Modificare le credenziali del dispositivo dal Cisco Catalyst Center per i dispositivi cablati e wireless per scenari di rete sia SDA che non SDA
Sommario
Introduzione
Questo documento descrive i passaggi della procedura di modifica delle credenziali da parte del Cisco Catalyst Center (in precedenza Cisco DNA Center) per dispositivi cablati e wireless in scenari di rete sia fabric che non fabric.
Premesse
Questo documento è valido anche per i siti con autenticazione, autorizzazione e accounting (AAA) gestiti o non gestiti tramite Dynamic Network Access Control (Cisco Catalyst Center).
Sinossi
In questo documento viene descritta la situazione in cui vi è un requisito di rete per l'aggiornamento delle credenziali utilizzate da Cisco Catalyst Center per l'automazione. I dispositivi gestiti vengono rilevati da Cisco Catalyst Center con un nome utente e una password e queste stesse credenziali vengono utilizzate da Cisco Catalyst Center per le connessioni SSH ai dispositivi gestiti (per l'automazione/raccolta dell'inventario e così via). Questo documento descrive le best practice per modificare la password dei dispositivi gestiti dopo che sono stati rilevati da Cisco Catalyst Center.
Soluzione (procedure ottimali)
Requisiti
- Per i siti con AAA gestito da Cisco Catalyst Center
- È necessario modificare la password dell'utente (nessuna modifica alla password di abilitazione).
- È necessario modificare la password dell'utente e la password di abilitazione.
- Per i siti con AAA non gestito di Cisco Catalyst Center
- È necessario modificare la password dell'utente (nessuna modifica alla password di abilitazione).
- È necessario modificare la password dell'utente e la password di abilitazione.
Prerequisiti
- Verificare che AAA non sia configurato in Cisco Catalyst Center per tutti i siti non SDA.
- Usare uno script Python per verificare se tutti gli switch Catalyst 9k (SDA o non SDA) usano RADIUS per eseguire il login SSH alle linee VTY. Correggere tutti i dispositivi che utilizzano credenziali locali.
- Per nodi estesi
- Per aggiornare le righe da vty 0 a 4, utilizzare questi comandi di configurazione (questo può essere il primo passaggio per i nodi estesi).
line vty 0 4
authorization exec VTY_author
login authentication VTY_authen
Procedura per la modifica delle credenziali dal Cisco Catalyst Center
Siti con Cisco Catalyst Center Managed AAA
È necessario modificare la password dell'utente (nessuna modifica alla password di abilitazione)
- Aggiornare innanzitutto le credenziali (password per il nome utente pertinente) in ISE. Ciò causerà un errore di raccolta dell'inventario e gli stati di inventario del dispositivo gestito passeranno a Non raggiungibile, Errore di raccolta parziale o Credenziali errate.
- Nella pagina Provisioning > Inventario, selezionare uno o più dispositivi e selezionare Azioni > Inventario > Modifica dispositivo > scheda Credenziali. Quindi, aggiornare "Aggiungi credenziali specifiche del dispositivo" con il nuovo nome utente e/o password (conservare la stessa password di abilitazione). A questo punto Cisco Catalyst Center sarà in grado di accedere ai dispositivi con le credenziali aggiornate e gli stati di inventario dei dispositivi torneranno a Gestito.
- Le credenziali locali dei dispositivi possono essere aggiornate come fallback per garantire che Cisco Catalyst Center sia in grado di accedere ai dispositivi quando il server AAA esterno non è raggiungibile. Le credenziali locali possono essere aggiornate utilizzando l'Editor modelli di Cisco Catalyst Center, uno script Python personalizzato o manualmente.
- L'ultimo passaggio consiste nell'aggiornare le stesse credenziali nella pagina Credenziali globali. In questo modo, i nuovi dispositivi individuati o i dispositivi aggiunti che utilizzano l'automazione LAN utilizzeranno le credenziali aggiornate della pagina Progettazione > Impostazioni di rete > Credenziali dispositivo > Credenziali CLI > modifica nome utente > aggiorna la password dell'utente senza modificare la password di abilitazione.
Nota: l'accesso SSH/Telnet viene autenticato dal server AAA esterno. Le credenziali del dispositivo locale non sono aggiornate.
Nota: quando si configura un server AAA esterno nella pagina di progettazione di un sito di Cisco Catalyst Center, Cisco Catalyst Center non esegue alcuna azione sui dispositivi gestiti o su ISE quando si modificano o si modificano le credenziali nella pagina Credenziali globali.
È necessario modificare la password dell'utente e la password di abilitazione
- Aggiornare innanzitutto le credenziali (password per il nome utente pertinente) in ISE. Ciò causerà un errore di raccolta dell'inventario e gli stati di inventario del dispositivo gestito passeranno a Non raggiungibile, Errore di raccolta parziale o Credenziali errate.
- Nella pagina Provisioning > Inventario, selezionare uno o più dispositivi e selezionare Azioni > Inventario > Modifica dispositivo > scheda Credenziali. Quindi, aggiornare "Add device specific credential" (Aggiungi credenziali specifiche del dispositivo) con il nuovo nome utente e/o password, nonché la password di abilitazione. A questo punto Cisco Catalyst Center sarà in grado di accedere ai dispositivi con le credenziali aggiornate e gli stati di inventario dei dispositivi torneranno a Gestito.
- L'ultimo passaggio consiste nell'aggiornare le stesse credenziali nella pagina Credenziali globali. In questo modo, i nuovi dispositivi individuati o i dispositivi aggiunti che utilizzano l'automazione LAN utilizzeranno le credenziali aggiornate della pagina Progettazione > Impostazioni di rete > Credenziali dispositivo > Credenziali CLI > Modifica nome utente > Aggiorna la password dell'utente e la password di abilitazione.
Nota: quando il server AAA esterno è raggiungibile, nome utente e password vengono autenticati dal server AAA esterno e la password enable viene autenticata localmente dal dispositivo gestito.
Nota: quando si configura un server AAA esterno nella pagina di progettazione di un sito di Cisco Catalyst Center, Cisco Catalyst Center non esegue alcuna azione sui dispositivi o su ISE quando si modificano o si modificano le credenziali nella pagina Credenziali globali.
Siti con Cisco Catalyst Center AAA non gestito
È necessario modificare la password dell'utente (nessuna modifica alla password di abilitazione)
- Aggiornare le credenziali nella pagina Credenziali globali in Design > Impostazioni di rete > Credenziali dispositivo > Credenziali CLI > modificare il nome utente > aggiornare la password dell'utente senza modificare la password di abilitazione.
- Dopo aver modificato le credenziali nella pagina Credenziali globali, i dispositivi gestiti nei siti in cui Cisco Catalyst Center non gestisce il server AAA possono essere riconfigurati con le credenziali aggiornate. Cisco Catalyst Center può eseguire il push di uno script EEM temporaneo per convalidare le credenziali. Se l'accesso ha esito positivo, la configurazione può essere mantenuta.
Nota: per i dispositivi gestiti nei siti in cui Cisco Catalyst Center non gestisce la configurazione AAA, Cisco Catalyst Center non è in grado di stabilire se i dispositivi gestiti sono configurati manualmente con il server AAA esterno o se i dispositivi gestiti usano solo credenziali locali; pertanto, prima di procedere, verificare che la password sia aggiornata sul server AAA esterno se è configurata sui dispositivi gestiti interessati.
È necessario modificare la password dell'utente e la password di abilitazione
- Aggiornare le credenziali nella pagina Credenziali globali in Design > Impostazioni di rete > Credenziali dispositivo > Credenziali CLI > modificare il nome utente > aggiornare la password dell'utente insieme alla password di abilitazione.
- Dopo aver modificato le credenziali nella pagina Credenziali globali, i dispositivi gestiti nei siti in cui Cisco Catalyst Center non gestisce il server AAA possono essere riconfigurati con le credenziali aggiornate. Cisco Catalyst Center può eseguire il push di uno script EEM temporaneo per convalidare le credenziali. Se l'accesso ha esito positivo, la configurazione può essere mantenuta.
Nota: per i dispositivi gestiti nei siti in cui Cisco Catalyst Center non gestisce la configurazione AAA, Cisco Catalyst Center non è in grado di stabilire se i dispositivi gestiti sono configurati manualmente con il server AAA esterno o se i dispositivi gestiti usano solo credenziali locali; pertanto, prima di procedere, verificare che la password sia aggiornata sul server AAA esterno se è configurata sui dispositivi gestiti interessati.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
21-Dec-2023 |
Versione iniziale |
Feedback