CISCO Change Automation NSO Function Pack
Specifoj
- Product: Cisco Crosswork Change Automation NSO Function Pack
- Versio: 7.0.2
Produktaj Informoj
The Cisco Crosswork Change Automation NSO Function Pack is designed to facilitate the installation, configuration, and management of Cisco Crosswork Change Automation on Cisco Network Services Orchestrator (NSO). It includes features for creating special access users, configuring DLM in Cisco Crosswork, and troubleshooting functionalities.
Enkonduko
This document describes how to download, install, and configure the Cisco Crosswork Change Automation (CA) function pack on Cisco Network Services Orchestrator (NSO). Additionally, the document describes the configuration required for Crosswork Change Automation in Cisco Crosswork.
Celo
Ĉi tiu gvidilo priskribas:
- Installing the nca-7.0.3-nso-6.1.16.3.20250509.dbe70d0.tar.gz 6.1.16.3 and the associated configurations for the function pack on Cisco NSO.
- The authgroup configurations for creating a unique usermap (umap) for Change Automation.
- DLM configurations and the Change Automation application settings required in Cisco Crosswork 7.0.2
Antaŭkondiĉoj
The list below shows the minimum versions of the Cisco NSO and Cisco Crosswork with which the Crosswork Change Automation function pack v7.0 is compatible:
- Cisco NSO: v6.1.16.3 system install.
- Cisco Crosswork: v7.0.2
Installing/Upgrade and Configuring
La subaj sekcioj montras kiel instali la funkcion cw-device-auth sur sistemo instali Cisco NSO 6.1.11.2 aŭ pli.
Installing/upgrade Function Pack
- Elŝutu la cw-device-auth v7.0.0 el la deponejo al via Cisco NSO.
- Kopiu la elŝutitan tar.gz-arkivon de la funkciopako al via pakaĵdeponejo.
Notu: The package directory can be different based on the selected settings at the time of installation. For most system-installed Cisco NSO, the package directory is located at “/var/opt/ncs/packages” by default. Check the ncs.conf on your installation to find your package directory. - Launch NCS CLI and run the following commands:
- admin@nso1:~$ ncs_cli -C -u admin
- admin connected from 2003:10:11::50 using ssh on nso1
- admin@ncs# packages reload
- Verify that the package has been successfully installed once the reload is complete.
- admin@ncs# show packages package cw-device-auth
- packages package cw-device-auth
- package-version 7.0.0
- description “Crosswork device authorization actions pack”
- ncs-min-version [ 6.1]
- python-package vm-name cw-device-auth
- directory /var/opt/ncs/state/packages-in-use/1/cw-device-auth
- component action
- application python-class-name cw_device_auth.action.App
- application start-phase phase2
- oper-status up
Krei Specialan Aliran Uzanton en Cisco NSO
Cisco Crosswork Change Automation uses a special access user to connect to Cisco NSO for all configuration changes. This means that you cannot use the same user as DLM or collection services to access Cisco NSO. This section discusses the pre-requisites required for user creation.
Note: The steps below assume that Cisco NSO is running on an Ubuntu VM. If your Cisco NSO installation is running on a different operating system, please modify the steps accordingly.
- Kreu novan sudo-uzanto en via Ubuntu-VM. Ekzample here. The steps below show how to create user “cwuser” on your Ubuntu VM. This new username can be anything of your choice.
root@nso:/home/admin# adduser cwuser- Adding user `cwuser’ …
- Adding new group `cwuser’ (1004) …
- Adding new user `cwuser’ (1002) with group `cwuser’ … Creating home directory `/home/cwuser’ …
- Kopiado files from `/etc/skel’ …
- Enter new UNIX password:
- Retajpu novan UNIX-pasvorton:
- passwd: password updated successfully
- Changing the user information for cwuser
- Enter the new value, or press ENTER for the default
- Full Name []:
- Room Number []:
- Work Phone []:
- Home Phone []:
- Other []:
- Is the information correct? [Y/n] y
- root@nso:/home/admin# usermod -aG sudo cwuser
- root@nso:/home/admin# usermod -a -G ncsadmin cwuser
- Add cwuser to the nacm group
- Notu:
The nacm rule should be configured with cwuser even though you do not have admin as a user on server. - *nacm groups group ncsadmin user-name cwuser
- nacm groups group ncsadmin
- user-name [ admin cwuser private ]
- * The default permissions are shown like below.
- admin@ncs# show running-config nacm
- nacm read-default deny
- nacm write-default deny
- nacm exec-default deny
- nacm cmd-read-default deny
- nacm cmd-exec-default deny
- Notu:
- Ensure that the new user that you created has HTTP and HTTPS access to the Cisco NSO server. This can be done by using a simple RESTCONF API as shown below.
- curl -u <USERNAME>:<PASSWORD> –location –request GET ‘https://<IP>:8888/restconf/data/tailf-ncs:packages/package=cw-device-auth’ \
- –header ‘Accept: application/yang-data+json’ \
- –header ‘Content-Type: application/yang-data+json’ \
- –data-raw ”
- Upon calling the curl command above, you should receive a response as shown below. Any other response would indicate that one or more previous settings did not work.
- {
- “tailf-ncs:package”: [
- {
- “name”: “cw-device-auth”,
- “package-version”: “7.0.0”,
- “description”: “Crosswork device authorization actions pack”,
- “ncs-min-version”: [“6.1”],
- “python-package”: {
- “vm-name”: “cw-device-auth”
- },
- “directory”: “/var/opt/ncs/state/packages-in-use/1/cw-device-auth”,
- “component”: [
- {
- “name”: “action”,
- “application”: {
- “python-class-name”: “cw_device_auth.action.App”,
- “start-phase”: “phase2”
- }
- }
- ],
- “oper-status”: {
- “up”: [null]
- }
- }
- ]
- }
Adding usermap (umap) to Cisco NSO authgroup
Cisco NSO allows users to define authgroups for specifying credential for southbound device access. An authgroup can contain a default-map or a usermap (umap). Additionally, a umap can be defined in the authgroup for overriding the default credentials from default-map or other umaps.
La funkcio "Anstataŭigi akreditaĵojn"-aŭtomatigo de Crosswork Change uzas ĉi tiun umapon. Por uzi Crosswork Change Automation, umap-agordo devas esti kreita en la aŭtgrupo por la aparatoj.
Por ekzample, konsideru, ke vi havas aparaton "xrv9k-1" enskribita en Cisco NSO. Ĉi tiu aparato uzas la aŭtgrupon, "kruclaboro".
- cwuser@ncs# show running-config devices device xrv9k-1 authgroup devices device xrv9k-1
- authgroup crosswork
- !
And the configuration of the authgroup “crosswork” is as follows:
- cwuser@ncs# show running-config devices authgroups group crosswork devices authgroups group crosswork
- umap admin
- remote-name cisco
- remote-password $9$LzskzrvZd7LeWwVNGZTdUBDdKN7IgVV/UkJebwM1eKg=
- !
- !
- Aldonu umapon por la nova uzanto, kiun vi kreis (cwuser en ĉi tiu ekzample). Ĉi tio povas esti farita jene:
- cwuser@ncs# config
- cwuser@ncs(config)# devices authgroups group crosswork umap cwuser callback-node /cw-creds-get action-name get
- cwuser@ncs(config-umap-cwuser)# commit dry-run
- cli {
- local-node {
- data devices {
- authgroups {
- group crosswork {
- + umap cwuser {
- + callback-node /cw-creds-get;
- + action-name get;
- + }
- }
- }
- }
- }
- }
- cwuser@ncs(config-umap-cwuser)# commit
- Commit complete.
Post la agordo, la aŭtgrupo devus aspekti jene:
- cwuser@ncs# show running-config devices authgroups group crosswork
- devices authgroups group crosswork
- umap admin
- remote-name cisco
- remote-password $9$LzskzrvZd7LeWwVNGZTdUBDdKN7IgVV/UkJebwM1eKg=
- !
- umap cwuser
- callback-node /cw-creds-get
- action-name get
- !
- !
Certigu tion
- umap is added to an existing authgroup of the device(s) of interest.
- umap uzas la ĝustan uzantnomon.
If either of the above configurations is incorrect, runtime issues may occur.
Configuring DLM in Cisco Crosswork
After installing and configuring the function pack in Cisco NSO, you need to set up the configuration in DLM in Cisco Crosswork. These configuration settings will allow Change Automation to access Cisco NSO via the newly created user and configure using the override credentials when needed.
Kreu ca_device_auth_nso Credential Profile
Kreu novan akreditaĵon profesiulofile en Cisco NSO por la speciala alira uzanto, kiun vi kreis en la sekcio Kreado de Speciala Aliro-Uzanto en NSO de ĉi tiu gvidilo. Aldonu la HTTP kaj HTTPS akreditaĵojn por la uzanto en ĉi tiu akreditaĵo profesiulofile. La suba bildo montras la specifon de uzanto kaj pasvorto por uzanto, "cwuser".
GRAVA
Kune kun la akreditaĵo ca_device_auth_nso profile, vi havos alian akreditaĵon profesiulofile en DLM kiu specifus la uzantnomon/pasvortinformojn al Cisco NSO por ĉiuj aliaj komponentoj de Cisco Crosswork. En la eksample sube, ĉi tiu akreditaĵo profile is called “nso-creds”.
Important: Ensure that the username for regular DLM credential profile estas malsama ol la uzantnomo en la ca_device_auth_nso profile.
Aldonu DLM-Provizanto
Post kiam vi kreis la akreditaĵon profile in DLM, you need to add a property to all the Cisco NSO providers in DLM which will be used in Crosswork CA. The image below shows the property specification.
Solvado de problemoj
The following table lists common errors that you could possibly encounter.
| Ne. | Eraro Subĉeno | Problemo | Rezolucio |
| 1. | nso umap-uzanto ankaŭ devas esti profesiulo de nso-akreditaĵojfile uzanto | ca_device_auth_nso uzantnomo ne kongruas kun iuj umap-uzantoj. |
|
| 2. | malplena aŭtgrupo umapo de nso | Neniu mapo trovita en la aŭtgrupo de Cisco NSO. | Aldonu la umapon. |
| 3. | failed to retrieve RESTCONF resource root. please verify NSO <IP> is reachable via RESTCONF | Crosswork CA ne sukcesis konekti al Cisco NSO per RESTCONF. | Ensure that the username/password as specified in cw_device_auth_nso cred profile povas konektiĝi al Cisco NSO per RESTCONF. |
La dokumentaro aro por ĉi tiu produkto strebas uzi senpartian lingvon. Por la celoj de ĉi tiu dokumentaro, senpartia estas difinita kiel lingvo kiu ne implicas diskriminacion bazitan sur aĝo, handikapo, sekso, rasa identeco, etna identeco, seksa orientiĝo, sociekonomika statuso kaj intersekceco. Esceptoj povas ĉeesti en la dokumentaro pro lingvo, kiu estas malmola kodita en la uzantinterfacoj de la produkta programaro, lingvo uzata surbaze de normdokumentado, aŭ lingvo kiu estas uzata de referencita triaparta produkto. Cisco kaj la Cisco-emblemo estas varmarkoj aŭ registritaj varmarkoj de Cisco kaj/aŭ ĝiaj filioj en Usono kaj aliaj landoj. Al view listo de Cisco-varmarkoj, iru al ĉi tio URL: https://www.cisco.com/c/en/us/about/legal/trademarks.html. Triaj varmarkoj menciitaj estas la posedaĵo de siaj respektivaj posedantoj. La uzo de la vorto partnero ne implicas partneran rilaton inter Cisco kaj iu ajn alia kompanio. (1721R)
Oftaj Demandoj
What version of Cisco NSO is compatible with this function pack?
The function pack is compatible with Cisco NSO 6.1.11.2 or higher.
Dokumentoj/Rimedoj
 |
CISCO Change Automation NSO Function Pack [pdf] Instala Gvidilo Change Automation NSO Function Pack, Automation NSO Function Pack, NSO Function Pack, Function Pack |