التحكم في الوصول إلى قاعدة الأدوار (RBAC) من Nexus N5500 و 5600 و N6000

المقدمة

يوضح هذا المستند كيفية تقييد وصول المستخدم إلى محولات Nexus 5500 و Nexus 5600 و Nexus 6000 باستخدام التحكم في الوصول المستند إلى الدور (RBAC).

يسمح لك RBAC بتحديد قواعد دور المستخدم المعين لتقييد تخويل المستخدم الذي لديه وصول إلى عمليات إدارة المحول.

يمكنك إنشاء حساب مستخدم وإدارته وتعيين أدوار تحد من الوصول إلى محولات Nexus 5500 و Nexus 5600 و Nexus 6000.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• أوامر تكوين واجهة سطر الأوامر من Nexus 5500 و Nexus 5600 و Nexus 6000 Switches
• خدمات البنية (CFS) من Cisco.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى محولات Nexus 5500 و Nexus 5600 و Nexus 6000 التي تشغل نظام التشغيل NXOS 5.2(1)N1(9) 7.3(1)N1(1).

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

متطلبات المستخدم

هذه بعض متطلبات المستخدم التي يجب استيفاؤها:

• يمكن فقط للمستخدمين الذين لديهم دور إدارة الشبكة إنشاء أدوار.
• يمكن فقط للمستخدمين الذين لديهم دور مسؤول الشبكة عرض إخراج دور العرض. 
• حتى إذا كان مسموحا للمستخدمين تنفيذ جميع أوامر العرض، لا يسمح لهم بعرض إخراج عرض الدور، ما لم يتم تعيين دور مسؤول شبكة لهؤلاء المستخدمين.
• يجب أن يحتوي حساب المستخدم على دور مستخدم واحد على الأقل.

أدوار المستخدم

يمكن تعيين كل دور لعدة مستخدمين ويمكن أن يكون كل مستخدم جزءا من أدوار متعددة.

على سبيل المثال، يسمح لمستخدمي الدور A بإصدار أوامر show ويسمح لمستخدمي الدور B بإجراء تغييرات التكوين.

إذا تم تعيين مستخدم لكل من الدور A والدور B، فيمكن لهذا المستخدم إصدار أمر show وإجراء تغييرات على التكوين.

يكتسب أمر السماح بالوصول الأولوية على أمر رفض الوصول.

على سبيل المثال، إذا كنت تنتمي إلى دور يرفض الوصول إلى أوامر التكوين.

ومع ذلك، إذا كنت أيضا تنتمي إلى دور لديه وصول إلى أوامر التكوين، فلديك الوصول إلى أوامر التكوين.

هناك خمسة أدوار مستخدم افتراضية:

• network-admin - وصول كامل للقراءة والكتابة إلى المحول بالكامل.
• عامل الشبكة - وصول كامل للقراءة إلى المحول بالكامل.
• vdc-admin - وصول للقراءة والكتابة يقتصر على VDC
• مشغل vdc - وصول القراءة مقصور على VDC
• SAN-Admin - وصول كامل للقراءة والكتابة لمسؤولي SAN.

ملاحظة:لا يمكنك تعديل/حذف أدوار المستخدم الافتراضية.

ملاحظة: يعرض الأمر show role الدور المتاح على المحول

قواعد دور المستخدم

القاعدة هي العنصر الأساسي لدور ما.

تحدد القاعدة العمليات التي يسمح الدور للمستخدم بتنفيذها.

يمكنك تطبيق قواعد لهذه المعلمات:

• الأمر- أمر أو مجموعة من الأوامر المعرفة في تعبير عادي.
• الميزة- أوامر تنطبق على وظيفة يوفرها برنامج NX-OS.
• مجموعة الميزات- مجموعة الميزات الافتراضية أو المعرفة من قبل المستخدم.

تقوم هذه المعلمات بإنشاء علاقة هرمية. معلمة التحكم الأساسية هي الأمر.

معلمة التحكم التالية هي الميزة، والتي تمثل جميع الأوامر المقترنة بالميزة.

معلمة التحكم الأخيرة هي مجموعة الميزات. تجمع مجموعة الميزات الميزات الميزات ذات الصلة وتسمح لك بإدارة القواعد بسهولة.

يحدد رقم القاعدة المحدد من قبل المستخدم الترتيب الذي يتم تطبيق القواعد به.

يتم تطبيق القواعد بترتيب تنازلي.

فعلى سبيل المثال، تطبق القاعدة 1 قبل القاعدة 2، التي تطبق قبل القاعدة 3، وما إلى ذلك.

  

يحدد أمر القاعدة العمليات التي يمكن تنفيذها بواسطة دور معين. تتكون كل قاعدة من رقم القاعدة ونوع القاعدة (السماح أو الرفض)،

نوع أمر (على سبيل المثال، التكوين والعرض وexec و debug) واسم ميزة إختياري (على سبيل المثال، FCOE و HSRP و VTP والواجهة).

توزيع دور المستخدم

تستخدم التكوينات المستندة إلى الأدوار البنية الأساسية لخدمات Cisco Fabric Services (CFS) لتمكين الإدارة الفعالة لقاعدة البيانات ولتوفير نقطة واحدة للتكوين في الشبكة.

عندما تقوم بتمكين توزيع CFS لميزة على جهازك، ينتمي الجهاز إلى منطقة CFS تحتوي على أجهزة أخرى في الشبكة والتي قمت أيضا بتمكينها لتوزيع CFS للميزة. يتم تعطيل توزيع CFS لميزة دور المستخدم بشكل افتراضي.

يجب تمكين CFS لأدوار المستخدم على كل جهاز تريد توزيع تغييرات التكوين عليه.

بعد أن يمكن أنت CFS توزيع لأدوار مستعمل على المفتاح، أول مستعمل دور أمر أن أنت تدخل يسبب المفتاح NX-OS برمجية أن يأخذ هذا عملية:

1. ينشئ جلسة CFS على المفتاح.
2. تأمين تكوين دور المستخدم على جميع المحولات في منطقة CFS مع تمكين CFS لميزة دور المستخدم.
3. حفظ تغييرات تكوين دور المستخدم في مخزن مؤقت مؤقت على المحول.

تبقى التغييرات في المخزن المؤقت على المحول إلى أن تقوم بإلزامها بشكل صريح ليتم توزيعها على الأجهزة في منطقة CFS.

عندما تقوم بتنفيذ التغييرات، يقوم برنامج NX-OS باتخاذ هذه الإجراءات:

1. تطبيق التغييرات على التكوين الجاري تشغيله على المحول.
2. توزيع تكوين دور المستخدم المحدث إلى المحولات الأخرى في منطقة CFS.
3. إلغاء تأمين تكوين دور المستخدم في الأجهزة الموجودة في منطقة CFS.
4. ينهي جلسة CFS.

يتم توزيع هذه التكوينات:

• أسماء الأدوار والأوصاف
• قائمة قواعد الأدوار

   

أوامر التكوين والإظهار

		الغرض
الخطوة 1.	تكوين الوحدة الطرفية مثال: switch# configure terminal switch(config)#	يدخل شامل تشكيل أسلوب.
الخطوة 2.	اسم الدور اسم الدور مثال: switch(config)# role name userA switch(config-role)#	تحديد دور مستخدم وإدخال وضع تكوين الدور.
الخطوة 3.	رفض سياسة vlan مثال: رفض سياسة switch(config-role)#vlan switch(config-role-vlan)#	يدخل دور vlan سياسة تشكيل أسلوب.
الخطوة 4.	allowed vlan vlan-id مثال: switch(config-role-vlan)#allowed vlan 1	يحدد شبكة VLAN التي يمكن للدور الوصول إليها. كرر هذا الأمر لكل شبكات VLAN حسب الحاجة.
الخطوة 5.	مخرج مثال: switch(config-role-vlan)# exit switch(config-role)#	الخروج من دور vlan سياسة تشكيل أسلوب.
الخطوة 6.	إظهار الدور مثال: switch(config-role)#show role	(إختياري) يعرض تكوين الدور.
الخطوة 7.	إظهار الدور {معلق | معلق-diff} مثال: switch(config-role)# show دور معلق	(إختياري) يعرض تكوين دور المستخدم المعلق للتوزيع
الخطوة 8.	التزام الدور مثال: switch(config-role)# role commit	(إختياري) تطبيق تغييرات تكوين دور المستخدم في قاعدة البيانات المؤقتة على التكوين الجاري وتوزع تكوين دور المستخدم على المحولات الأخرى إذا قمت بتمكين توزيع تكوين CFS لميزة دور المستخدم.
الخطوة 9.	copy running-config startup-config مثال: switch#copy running-config startup-config	(إختياري) انسخ التكوين الجاري تشغيله إلى تكوين بدء التشغيل.

تمكن هذه الخطوات توزيع تكوين الدور:

		الغرض
الخطوة 1.	switch# config t switch(config)#	يدخل تشكيل أسلوب.
الخطوة 2.	switch(config)# توزيع الأدوار	تمكين توزيع تكوين الأدوار.
	switch(config)#no role distribute	تعطيل توزيع تكوين الأدوار (الافتراضي).

تقوم هذه الخطوات بإجراء تغييرات تكوين الدور:

		الغرض
الخطوة 1	Nexus# config T Nexus(config)#	يدخل تشكيل أسلوب.
الخطوة 2	التزام دور Nexus(config)#	الالتزام بتغييرات تكوين الدور.

تتجاهل هذه الخطوات تغييرات تكوين الدور:

		الغرض
الخطوة 1	Nexus# config T Nexus(config)#	يدخل تشكيل أسلوب.
الخطوة 2	Nexus(config)# إجهاض الدور	يتجاهل تغييرات تكوين الدور ويمسح قاعدة بيانات التكوين المعلقة.

لعرض معلومات تكوين RBAC وحساب المستخدم، قم بتنفيذ واحدة من المهام التالية:

	الغرض
إظهار الدور	عرض تكوين دور المستخدم.
إظهار ميزة الدور	يعرض قائمة الميزات.
إظهار مجموعة ميزات الدور	عرض تكوين مجموعة الميزات.

مسح جلسة توزيع دور المستخدم

يمكنك مسح جلسة عمل توزيع خدمات Cisco Fabric (إن وجدت) الجارية وإلغاء تأمين البنية لميزة دور المستخدم.

تحذير: سيتم فقد أي تغييرات في قاعدة البيانات المعلقة عند إصدار هذا الأمر.

		الغرض
الخطوة 1	switch# مسح جلسة عمل الدور مثال: switch# مسح جلسة عمل الدور	مسح جلسة العمل وإلغاء تأمين النسيج.
الخطوة 2	إظهار حالة جلسة عمل الدور مثال: switch# عرض حالة جلسة عمل الدور	(إختياري) يعرض حالة جلسة CFS لدور المستخدم.

  

مثال التكوين

في هذا المثال، سنقوم بإنشاء TAC لحساب مستخدم باستخدام إذن الوصول هذا:

• الوصول إلى أمر واضح
• الوصول إلى أمر التكوين
• الوصول إلى أمر تصحيح الأخطاء
• أمر EXEC الوصول إلى
• الوصول إلى الأمر show
• الوصول إلى شبكة VLAN 1-10 فقط 

C5548P-1# config t
Enter configuration commands, one per line.  End with CNTL/Z
C5548P-1(config)# role name Cisco
C5548P-1(config-role)# rule 1 permit command clear
C5548P-1(config-role)# rule 2 permit command config
C5548P-1(config-role)# rule 3 permit command debug
C5548P-1(config-role)# rule 4 permit command exec
C5548P-1(config-role)# rule 5 permit command show
C5548P-1(config-role)# vlan policy deny
C5548P-1(config-role-vlan)# permit vlan 1-10
C5548P-1(config-role-vlan)# end

C5548P-1# show role name Cisco
 
Role: Cisco
  Description: new role
  vsan policy: permit (default)
  Vlan policy: deny
  Permitted vlans: 1-10
  Interface policy: permit (default)
  Vrf policy: permit (default)
  -------------------------------------------------------------------
  Rule    Perm    Type        Scope               Entity                 
  -------------------------------------------------------------------
  5       permit  command                         show                   
  4       permit  command                         exec                   
  3       permit  command                         debug                  
  2       permit  command                         config                 
  1       permit  command                         clear    
 
             
C5548P-1#
C5548P-1# config t
Enter configuration commands, one per line.  End with CNTL/Z.
C5548P-1(config)# username TAC password Cisco123 role Cisco
 
C5548P-1(config)# show user-account TAC
user:TAC
        this user account has no expiry date
        roles:Cisco

متطلبات الترخيص

المنتج	متطلبات الترخيص
NX-OS	لا تتطلب حسابات المستخدمين و RBAC أي ترخيص.

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.