Sem fio : Controladores de LAN sem fio Cisco 4400 Series

Exemplo de Configuração dos Cisco Airespace VSAs no Cisco Secure ACS Server

8 Abril 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (14 Abril 2009) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Informações de Apoio
      Antes de Utilizar Atributos RADIUS no Cisco Secure ACS
Importação dos Cisco Airespace VSAs para o Cisco Secure ACS
      Definição dos Cisco Airespace VSAs em um Arquivo de Importação de Fornecedor/VSAs RADIUS
      Arquivo de Dicionário do Airespace
      Adição dos Cisco Airespace VSAs ao Cisco Secure ACS
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

O Cisco Secure Access Control Server (ACS) 4.0 e versões posteriores oferecem suporte aos Cisco Airespace Vendor Specific Attributes (VSAs) por padrão. Nas versões do ACS anteriores à 4.0, o arquivo de dicionário do Cisco Airespace deve ser importado para o Cisco Secure ACS. Este documento explica como importar o arquivo de dicionário do Cisco Airespace para versões anteriores ao Cisco Secure ACS 4.0. O código do fornecedor para os Cisco Airespace VSAs é 14179.

Pré-requisitos

Requisitos

Certifique-se de atender aos seguintes requisitos antes de tentar esta configuração:

  • Conhecimento básico de como configurar um servidor Cisco Secure para autenticar clientes wireless.

  • Conhecimento das Cisco Unified Wireless Security Solutions.

Componentes Utilizados

As informações contidas neste documento são baseadas no servidor Cisco Secure ACS versão 3.2.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Com o Cisco Secure ACS 4.0 e versões posteriores, o ACS oferece suporte aos seguintes Cisco Airespace VSAs por padrão:

  • Aire-WLAN-Id

  • Aire-QoS-Level

  • Aire-DSCP

  • Aire-802.1P-Tag

  • Aire-Interface-Name

  • Aire-ACL-Name

Para obter mais informações sobre esses atributos, consulte a seção Atributos RADIUS Utilizados em Rede de Identidades do Guia de Configuração do Cisco Wireless LAN Controller, Versão 4.1.

Nas versões do ACS anteriores à 4.0, o arquivo de dicionário do Cisco Airespace deve ser importado para o Cisco Secure ACS. A próxima seção explica como importar o arquivo de dicionário do Cisco Airespace para o Cisco Secure ACS.

Antes de Utilizar Atributos RADIUS no Cisco Secure ACS

Para configurar um atributo específico a ser enviado para um usuário, você deve se certificar de que:

  • Na seção Network Configuration, a entrada do cliente AAA que corresponde ao dispositivo de acesso está configurada. Este dispositivo de acesso concede acesso à rede ao usuário para a utilização de vários RADIUS com suporte ao atributo que você deseja enviar ao cliente AAA.

  • Na seção Interface Configuration, o atributo está ativado para exibição nas páginas de perfil do usuário ou grupo de usuários. Você pode ativar atributos na página que corresponde a vários RADIUS com suporte ao atributo. Por exemplo, o atributo (27) IETF RADIUS Session-Timeout é exibido na página RADIUS (IETF).

    Nota: Por padrão, atributos RADIUS por usuário não estão ativados porque não são exibidos na página Interface Configuration. Antes que você possa ativar os atributos com base em usuário, será necessário ativar a opção TACACS+/RADIUS Attributes por usuário na página Advanced Options na seção Interface Configuration. Após você ativar os atributos por usuário, uma coluna de usuários será exibida como desativada na página Interface Configuration para este atributo.

  • No perfil utilizado para controlar as autorizações para o usuário, nas páginas de edição de usuário ou grupo ou na página Shared RADIUS Authorization Component, você deverá ativar o atributo. Quando este atributo estiver ativado, o ACS enviará o atributo para o cliente AAA na mensagem de aceitação de acesso. Nas opções associadas ao atributo, você pode determinar o valor do atributo enviado ao cliente AAA.

    Nota: As configurações em um perfil de usuário têm precedência sobre as configurações em um perfil de grupo. Por exemplo, se você configurar Session-Timeout no perfil do usuário e também no grupo ao qual o usuário está atribuído, o ACS enviará o valor de Session-Timeout que está especificado no perfil do usuário ao cliente AAA.

Importação dos Cisco Airespace VSAs para o Cisco Secure ACS

Para importar os Cisco Airespace VSAs para o Cisco Secure ACS, você deve executar os seguintes passos:

  1. Definir os Cisco Airespace VSAs em um arquivo de importação de fornecedor/VSAs RADIUS.

  2. Determinar o slot do fornecedor RADIUS para o qual deseja adicionar o novo fornecedor RADIUS e VSAs.

  3. Adicionar os Cisco Airespace VSAs ao Cisco Secure ACS.

Nota: Certifique-se de que o aplicativo regedit não esteja em execução. Se o regedit estiver em execução no servidor Windows do Cisco Secure ACS, ele poderá impedir atualizações do Registro necessárias para adicionar um fornecedor RADIUS personalizado e um conjunto de VSAs.

Definição dos Cisco Airespace VSAs em um Arquivo de Importação de Fornecedor/VSAs RADIUS

Para importar o conjunto dos Cisco Airespace VSAs no Cisco Secure ACS, você deve definir o fornecedor RADIUS e o conjunto de VSAs em um arquivo de importação. Esta seção detalha o formato e o conteúdo dos arquivos de importação de VSAs RADIUS.

Os arquivos de importação de fornecedor/VSAs RADIUS usam um formato de arquivo .ini do Windows. Cada arquivo de importação de fornecedor/VSAs RADIUS é composto por três tipos de seções. Essas seções estão detalhadas nesta tabela. Cada seção é constituída por um cabeçalho de seção e um conjunto de chaves e valores. A ordem das seções no arquivo de importação de fornecedor/VSAs RADIUS é irrelevante.

airespace-vsa-acs-config1.gif

Definição de Fornecedor e Conjunto de VSAs

Cada arquivo de importação de fornecedor/VSAs RADIUS deve possuir uma seção de fornecedor e conjunto de VSAs. O cabeçalho da seção deve ser [User Defined Vendor].

airespace-vsa-acs-config2.gif

Por exemplo, esta seção de fornecedor e conjunto de VSAs define o fornecedor Cisco Airespace, cujo número de fornecedor IETF atribuído é 14179.

[User Defined Vendor]
Name=Airespace
IETF Code=14179
VSA 1=Airespace-WLAN-Id
VSA 2=Airespace-QoS-Level
VSA 3=Airespace-DSCP
VSA 4=Airespace-802.1p-Tag
VSA 5=Airespace-Interface-Name
VSA 6=Airespace-ACL-Name

Definição de Atributos

Cada arquivo de importação de fornecedor/VSAs RADIUS deve possuir uma seção de definição de atributos na seção de fornecedor e conjunto de VSAs. O cabeçalho de cada seção de definição de atributos deve corresponder ao nome do atributo definido na seção de fornecedor e conjunto de VSAs. Esta tabela lista as chaves válidas para uma seção de definição de atributos:

airespace-vsa-acs-config3.gif

Por exemplo, esta seção de definição de atributos define Airespace-Interface-Name VSA, uma seqüência de caracteres utilizada para especificar o nome da interface.

[Airespace-Interface-Name]
Type=STRING
Profile=OUT

Definição de Enumerações

As definições de enumerações permitem que você associe um nome baseado em texto a cada valor numérico válido de um atributo do tipo inteiro. Nas seções Group Setup e User Setup da interface HTML do Cisco Secure ACS, os valores de texto definidos são exibidos em listas associadas aos atributos que utilizam enumerações. As seções de definição de enumerações serão necessárias somente se uma seção de definição de atributos fizer referência a elas. Somente atributos do tipo inteiro podem fazer referência a uma seção de definições de enumerações.

O cabeçalho de cada seção de definição de enumerações deve corresponder ao valor de uma chave Enums que faz referência a ele. Mais de uma chave Enums pode fazer referência a uma seção de definição de enumerações, permitindo a reutilização de definições de enumerações comuns. Uma seção de definição de enumerações pode ter até 1000 chaves. Esta tabela lista as chaves válidas para uma seção de definição de enumerações:

airespace-vsa-acs-config4.gif

Por exemplo, esta seção de definição de enumerações define a enumeração QOS-VALUES que associa o valor da seqüência de caracteres Silver com o inteiro 0, o valor da seqüência de caracteres Gold com o inteiro 1 e assim por diante.

[QOS-VALUES]
0=Silver
1=Gold
2=Platinum
3=Bronze
4=Uranium

Arquivo de Dicionário do Airespace

É preciso considerar todos estes parâmetros necessários para criar o arquivo AirespaceVSA.ini. Aqui está um exemplo:

[User Defined Vendor]
Name=Airespace
IETF Code=14179
VSA 1=Airespace-WLAN-Id
VSA 2=Airespace-QoS-Level
VSA 3=Airespace-DSCP
VSA 4=Airespace-802.1p-Tag
VSA 5=Airespace-Interface-Name
VSA 6=Airespace-ACL-Name

RadiusExtensionPoints=EAP

[Airespace-WLAN-Id]
Type=INTEGER
Profile=OUT

[Airespace-QoS-Level]
Type=INTEGER
Profile=OUT
Enums=QOS-VALUES

[QOS-VALUES]
0=Silver
1=Gold
2=Platinum
3=Bronze
4=Uranium

[Airespace-DSCP]
Type=INTEGER
Profile=OUT

[Airespace-802.1p-Tag]
Type=INTEGER
Profile=OUT

[Airespace-Interface-Name]
Type=STRING
Profile=OUT

[Airespace-ACL-Name]
Type=STRING
Profile=OUT

Salve este arquivo como Airespace.ini e armazene-o no disco rígido, preferencialmente no diretório C:\Cisco Secure ACS 3.2\Utils. O próximo passo é adicionar os VSAs ao Cisco Secure ACS.

Adição dos Cisco Airespace VSAs ao Cisco Secure ACS

Você pode usar o comando CSUtil.exe -addUDV disponível no diretório Utils (diretório C:\Cisco Secure ACS 3.2\Utils) para adicionar até 10 fornecedores RADIUS e conjuntos e VSAs ao Cisco Secure ACS. Cada fornecedor RADIUS e conjunto de VSAs é adicionado a um dos 10 slots possíveis de fornecedor RADIUS definidos pelo usuário.

O comando CSUtil.exe -listUDV lista cada slot de fornecedor RADIUS na ordem dos números dos slots. O comando CSUtil.exe lista os slots que não possuem um fornecedor RADIUS personalizado como não atribuído. Um slot não atribuído está vazio. Você pode adicionar um fornecedor RADIUS personalizado a qualquer slot listado como não atribuído. Aqui está um exemplo:

C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -listUDV
CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
UDV 0 - RADIUS (Airespace)
UDV 1 - Unassigned
UDV 2 - Unassigned
UDV 3 - Unassigned
UDV 4 - Unassigned
UDV 5 - Unassigned
UDV 6 - Unassigned
UDV 7 - Unassigned
UDV 8 - Unassigned
UDV 9 - Unassigned

Enquanto o comando CSUtil.exe adiciona um fornecedor RADIUS personalizado e um conjunto de VSAs ao Cisco Secure ACS, todos os serviços do Cisco Secure ACS são automaticamente interrompidos e reiniciados. Nenhum usuário é autenticado durante este processo.

Execute estes passos para adicionar os Cisco Airespace VSAs ao Cisco Secure ACS:

  1. No computador que executa o Cisco Secure ACS, abra o prompt de comandos do MS DOS e altere os diretórios para o diretório que contém o executável CSUtil.exe. Por exemplo, se o Cisco Secure ACS estiver instalado no diretório C:\Cisco Secure ACS 3.2, o diretório Utils estará disponível neste diretório. No prompt do DOS, digite:

    C:\Cisco Secure ACS 3.2\cd Utils
    
    C:\Cisco Secure ACS 3.2\Utils
  2. Digite este comando:

    CSUtil.exe -addUDV slot-number filename

    Onde slot-number é um slot de fornecedor RADIUS do Cisco Secure ACS não utilizado e filename é o nome do arquivo de importação de fornecedor/VSAs RADIUS. O nome do arquivo pode incluir um caminho relativo ou absoluto para o arquivo de importação de fornecedor/VSAs RADIUS. Pressione Enter.

    Por exemplo, para adicionar os Cisco Airespace VSAs definidos em C:\Cisco Secure ACS 3.2\Utils\Airespace.ini ao slot 5, o comando é:

    CSUtil.exe -addUDV 5 Airespace.ini

    CSUtil.exe exibe um prompt de confirmação.

  3. Para confirmar que você deseja adicionar os VSAs e interromper todos os serviços do Cisco Secure ACS durante o processo, digite Y e pressione Enter.

    O CSUtil.exe interrompe os serviços do Cisco Secure ACS, analisa o arquivo de entrada de fornecedor/VSAs e adiciona o novo fornecedor RADIUS e VSAs ao Cisco Secure ACS. Esse processo pode levar alguns minutos. Após ele ser concluído, o CSUtil.exe reiniciará os serviços do Cisco Secure ACS.

    Aqui está um exemplo:

    C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -addUDV 0 Airespace.ini
    CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
    
    Adding or removing vendors requires ACS services to be re-started.
    Please make sure regedit is not running as it can prevent registry
    backup/restore operations
    
    Are you sure you want to proceed? (Y or N)Y
    Parsing [.\Airespace.ini] for addition at UDV slot [0]
    Stopping any running services
    Creating backup of current config
    Adding Vendor [Airespace] added as [RADIUS (Airespace)]
    Adding VSA [Airespace-WLAN-Id]
    Adding VSA [Airespace-QoS-Level]
    Adding VSA [Airespace-DSCP]
    Adding VSA [Airespace-802.1p-Tag]
    Adding VSA [Airespace-Interface-Name]
    Adding VSA [Airespace-ACL-Name]
    Done
    Checking new configuration...
    New configuration OK
    Re-starting stopped services

Verificação

Uma vez que os Cisco Airespace VSAs sejam adicionados ao Cisco Secure ACS, você poderá verificar o mesmo a partir da GUI do Cisco Secure ACS. Execute estes passos para verificação:

  1. Faça login na GUI do Cisco Secure ACS.

  2. Clique em Network Configuration no menu à esquerda e navegue para a página Add a AAA client.

    Na janela AAA Client, você encontrará a opção RADIUS (Airespace) no menu suspenso Authenticate Using.

    Aqui está um exemplo:

    airespace-vsa-acs-config5.gif

    Na página Interface Configuration, você encontrará os atributos RADIUS (Airespace) listados.

    Nota: Na seção Network Configuration, você deve configurar a entrada do cliente AAA que corresponde ao dispositivo de acesso que concede acesso de rede ao usuário para utilizar os atributos RADIUS (Airespace) que você deseja enviar ao cliente AAA. Em seguida, os atributos RADIUS correspondentes serão listados na página Interface Configuration.

    airespace-vsa-acs-config6.gif

  3. Ao clicar no link RADIUS (Airespace) nesta página, você poderá exibir e selecionar os atributos.

    airespace-vsa-acs-config7.gif

Troubleshooting

Se o arquivo de dicionário do Airespace não for importado para o Cisco Secure ACS, verifique o seguinte:

  • Verifique se você está importando um arquivo .ini ( arquivo de importação de VSAs) corretamente formatado. Se o formato do arquivo não estiver correto, a seguinte mensagem de erro será exibida:

    C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -addUDV 0 Airespace.dct
    CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
    
    Adding or removing vendors requires ACS services to be re-started.
    Please make sure regedit is not running as it can prevent registry
    backup/restore operations
    
    Are you sure you want to proceed? (Y or N)Y
    Parsing [.\Airespace.ini] for addition at UDV slot [0]
    Cant find [Name] value
    
  • Verifique se o slot do fornecedor onde você está tentado importar o dicionário está livre e não está atribuído a um dicionário de fornecedor diferente. Se você tentar instalar o VSA em um slot que já esteja atribuído, o seguinte erro será exibido:

    Vendor Slot already configured, specify alternate value
    

    Você pode usar o comando CSUtil.exe -listUDV para exibir a lista de slots que estão vazios.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 97849