目次
概要
Cisco DNA Center (DNAC)のDiscovery設定で、CLI Credentialsの資格情報にadminユーザーを指定すると、ポップアップ画面でadminユーザーの使用を警告するメッセージが表示されます。
メッセージの内容は「ISEを認証サーバー(AAAサーバー)として使用している場合に、CLI Credentialsに admin ユーザーを使用しないでください。
デバイスへのログインができなくなる場合があります。」の旨になります。
Cisco ISE (Identity Service Engine)のNetwork Access Userの設定にadminの名前でユーザーを作成できないのが背景の起因となるため、 それがどのように関連していくのかを紐解きます。
バージョン情報
検証時の環境情報を記します。
Cisco DNA Center (DNAC)
Version 2.1.2.7Cisco Identity Service Engine (ISE)
Version: 3.0.0.458
Installed Patches: 3
ADE-OS Version: 3.0.8.091
DNA Centerの警告画面
adminユーザーに関する警告表示のスクリーンショットと、メッセージの内容をまとめております。
DNACのDiscoveryの警告表示
Warning WARNING: Do not use "admin" as the user name for your device CLI credentials if you are also using ISE as your AAA server. If you do, this can result in your not being able to login to your devices.
DNACのCLI Credentailsの警告表示
CLI Credentailsの画面では、意識しないと見逃しやすい位置に薄いグレーの文字色で警告の表示があります。 また、Discovery設定時と異なり、Save時にはポップアップ画面による警告は表示されません。
Warning WARNING: Do not use "admin" as the user name for your device CLI credentials if you are also using ISE as your AAA server. If you do, this can result in your not being able to login to your devices.
ISEではNetwork Access Userにadminユーザーが登録不可
Network Access Userにadminユーザーが居ない状態なのを確認した上で、adminユーザーを新規作成しようとしてエラーが発生した状態の画面です。
Error User can't be created. A User with that name already exists.
adminユーザーの登録が警告される背景の解説
RADIUSで設定した場合の設定例から関連コマンドを抜粋して説明します。
まず、DNACによってプロビジョニングされる認証サーバー(AAAサーバー)の設定は、一般的なCisco IOS-XEにおけるAAA設定となります。
そして、VTYの設定にRADIUS, Local (username コマンド)の優先順位でユーザー認証が設定されるため、通常時はネットワーク機器はISEに認証を行います。
ですが、ISEのNetwork Access Userの設定にadminの名前でユーザーを作成できないため、Local (username コマンド)にadminユーザーを作成している場合は、資格情報を双方で同じにはできません。
そのため、DNACによってプロビジョニング前(Before)は、SSH接続時の認証でadminユーザーによるLocal (username コマンド)の認証が通っていたとしても、 プロビジョニング後(After)ではISEでの認証に切り替わるため、既存で設定されているadminユーザーの資格情報をそのまま使えなくなります。
更に、ISEのDownをネットワーク機器側が検知すると、認証サーバー(AAAサーバー)の障害によるログイン不可を回避するために、Local (username コマンド)による認証に切り替わります。
この際、RADIUSやTACACS+を介したISEによる認証時と、Local (username コマンド)による認証時でユーザー名を切り替えるのは運用性が低下します。 そのため、新たに任意のユーザーをネットワーク機器とISEの双方に作成するのが手っ取り早い対処法だと筆者は考えております。 勿論、本番環境で厳密に資格情報が管理されている場合などは、慎重に対応方法を考える必要があります。
なお、DNACから認証サーバー(AAAサーバー)の設定をプロビジョニングしても、Console接続時のユーザー認証にはISEによる認証の設定は適用されません。
ユーザーの使い分けが発生している状態で、Consoleサーバーを介してリモート
からConsole接続
するような状況となると、更なる混乱を生む可能性があるのでご注意ください。
上述のため、システム内で統一的なユーザー名をつける方針で、既にadminユーザーが採用されている環境だとシステム更改時の考慮点になる可能性があります。