Introdução
Este documento descreve a configuração da autenticação do Terminal Access Controller Access-Control System Plus (TACACS+) no Unified Compute System Manager (UCSM). O TACACS+ é um protocolo de rede usado para serviços de Autenticação, Autorização e Responsabilidade (AAA) , fornece um método centralizado para gerenciar Dispositivos de Acesso à Rede (NAD), onde você pode administrar e criar regras através de um servidor. Neste cenário de caso de uso, usaremos o Identity Services Engine (ISE).
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Cisco UCS Manager (UCSM)
- Terminal Access Controller Access-Control System Plus (TACACS+)
- Identity services engine (ISE)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- UCSM 4.2(3d)
- Cisco Identity Services Engine (ISE) versão 3.2
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configuração
Configuração TACACS+ em ISE
Instalação de TACACS+ no ISE
Etapa 1. A primeira tarefa é revisar se o ISE tem os recursos corretos para lidar com autenticações TACACS+ para tal você precisa verificar se dentro do Policy Service Node (PSN) desejado você tem o recurso para Device Admin Service, navegue através do menu Administração > Sistema > Implantação, selecione o nó onde o ISE vai executar TACACS+ e, em seguida, selecione o botão editar.
![Screenshot 2023-06-25 at 1.18.00](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-00.png)
Etapa 2. Role para baixo até ver o recurso correspondente chamado Device Administration Service (observe que, para que esse recurso seja habilitado, você precisa primeiro ter o Policy Server persona habilitado no nó e, além disso, ter licenças para TACACS+ disponíveis em sua implantação), marque essa caixa de seleção e salve a configuração:
![Screenshot 2023-06-24 at 18.18.45](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-01.png)
Etapa 3. Configure o dispositivo de acesso à rede (NAD) que usará o ISE como TACACS+ como servidor, navegue até o menu Administração > Recursos de rede > Dispositivos de rede e selecione o botão +Adicionar.
![Screenshot 2023-06-24 at 18.21.02](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-02.png)
Etapa 4. Nesta seção, configure:
- Um nome para que o UCSM seja o cliente TACACS+.
- Os endereços IP que o UCSM usa para enviar solicitações ao ISE.
- Segredo compartilhado TACACS+ , esta é a senha que será usada para criptografar os pacotes entre o UCSM e o ISE
![Screenshot 2023-06-24 at 18.24.01](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-03.png)
Observação: para uma configuração de cluster, adicione os endereços IP da porta de gerenciamento para ambas as interconexões de estrutura. Essa configuração garante que os usuários remotos possam continuar a fazer login se a primeira interconexão de estrutura falhar e o sistema falhar na segunda interconexão de estrutura. Todas as solicitações de login são originadas desses endereços IP, não do endereço IP virtual usado pelo Cisco UCS Manager.
Configurar os atributos e as regras no ISE
Etapa 1. Crie um perfil TACACS+, navegue até o menu Centros de trabalho > Administração de dispositivo > Elementos de política > Resultados > Perfis TACACS e selecione Adicionar
![Screenshot 2023-06-25 at 7.32.46](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-04.png)
Etapa 2. Nesta seção, configure o perfil com um nome e, na seção Custom Attributes, selecione Add , em seguida, crie um atributo de característica MANDATORY , nomeie-o como cisco-av-pair e, no valor, selecione uma das funções disponíveis no UCSM e insira que como uma função de shell , neste exemplo, será usada a função admin e a entrada selecionada precisa ser shell:roles="admin", como mostrado abaixo,
![Screenshot 2023-06-25 at 7.54.49](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-05.png)
No mesmo menu, se você selecionar a visualização bruta para o perfil TACACS, você pode verificar a configuração correspondente do atributo que será enviado através do ISE.
![Screenshot 2023-07-03 at 18.34.21](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-06.png)
Observação: o nome cisco-av-pair é a string que fornece a ID de atributo para o provedor TACACS+.
Etapa 3. Selecione na opção e salve sua configuração.
Etapa 4. Crie um Device Admin Policy Set a ser usado para o seu UCSM, navegue no menu Work Centers > Device Administration > Device Admin Policy Sets e, em seguida, em um conjunto de políticas existente, selecione o ícone de engrenagem para selecionar Insert nova linha acima
![Screenshot 2023-06-25 at 7.56.51](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-07.png)
Etapa 5. Nomeie esse novo Conjunto de políticas, adicione condições dependendo das características das autenticações TACACS+ que estarão em andamento no servidor UCSM e selecione como Protocolos permitidos > Administrador de dispositivo padrão salvar sua configuração.
![Screenshot 2023-06-25 at 7.58.09](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-08.png)
Etapa 6. Selecione na opção > view e selecione na seção Authentication Policy, a origem de identidade externa de onde o ISE consultará o nome de usuário e as credenciais que serão inseridas no UCSM, neste exemplo, as credenciais correspondem aos Usuários Internos armazenados no ISE.
![Screenshot 2023-06-25 at 8.03.49](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-09.png)
Passo 7. Role para baixo até a seção chamada Authorization Policy até a Default policy, selecione o ícone de engrenagem e insira uma regra acima.
Etapa 8. Nomeie a nova Regra de autorização, adicione condições referentes ao usuário que já será autenticado como associação de grupo e, na seção Perfis de shell, adicione o perfil TACACS que você configurou anteriormente, salve a configuração.
![Screenshot 2023-06-25 at 8.05.27](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-10.png)
Configuração TACACS+ em UCSM
Efetue login noCisco UCS Manager
GUI com um usuário com privilégios de administrador.
Criar funções para usuários
Etapa 1. No painel Navegação, selecione a guia Admin.
Etapa 2. Na guia Admin, expanda All > User Management >User Services > Roles.
Etapa 3. NoWork
selecione a opçãoGeneral
guia.
Etapa 4. Selecione Adicionar para funções personalizadas. Este exemplo usa Funções padrão.
Etapa 5. Verifique se a função de nome corresponde ao nome configurado anteriormente no perfil TACACS.
![Screenshot 2023-06-24 at 22.52.38](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-11.png)
Criar um provedor TACACS+
Etapa 1. No painel Navegação, selecione a guia Admin.
Etapa 2. Na guia Admin, expanda All > User Management > TACACS+.
Etapa 3. NoWork
selecione a opçãoGeneral
guia.
Etapa 4. NoActions
área, selecioneCreate TACACS+ Provider.
Etapa 5. NoCreate TACACS+ Provider
, insira as informações apropriadas.
- No campo Hostname, digite o endereço IP ou o nome de host do servidor TACACS+.
- No campo Pedido, A ordem na qual o Cisco UCS usa esse provedor para autenticar usuários.
Insira um número inteiro entre 1 e 16, ou insira o menor disponível ou 0 (zero) se quiser que o Cisco UCS atribua o próximo pedido disponível com base nos outros provedores definidos nesta instância do Cisco UCS.
- No campo Key, a chave de criptografia SSL do banco de dados.
-
No campo Confirm Key, a chave de criptografia SSL é repetida para fins de confirmação.
-
No campo Port, a porta pela qual o Cisco UCS se comunica com o banco de dados TACACS+ (porta padrão 49 da porta).
-
No campo Timeout, o tempo em segundos que o sistema gasta tentando contatar o banco de dados TACACS+ antes que ele expire.
Etapa 6. Selecione Ok.
Observação: se você usar um nome de host em vez de um endereço IP, deverá configurar um servidor DNS no Cisco UCS Manager.
Criar um grupo de provedores TACAC+
Etapa 1.NoNavigation
selecione a opção Admin
guia.
Etapa 2. Na guiaAdmin
, expandir All > User Management > TACACS+
.
Etapa 3. NoWork
selecione a opção General
guia.
Etapa 4. NoActions
, selecioneCreate TACACS+ Provider
Grupo.
![Screenshot 2023-06-24 at 20.54.35](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-14.png)
Etapa 5. Na caixa de diálogo Create TACACS+ Provider Group, digite as informações solicitadas.
- No campo Nome, insira um nome exclusivo para o grupo.
- Na tabela Provedores TACACS+, escolha os provedores a serem incluídos no grupo.
- Selecione o botão >> para adicionar os provedores à tabela Provedores Incluídos.
![Screenshot 2023-06-24 at 18.53.58](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-15.png)
Etapa 6. Selecione Ok.
Criar um domínio de autenticação
Etapa 1. No Navigation
selecione a opção Admin
guia.
Etapa 2. Na guia Admin
, expandir All > User Management > Authentication
Etapa 3. NoWork
selecione a opção General
guia.
Etapa 4. NoActions
, selecioneCreate a Domain.
![Screenshot 2023-06-24 at 21.30.22](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-16.png)
Etapa 5. Na caixa de diálogo Criar domínio, digite as informações solicitadas.
- No campo Nome, insira um nome exclusivo para o domínio.
- No Realm, selecione a opção Tacacs.
- Na lista suspensa Grupo do provedor, selecione o grupo do provedor TACACS+ criado anteriormente e selecione OK
Troubleshooting
Problemas comuns de TACACS+ no UCSM
- Chave incorreta ou caracteres inválidos.
- Porta Errada.
- Não há comunicação com nosso provedor devido a uma regra de Firewall ou Proxy.
- FSM não é 100%.
Verifique a configuração UCSM TACACS+:
Você deve garantir que o UCSM implementou a configuração, verificando se o status da Máquina de Estado Finito (FSM) é mostrado como 100% concluído.
Verifique a configuração a partir da linha de comando do UCSM
UCS-A# scope security
UCS-A /security # scope tacacs
UCS-A /security/tacacs # show configuration
![Screenshot 2023-06-25 at 21.25.11](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-18.png)
UCS-A /security/tacacs # show fsm status
![Screenshot 2023-06-25 at 21.25.46](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-19.png)
Verifique a configuração Tacacs do NXOS:
UCS-A# connect nxos
UCS-A(nx-os)# show tacacs-server
UCS-A(nx-os)# show tacacs-server groups
![Screenshot 2023-06-25 at 21.37.49](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-20.png)
Para testar a autenticação do NX-OS, use o comandotest aaa
(disponível somente no NXOS).
Valide a configuração do nosso servidor:
UCS-A(nx-os)# test aaa server tacacs+ <TACACS+-server-IP-address or FQDN> <username> <password>
![Screenshot 2023-06-25 at 23.08.01](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-21.png)
Revisão do UCSM
Verificação de acessibilidade
UCS-A# connect local-mgmt
UCS-A(local-mgmt)# ping <TACACS+-server-IP-address or FQDN>
![Screenshot 2023-06-25 at 21.59.38](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-22.png)
Verificação de porta
UCS-A# connect local-mgmt
UCS-A(local-mgmt)# telnet <TACACS+-server-IP-address or FQDN> <Port>
![Screenshot 2023-06-25 at 21.58.27](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-23.png)
O método mais eficaz para ver erros é habilitar a depuração do NXOS. Com essa saída, você pode ver os grupos, a conexão e a mensagem de erro que causa problemas de comunicação.
- Abra uma sessão SSH para o UCSM e faça login com qualquer usuário privilegiado com permissões de administrador (preferencialmente um usuário local), altere para o contexto CLI do NX-OS e inicie o monitor de terminal.
UCS-A# connect nxos
UCS-A(nx-os)# terminal monitor
- Habilite sinalizadores de depuração e verifique a saída da sessão SSH para o arquivo de log.
UCS-A(nx-os)# debug aaa all
UCS-A(nx-os)# debug aaa aaa-request
UCS-A(nx-os)# debug tacacs+ aaa-request
UCS-A(nx-os)# debug tacacs+ aaa-request-lowlevel
UCS-A(nx-os)# debug tacacs+ all
![Screenshot 2023-06-25 at 22.45.22](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-24.png)
- Agora, abra uma nova sessão de GUI ou CLI e tente fazer login como um usuário remoto (TACACS+).
- Depois de receber uma mensagem de falha de login, desative as depurações que fecham a sessão ou com o comando abaixo.
UCS-A(nx-os)# undebug all
Problemas comuns de TACACs no ISE
-
No ISE, o seguinte comportamento é exibido ao tentar configurar um perfil tacacs nos atributos necessários para que o UCSM atribua as funções correspondentes para admin ou qualquer outra função, selecione no botão salvar e o seguinte comportamento é visto:
![Screenshot 2023-06-24 at 19.19.27](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-25.png)
Este erro é devido ao seguinte bug https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwc91917 , certifique-se de que você tenha onde este defeito foi solucionado.
Revisão do ISE
Etapa 1. Verifique se a facilidade de manutenção do TACACS+ está em execução, isso pode ser verificado em:
- GUI: verifique se você tem o nó listado com o serviço DEVICE ADMIN em Administração > Sistema > Implantação.
- CLI: Execute o comando show ports | incluir 49 para confirmar que há conexões na porta TCP que pertencem ao TACACS+
ise32/admin#show ports | include 49
tcp: 169.254.4.1:49, 169.254.2.1:49, 169.254.4.1:49, 10.31.123.57:49
Etapa 2. Confirme se há registros ao vivo referentes a tentativas de autenticação TACACS+ : isso pode ser verificado no menu Operações > TACACS > Registros ao vivo ,
Dependendo do motivo da falha, você pode ajustar sua configuração ou tratar da causa da falha.
![Screenshot 2023-06-24 at 18.30.37](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-26.png)
Etapa 3. Caso você não veja nenhum Livelog, continue para fazer uma captura de pacote, navegue para o menu Operações > Solução de problemas > Ferramentas de diagnóstico > Ferramentas gerais > Despejo TCP , selecione em adicionar
![Screenshot 2023-06-25 at 9.25.54](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-27.png)
Selecione o nó Policy Service de onde o UCSM está enviando a autenticação e, em seguida, nos filtros, prossiga para a entrada do host IP X.X.X.X correspondente ao IP do UCSM de onde a autenticação está sendo enviada, nomeie a captura e role para baixo para salvar, execute a captura e faça login a partir do UCSM .
![Screenshot 2023-06-25 at 9.36.51](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-28.png)
Etapa 4. Ative o componente runtime-AAA na depuração dentro do PSN de onde a autenticação está sendo executada em Operações > Solução de problemas > Assistente de depuração > Configuração do log de depuração, selecione o nó PSN e, em seguida, selecione avançar no botão de edição .
![Screenshot 2023-06-25 at 9.50.10](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-29.png)
Procure o componente runtime-AAA e altere seu nível para debug para, em seguida, reproduzir o problema novamente e continue a analisar os logs .
![Screenshot 2023-06-25 at 9.53.12](/c/dam/en/us/support/docs/security/identity-services-engine-32/220571-configure-tacacs-authentication-domain-30.png)
Observação: para obter mais informações, consulte o vídeo no canal do Cisco Youtube How to Enable Debug on ISE 3.x Versions https://www.youtube.com/watch?v=E3USz8B76c8 .
Informações Relacionadas
Guia de gerenciamento de administração do Cisco UCS Manager
Guia de configuração do Cisco UCS CIMC TACACS+