<div dir="ltr"><div dir="ltr"><div dir="ltr">According to the Cisco documentation, DCNM expects the role of 'network-admin' to be supplied to grant a user administrator privileges.  I was able to provide that role using this config:<div><br></div><div><p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:Menlo;color:rgb(0,0,0)"><span style="font-variant-ligatures:no-common-ligatures">        service = exec {</span></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:Menlo;color:rgb(0,0,0)"><span style="font-variant-ligatures:no-common-ligatures">             priv-lvl = 15</span></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:Menlo;color:rgb(0,0,0)"><span style="font-variant-ligatures:no-common-ligatures">            </span><span style="font-variant-ligatures:no-common-ligatures;color:rgb(255,255,255);background-color:rgb(0,0,0)">cisco</span><span style="font-variant-ligatures:no-common-ligatures">-av-pair:shell:roles= "network-admin"</span><br></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:Menlo;color:rgb(0,0,0)">            #optional shell:roles = "network-admin"<br></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:Menlo;color:rgb(0,0,0);min-height:14px"><span style="font-variant-ligatures:no-common-ligatures"></span><br></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:Menlo;color:rgb(0,0,0)"><span style="font-variant-ligatures:no-common-ligatures">             }</span></p><div><span style="font-variant-ligatures:no-common-ligatures"><br></span></div><div><span style="font-variant-ligatures:no-common-ligatures">However, this causes my switches to balk.  I'm trying to convert that to an "optional" parameter as you can see in the commented line.  However I am not having any success.  I have been trying to confirm that DCNM is actually requesting the role attribute, but none of my debug commands or packet captures seem to make that clear.  Here is some debug output of both the authentication and authorization phase.  Any help would be appreciated.  Thanks.</span></div><div><span style="font-variant-ligatures:no-common-ligatures"><br></span></div><div><span style="font-variant-ligatures:no-common-ligatures"><div>root@rover:/etc/tacacs+# /usr/sbin/tac_plus -C /etc/tacacs+/tac_plus.conf -g -d24</div><div>Reading config</div><div>Version F4.0.4.27a Initialized 1</div><div>tac_plus server F4.0.4.27a starting</div><div>socket FD 4 AF 2</div><div>uid=0 euid=0 gid=0 egid=0 s=-178230864</div><div>connect from 192.168.1.248 [192.168.1.248]</div><div>192.168.1.248 : fd 5 eof (connection closed)</div><div>Read -1 bytes from 192.168.1.248 , expecting 12</div><div>connect from 192.168.1.248 [192.168.1.248]</div><div>login query for 'mus3' port 49 from 192.168.1.248 accepted</div><div>connect from 192.168.1.248 [192.168.1.248]</div><div>Start authorization request</div><div>do_author: user='mus3'</div><div>user 'mus3' found</div><div>mus3 may run an unlimited number of sessions</div><div>exec authorization request for mus3</div><div>exec is explicitly permitted by line 226</div><div>nas:service=shell (passed thru)</div><div>nas:protocol=ip (passed thru)</div><div>nas:cmd= (passed thru)</div><div>nas:cisco-av-pair*  svr:absent/deny -> delete cisco-av-pair*  (i)</div><div>nas:shell:roles*  svr:shell:roles*network-admin -> replace with shell:roles*network-admin (h)</div><div>nas:absent, server:priv-lvl=15 -> add priv-lvl=15 (k)</div><div>replaced 2 args</div><div>authorization query for 'mus3' 49 from 192.168.1.248 accepted</div><div><br></div></span></div><div><br></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">Munroe Sollog (He/Him/His)<div>Senior Network Engineer</div><div><a href="mailto:munroe@lehigh.edu" target="_blank">munroe@lehigh.edu</a></div></div></div></div></div></div></div>