ISEサーバを使用したUCS ManagerでのTACACS+認証ドメインの設定

はじめに

このドキュメントでは、Unified Compute System Manager(UCSM)でのTerminal Access Controller Access-Control System Plus(TACACS+)認証の設定について説明します。TACACS+は、認証、許可、およびアカウンタビリティサービス(AAA)に使用されるネットワークプロトコルで、サーバを介してルールを管理および作成できるネットワークアクセスデバイス(NAD)を管理するための集中方式を提供します。この使用例では、Identity Services Engine(ISE)を使用します。 

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco UCS Manager(UCSM)
• Terminal Access Controller Access-Control System Plus(TACACS+)
• Identity Services Engine（ISE）

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• UCSM 4.2(3d)
• Cisco Identity Services Engine(ISE)バージョン3.2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

コンフィギュレーション

でのTACACS+の設定 ISE

セットアップ TACACS+の ISE上

ステップ 1：最初のタスクは、ISEにTACACS+認証を処理する正しい機能があるかどうかを確認することです。このような場合は、ポリシーサービスノード(PSN)内でデバイス管理サービスの機能が必要かどうかを確認し、メニューAdministration > System > Deploymentを参照して、ISEがTACACS+を実行するノードを選択し、次にeditボタンを選択します。

ステップ 2：Device Administration Serviceという対応する機能が表示されるまで下にスクロールして（この機能を有効にするには、まずノードでポリシーサーバペルソナを有効にし、さらに導入で使用可能なTACACS+のライセンスが必要なことに注意してください）、そのチェックボックスをオンにして、設定を保存します。

ステップ 3：ISEをTACACS+としてサーバとして使用するNetwork Access Device(NAD)を設定し、Administration > Network Resources > Network Devicesの順にメニューに移動して、+Addボタンを選択します。

ステップ 4：このセクションでは、次のように設定します。

• TACACS+クライアントにするUCSMの名前。
• UCSMがISEに要求を送信するために使用するIPアドレス。
• TACACS+ Shared Secret(CHAP)：これは、UCSMとISE間のパケットの暗号化に使用されるパスワードです 

ISEでの属性とルールの設定

ステップ 1：TACACS+プロファイルを作成し、メニューWork Centers > Device Administration > Policy Elements > Results > TACACS Profilesに移動し、Addを選択します

ステップ 2：このセクションでは、プロファイルを名前で設定し、Custom AttributesセクションでAddを選択し、次に特性MANDATORYの1つの属性を作成して（属性のタイプに応じて）、それにcisco-av-pairという名前を付け、値でUCSM内で使用可能なロールの1つを選択して、シェルロールとして入力します(この例ではロールadminを使用し、選択した入力はshell:roles="admin"にする必要です)。 

同じメニューで、TACACSプロファイルにRaw Viewを選択すると、ISEを介して送信される属性の対応する設定を確認できます。 

ステップ 3：チェックマークをオンにして、設定を保存します。

ステップ 4：UCSMで使用するデバイス管理ポリシーセットを作成し、メニューWork Centers > Device Administration > Device Admin Policy Setsに移動し、既存のポリシーセットから歯車アイコンを選択して上のInsert new rowを選択します

ステップ 5：この新しいポリシーセットに名前を付け、UCSMサーバから継続されるTACACS+認証の特性に応じて条件を追加し、Allowed Protocols > Default Device Adminとして選択して、設定を保存します。

手順 6：>表示オプションを選択し、認証ポリシーセクションで、ISEがUCSMに入力されるユーザ名とクレデンシャルを照会する外部アイデンティティソースを選択します。この例では、クレデンシャルはISE内に保存されている内部ユーザに対応します。

手順 7：Authorization Policyという名前のセクションがDefault policyになるまで下方向にスクロールし、歯車アイコンを選択して、上にルールを1つ挿入します。

ステップ 8：新しい認可ルールに名前を付け、グループメンバーシップとして認証済みのユーザに関する条件を追加します。次に、Shell Profilesセクションで、以前に設定したTACACSプロファイルをsaveします。

UCSMでのTACACS+の設定

ログインするCisco UCS ManagerGUIを使用して 管理者権限を持つユーザ。

ユーザのロールの作成

ステップ 1：ナビゲーション ペインで Admin タブを選択します。
ステップ 2：Adminタブで、All > User Management > User Services > Rolesの順に展開します。

ステップ 3： 内Workペインで、Generaltab.

ステップ 4：カスタムロールにはAddを選択します。このサンプルでは、デフォルトのロールを使用します。

ステップ 5：TACACSプロファイルで以前に設定した名前と名前の役割が一致することを確認します。

TACACS+プロバイダーの作成

ステップ 1：ナビゲーション ペインで Admin タブを選択します。
ステップ 2：Adminタブで、All > User Management > TACACS+の順に展開します。

ステップ 3： 内Workペインで、General tab.

ステップ 4： 内Actions領域、選択Create TACACS+ Provider.

 

ステップ 5： 内Create TACACS+ Providerウィザードが表示されたら、適切な情報を入力します。

• Hostnameフィールドに、TACACS+サーバのIPアドレスまたはホスト名を入力します。
• Orderフィールドで、Cisco UCSがこのプロバイダーを使用してユーザを認証する順序。

  1 ～ 16の整数を入力するか、このCisco UCSインスタンスで定義されている他のプロバイダーに基づいて次に使用可能な注文をCisco UCSに割り当てる場合は、使用可能な最小値または0（ゼロ）を入力します。

• Keyフィールドに、データベースのSSL暗号化キーを入力します。

• Confirm Keyフィールドで、確認のためにSSL暗号キーが繰り返されています。
• Portフィールドで、Cisco UCSがTACACS+データベースと通信するために使用するポート（ポート49のデフォルトポート）を指定します。

• Timeoutフィールドには、タイムアウトになるまでにシステムがTACACS+データベースへの問い合わせを試行する時間（秒単位）です。

 手順 6：Okを選択します。

注:IPアドレスではなくホスト名を使用する場合は、Cisco UCS ManagerでDNSサーバを設定する必要があります。

TACAC+プロバイダーグループの作成

ステップ 1：内Navigationペインで、 Admin tab.

ステップ 2： 次のAdminタブ、展開 All > User Management > TACACS+を参照。

ステップ 3： 内Workペインで、 General tab.

ステップ 4： 内Actions領域、選択Create TACACS+ Providerグループ.

 

ステップ 5：Create TACACS+ Provider Groupダイアログボックスで、要求された情報を入力します。

• Nameフィールドに、グループの一意の名前を入力します。
• TACACS+ Providersテーブルで、グループに含めるプロバイダーを選択します。
• >> ボタンを選択して、Included Providersテーブルにプロバイダーを追加します。

手順 6：Okを選択します。

認証ドメインの作成

ステップ 1： 内 Navigation ペインで、 Admin tab.

ステップ 2： 次の Admin タブ、展開 All > User Management > Authentication

ステップ 3： 内Workペインで、 General tab.

ステップ 4： 内Actions領域、選択Create a Domain.

ステップ 5：Create Domainダイアログボックスで、要求された情報を入力します。

• Nameフィールドに、ドメインの一意の名前を入力します。
• Realmで、Tacacsオプションを選択します。
• Provider Groupドロップダウンリストから、以前に作成したTACACS+プロバイダーグループを選択し、OKを選択します

 

トラブルシュート

UCSMでの一般的なTACACS+の問題

• キーが正しくないか、文字が無効です。
• ポートが正しくない.
• ファイアウォールまたはプロキシのルールにより、プロバイダーとの通信が行われません。
• FSMが100 %ではありません。

UCSM TACACS+の設定を確認します。

有限状態マシン(FSM)のステータスが100 %完了と表示されていることを確認して、UCSMが設定を実装していることを確認する必要があります。

UCSMコマンドラインからの設定の確認

UCS-A# scope security 
UCS-A /security # scope tacacs 
UCS-A /security/tacacs # show configuration

UCS-A /security/tacacs # show fsm status

 

NXOSからTACACS設定を確認します。

UCS-A# connect nxos 
UCS-A(nx-os)# show tacacs-server 
UCS-A(nx-os)# show tacacs-server groups

NX-OSから認証をテストするには、test aaaコマンドを使用します（NXOSからのみ使用可能）。

サーバの設定を検証します。

UCS-A(nx-os)# test aaa server tacacs+  <TACACS+-server-IP-address or FQDN> <username> <password>

UCSMレビュー

到達可能性の検証

UCS-A# connect local-mgmt
UCS-A(local-mgmt)# ping <TACACS+-server-IP-address or FQDN>

 

ポートの検証

UCS-A# connect local-mgmt
UCS-A(local-mgmt)# telnet <TACACS+-server-IP-address or FQDN> <Port>

エラーを確認する最も効果的な方法は、NXOSデバッグを有効にすることです。この出力から、グループ、接続、および誤通信を引き起こすエラーメッセージを確認できます。

•  UCSMへのSSHセッションを開き、管理者権限を持つ任意の特権ユーザ（できればローカルユーザ）でログインし、NX-OS CLIコンテキストに変更して端末モニタを起動します。

UCS-A# connect nxos
UCS-A(nx-os)# terminal monitor

• デバッグフラグを有効にし、ログファイルへのSSHセッションの出力を確認します。

UCS-A(nx-os)# debug aaa all
UCS-A(nx-os)# debug aaa aaa-request
UCS-A(nx-os)# debug tacacs+ aaa-request
UCS-A(nx-os)# debug tacacs+ aaa-request-lowlevel
UCS-A(nx-os)# debug tacacs+ all

•  次に、新しいGUIまたはCLIセッションを開き、リモートユーザ(TACACS+)としてログインします。
•  ログイン失敗メッセージを受信したら、セッションを閉じるデバッグをオフにするか、次のコマンドを使用します。

UCS-A(nx-os)# undebug all

ISEでの一般的なTACACの問題

• ISEでは、UCSMが対応するロールをadminまたはその他のロールに割り当てるために必要な属性でTACACSプロファイルを設定する際に、次の動作が表示されます。保存ボタンをクリックすると、次の動作が表示されます。 

この不具合は、次の不具合https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwc91917（登録ユーザ専用）が原因で発生します。このエラーに対処している場所を確認してください。 

ISEのレビュー 

ステップ 1：TACACS+サービスアビリティが実行されているかどうかを確認します。これは次のようにチェックインできます。

• GUI:Administration > System > Deploymentの順に選択し、サービスDEVICE ADMINでノードがリストされているかどうかを確認します。
• CLIの場合：show ports | include 49コマンドを実行して、TACACS+に属するTCPポートに接続があることを確認します。

ise32/admin#show ports | include 49
tcp: 169.254.4.1:49, 169.254.2.1:49, 169.254.4.1:49, 10.31.123.57:49

ステップ 2：TACACS+認証試行に関連するログが存在するかどうかを確認します。これは、Operations > TACACS > Live logsメニューで確認できます。 

障害の原因に応じて、設定を調整したり、障害の原因に対処したりできます。 

ステップ 3：livelogが表示されない場合は、パケットキャプチャの取得に進み、メニューOperations > Troubleshoot > Diagnostic Tools > General Tools > TCP Dumpの順に移動し、on addを選択します。

UCSMが認証を送信しているPolicy Serviceノードを選択し、フィルタで、認証が送信されているUCSMのIPに対応するinput ip host X.X.X.Xに進み、キャプチャに名前を付けて下にスクロールし、保存してキャプチャを実行し、UCSMからログインします（図1の矢印Bを参照）。 

ステップ 4：認証が実行されるPSN内のデバッグでコンポーネントruntime-AAAを有効にします(Operations > Troubleshoot > Debug Wizard > Debug log configuration)。PSNノードを選択し、編集ボタンでnextを選択します。 

コンポーネントruntime-AAAを探し、そのレベルをdebugに変更して問題を再度再現し、ログの分析に進みます（次の出力例を参照）。  

関連情報

Cisco UCS Managerアドミニストレーションマネージメントガイド

Cisco UCS CIMCコンフィギュレーションガイドTACACS+