Configurazione del dominio di autenticazione TACACS+ su UCS Manager con ISE Server

Introduzione

In questo documento viene descritta la configurazione dell'autenticazione TACACS+ (Terminal Access Controller Access-Control System Plus) su Unified Compute System Manager (UCSM). TACACS+ è un protocollo di rete utilizzato per i servizi di autenticazione, autorizzazione e responsabilità (AAA). Fornisce un metodo centralizzato per gestire i dispositivi di accesso alla rete (NAD) in cui è possibile amministrare e creare regole tramite un server. In questo scenario di utilizzo verrà utilizzato Identity Services Engine (ISE). 

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Cisco UCS Manager (UCSM)
• Access-Control System Plus di Terminal Access Controller (TACACS+)
• Identity Services Engine (ISE)

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• UCSM 4.2(3d)
• Cisco Identity Services Engine (ISE) versione 3.2

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Configurazione TACACS+ su ISE

Configurazione di TACACS+ ISE

Passaggio 1. Il primo task consiste nel verificare se l'ISE dispone delle capacità corrette per gestire le autenticazioni TACACS+. Per questo motivo, è necessario verificare se all'interno del Policy Service Node (PSN) si desidera disporre della funzione per il Device Admin Service, cercare nel menu Amministrazione > Sistema > Distribuzione, selezionare il nodo in cui l'ISE eseguirà TACACS+ e quindi selezionare il pulsante edit.

Passaggio 2. Scorrere verso il basso fino a visualizzare la funzionalità corrispondente denominata Device Administration Service (si noti che per abilitare questa funzionalità è necessario avere la persona di Policy Server abilitata sul nodo e disporre inoltre delle licenze per TACACS+ disponibili nella distribuzione), selezionare la casella di controllo e salvare la configurazione:

Passaggio 3. Configurare il dispositivo di accesso alla rete (NAD) che utilizzerà ISE come TACACS+ come server, selezionare il menu Amministrazione > Risorse di rete > Dispositivi di rete, quindi selezionare il pulsante +Aggiungi.

Passaggio 4. In questa sezione configurare:

• Un nome che indica che l'UCSM deve essere il client TACACS+.
• Gli indirizzi IP che il modulo UCSM utilizza per inviare la richiesta ad ISE.
• TACACS+ Shared Secret, è la password che verrà utilizzata per crittografare i pacchetti tra UCSM e ISE 

Configurazione di attributi e regole su ISE

Passaggio 1. Creare un profilo TACACS+, selezionare il menu Work Center > Device Administration > Policy Elements > Results > TACACS Profiles , quindi selezionare Add

Passaggio 2. In questa sezione configurare il profilo con un nome e nella sezione Attributi personalizzati selezionare Add, quindi creare un attributo di caratteristica MANDATORY, denominarlo cisco-av-pair e nel valore selezionare uno dei ruoli disponibili nell'UCSM e immettere che come ruolo della shell, in questo esempio verrà utilizzato il ruolo admin e l'input selezionato deve essere shell:roles="admin" come mostrato di seguito, 

Nello stesso menu, se si seleziona Raw View per il profilo TACACS, è possibile verificare la configurazione corrispondente dell'attributo che verrà inviato tramite ISE. 

Passaggio 3. Selezionare la casella di spunta e salvare la configurazione.

Passaggio 4. Creare un set di criteri di amministrazione dei dispositivi da utilizzare per il modulo UCSM, selezionare il menu Centri di lavoro > Amministrazione dispositivi > Set di criteri di amministrazione dei dispositivi, quindi selezionare l'icona a forma di ingranaggio da selezionare Inserisci nuova riga sopra

Passaggio 5. Assegnare un nome al nuovo set di criteri, aggiungere le condizioni in base alle caratteristiche delle autenticazioni TACACS+ che saranno in corso dal server UCSM e selezionare Protocolli consentiti > Amministratore predefinito del dispositivo, quindi salvare la configurazione.

Passaggio 6. Selezionare nell'opzione >view (Visualizza) e selezionare nella sezione Authentication Policy (Criteri di autenticazione), l'origine dell'identità esterna da cui ISE eseguirà la query del nome utente e delle credenziali che verranno inserite nel modulo UCSM. In questo esempio le credenziali corrispondono agli utenti interni memorizzati in ISE.

Passaggio 7. Scorrere verso il basso fino alla sezione Criteri di autorizzazione fino a Criterio predefinito, selezionare l'icona dell'ingranaggio, quindi inserire una regola.

Passaggio 8. Assegnare un nome alla nuova regola di autorizzazione, aggiungere le condizioni relative all'utente che verrà autenticato già come appartenenza al gruppo e nella sezione Profili shell aggiungere il profilo TACACS configurato in precedenza, salvare la configurazione.

Configurazione TACACS+ su UCSM

AccediCisco UCS ManagerGUI con utente con privilegi di amministratore.

Creazione di ruoli per gli utenti

Passaggio 1. Nel riquadro di spostamento selezionare la scheda Amministrazione.
Passaggio 2. Nella scheda Amministrazione, espandere Tutto > Gestione utenti > Servizi utente > Ruoli.

Passaggio 3. Nella schedaWorkselezionare il riquadroGeneralscheda.

Passaggio 4. Selezionare Aggiungi per i ruoli personalizzati. In questo esempio si utilizzano i ruoli predefiniti.

Passaggio 5. Verificare che il ruolo del nome corrisponda al nome configurato in precedenza nel profilo TACACS.

Crea un provider TACACS+

Passaggio 1. Nel riquadro di spostamento selezionare la scheda Amministrazione.
Passaggio 2. Nella scheda Admin, espandere All > User Management > TACACS+.

Passaggio 3. Nella schedaWorkselezionare il riquadroGeneral scheda.

Passaggio 4. Nella schedaActionsarea, selezionareCreate TACACS+ Provider.

 

Passaggio 5. Nella schedaCreate TACACS+ Providerprocedura guidata, immettere le informazioni appropriate.

• Nel campo Hostname (Nome host), digitare l'indirizzo IP o il nome host del server TACACS+.
• Nel campo Order (Ordine), viene visualizzato l'ordine in cui Cisco UCS utilizza questo provider per autenticare gli utenti.

  Immettere un numero intero compreso tra 1 e 16 oppure immettere il valore minimo disponibile o 0 (zero) se si desidera che Cisco UCS assegni il successivo ordine disponibile in base agli altri provider definiti in questa istanza di Cisco UCS.

• Nel campo Chiave, la chiave di crittografia SSL per il database.

• Nel campo Confirm Key (Conferma chiave), viene ripetuta la chiave di crittografia SSL per la conferma.
• Nel campo Port (Porta), indica la porta attraverso cui Cisco UCS comunica con il database TACACS+ (porta 49, porta predefinita).

• Nel campo Timeout, indica il tempo in secondi impiegato dal sistema per tentare di contattare il database TACACS+ prima del timeout.

 Passaggio 6. Selezionare Ok.

Nota: se si utilizza un nome host anziché un indirizzo IP, è necessario configurare un server DNS in Cisco UCS Manager.

Crea un gruppo di provider TACAC+

Passaggio 1.Nella schedaNavigationselezionare il riquadro Admin scheda.

Passaggio 2. Nella schedaAdmin, espandere All > User Management > TACACS+.

Passaggio 3. Nella schedaWorkselezionare il riquadro General scheda.

Passaggio 4. Nella schedaActionsarea, selezionareCreate TACACS+ ProviderGroup.

 

Passaggio 5. Nella finestra di dialogo Crea gruppo di provider TACACS+, immettere le informazioni richieste.

• Nel campo Nome, immettere un nome univoco per il gruppo.
• Nella tabella Provider TACACS+, scegliere i provider da includere nel gruppo.
• Selezionare il pulsante >> per aggiungere i provider alla tabella Provider inclusi.

Passaggio 6. Selezionare Ok.

Crea un dominio di autenticazione

Passaggio 1. Nella scheda Navigation selezionare il riquadro Admin scheda.

Passaggio 2. Nella scheda Admin , espandere All > User Management > Authentication

Passaggio 3. Nella schedaWorkselezionare il riquadro General scheda.

Passaggio 4. Nella schedaActionsarea, selezionareCreate a Domain.

Passaggio 5. Nella finestra di dialogo Crea dominio immettere le informazioni richieste.

• Nel campo Nome, immettere un nome univoco per il dominio.
• Nel realm, selezionate l'opzione TACACS.
• Dall'elenco a discesa Provider Group (Gruppo provider), selezionare il gruppo di provider TACACS+ creato in precedenza e selezionare OK

 

Risoluzione dei problemi

Problemi comuni di TACACS+ sull'UCSM

• Chiave o caratteri non validi.
• Porta errata.
• Nessuna comunicazione con il provider a causa di una regola del firewall o del proxy.
• Gli FSM non sono al 100%.

Verificare la configurazione UCSM TACACS+:

È necessario verificare che il modulo UCSM abbia implementato la configurazione controllando che lo stato della macchina a stati finiti (FSM) venga visualizzato come completato al 100%.

Verificare la configurazione dalla riga di comando di UCSM

UCS-A# scope security 
UCS-A /security # scope tacacs 
UCS-A /security/tacacs # show configuration

UCS-A /security/tacacs # show fsm status

 

Verificare la configurazione di Tacacs da NXOS:

UCS-A# connect nxos 
UCS-A(nx-os)# show tacacs-server 
UCS-A(nx-os)# show tacacs-server groups

Per verificare l'autenticazione da NX-OS, utilizzare iltest aaa(disponibile solo da NXOS).

Convalidare la configurazione del server:

UCS-A(nx-os)# test aaa server tacacs+  <TACACS+-server-IP-address or FQDN> <username> <password>

Revisione UCSM

Verifica della raggiungibilità

UCS-A# connect local-mgmt
UCS-A(local-mgmt)# ping <TACACS+-server-IP-address or FQDN>

 

Verifica porta

UCS-A# connect local-mgmt
UCS-A(local-mgmt)# telnet <TACACS+-server-IP-address or FQDN> <Port>

Il metodo più efficace per visualizzare gli errori consiste nell'attivare il debug NXOS, che consente di visualizzare i gruppi, la connessione e il messaggio di errore che causa la mancata comunicazione.

•  Aprire una sessione SSH su UCSM e accedere con qualsiasi utente con privilegi amministrativi (preferibilmente un utente locale), passare al contesto CLI di NX-OS e avviare terminal monitor.

UCS-A# connect nxos
UCS-A(nx-os)# terminal monitor

• Abilitare i flag di debug e verificare l'output della sessione SSH nel file di log.

UCS-A(nx-os)# debug aaa all
UCS-A(nx-os)# debug aaa aaa-request
UCS-A(nx-os)# debug tacacs+ aaa-request
UCS-A(nx-os)# debug tacacs+ aaa-request-lowlevel
UCS-A(nx-os)# debug tacacs+ all

•  Aprire una nuova sessione della GUI o della CLI e tentare di accedere come utente remoto (TACACS+).
•  Dopo aver ricevuto un messaggio di accesso non riuscito, disattivare i debug chiudendo la sessione o con il comando riportato di seguito.

UCS-A(nx-os)# undebug all

Problemi comuni di TACAC sull'ISE

• In ISE viene visualizzato il seguente comportamento durante il tentativo di configurare un profilo tacacs negli attributi necessari a UCSM per assegnare i ruoli corrispondenti per l'amministratore o qualsiasi altro ruolo, selezionare il pulsante Save (Salva) per visualizzare il seguente comportamento: 

Questo errore è dovuto al seguente bug https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwc91917 , accertarsi di aver individuato la causa a cui è stato risolto. 

Recensione ISE 

Passaggio 1. Verificare se il servizio TACACS+ è in esecuzione. È possibile archiviare questa condizione:

• GUI: verificare se il nodo è elencato con il servizio DEVICE ADMIN in Amministrazione > Sistema > Distribuzione.
• CLI: eseguire il comando show ports | includere 49 per confermare che la porta TCP contiene connessioni che appartengono a TACACS+

ise32/admin#show ports | include 49
tcp: 169.254.4.1:49, 169.254.2.1:49, 169.254.4.1:49, 10.31.123.57:49

Passaggio 2. Confermare se sono presenti registri attivi relativi ai tentativi di autenticazione TACACS+: questo può essere controllato nel menu Operazioni > TACACS > Live logs , 

A seconda del motivo dell'errore, è possibile modificare la configurazione o risolvere la causa dell'errore. 

Passaggio 3. Se il catalogo non è visibile, passare a un'acquisizione pacchetto e passare al menu Operazioni > Risoluzione dei problemi > Strumenti di diagnostica > Strumenti generali > Dump TCP , selezionare Aggiungi

Selezionare il nodo del servizio criteri da cui il modulo UCSM sta inviando l'autenticazione, quindi nei filtri procedere all'input dell'host IP X.X.X corrispondente all'indirizzo IP del modulo UCSM dal quale viene inviata l'autenticazione, assegnare un nome all'acquisizione e scorrere verso il basso per salvare, eseguire l'acquisizione e accedere dal modulo UCSM. 

Passaggio 4. Abilitare il componente runtime-AAA nel debug all'interno del PSN da cui viene eseguita l'autenticazione in Operazioni > Risoluzione dei problemi > Debug guidato > Configurazione del log di debug, selezionare il nodo PSN, quindi selezionare avanti nel pulsante Modifica. 

Cercare il componente runtime-AAA e modificarne il livello per eseguire il debug, quindi riprodurre nuovamente il problema e procedere all'analisi dei log.  

Informazioni correlate

Guida all'amministrazione di Cisco UCS Manager

Guida alla configurazione di Cisco UCS CIMC TACACS+