在此页面上
设备 AAA
概述
瞻博网络、Cisco 和 Arista 设备支持 RADIUS 和 TACACS+ 设备 AAA(身份验证、授权和计费)框架。设备 AAA 是可选的,正确实施是最终用户的责任。正确实施 Apstra AAA 的最低要求如下所述。
使用 AAA 框架时,我们建议向设备添加本地 Apstra 用户。如果在 Apstra 执行完整配置推送时 AAA 身份验证或授权失败,则需要手动恢复(配置推送)。
您可以通过以下两种方式之一应用 AAA 配置:
Configlet(推荐)
将配置添加到 configlet,然后将其导入蓝图。本地凭据必须可从 Apstra 环境中获得,这样才能添加设备并应用 configlet。有关详细信息,请参阅 Configlet。
在升级 Apstra 服务器、设备代理或 NOS 之前, 您必须 从蓝图中删除设备 AAA/TACACS 配置。升级完成后,您可以重新应用它们。
用户必需
您可以在确认设备之前添加配置,而不是使用 configlet,因此它将成为原始配置的一部分。有关更多信息,请参阅 设备配置生命周期。
瞻博网络 Junos
Junos 异机系统代理用户的凭据必须始终有效且可用。使用 AAA 框架时,我们建议您将本地用户添加到设备,并将其用于 Apstra 异机系统代理。在 Junos 配置中,始终将“密码”放在身份验证顺序的第一个,如下所示:
authentication-order [ password radius ]
思科 NX-OS
远程用户可能会不规则地从NX-OS设备中删除,从而导致身份验证和授权失败。用户(角色“网络管理员”)必须存在于设备上才能管理设备。否则,代理安装、遥测收集和设备配置等 Apstra 功能可能会失败。唯一已知的解决方法是使用本地身份验证。
以下示例 NX-OS 配置已经过测试,可与 Apstra 软件配合使用。这会同时使用身份验证和授权:
tacacs-server key 7 “<key>“ tacacs-server timeout <timeout> tacacs-server host <host> aaa group server tacacs+ <group> server <host> use-vrf management source-interface mgmt0 aaa authentication login default group <group> aaa accounting default group <group> local aaa authentication login error-enable aaa authentication login ascii-authentication
阿里斯塔 EOS
在 EOS 设备上配置 TACACS+ AAA 时,将文件从 Apstra 服务器复制到设备时,设备代理升级可能会失败。如果 TACACS+ 使用自定义密码提示,通常会发生这种情况。为防止此类故障,请暂时禁用所有 TACACS+ AAA,其中设备身份验证使用管理员级别的用户名和密码进行任何设备代理操作,包括升级。