このページの目次
デバイスAAA
概要
RADIUSおよびTACACS+デバイスAAA(認証、許可、アカウンティング)フレームワークは、ジュニパー、Cisco、Aristaのデバイスでサポートされています。デバイスAAAはオプションであり、正しい実装はエンドユーザーの責任です。Apstra AAAを正しく実装するための最小要件を以下に示します。
AAAフレームワークを使用する場合は、デバイスにローカルのApstraユーザーを追加することをお勧めします。Apstraがフル設定プッシュを実行しているときにAAA認証または許可が失敗した場合、手動リカバリ(構成プッシュ)が必要です。
AAA 設定は、次に説明するように、次の 2 つの方法のいずれかで適用できます。
コンフィグレット (推奨)
コンフィグレットに設定を追加し、ブループリントにインポートします。ローカル認証情報は、デバイスを追加してコンフィグレットを適用できるように、Apstra環境から入手できなければなりません。
Apstraサーバー、デバイスエージェント、またはNOSをアップグレードする前に、ブループリントからデバイスAAA/TACACSコンフィグレットを削除する 必要があります 。アップグレードが完了したら、それらを再適用できます。
ユーザー必須
コンフィグレットを使用する代わりに、デバイスを確認する前に設定を追加して、そのデバイスをPristine Configの一部にすることができます。詳細については、「 デバイス構成のライフサイクル」を参照してください。
Juniper Junos
Junos オフボックス システム エージェント ユーザーの認証情報は、常に有効で使用可能である必要があります。AAAフレームワークを使用する場合は、ローカルユーザーをデバイスに追加し、Apstraオフボックスシステムエージェントに使用することをお勧めします。Junos Config で、認証順序の最初に必ず「password」を設定します。
authentication-order [ password radius ]
Cisco NX-OS
リモートユーザがNX-OSデバイスから不規則に削除され、認証と許可が失敗する可能性があります。デバイスを管理するには、ユーザー(ロール「network-admin」)がデバイスに存在している必要があります。そうしないと、エージェントのインストール、テレメトリ収集、デバイス構成などのApstra機能が失敗する可能性があります。唯一の既知の回避策は、ローカル認証を使用することです。
以下のNX-OSの設定例は、Apstraソフトウェアで正しく動作することをテストしたものです。これは、認証と承認の両方を使用します。
tacacs-server key 7 “<key>“ tacacs-server timeout <timeout> tacacs-server host <host> aaa group server tacacs+ <group> server <host> use-vrf management source-interface mgmt0 aaa authentication login default group <group> aaa accounting default group <group> local aaa authentication login error-enable aaa authentication login ascii-authentication
アリスタ・エオス
EOSデバイスでTACACS+ AAAが設定されている場合、ファイルがApstraサーバーからデバイスにコピーされる間、デバイスエージェントのアップグレードに失敗することがありました。これは通常、TACACS+ がカスタム パスワード プロンプトを使用している場合に発生します。このタイプの障害を回避するには、アップグレードを含むすべてのデバイスエージェント操作で、デバイス認証で管理者レベルのユーザー名とパスワードが使用されるすべてのTACACS+ AAAを一時的に無効にします。