تكوين مصادقة TACACS+ على CIMC باستخدام خادم ISE

خيارات التنزيل

  • PDF     (526.3 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (384.0 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (314.2 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٩ يوليو ٢٠٢١
معرّف المستند:217269

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تكوين مصادقة نظام التحكم في الوصول إلى وحدة التحكم في الوصول إلى المحطة الطرفية (TACACS+) على وحدة التحكم في الإدارة المتكاملة (CIMC) من Cisco.

    يشيع إستخدام TACACS+ لمصادقة أجهزة الشبكة مع خادم مركزي. منذ الإصدار 4.1(3b)، تدعم Cisco IMC مصادقة TACACS+. يسهل دعم TACACS+ على CIMC جهود إدارة حسابات مستخدمين متعددين لديهم وصول إلى الجهاز. تساعد هذه الميزة في تغيير بيانات اعتماد المستخدم بشكل دوري وإدارة حسابات المستخدمين عن بعد.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • وحدة التحكم المتكاملة في الإدارة (CIMC) من Cisco
    • نظام مراقبة الدخول إلى وحدة تحكم الوصول إلى المحطة الطرفية (TACACS+)

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • UCSC-C220-M4S
    • إصدار CIMC: 4.1(3b)
    • Cisco Identity Services Engine (ISE)، الإصدار 3.0.0.458

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    تكوين جانب خادم TACACS+ لاقتران الامتيازات

    يتم حساب مستوى امتياز المستخدم استنادا إلى قيمة Cisco-av-pair التي تم تكوينها لذلك المستخدم. يجب إنشاء زوج Cisco-AV على خادم TACACS+ ويتعذر على المستخدمين إستخدام أي سمات TACACS+ افتراضية. يتم دعم الصيغ الثلاثة كما هو موضح أدناه لسمة زوج-av من Cisco

    لامتياز المسؤول:

     cisco-av-pair=shell:roles="admin"

    ل مستعمل امتياز:

    cisco-av-pair=shell:roles="user"

    لامتياز للقراءة فقط:

     cisco-av-pair=shell:roles="read-only"

    لدعم الأجهزة الأخرى، إذا كانت هناك حاجة لإضافة أدوار أخرى، يمكن إضافتها بفاصلة كفاصل. على سبيل المثال، يدعم UCSM aaa، لذلك يمكن تكوين shell:roles="admin،aaa" ويقبل CIMC هذا التنسيق.

    ملاحظة: إذا لم يتم تكوين زوج Cisco-AV على خادم TACACS+، فيكون للمستخدم الذي لديه ذلك الخادم امتياز القراءة فقط.

    متطلبات تكوين ISE

    يجب السماح بإدارة IP الخاصة بالخادم على أجهزة شبكة ISE.

    كلمة المرور السرية المشتركة التي سيتم إدخالها على CIMC.

    ملف تعريف Shell بسمة Cisco-av-pair بأذونات المسؤول.

    تكوين TACACS+ على CIMC

    الخطوة 1. انتقل إلى Admin > إدارة المستخدم > TACACS+

    الخطوة 2. حدد خانة الاختيار لتمكين TACACS+

    الخطوة 3. يمكن إضافة خادم جديد في أي من الصفوف الستة المحددة في الجدول. انقر فوق الصف أو حدد الصف وانقر فوق زر تحرير الموجود أعلى الجدول، كما هو موضح في هذه الصورة.

    ملاحظة: في الحالة التي قام فيها المستخدم بتمكين وضع TACACS+ الاحتياطي على خيار عدم الاتصال، تفرض CIMC أنه يجب تعيين أولوية المصادقة الأولى دائما على TACACS+ وإلا فقد يصبح التكوين الاحتياطي غير ذي صلة.

    الخطوة 4. قم بتعبئة عنوان IP أو اسم المضيف والمنفذ ومفتاح الخادم/السر المشترك وحفظ التكوين.

    تدعم تقنية IMC من Cisco ما يصل إلى ستة خوادم عن بعد TACACS+. بمجرد مصادقة مستخدم بنجاح، يتم إلحاق اسم المستخدم (TACACS+).

    كما يتم عرض ذلك في إدارة جلسة العمل

    التحقق من الصحة

    • يمكن تكوين 6 خوادم TACACS+ كحد أقصى على وحدة التحكم في الوصول للوسائط (CIMC).

    • يمكن أن يصل طول المفتاح السري المرتبط بالخادم إلى 64 حرفا كحد أقصى.
    • يمكن تكوين المهلة بين 5 و 30 ثانية (والذي يتم تقييمه إلى الحد الأقصى 180 ثانية ليصبح متوافقا مع LDAP).
    • إذا أحتاج خادم TACACS+ إلى إستخدام اسم الخدمة لإنشاء زوج Cisco-av، فيحتاج المستخدمون بعد ذلك إلى إستخدام تسجيل الدخول كاسم الخدمة.
    • لا يوجد دعم ل Redfish لتعديل التكوينات.

    التحقق من التكوين من CLI في CIMC

    • تحقق ما إذا تم تمكين TACACS+.
    C220-WZP22460WCD# scope tacacs+
    C220-WZP22460WCD /tacacs+ # show detail
    TACACS+ Settings:
    Enabled: yes
    Fallback only on no connectivity: no
    Timeout(for each server): 5
    • تحقق من تفاصيل التكوين لكل خادم.
    C220-WZP22460WCD /tacacs+ # scope tacacs-server 1
    C220-WZP22460WCD /tacacs+/tacacs-server # show detail
    Server Id 1:
    Server IP address/Hostname: 10.31.126.220
    Server Key: ******
    Server Port: 49

    استكشاف الأخطاء وإصلاحها

    • تأكد من أنه يمكن الوصول إلى TACACS+ Server IP من وحدة التحكم في الوصول المتكاملة (CIMC) وتم تكوين المنفذ بشكل صحيح.
    • تأكد من تكوين زوج Cisco-AV بشكل صحيح على خادم TACACS+.
    • تحقق مما إذا كان خادم TACACS+ قابلا للوصول (IP ومنفذ).
    • تأكد من تطابق المفتاح السري أو بيانات الاعتماد مع تلك التي تم تكوينها على خادم TACACS+.
    • إذا كان يمكنك تسجيل الدخول باستخدام TACACS+ ولكن لديه أذونات القراءة فقط، فتحقق مما إذا كان لدى زوج Cisco-AV الصياغة الصحيحة على خادم TACACS+.

    أستكشاف أخطاء ISE وإصلاحها

    • تحقق من سجلات TACACS Live لإحدى محاولات المصادقة. يجب أن تكون الحالة Pass.

    • تحقق من أن الاستجابة تتضمن سمة زوج-AV الصحيح التي تم تكوينها.

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    29-Jul-2021
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Ana Montenegro
      مهندس TAC من Cisco
    • Adrian Lira
      مهندس TAC من Cisco
    • Alejandra Ortiz
      مهندس TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات