Sans fil : Contrôleurs de réseau local sans fil de la gamme Cisco 4400

Exemple de configuration d'attributs VSA Cisco Airespace sur un serveur Cisco Secure ACS

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

La version 4.0 et ultérieures du Cisco Secure Access Control Server (ACS) prend en charge les attributs spécifiques de constructeur de Cisco Airespace (le VSA) par défaut. Pour des versions ACS avant version 4.0, le fichier de dictionnaire de Cisco Airespace doit être importé vers le Cisco Secure ACS. Ce document explique comment importer le fichier de dictionnaire de Cisco Airespace au Cisco Secure ACS pour des versions avant 4.0. Le code de constructeur pour les VSAs de Cisco Airespace est 14179.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Connaissance de base de la façon configurer un serveur Cisco Secure pour authentifier des clients sans fil

  • La connaissance des solutions de sécurité de Cisco Unified Wireless

Composants utilisés

Les informations dans ce document sont basées sur la version 3.2 de serveur de Cisco Secure ACS

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Avec la version 4.0 et ultérieures de Cisco Secure ACS, l'ACS prend en charge ces VSAs de Cisco Airespace par défaut :

  • Aire-WLAN-id

  • Niveau de l'Aire

  • AIRE-DSCP

  • Aire-802.1P-Tag

  • Aire-Interface-Name

  • Aire-ACL-nom

Pour plus d'informations sur ces attributs, référez-vous aux attributs RADIUS utilisés dans la section de réseau d'identité du guide de configuration Sans fil de contrôleur LAN de Cisco, version 4.1.

Pour des versions ACS avant version 4.0, le fichier de dictionnaire de Cisco Airespace doit être importé vers le Cisco Secure ACS. La section suivante explique comment importer le fichier de dictionnaire de Cisco Airespace au Cisco Secure ACS.

Avant d'utiliser des attributs RADIUS sur le Cisco Secure ACS

Afin de configurer un attribut spécifique à envoyer pour un utilisateur, vous devez assurer cela :

  • Dans la section de configuration réseau, vous devez configurer l'entrée de client d'AAA qui correspond au périphérique d'accès. Ce périphérique d'accès accorde l'accès au réseau à l'utilisateur pour utiliser un grand choix de RAYON qui prend en charge l'attribut que vous voulez envoyé à l'AAA le client.

  • Dans la section de configuration d'interface, vous devez activer l'attribut ainsi il apparaît aux pages de profil d'utilisateur ou de groupe d'utilisateurs. Vous pouvez activer des attributs à la page qui correspond à la variété de RAYON qui prend en charge l'attribut. Par exemple, l'attribut de session-timeout de RAYON IETF (27) apparaît à la page du RAYON (IETF).

    Remarque: Par défaut, des attributs RADIUS de par-utilisateur ne sont pas activés parce qu'ils n'apparaissent pas dans la page de configuration d'interface. Avant que vous puissiez activer des attributs sur une base par utilisateur, vous devez activer l'option d'attributs du par-utilisateur TACACS+/RADIUS sur la page options avancée dans la section de configuration d'interface. Après que vous activiez des attributs de par-utilisateur, une colonne d'utilisateur apparaîtra car désactivé dans la page de configuration d'interface pour cet attribut.

  • Dans le profil vous utilisez pour contrôler des autorisations pour l'utilisateur, qui est dans l'utilisateur ou le groupe éditent les pages ou la page composante partagée d'autorisation RADIUS, que vous devez activer l'attribut. Quand cet attribut est activé, l'ACS envoie l'attribut au client d'AAA dans le message d'Access-recevoir. Dans les options qui sont associées avec l'attribut, vous pouvez déterminer la valeur de l'attribut qui est envoyé au client d'AAA.

    Remarque: Les configurations dans un profil utilisateur ignorent des configurations dans un profil de groupe. Par exemple, si vous configurez la session-timeout dans le profil utilisateur et également dans le groupe auquel l'utilisateur est assigné, l'ACS envoie au client d'AAA la valeur du dépassement de durée qui est spécifiée dans le profil utilisateur.

Importez les VSAs de Cisco Airespace au Cisco Secure ACS

Afin d'importer les VSAs de Cisco Airespace au Cisco Secure ACS, vous devez se terminer ces étapes :

  1. Définissez les VSAs de Cisco Airespace dans un fichier d'importation du RAYON vendor/VSA.

  2. Déterminez l'emplacement de constructeur de RAYON auquel vous voulez ajouter le nouveaux constructeur de RAYON et VSAs.

  3. Ajoutez les VSAs de Cisco Airespace au Cisco Secure ACS.

Remarque: Assurez-vous que le regedit d'application ne s'exécute pas. Si le regedit s'exécute sur les Windows Server de Cisco Secure ACS, il peut empêcher des mises à jour de registre exigées pour ajouter un constructeur fait sur commande de RAYON et le positionnement VSA.

Définissez les VSAs de Cisco Airespace dans un fichier d'importation du RAYON Vendor/VSA

Afin d'importer les VSAs de Cisco Airespace réglés dans le Cisco Secure ACS, vous devez définir le constructeur de RAYON et le positionnement VSA dans un fichier d'importation. Cette section détaille le format et le contenu des fichiers d'importation VSA de RAYON.

Les fichiers d'importation du RAYON vendor/VSA utilisent un format de fichier de Windows .ini. Chaque fichier d'importation du RAYON vendor/VSA comporte trois types des sections. Ces sections sont détaillées dans cette table. Chaque section comporte un intitulé et un ensemble des clés et des valeurs. La commande des sections dans le fichier d'importation du RAYON vendor/VSA est inutile.

airespace-vsa-acs-config1.gif

Constructeur et définition réglée VSA

Chaque fichier d'importation du RAYON vendor/VSA doit avoir un constructeur et section réglée VSA. L'intitulé doit être [constructeur défini par l'utilisateur].

/image/gif/paws/97849/airespace-vsa-acs-config2.gif

Par exemple, ces constructeur et section réglée VSA définit le constructeur Cisco Airespace, dont IETF-a assigné le nombre de constructeur a 14179 ans.

[User Defined Vendor]
Name=Airespace
IETF Code=14179
VSA 1=Airespace-WLAN-Id
VSA 2=Airespace-QoS-Level
VSA 3=Airespace-DSCP
VSA 4=Airespace-802.1p-Tag
VSA 5=Airespace-Interface-Name
VSA 6=Airespace-ACL-Name

Définition d'attribut

Chaque fichier d'importation du RAYON vendor/VSA doit avoir une section Définitions d'attribut pour chaque attribut défini dans le constructeur et la section réglée VSA. L'intitulé de chaque section Définitions d'attribut doit apparier le nom d'attribut défini pour cet attribut dans le constructeur et la section réglée VSA. Ce tableau présente les touches valides pour une section Définitions d'attribut :

/image/gif/paws/97849/airespace-vsa-acs-config3.gif

Par exemple, cette section Définitions d'attribut définit le VSA d'Airespace-Interface-nom, qui est une chaîne utilisée pour spécifier le nom d'interface.

[Airespace-Interface-Name]
Type=STRING
Profile=OUT

Définition d'énumération

Enable de définitions d'énumération vous pour associer un texte avez basé le nom pour chaque valeur numérique valide d'un attribut d'entier-type. Dans le Group Setup et les sections User Setup de l'interface HTML de Cisco Secure ACS, le texte vous évalue définissent apparaissent dans les listes associées avec les attributs qui utilisent les énumérations. Des sections Définitions d'énumération sont exigées seulement si une section Définitions d'attribut les met en référence. Seulement les attributs qui sont des attributs d'entier-type peuvent mettre en référence une section Définitions d'énumération.

L'intitulé de chaque section Définitions d'énumération doit apparier la valeur d'une clé d'Enums qui la met en référence. Une section Définitions d'énumération peut être mise en référence par plus d'un Enums principal, de ce fait tenant compte de la réutilisation des définitions communes d'énumération. Une section Définitions d'énumération peut avoir jusqu'à 1000 clés. Ce tableau présente les touches valides pour une section Définitions d'énumération :

/image/gif/paws/97849/airespace-vsa-acs-config4.gif

Par exemple, cette section Définitions d'énumérations définit l'énumération de VALEURS DE QOS, qui associe l'argent de valeur de chaîne avec l'entier 0, l'or de valeur de chaîne avec l'entier 1 et ainsi de suite.

[QOS-VALUES]
0=Silver
1=Gold
2=Platinum
3=Bronze

Fichier de dictionnaire d'Airespace

Vous devez considérer tous ces paramètres nécessaires pour créer le fichier AirespaceVSA.ini. Voici un exemple :

[User Defined Vendor]
Name=Airespace
IETF Code=14179
VSA 1=Airespace-WLAN-Id
VSA 2=Airespace-QoS-Level
VSA 3=Airespace-DSCP
VSA 4=Airespace-802.1p-Tag
VSA 5=Airespace-Interface-Name
VSA 6=Airespace-ACL-Name

RadiusExtensionPoints=EAP

[Airespace-WLAN-Id]
Type=INTEGER
Profile=OUT

[Airespace-QoS-Level]
Type=INTEGER
Profile=OUT
Enums=QOS-VALUES

[QOS-VALUES]
0=Silver
1=Gold
2=Platinum
3=Bronze

[Airespace-DSCP]
Type=INTEGER
Profile=OUT

[Airespace-802.1p-Tag]
Type=INTEGER
Profile=OUT

[Airespace-Interface-Name]
Type=STRING
Profile=OUT

[Airespace-ACL-Name]
Type=STRING
Profile=OUT

Sauvegardez ce fichier comme Airespace.ini et enregistrez-le sur le disque dur, de préférence dans le répertoire de C:\Cisco Secure ACS 3.2\Utils. L'étape suivante est d'ajouter les VSAs au Cisco Secure ACS.

Ajoutez les VSAs de Cisco Airespace au Cisco Secure ACS

Vous pouvez employer le CSUtil.exe - commande d'addUDV disponible sous le répertoire d'Utils (répertoire de C:\Cisco Secure ACS 3.2\Utils) pour ajouter à dix constructeurs faits sur commande de RAYON et le VSA place au Cisco Secure ACS. Chaque constructeur de RAYON et positionnement VSA est ajouté à un de dix emplacements définis par l'utilisateur possibles de constructeur de RAYON.

Le CSUtil.exe - listes de commandes de listUDV chaque emplacement défini par l'utilisateur de constructeur de RAYON dans la commande de nombre d'emplacement. Le CSUtil.execommand répertorie les emplacements qui ne contiennent pas un constructeur fait sur commande de RAYON comme non affecté. Un emplacement non affecté est vide. Vous pouvez ajouter un constructeur fait sur commande de RAYON à n'importe quel emplacement répertorié comme non affecté. Voici un exemple :

C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -listUDV
CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
UDV 0 - RADIUS (Airespace)
UDV 1 - Unassigned
UDV 2 - Unassigned
UDV 3 - Unassigned
UDV 4 - Unassigned
UDV 5 - Unassigned
UDV 6 - Unassigned
UDV 7 - Unassigned
UDV 8 - Unassigned
UDV 9 - Unassigned

Tandis que la commande CSUtil.exe ajoute un constructeur de RAYON et un VSA faits sur commande réglés au Cisco Secure ACS, tous les services de Cisco Secure ACS sont automatiquement arrêtés et redémarrés. Aucun utilisateur n'est authentifié pendant ce processus.

Terminez-vous ces étapes afin d'ajouter les VSAs de Cisco Airespace au Cisco Secure ACS :

  1. Sur l'ordinateur qui exécute le Cisco Secure ACS, ouvrez une invite de commande de DOS de MS et changez les répertoires au répertoire qui contient CSUtil.exe. Par exemple, si le Cisco Secure ACS est installé dans le répertoire du Secure ACS 3.2 de C:\Cisco, le répertoire d'Utils sera disponible sous ce répertoire. De l'invite DOS, entrez dans ceci :

    C:\Cisco Secure ACS 3.2\cd Utils
    
    C:\Cisco Secure ACS 3.2\Utils
  2. Maintenant, sélectionnez cette commande :

    CSUtil.exe -addUDV slot-number filename

    là où l'emplacement-nombre est un emplacement et un nom du fichier inutilisés de constructeur de RAYON de Cisco Secure ACS est le nom d'un fichier d'importation du RAYON vendor/VSA. Le nom du fichier peut inclure un chemin relatif ou absolu au fichier d'importation du RAYON vendor/VSA. Appuyez sur Entrée.

    Par exemple, pour ajouter les VSAs de Cisco Airespace définis dans C:\Cisco Secure ACS 3.2\Utils\Airespace.ini pour rainer 5, la commande est :

    CSUtil.exe -addUDV 5 Airespace.ini

    CSUtil.exe affiche une demande de confirmation.

  3. Afin de confirmer que vous voulez ajouter les VSAs et arrêter tous les services de Cisco Secure ACS pendant le processus, le type Y et appuient sur entrent.

    CSUtil.exe arrête des services de Cisco Secure ACS, analyse le fichier d'entrée vendor/VSA, et ajoute le nouveaux constructeur de RAYON et VSAs au Cisco Secure ACS. Ce processus peut prendre quelques minutes. Après qu'il soit complet, CSUtil.exe redémarre des services de Cisco Secure ACS.

    Voici un exemple :

    C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -addUDV 0 Airespace.ini
    CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
    
    Adding or removing vendors requires ACS services to be re-started.
    Please make sure regedit is not running as it can prevent registry
    backup/restore operations
    
    Are you sure you want to proceed? (Y or N)Y
    Parsing [.\Airespace.ini] for addition at UDV slot [0]
    Stopping any running services
    Creating backup of current config
    Adding Vendor [Airespace] added as [RADIUS (Airespace)]
    Adding VSA [Airespace-WLAN-Id]
    Adding VSA [Airespace-QoS-Level]
    Adding VSA [Airespace-DSCP]
    Adding VSA [Airespace-802.1p-Tag]
    Adding VSA [Airespace-Interface-Name]
    Adding VSA [Airespace-ACL-Name]
    Done
    Checking new configuration...
    New configuration OK
    Re-starting stopped services

Vérifiez

Une fois que les VSAs de Cisco Airespace sont ajoutés au Cisco Secure ACS, vous pouvez vérifier la même chose du GUI de Cisco Secure ACS. Terminez-vous ces étapes afin de vérifier :

  1. Procédure de connexion au GUI de Cisco Secure ACS.

  2. Cliquez sur Network Configuration du menu de côté gauche et naviguez vers l'ajouter une page de client d'AAA.

    Dans la fenêtre de client d'AAA, vous trouverez l'option de RAYON (Airespace) sous l'authentifier utilisant abaissez le menu.

    Voici un exemple :

    airespace-vsa-acs-config5.gif

    À la page de configuration d'interface, vous trouverez les attributs de RAYON (Airespace) répertoriés.

    Remarque: Dans la section de configuration réseau, vous devez configurer l'entrée de client d'AAA qui correspond au périphérique d'accès qui accorde l'accès au réseau à l'utilisateur pour utiliser les attributs de RAYON (Airespace) que vous voulez envoyé à l'AAA le client. Alors les attributs RADIUS correspondants seront répertoriés à la page de configuration d'interface.

    /image/gif/paws/97849/airespace-vsa-acs-config6.gif

  3. Quand vous cliquez sur le lien de RAYON (Airespace) à cette page, vous pouvez visualiser et sélectionner les attributs.

    airespace-vsa-acs-config7.gif

Dépannez

Si le fichier de dictionnaire d'Airespace n'est pas importé au Cisco Secure ACS, vérifiez ces derniers :

  • Assurez-vous que vous importez un fichier correctement formaté .ini (fichier d'importation VSA). Si le format du fichier n'est pas correct, vous verrez ce message d'erreur :

    C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -addUDV 0 Airespace.dct
    CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
    
    Adding or removing vendors requires ACS services to be re-started.
    Please make sure regedit is not running as it can prevent registry
    backup/restore operations
    
    Are you sure you want to proceed? (Y or N)Y
    Parsing [.\Airespace.ini] for addition at UDV slot [0]
    Cant find [Name] value
    
  • Assurez-vous que l'emplacement de constructeur où vous essayez d'importer le dictionnaire est libre et n'est pas assigné à un dictionnaire de différent constructeur. Si vous essayez d'installer le VSA sur un emplacement qui est déjà assigné, vous recevrez cette erreur :

    Vendor Slot already configured, specify alternate value
    

    Vous pouvez employer le CSUtil.exe - commande de listUDV afin de visualiser la liste d'emplacements qui sont vides.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 97849