Пакет функцій NSO для автоматизації змін CISCO

Технічні характеристики

• Product: Cisco Crosswork Change Automation NSO Function Pack
• Версія: 7.0.2

Інформація про продукт

The Cisco Crosswork Change Automation NSO Function Pack is designed to facilitate the installation, configuration, and management of Cisco Crosswork Change Automation on Cisco Network Services Orchestrator (NSO). It includes features for creating special access users, configuring DLM in Cisco Crosswork, and troubleshooting functionalities.

вступ

У цьому документі описано, як завантажити, встановити та налаштувати пакет функцій Cisco Crosswork Change Automation (CA) у Cisco Network Services Orchestrator (NSO). Крім того, у документі описано конфігурацію, необхідну для Crosswork Change Automation у Cisco Crosswork.

призначення
Цей посібник описує:

• Installing the nca-7.0.3-nso-6.1.16.3.20250509.dbe70d0.tar.gz 6.1.16.3 and the associated configurations for the function pack on Cisco NSO.
• The authgroup configurations for creating a unique usermap (umap) for Change Automation.
• DLM configurations and the Change Automation application settings required in Cisco Crosswork 7.0.2

Передумови
The list below shows the minimum versions of the Cisco NSO and Cisco Crosswork with which the Crosswork Change Automation function pack v7.0 is compatible:

• Cisco NSO: v6.1.16.3 system install.
• Cisco Crosswork: v7.0.2

Встановлення/оновлення та налаштування

У розділах нижче показано, як інсталювати функціональний пакет cw-device-auth у системі Cisco NSO 6.1.11.2 або новішої версії.

Встановлення/оновлення функціонального пакета

1. Завантажте cw-device-auth v7.0.0 зі сховища на свій Cisco NSO.
2. Скопіюйте завантажений архів tar.gz функціонального пакета до свого сховища пакетів.
   Примітка: The package directory can be different based on the selected settings at the time of installation. For most system-installed Cisco NSO, the package directory is located at “/var/opt/ncs/packages” by default. Check the ncs.conf on your installation to find your package directory.
3. Launch NCS CLI and run the following commands:
   • admin@nso1:~$ ncs_cli -C -u admin
   • admin connected from 2003:10:11::50 using ssh on nso1
   • admin@ncs# packages reload
4. Verify that the package has been successfully installed once the reload is complete.
   • admin@ncs# показати пакети пакет cw-device-auth
   • пакети пакет cw-device-auth
   • версія пакета 7.0.0
   • description “Crosswork device authorization actions pack”
   • ncs-min-версія [6.1]
   • python-package vm-name cw-device-authentics
   • directory /var/opt/ncs/state/packages-in-use/1/cw-device-auth
   • дія компонента
   • назва-класу-python-застосунку cw_device_auth.action.App
   • фаза початку застосування фаза2
   • статус операції вгору

Створення користувача спеціального доступу в Cisco NSO
Cisco Crosswork Change Automation використовує спеціального користувача для підключення до Cisco NSO для всіх змін конфігурації. Це означає, що ви не можете використовувати того самого користувача, що й DLM або служби збору даних, для доступу до Cisco NSO. У цьому розділі обговорюються передумови, необхідні для створення користувача.
Примітка: Наведені нижче кроки передбачають, що Cisco NSO працює на віртуальній машині Ubuntu. Якщо ваша інсталяція Cisco NSO працює на іншій операційній системі, будь ласка, змініть кроки відповідно.

1. Створіть нового користувача sudo на своїй віртуальній машині Ubuntu. Прampтут. Наведені нижче кроки показують, як створити користувача «cwuser» на вашій віртуальній машині Ubuntu. Це нове ім’я користувача може бути будь-яким на ваш вибір.
   root@nso:/home/admin# adduser cwuser
   • Adding user `cwuser’ …
   • Adding new group `cwuser’ (1004) …
   • Adding new user `cwuser’ (1002) with group `cwuser’ … Creating home directory `/home/cwuser’ …
   • Копіювання files from `/etc/skel’ …
   • Enter new UNIX password:
   • Повторіть новий пароль UNIX:
   • passwd: password updated successfully
   • Changing the user information for cwuser
   • Enter the new value, or press ENTER for the default
   • Full Name []:
   • Room Number []:
   • Work Phone []:
   • Home Phone []:
   • Other []:
   • Is the information correct? [Y/n] y
   • root@nso:/home/admin# usermod -aG sudo cwuser
   • root@nso:/home/admin# usermod -a -G ncsadmin cwuser
2. Add cwuser to the nacm group
   • Примітка:
     The nacm rule should be configured with cwuser even though you do not have admin as a user on server.
   • *nacm групи група ncsadmin ім'я користувача cwuser
   • nacm groups group ncsadmin
   • user-name [ admin cwuser private ]
   • * Дозволи за замовчуванням наведено нижче.
   • admin@ncs# показати запущену конфігурацію nacm
   • nacm read-default deny
   • nacm write-default deny
   • nacm exec-default deny
   • nacm cmd-read-default заборонити
   • nacm cmd-exec-default заборонити
3. Ensure that the new user that you created has HTTP and HTTPS access to the Cisco NSO server. This can be done by using a simple RESTCONF API as shown below.
   • curl -u <USERNAME>:<PASSWORD> –location –request GET ‘https://<IP>:8888/restconf/data/tailf-ncs:packages/package=cw-device-auth’ \
   • –header ‘Accept: application/yang-data+json’ \
   • –header ‘Content-Type: application/yang-data+json’ \
   • –необроблені-дані”
   • Після дзвінка до curl команду вище, ви повинні отримати відповідь, як показано нижче. Будь-яка інша відповідь означатиме, що одне або декілька попередніх налаштувань не працювали.
   • {
   • “tailf-ncs:package”: [
   • {
   • “name”: “cw-device-auth”,
   • “package-version”: “7.0.0”,
   • “description”: “Crosswork device authorization actions pack”,
   • “ncs-min-version”: [“6.1”],
   • “python-package”: {
   • “vm-name”: “cw-device-auth”
   • },
   • “directory”: “/var/opt/ncs/state/packages-in-use/1/cw-device-auth”,
   • “component”: [
   • {
   • “name”: “action”,
   • “application”: {
   • “python-class-name”: “cw_device_auth.action.App”,
   • “start-phase”: “phase2”
   • }
   • }
   • ],
   • “oper-status”: {
   • “up”: [null]
   • }
   • }
   • ]
   • }

Додавання карти користувача (umap) до групи авторизації Cisco NSO
Cisco NSO дозволяє користувачам визначати групи авторизації для вказівки облікових даних для доступу до пристроїв у південному напрямку. Група авторизації може містити карту за замовчуванням або карту користувача (umap). Крім того, в групі авторизації можна визначити umap для заміни облікових даних за замовчуванням з карти за замовчуванням або інших umap.
Функція Crosswork Change Automation «замінити передачу облікових даних» використовує цю umap. Щоб використовувати Crosswork Change Automation, потрібно створити конфігурацію umap у групі автентифікації для пристроїв.
наприкладample, вважайте, що у вас є пристрій «xrv9k-1», зареєстрований у Cisco NSO. Цей пристрій використовує автентифікаційну групу, «crosswork».

• cwuser@ncs# показати конфігурацію запущених пристроїв пристрій xrv9k-1 група авторизації пристрої пристрій xrv9k-1
• authgroup crosswork
• !

А конфігурація групи авторизації «crosswork» така:

• cwuser@ncs# show running-config devices authgroups group crosswork devices authgroups group crosswork
• адміністратор umap
• remote-name cisco
• пароль віддаленого доступу $9$LzskzrvZd7LeWwVNGZTdUBDdKN7IgVV/UkJebwM1eKg=
• !
• !
• Додайте umap для нового користувача, якого ви створили (cwuser у цьому прикладіample). Це можна зробити наступним чином:
• cwuser@ncs# конфігурація
• cwuser@ncs(config)# devices authgroups group crosswork umap cwuser callback-node /cw-creds-get action-name get
• cwuser@ncs(config-umap-cwuser)# фіксація пробного запуску
• клі {
• локальний вузол {
• пристрої для передачі даних {
• групи авторизації {
• груповий кросворк {
• + umap cwuser {
• + callback-node /cw-creds-get;
• + action-name get;
• +}
• }
• }
• }
• }
• }
• cwuser@ncs(config-umap-cwuser)# фіксація
• Затвердження завершено.

Після налаштування група авторизації має виглядати так:

• cwuser@ncs# показати запущені конфігурації пристроїв групи авторизації перехресна робота груп
• пристрої групи авторизації групи кросворк
• адміністратор umap
• remote-name cisco
• пароль віддаленого доступу $9$LzskzrvZd7LeWwVNGZTdUBDdKN7IgVV/UkJebwM1eKg=
• !
• UMAP-переглядач
• вузол зворотного виклику /cw-creds-get
• отримати назву дії
• !
• !

Переконайтеся в цьому

• umap is added to an existing authgroup of the device(s) of interest.
• umap використовує правильне ім'я користувача.

Якщо будь-яка з вищезазначених конфігурацій неправильна, можуть виникнути проблеми під час виконання.

Налаштування DLM у Cisco Crosswork

Після встановлення та налаштування функціонального пакета в Cisco NSO вам потрібно налаштувати конфігурацію в DLM у Cisco Crosswork. Ці параметри конфігурації дозволять Change Automation отримати доступ до Cisco NSO через щойно створеного користувача та налаштувати, використовуючи перевизначені облікові дані, коли це необхідно.

Створіть ca_device_auth_nso Credential Profile
Створіть новий обліковий запис profile у Cisco NSO для користувача зі спеціальним доступом, якого ви створили в розділі Створення користувача зі спеціальним доступом у NSO цього посібника. Додайте облікові дані HTTP та HTTPS для користувача в цьому обліковому записі profile. На зображенні нижче показано специфікацію користувача та пароля для користувача «cwuser».

ВАЖЛИВО
Разом із ca_device_auth_nso credential profile, ви матимете іншого спеціаліста з обліковими данимиfile у DLM, який указував би інформацію про ім’я користувача/пароль для Cisco NSO для всіх інших компонентів Cisco Crosswork. У вихampнижче, цей обліковий запис проfile називається «nso-creds».
Важливо: Переконайтеся, що ім'я користувача для звичайного професіонала з облікових даних DLMfile відрізняється від імені користувача в ca_device_auth_nso profile.

Додайте властивість постачальника DLM
Після того, як ви створили облікові дані проfile У DLM вам потрібно додати властивість до всіх постачальників Cisco NSO в DLM, яка використовуватиметься в Crosswork CA. На зображенні нижче показано специфікацію властивості.

Усунення несправностей

У наступній таблиці перелічені поширені помилки, з якими ви можете зіткнутися.

немає	Підрядок помилки	проблема	роздільна здатність
1.	Користувач nso umap також має бути спеціалістом із обліковими даними nsofile користувача	Ім’я користувача ca_device_auth_nso не відповідає жодному користувачу umap.	Додати/виправити umap. Відредагуйте свій ca_device_auth_nso cred profile.
2.	пуста група авторизації umap від nso	Не знайдено umap у групі автентифікації Cisco NSO.	Додайте umap.
3.	failed to retrieve RESTCONF resource root. please verify NSO <IP> is reachable via RESTCONF	Crosswork CA не вдалося підключитися до Cisco NSO через RESTCONF.	Ensure that the username/password as specified in cw_device_auth_nso cred profile може підключитися до Cisco NSO через RESTCONF.

Набір документації для цього продукту намагається використовувати вільну мову. Для цілей цього комплекту документації безупередженість визначається як мова, яка не передбачає дискримінації за віком, обмеженими можливостями, статтю, расовою приналежністю, етнічною приналежністю, сексуальною орієнтацією, соціально-економічним статусом і взаємозв’язком. У документації можуть бути винятки через мову, жорстко закодовану в інтерфейсі користувача програмного забезпечення продукту, мову, яка використовується на основі стандартної документації, або мову, яка використовується в посиланні стороннього продукту. Cisco та логотип Cisco є торговими марками або зареєстрованими торговими марками Cisco та/або її філій у США та інших країнах. до view список торгових марок Cisco, перейдіть до цього URL: https://www.cisco.com/c/en/us/about/legal/trademarks.html. Згадані торгові марки третіх сторін є власністю відповідних власників. Використання слова «партнер» не означає партнерські відносини між Cisco та будь-якою іншою компанією. (1721R)

FAQ

What version of Cisco NSO is compatible with this function pack?

The function pack is compatible with Cisco NSO 6.1.11.2 or higher.

Документи / Ресурси

Пакет функцій NSO для автоматизації змін CISCO [pdf] Посібник з встановлення Пакет функцій NSO для автоматизації змін, Пакет функцій NSO для автоматизації, Пакет функцій NSO, Пакет функцій

Список літератури

• Посібник користувача