디바이스 AAA
개요
RADIUS 및 TACACS+ 디바이스 AAA(Authentication, Authorization and Accounting) 프레임워크는 Juniper, Cisco 및 Arista 디바이스에서 지원됩니다. 디바이스 AAA는 선택 사항이며 올바른 구현은 최종 사용자의 책임입니다. 올바른 Apstra AAA 구현을 위한 최소 요구 사항은 아래에 설명되어 있습니다.
AAA 프레임워크를 사용할 때는 로컬 Apstra 사용자를 디바이스에 추가하는 것이 좋습니다. Apstra가 전체 구성 푸시를 수행할 때 AAA 인증 또는 권한 부여가 실패하면 수동 복구(구성 푸시)가 필요합니다.
아래에 설명된 대로 두 가지 방법 중 하나로 AAA 구성을 적용할 수 있습니다.
Configlet(권장)
구성에 구성을 추가한 다음 블루프린트로 가져옵니다. 디바이스를 추가하고 구성릿을 적용할 수 있도록 Apstra 환경에서 로컬 자격 증명을 사용할 수 있어야 합니다. 자세한 내용은 Configlet을 참조하십시오.
Apstra 서버, 디바이스 에이전트 또는 NOS를 업그레이드하기 전에 청사진에서 디바이스 AAA/TACACS 구성릿을 삭제 해야 합니다. 업그레이드가 완료된 후 다시 적용할 수 있습니다.
사용자 필요
구성 요소(configlet)를 사용하는 대신, 디바이스를 승인하기 전에 구성을 추가하여 기본 구성의 일부가 되도록 할 수 있습니다. 자세한 내용은 디바이스 구성 수명 주기를 참조하세요.
주니퍼 Junos
Junos 오프박스 시스템 에이전트 사용자의 자격 증명은 항상 유효하고 사용 가능해야 합니다. AAA 프레임워크를 사용할 때는 디바이스에 로컬 사용자를 추가하고 Apstra 오프박스 시스템 에이전트에 사용하는 것이 좋습니다. 다음과 같이 인증 순서를 위해 Junos 구성에서 항상 "password"를 첫 번째로 오십시오.
authentication-order [ password radius ]
시스코 NX-OS
원격 사용자가 NX-OS 디바이스에서 잘못 제거되어 인증 및 권한 부여 오류가 발생할 수 있습니다. 디바이스를 관리하려면 사용자(역할 'network-admin')가 디바이스에 존재해야 합니다. 그렇지 않으면 에이전트 설치, 텔레메트리 수집, 디바이스 구성과 같은 Apstra 기능이 실패할 수 있습니다. 알려진 유일한 해결 방법은 로컬 인증을 사용하는 것입니다.
아래의 NX-OS 구성 예는 Apstra 소프트웨어에서 올바르게 작동하는 것으로 테스트되었습니다. 여기에는 인증과 권한 부여가 모두 사용됩니다.
tacacs-server key 7 “<key>“ tacacs-server timeout <timeout> tacacs-server host <host> aaa group server tacacs+ <group> server <host> use-vrf management source-interface mgmt0 aaa authentication login default group <group> aaa accounting default group <group> local aaa authentication login error-enable aaa authentication login ascii-authentication
아리스타 EOS
EOS 디바이스에 TACACS+ AAA가 구성된 경우, 파일이 Apstra 서버에서 디바이스로 복사되는 동안 디바이스 에이전트 업그레이드가 실패할 수 있습니다. 이 문제는 일반적으로 TACACS+에서 사용자 지정 암호 프롬프트를 사용하는 경우에 발생합니다. 이러한 유형의 실패를 방지하려면 디바이스 인증이 업그레이드를 포함한 모든 디바이스 에이전트 작업에 대해 관리자 수준의 사용자 이름과 암호를 사용하는 모든 TACACS+ AAA를 일시적으로 비활성화합니다.