TACACS+ e gli utenti non possono usare alcun attributo TACACS+ predefinito. Per l'attributo cisco-av-pair sono supportate le tre sintassi seguenti

    Per il privilegio admin:

     cisco-av-pair=shell:roles="admin"

    Per il privilegio utente:

    cisco-av-pair=shell:roles="user"

    Per il privilegio di sola lettura:

     cisco-av-pair=shell:roles="read-only"

    Per supportare altri dispositivi, se è necessario aggiungere altri ruoli, è possibile aggiungerli con una virgola come separatore. Ad esempio, UCSM supporta aaa, quindi è possibile configurare shell:roles="admin,aaa" e CIMC accetta questo formato.

    Nota: se cisco-av-pair non è configurato sul server TACACS+, un utente con quel server ha un privilegio di sola lettura.

    Requisiti di configurazione ISE

    L'IP di gestione del server deve essere consentito sui dispositivi di rete ISE.

    Password segreta condivisa da immettere in CIMC.

    Shell Profile con attributo cisco-av-pair con autorizzazioni di amministratore.

    Configurazione TACACS+ su CIMC

    Passaggio 1. Selezionare Admin > User Management > TACACS+

    Passaggio 2. Selezionare la casella di controllo per abilitare TACACS+

    Passaggio 3. È possibile aggiungere un nuovo server in una delle 6 righe specificate nella tabella. Fate clic sulla riga o selezionatela e fate clic sul pulsante Modifica sopra la tabella, come mostrato nell'immagine.

    Nota: Nel caso in cui un utente abbia abilitato il fallback di TACACS+ su nessuna opzione di connettività, CIMC applica che la priorità della prima autenticazione deve sempre essere impostata su TACACS+ altrimenti la configurazione del fallback potrebbe diventare irrilevante.

    Passaggio 4. Inserire l'indirizzo IP o il nome host, la porta e la chiave del server/il segreto condiviso e salvare la configurazione.

    Cisco IMC supporta fino a sei server remoti TACACS+. Una volta completata l'autenticazione, al nome utente viene aggiunto (TACACS+).

    Questa condizione viene visualizzata anche in Gestione sessioni

    Verifica

    • È possibile configurare un massimo di 6 server TACACS+ sul CIMC.

    • La lunghezza massima della chiave segreta associata al server è 64 caratteri.
    • Il timeout può essere configurato tra 5 e 30 secondi (il che corrisponde al massimo a 180 secondi per essere in linea con LDAP).
    • Se un server TACACS+ deve usare il nome del servizio per creare cisco-av-pair, gli utenti devono usare Log in come nome del servizio.
    • Nessun supporto per lo scorfano per modificare le configurazioni.

    Verifica della configurazione dalla CLI in CIMC

    • Verificare se TACACS+ è abilitato.
    C220-WZP22460WCD# scope tacacs+
    C220-WZP22460WCD /tacacs+ # show detail
    TACACS+ Settings:
    Enabled: yes
    Fallback only on no connectivity: no
    Timeout(for each server): 5
    • Verificare i dettagli di configurazione per server.
    C220-WZP22460WCD /tacacs+ # scope tacacs-server 1
    C220-WZP22460WCD /tacacs+/tacacs-server # show detail
    Server Id 1:
    Server IP address/Hostname: 10.31.126.220
    Server Key: ******
    Server Port: 49

    Risoluzione dei problemi

    • Verificare che TACACS+ Server IP sia raggiungibile dal CIMC e che la porta sia configurata correttamente.
    • Verificare che la coppia cisco-av sia configurata correttamente sul server TACACS+.
    • Verificare che il server TACACS+ sia raggiungibile (IP e porta).
    • Verificare che la chiave segreta o le credenziali corrispondano a quelle configurate sul server TACACS+.
    • Se è possibile accedere con TACACS+ ma si hanno solo autorizzazioni di sola lettura, verificare se cisco-av-pair ha la sintassi corretta sul server TACACS+.

    Risoluzione dei problemi ISE

    • Verificare i registri Tacacs Live per uno dei tentativi di autenticazione. Lo stato deve essere Superato.

    • Verificare che per la risposta sia configurato l'attributo cisco-av-pair corretto.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    29-Jul-2021
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Ana Montenegro
      Cisco TAC Engineer
    • Adrian Lira
      Cisco TAC Engineer
    • Alejandra Ortiz
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti