My Home NW Lab

逸般の誤家庭のネットワーク

Cisco DNA CenterにてCLI Credentialsにadminユーザーの登録が警告される背景

目次

概要

Cisco DNA Center (DNAC)のDiscovery設定で、CLI Credentialsの資格情報にadminユーザーを指定すると、ポップアップ画面でadminユーザーの使用を警告するメッセージが表示されます。
メッセージの内容は「ISEを認証サーバー(AAAサーバー)として使用している場合に、CLI Credentialsに admin ユーザーを使用しないでください。 デバイスへのログインができなくなる場合があります。」の旨になります。

Cisco ISE (Identity Service Engine)のNetwork Access Userの設定にadminの名前でユーザーを作成できないのが背景の起因となるため、 それがどのように関連していくのかを紐解きます。

バージョン情報

検証時の環境情報を記します。

  • Cisco DNA Center (DNAC)
    Version 2.1.2.7

  • Cisco Identity Service Engine (ISE)
    Version: 3.0.0.458
    Installed Patches: 3
    ADE-OS Version: 3.0.8.091

  • Cisco Catalyst 9300
    Version: 17.5.1

DNA Centerの警告画面

adminユーザーに関する警告表示のスクリーンショットと、メッセージの内容をまとめております。

DNACのDiscoveryの警告表示

f:id:myhomenwlab:20210918005837j:plain
DNACのDiscoveryの警告表示

Warning
WARNING: Do not use "admin" as the user name for your device CLI credentials if you are also using ISE as your AAA server. If you do, this can result in your not being able to login to your devices.

DNACのCLI Credentailsの警告表示

CLI Credentailsの画面では、意識しないと見逃しやすい位置に薄いグレーの文字色で警告の表示があります。 また、Discovery設定時と異なり、Save時にはポップアップ画面による警告は表示されません。

f:id:myhomenwlab:20210918010239j:plain
DNACのCLI Credentailsの警告表示

Warning
WARNING: Do not use "admin" as the user name for your device CLI credentials if you are also using ISE as your AAA server. If you do, this can result in your not being able to login to your devices.

ISEではNetwork Access Userにadminユーザーが登録不可

Network Access Userにadminユーザーが居ない状態なのを確認した上で、adminユーザーを新規作成しようとしてエラーが発生した状態の画面です。

f:id:myhomenwlab:20210918015403j:plain
ISEではNetwork Access Userにadminユーザーが登録不可 #1

f:id:myhomenwlab:20210918015416j:plain
ISEではNetwork Access Userにadminユーザーが登録不可 #2

f:id:myhomenwlab:20210918015426j:plain
ISEではNetwork Access Userにadminユーザーが登録不可 #3

Error
User can't be created. A User with that name already exists.

adminユーザーの登録が警告される背景の解説

RADIUSで設定した場合の設定例から関連コマンドを抜粋して説明します。 まず、DNACによってプロビジョニングされる認証サーバー(AAAサーバー)の設定は、一般的なCisco IOS-XEにおけるAAA設定となります。
そして、VTYの設定にRADIUS, Local (username コマンド)の優先順位でユーザー認証が設定されるため、通常時はネットワーク機器はISEに認証を行います。 ですが、ISEのNetwork Access Userの設定にadminの名前でユーザーを作成できないため、Local (username コマンド)にadminユーザーを作成している場合は、資格情報を双方で同じにはできません。

そのため、DNACによってプロビジョニング前(Before)は、SSH接続時の認証でadminユーザーによるLocal (username コマンド)の認証が通っていたとしても、 プロビジョニング後(After)ではISEでの認証に切り替わるため、既存で設定されているadminユーザーの資格情報をそのまま使えなくなります。

f:id:myhomenwlab:20210918012112j:plain
RADIUSによるユーザー認証時

更に、ISEのDownをネットワーク機器側が検知すると、認証サーバー(AAAサーバー)の障害によるログイン不可を回避するために、Local (username コマンド)による認証に切り替わります。

f:id:myhomenwlab:20210918012443j:plain
Local (username コマンド)によるユーザー認証時

この際、RADIUSやTACACS+を介したISEによる認証時と、Local (username コマンド)による認証時でユーザー名を切り替えるのは運用性が低下します。 そのため、新たに任意のユーザーをネットワーク機器とISEの双方に作成するのが手っ取り早い対処法だと筆者は考えております。 勿論、本番環境で厳密に資格情報が管理されている場合などは、慎重に対応方法を考える必要があります。

f:id:myhomenwlab:20210918012941j:plain
対処案

なお、DNACから認証サーバー(AAAサーバー)の設定をプロビジョニングしても、Console接続時のユーザー認証にはISEによる認証の設定は適用されません。 ユーザーの使い分けが発生している状態で、Consoleサーバーを介してリモートからConsole接続するような状況となると、更なる混乱を生む可能性があるのでご注意ください。

f:id:myhomenwlab:20210918013043j:plain
Console接続のユーザー認証時

上述のため、システム内で統一的なユーザー名をつける方針で、既にadminユーザーが採用されている環境だとシステム更改時の考慮点になる可能性があります。