Здравствуйте, мы недавно установили Cisco DCNM 11.2.1 и включили AAA с Cisco ISE в качестве сервера TACACS+. На сервере Cisco ISE я настроил профиль TACACS с пользовательским атрибутом, установленным на обязательное имя
shell:roles
и значение
network-admin. Аутентификация работает нормально, поэтому я могу войти в систему, но не как администратор. В журнале tacacs есть сообщения о том, что выбран правильный профиль tacacs и атрибут отправлен в ответе: Атрибуты авторизации Все атрибуты запроса
cisco-av-pair* ,shell:roles*
Все атрибуты ответа
shell:roles=network-admin и ответ также отправлен, в нем упоминается AVPair, а не cisco-av-pair, так что, возможно, в этом и заключается проблема: Ответ
{Author-Reply-Status=PassRepl; AVPair=shell:roles=network-admin; }

]]>https://sla247.ru/forum/topic/238/dcnm-1121-авторизация-с-cisco-ise-22RSS for NodeFri, 15 May 2026 08:03:25 GMTTue, 03 Mar 2026 14:48:13 GMT60Та же проблема с DCNM 11.3.1 и TACACS+ с ISE 2.x Но ISE отклонил
рекомендуемое
cisco-av-pair=
shell:roles="network-admin"
из-за сообщения «Недопустимый символ». Похоже, ISE не принимает кавычки (как одинарные, так и двойные), поэтому в нашем случае правильным значением оказалось:
shell:roles=network-admin
(без кавычек). ![photo_2021-04-14_15-38-49.jpg]

]]>https://sla247.ru/forum/post/17922https://sla247.ru/forum/post/17922Tue, 03 Mar 2026 14:48:15 GMTПроблема решена. В ISE я создал отдельный профиль tacacs с именем cisco-av-pair и значением shell:roles="network-admin".

]]>https://sla247.ru/forum/post/17921https://sla247.ru/forum/post/17921Tue, 03 Mar 2026 14:48:14 GMT