이 페이지 내용
디바이스 AAA
개요
RADIUS 및 TACACS+ 디바이스 AAA(인증, 권한 부여 및 어카운팅) 프레임워크는 Juniper, Cisco 및 Arista 디바이스에서 지원됩니다. 디바이스 AAA는 선택 사항이며 올바른 구현은 최종 사용자의 책임입니다. 올바른 Apstra AAA 구현을 위한 최소 요구 사항은 아래에 설명되어 있습니다.
AAA 프레임워크를 사용할 때는 디바이스에 로컬 Apstra 사용자를 추가하는 것이 좋습니다. Apstra가 전체 구성 푸시를 수행할 때 AAA 인증 또는 권한 부여가 실패하면 수동 복구(config push)가 필요합니다.
아래에 설명된 대로 두 가지 방법 중 하나로 AAA 컨피그레이션을 적용할 수 있습니다.
Configlet(권장)
configlet에 구성을 추가한 다음 블루프린트로 가져옵니다. 디바이스를 추가하고 구성 요소를 적용할 수 있도록 Apstra 환경에서 로컬 자격 증명을 사용할 수 있어야 합니다.
Apstra 서버, 디바이스 에이전트 또는 NOS를 업그레이드하기 전에 청사진에서 디바이스 AAA/TACACS 구성 요소를 삭제 해야 합니다. 업그레이드가 완료되면 다시 적용할 수 있습니다.
사용자 필수
configlet을 사용하는 대신 디바이스를 승인하기 전에 구성을 추가하여 기본 구성의 일부가 되도록 할 수 있습니다. 자세한 내용은 장치 구성 수명 주기를 참조하세요.
주니퍼 Junos
Junos 오프박스 시스템 에이전트 사용자의 자격 증명은 항상 유효하고 사용 가능해야 합니다. AAA 프레임워크를 사용할 때는 디바이스에 로컬 사용자를 추가하고 Apstra 오프박스 시스템 에이전트에 사용하는 것이 좋습니다. 다음과 같이 authentication-order를 위해 Junos 구성에서 항상 "password"가 첫 번째가 되도록 합니다.
authentication-order [ password radius ]
Cisco NX-OS
원격 사용자가 NX-OS 디바이스에서 불규칙하게 제거되어 인증 및 권한 부여가 실패할 수 있습니다. 디바이스를 관리하려면 사용자(역할 'network-admin')가 디바이스에 있어야 합니다. 그렇지 않으면 에이전트 설치, 텔레메트리 수집, 디바이스 구성과 같은 Apstra 기능이 작동하지 않을 수 있습니다. 알려진 유일한 해결 방법은 로컬 인증을 사용하는 것입니다.
아래의 NX-OS 구성 예시는 Apstra 소프트웨어에서 올바르게 작동하도록 테스트되었습니다. 이는 인증과 권한 부여를 모두 사용합니다.
tacacs-server key 7 “<key>“ tacacs-server timeout <timeout> tacacs-server host <host> aaa group server tacacs+ <group> server <host> use-vrf management source-interface mgmt0 aaa authentication login default group <group> aaa accounting default group <group> local aaa authentication login error-enable aaa authentication login ascii-authentication
Arista EOS
EOS 디바이스에 TACACS+ AAA가 구성된 경우, 파일이 Apstra 서버에서 디바이스로 복사되는 동안 디바이스 에이전트 업그레이드가 실패할 수 있습니다. 이는 TACACS+가 사용자 지정 암호 프롬프트를 사용하는 경우 일반적으로 발생합니다. 이러한 유형의 실패를 방지하려면 디바이스 인증이 업그레이드를 포함한 모든 디바이스 에이전트 작업에 대해 관리자 수준의 사용자 이름과 암호를 사용하는 모든 TACACS+ AAA를 일시적으로 비활성화합니다.