EN ESTA PÁGINA
Dispositivo AAA
Visión general
Los marcos AAA (autenticación, autorización y contabilidad) de los dispositivos RADIUS y TACACS+ son compatibles con los dispositivos Juniper, Cisco y Arista. El dispositivo AAA es opcional y la implementación correcta es responsabilidad del usuario final. A continuación se describen los requisitos mínimos para implementaciones correctas de Apstra AAA.
Cuando utilice el marco AAA, recomendamos agregar un usuario local de Apstra a los dispositivos. Si la autenticación o autorización AAA falla cuando Apstra realiza una inserción completa de configuración, se requiere recuperación manual (inserción de configuración).
Puede aplicar la configuración AAA de dos maneras, como se describe a continuación:
Configlets (recomendado)
Puede agregar configuración a un configlet y, a continuación, importarlo a un plano. Las credenciales locales deben estar disponibles en el entorno de Apstra para poder agregar el dispositivo y aplicar el configlet. Para obtener más información, consulte Configlets.
Antes de actualizar el servidor, el agente de dispositivo o el NOS de Apstra , debe eliminar los configlets AAA/TACACS del dispositivo de los planos. Una vez completada la actualización, puede volver a aplicarlos.
Requerido por el usuario
En lugar de usar configlets, puede agregar configuración antes de reconocer un dispositivo, para que pase a formar parte de Pristine Config. Para obtener más información, consulte Ciclo de vida de configuración de dispositivos.
Juniper Junos
Las credenciales para el usuario del agente del sistema de la bandeja de salida de Junos siempre deben ser válidas y estar disponibles. Cuando utilice el marco AAA, le recomendamos que agregue un usuario local a los dispositivos y lo use para los agentes del sistema fuera de la bandeja de Apstra. Haga que la "contraseña" sea siempre lo primero en la configuración de Junos para el orden de autenticación de la siguiente manera:
authentication-order [ password radius ]
Cisco NX-OS
Un usuario remoto podría ser eliminado erráticamente de los dispositivos NX-OS, causando fallas de autenticación y autorización. El usuario (rol 'network-admin') debe existir en el dispositivo para poder administrar el dispositivo. De lo contrario, las funciones de Apstra, como la instalación del agente, la recopilación de telemetría y la configuración del dispositivo, pueden fallar. La única solución conocida es usar la autenticación local.
El ejemplo de configuración de NX-OS a continuación se ha probado para funcionar correctamente con el software Apstra. Esto utiliza tanto la autenticación como la autorización:
tacacs-server key 7 “<key>“ tacacs-server timeout <timeout> tacacs-server host <host> aaa group server tacacs+ <group> server <host> use-vrf management source-interface mgmt0 aaa authentication login default group <group> aaa accounting default group <group> local aaa authentication login error-enable aaa authentication login ascii-authentication
Arista EOS
Cuando TACACS+ AAA está configurado en dispositivos EOS, las actualizaciones del agente de dispositivo pueden fallar mientras los archivos se copian desde el servidor de Apstra al dispositivo. Esto suele suceder si TACACS+ utiliza una solicitud de contraseña personalizada. Para evitar este tipo de error, desactive temporalmente todos los AAA de TACACS+ en los que la autenticación de dispositivo utilice un nombre de usuario y una contraseña de nivel de administrador para cualquier operación de agente de dispositivo, incluidas las actualizaciones.