DCNM 11.2.1 Авторизация с Cisco ISE 2.2
-
Здравствуйте, мы недавно установили Cisco DCNM 11.2.1 и включили AAA с Cisco ISE в качестве сервера TACACS+. На сервере Cisco ISE я настроил профиль TACACS с пользовательским атрибутом, установленным на обязательное имя
shell:roles
и значение
network-admin. Аутентификация работает нормально, поэтому я могу войти в систему, но не как администратор. В журнале tacacs есть сообщения о том, что выбран правильный профиль tacacs и атрибут отправлен в ответе: Атрибуты авторизации Все атрибуты запроса
cisco-av-pair* ,shell:roles*
Все атрибуты ответа
shell:roles=network-admin и ответ также отправлен, в нем упоминается AVPair, а не cisco-av-pair, так что, возможно, в этом и заключается проблема: Ответ
{Author-Reply-Status=PassRepl; AVPair=shell:roles=network-admin; } -
Проблема решена. В ISE я создал отдельный профиль tacacs с именем cisco-av-pair и значением shell:roles="network-admin".
-
Та же проблема с DCNM 11.3.1 и TACACS+ с ISE 2.x Но ISE отклонил
рекомендуемое
cisco-av-pair=
shell:roles="network-admin"
из-за сообщения «Недопустимый символ». Похоже, ISE не принимает кавычки (как одинарные, так и двойные), поэтому в нашем случае правильным значением оказалось:
shell:roles=network-admin
(без кавычек). ![photo_2021-04-14_15-38-49.jpg]
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти