このページで
デバイスAAA
概要
RADIUSおよびTACACS+デバイスAAA(認証、許可、アカウンティング)フレームワークは、ジュニパー、Cisco、Aristaデバイスでサポートされています。デバイスAAAはオプションで、正しい実装はエンドユーザーが行います。正しいApstra AAA実装の最小要件については、以下で説明します。
AAAフレームワークを使用する場合、ローカルのApstraユーザーをデバイスに追加することをお勧めします。Apstraが完全な設定プッシュを実行したときにAAA認証または認証が失敗した場合、手動回復(設定プッシュ)が必要です。
AAA 設定は、次の 2 つの方法のいずれかで適用できます。
コンフィグレット(推奨)
設定をコンフィグレットに追加し ブループリントにインポートしますデバイスを追加してコンフィグレットを適用できるように、Apstra環境からローカル認証情報を利用できる必要があります。詳細は コンフィグレットをご覧ください。
Apstraサーバー、デバイスエージェント、またはNOSをアップグレードする前に、ブループリントからデバイスAAA/TACACSコンフィグレットを削除 する必要があります 。アップグレードが完了したら、再適用できます。
ユーザー必須
コンフィグレットを使用する代わりに、デバイスに認識する前に設定を追加して、プリスティン・コンフィグの一部にすることができます。詳細については、「 デバイス設定ライフサイクル」を参照してください。
ジュニパー Junos
Junos オフボックス システム エージェント ユーザーの資格情報は、常に有効で利用可能である必要があります。AAAフレームワークを使用する場合、ローカルユーザーをデバイスに追加し、Apstraオフボックスシステムエージェントに使用することをお勧めします。次のように、必ずJunos configの最初に認証順序として「パスワード」を使用してください。
authentication-order [ password radius ]
Cisco NX-OS
リモート ユーザーが NX-OS デバイスから誤って削除され、認証と認証に失敗する可能性があります。デバイスを管理するには、デバイスにユーザー(役割「ネットワーク管理者」)が存在している必要があります。そうでない場合、エージェントのインストール、テレメトリ収集、デバイス設定などのApstra機能が失敗する可能性があります。唯一の既知の回避策は、ローカル認証を使用することです。
以下の NX-OS 設定例は、Apstra ソフトウェアで正しく動作することがテストされています。これにより、認証と許可の両方が使用されます。
tacacs-server key 7 “<key>“ tacacs-server timeout <timeout> tacacs-server host <host> aaa group server tacacs+ <group> server <host> use-vrf management source-interface mgmt0 aaa authentication login default group <group> aaa accounting default group <group> local aaa authentication login error-enable aaa authentication login ascii-authentication
Arista EOS
EOSデバイスでTACACS+ AAAが設定されている場合、ファイルがApstraサーバーからデバイスにコピーされている間、デバイスエージェントのアップグレードが失敗する可能性があります。これは、TACACS+がカスタムパスワードプロンプトを使用する場合によく起こります。このタイプの失敗を防ぐために、デバイス認証がアップグレードを含むすべてのデバイスエージェント操作に管理者レベルのユーザー名とパスワードを使用する場合、すべてのTACACS+ AAAを一時的に無効にします。