تكوين RBAC للمستخدم لأدوات النسخ الاحتياطي لتكوين جهاز الشبكة المؤكسدة أو السيئة الهوية على أجهزة Cisco Nexus

المقدمة

يصف هذا المستند كيفية تكوين حسابات المستخدمين المحليين على أجهزة Cisco Nexus لاستخدام أدوار التحكم في الوصول المستند إلى الدور (RBAC) المقيدة بالأوامر المستخدمة بواسطة أدوات النسخ الاحتياطي لتكوين جهاز الشبكة المؤكسد أو RANCID.

المتطلبات الأساسية

المتطلبات

يجب أن يكون لديك حق الوصول إلى حساب مستخدم واحد على الأقل يمكنه إنشاء حسابات مستخدم محلية أخرى وأدوار RBAC. عادة، يحتفظ حساب المستخدم هذا بالدور الافتراضي "network-admin"، ولكن قد يكون الدور القابل للتطبيق مختلفا لبيئة الشبكة والتكوين الخاصين بك.

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• كيفية تكوين حسابات المستخدمين في NX-OS
• كيفية تكوين أدوار RBAC في NX-OS
• كيفية تكوين أداة النسخ الاحتياطي لتكوين جهاز الشبكة لديك

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• نظام التشغيل Nexus 9000 Platform NX-OS، الإصدار 7.0(3)I7(1) أو إصدار أحدث

تغطي المعلومات الواردة في هذا المستند أدوات النسخ الاحتياطي لتكوين جهاز الشبكة التالية:

• المؤكسد v0.26.3
• RANCID v3.9

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

يوفر هذا القسم إرشادات التكوين لأدوات النسخ الاحتياطي لتكوين جهاز الشبكة المؤكسد و RANCID.

ملاحظة: إذا كنت تستخدم أداة نسخ إحتياطي مختلفة لتكوين جهاز الشبكة، فاستخدم الإجراءات المؤكسدة و RANCID كأمثلة وقم بتعديل التعليمات بما يتناسب مع حالتك.

تكوين حساب المستخدم ودوره ل OXIALIZED

وكما هو موضح في طراز NX-OS الخاص ب XIALIZED، تقوم الأجهزة المؤكسدة بتنفيذ قائمة الأوامر هذه بشكل افتراضي على أي جهاز Cisco Nexus يشغل NX-OS:

• طول الوحدة الطرفية 0
• show version
• إظهار المخزون
• show running-config

لتكوين حساب مستخدم مسموح له بتنفيذ هذه الأوامر فقط، قم بتنفيذ هذا الإجراء:

1. قم بتكوين دور RBAC الذي يسمح بهذه الأوامر. في المثال التالي، يتم تعريف "مؤكسد" باسم الدور.

   Nexus# configure terminal
   Nexus(config)# role name oxidized
   Nexus(config-role)# description Role for Oxidized network device configuration backup tool
   Nexus(config-role)# rule 1 permit command terminal length 0
   Nexus(config-role)# rule 2 permit command show version
   Nexus(config-role)# rule 3 permit command show inventory
   Nexus(config-role)# rule 4 permit command show running-config
   Nexus(config-role)# end
   Nexus#
   

   تحذير: لا تنس إضافة قاعدة تسمح بالأمر terminal length 0 كما هو موضح في المثال أعلاه. إذا لم يكن هذا الأمر مسموحا به، فسيتلقى حساب المستخدم المؤكسد رسالة الخطأ "٪ إذن مرفوض للدور" عند تنفيذه الأمر terminal length 0. إذا تجاوز إخراج أمر تم تنفيذه بواسطة OXIALIZED طول المحطة الطرفية الافتراضي البالغ 24، فلن يقوم OXIALIZED بمعالجة موجه الأمر "—المزيد—" (كما هو موضح أدناه) وسيرفع مستوى "المهلة::خطأ مع msg 'Execution'" للتحذير syslog بعد تنفيذ الأوامر على الجهاز.

   Nexus# show version
   Cisco Nexus Operating System (NX-OS) Software
   TAC support: http://www.cisco.com/tac
   Copyright (C) 2002-2019, Cisco and/or its affiliates.
   All rights reserved.
   The copyrights to certain works contained in this software are
   owned by other third parties and used and distributed under their own
   licenses, such as open source.  This software is provided "as is," and unless
   otherwise stated, there is no warranty, express or implied, including but not
   limited to warranties of merchantability and fitness for a particular purpose.
   Certain components of this software are licensed under
   the GNU General Public License (GPL) version 2.0 or 
   GNU General Public License (GPL) version 3.0 or the GNU
   Lesser General Public License (LGPL) Version 2.1 or 
   Lesser General Public License (LGPL) Version 2.0. 
   A copy of each such license is available at
   http://www.opensource.org/licenses/gpl-2.0.php and
   http://opensource.org/licenses/gpl-3.0.html and
   http://www.opensource.org/licenses/lgpl-2.1.php and
   http://www.gnu.org/licenses/old-licenses/library.txt.
   
   Software
     BIOS: version 08.35
     NXOS: version 7.0(3)I7(6)
   --More--    <<<
   

2. قم بتكوين حساب مستخدم جديد يرث الدور الذي قمت بتكوينه في الخطوة 1. في المثال التالي، يسمى حساب المستخدم هذا "مؤكسد" وله كلمة مرور "مؤكسد!123".

   Nexus# configure terminal
   Nexus(config)# username oxidized role oxidized password oxidized!123
   Nexus(config)# end
   Nexus#
   

3. قم بتسجيل الدخول يدويا إلى جهاز Nexus باستخدام حساب المستخدم المؤكسد الجديد وتحقق من إمكانية تنفيذ جميع الأوامر الضرورية دون حدوث مشكلة.
4. قم بتعديل مصدر بيانات الإدخال الخاص ب Oxialized لقبول بيانات اعتماد حساب حساب المستخدم المؤكسد الجديد. يتم عرض نموذج مخرجات مصدر CSV أدناه مع خمسة أجهزة Nexus.

   nexus01.local:192.0.2.1:nxos:oxidized:oxidized!123
   nexus02.local:192.0.2.2:nxos:oxidized:oxidized!123
   nexus03.local:192.0.2.3:nxos:oxidized:oxidized!123
   nexus04.local:192.0.2.4:nxos:oxidized:oxidized!123
   nexus05.local:192.0.2.5:nxos:oxidized:oxidized!123
   

   ويرد أدناه تكوين المصدر المؤكسد ذي الصلة لمصدر CSV المذكور أعلاه.

   ---
   source:
     default: csv
     csv:
       file: "/filepath/to/router.db"
       delimiter: !ruby/regexp /:/
       map:
         name: 0
         ip: 1
         model: 2
         username: 3
         password: 4

5. قم بالتنفيذ وفقا لملف التكوين ومصدر البيانات وتحقق من ظهور مخرجات جميع الأوامر في إخراج البيانات التي تم تكوينها. ويتوقف الأمر المحدد للقيام بذلك على تنفيذك وتثبيتك للأكسدة.

تكوين حساب المستخدم والدور ل RANCID

كما هو موضح في نموذج NX-OS من RANCID، يقوم RANCID بتنفيذ قائمة الأوامر هذه بشكل افتراضي على أي جهاز Cisco Nexus يشغل NX-OS:

• قوة مراقبة المحطة النهائية
• show version
• show version build-info all
• إظهار الترخيص
• إظهار إستخدام الترخيص
• show license host-id
• إظهار حالة تكرار النظام
• إظهار ساعة البيئة
• إظهار مروحة البيئة
• show environment fex all fan
• إظهار درجة حرارة البيئة
• إظهار طاقة البيئة
• إظهار التمهيد
• dir bootflash:
• تصحيح أخطاء dir:
• dir logflash:
• dir slot0:
• dir USB1:
• dir USB2:
• طراز قابل للتطاير بدرجة فائقة:
• show module
• show module xbar
• إظهار المخزون
• show interface transceiver
• أبديت vtp وضع
• show vlan
• show debug
• show core vdc-all
• إظهار سجل العمليات vdc-all
• show module fex
• show fex
• show running-config

يمكن تنفيذ بعض الأوامر الموجودة في هذه القائمة فقط بواسطة حسابات المستخدمين التي تحتفظ بدور مستخدم مسؤول الشبكة. حتى إذا كان الأمر مسموح به بشكل صريح بواسطة دور مستخدم مخصص، فقد لا تتمكن حسابات المستخدمين التي تحتفظ بهذا الدور من تنفيذ الأمر وستعيد رسالة الخطأ "٪الإذن المرفوض للدور". يتم توثيق هذا التحديد في الفصل "تكوين حسابات المستخدم و RBAC" من كل دليل تكوين أمان منصة Nexus:

"بغض النظر عن قاعدة القراءة والكتابة التي تم تكوينها لدور مستخدم، يمكن تنفيذ بعض الأوامر فقط من خلال دور مسؤول الشبكة المحدد مسبقا."

ونتيجة لهذا التحديد، تتطلب قائمة الأوامر الافتراضية الخاصة ب RANCID تعيين دور "network-admin" إلى حساب مستخدم NX-OS المستخدم من قبل RANCID. لتكوين حساب المستخدم هذا، قم بتنفيذ هذا الإجراء:

1. قم بتكوين حساب مستخدم جديد باستخدام الدور "network-admin". في المثال التالي، يسمى حساب المستخدم هذا "rancid" وله كلمة مرور من "rancid!123".

   Nexus# configure terminal
   Nexus(config)# username rancid role network-admin password rancid!123
   Nexus(config)# end
   Nexus#
   

2. قم بتسجيل الدخول يدويا إلى جهاز Nexus باستخدام حساب مستخدم RANCID جديد وتحقق من إمكانية تنفيذ جميع الأوامر الضرورية دون حدوث مشكلة.
3. قم بتعديل ملف تكوين تسجيل الدخول الخاص ب RANCID لاستخدام حساب المستخدم الجديد. يختلف إجراء تعديل ملف تكوين تسجيل الدخول من بيئة إلى أخرى، لذلك لا يتم توفير التفاصيل هنا.

   ملاحظة: عادة ما يسمى ملف تكوين تسجيل الدخول إلى RANCID .cloginrc، ولكن قد يستخدم نشر RANCID اسم مختلف.

4. قم بتنفيذ RANCID ضد جهاز Nexus واحد أو مجموعة من الأجهزة وتحقق من تنفيذ جميع الأوامر بنجاح. ويتوقف الأمر المحدد للقيام بذلك على تنفيذ RANCID وتثبيته.

ملاحظة: إذا كان حساب مستخدم Nexus الذي يتم إستخدامه بواسطة RANCID لا يمكنه على الإطلاق الاحتفاظ بدور "مسؤول الشبكة" لأسباب أمنية وإذا كانت الأوامر ذات الصلة التي تتطلب هذا الدور غير ضرورية في بيئتك، فيمكنك إزالة هذه الأوامر يدويا من القائمة التي يتم تنفيذها بواسطة RANCID. أولا، قم بتنفيذ القائمة الكاملة للأوامر الموضحة أعلاه من حساب مستخدم Nexus مسموح به فقط لتشغيل الأوامر المشار إليها أعلاه. ستقوم الأوامر التي تتطلب دور "network-admin" بإرجاع رسالة الخطأ "٪الإذن المرفوض للدور". يمكنك بعد ذلك إزالة الأوامر التي أرجعت رسالة الخطأ يدويا من قائمة الأوامر التي تم تنفيذها بواسطة RANCID. الإجراء الدقيق لإزالة هذه الأوامر خارج نطاق هذا المستند.

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.

معلومات ذات صلة

• مشروع GitHub المؤكسد
• الصفحة الرئيسية Rancid (مختلف Cisco ConfIg الجديد والرائع حقا)

• "تكوين حسابات المستخدم وفصل RBAC" من دليل تكوين أمان Cisco Nexus 9000 Series NX-OS:
• الإصدار 9.3(x)
• الإصدار 9.2(x)
• الإصدار 7.x
• الإصدار 6.x

• "تكوين حسابات المستخدم وفصل RBAC" من دليل تكوين أمان Cisco Nexus 7000 Series NX-OS:
• الإصدار 8.x
• الإصدار 7.x
• الإصدار 6.x

• فصل "تكوين حسابات المستخدم و RBAC" من دليل تكوين إدارة النظام Cisco Nexus 6000 Series NX-OS
• الإصدار 7.x
• الإصدار 6.x

• فصل "تكوين حسابات المستخدم و RBAC" من دليل تكوين إدارة النظام Cisco Nexus 5600 Series NX-OS
• الإصدار 7.x

• فصل "تكوين حسابات المستخدم و RBAC" من دليل تكوين إدارة النظام Cisco Nexus 5500 Series NX-OS
• الإصدار 7.x
• الإصدار 6.x

• الدعم التقني والمستندات - Cisco Systems