ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

コンバージしたアクセス ワイヤレス LAN コントローラ 設定例への TACACS 管理者アクセス権

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Cisco ワイヤレス LAN コントローラ(WLC)の Terminal Access Controller Access Control System Plus (TACACS+)の設定例をコンバージしましたアクセス CLI および GUI のための 5760/3850/3650 提供したものです。 この資料はまた設定をトラブルシューティングするためにいくつかの基本的な助言を提供したものです。

TACACS+ はルータかネットワーク アクセス サーバに管理アクセスを得るように試みるユーザ向けに中央集中型セキュリティを提供するクライアント/サーバ プロトコルです。 TACACS+ はこれらの認証、許可、アカウンティング(AAA) サービスを提供します:

  • ネットワーク設備にログインに試みるユーザの認証

  • ユーザに許可するアクセス レベルを決める認可

  • ユーザが行うすべての変更を追跡するアカウンティング

著者:Cisco TAC エンジニア、Surendra BG

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • 基本動作のための WLCs および Lightweight アクセスポイント (LAP)の設定方法
  • Lightweight アクセス ポイント プロトコル(LWAPP)とワイヤレスのセキュリティ方式
  • RADIUS および TACACS+ の基本的な知識
  • Cisco ACS 設定の基礎知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS ® XE リリース 3.3.3 を実行する WLC 5760
  • Access Control Server (ACS) 5.2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

設定

これはツーステップ プロセスです:

  • WLC の設定
  • RADIUS/TACACS サーバの設定

WLC の設定

  1. WLC の TACACSサーバを定義して下さい。 設定します正確の TACACS の同じ共有秘密確認して下さい。
    tacacs-server host 10.106.73.71 key Cisco123
    tacacs server ACS
     address ipv4 10.106.102.50
     key Cisco123
     timeout 10
  2. サーバグループを設定し、前の手順の構成されたサーバーをマッピング して下さい。
    aaa group server tacacs+ ACS
     server name ACS
    !
  3. 管理者アクセス権のための認証および承認ポリシーを設定して下さい。 これでは、フォールバックであるローカルに先行している TACACS グループを許可します。
    aaa authentication login Admin_Access group ACS local

    aaa authorization exec Admin_Access group ACS local
  4. 行 VTY および HTTP にポリシーを適用して下さい。
    line vty 0 4
     authorization exec Admin_Access
     login authentication Admin_Access
    line vty 5 15
     exec-timeout 0 0
     authorization exec Admin_Access
     login authentication Admin_Access
  5. HTTP に同じを適用して下さい。
    ip http server
    ip http authentication aaa login-authentication Admin_Access
    ip http authentication aaa exec-authorization Admin_Access

ACS の設定

  1. ACS の TACACS のための AAA クライアントとして WLC を追加するためにネットワークリソース > ネットワークデバイスおよび AAA クライアントを選択して下さい。 ここに設定される共有秘密を一致します WLC で設定される 1 つと確認して下さい。

  2. 『Users』 を選択 すれば識別は > 内部識別ストア > Users 管理者アクセス権のためのユーザを定義するために保存します

  3. ポリシー要素 > 許可および権限 > デバイス Administration > シェル プロファイル特権レベルを 15 に設定 するために選択して下さい。

  4. アクセスポリシー > アクセスを保守します > デフォルト デバイ Admin 必須プロトコルを許可するために選択して下さい。

  5. アクセスポリシー > アクセスを保守します > デフォルト デバイ Admin > 識別認証オプションの内部ユーザを許可するデバイス 管理者のための識別を作成するために選択して下さい。

  6. アクセスポリシー > アクセスを保守します > デフォルト デバイ Admin > 許可ステップ 3.で作成される Priv15 許可 プロファイルを許可するために選択して下さい。 ここに渡された識別(内部ユーザ)のクライアントは Priv15 プロファイルに置かれます。

確認

ここでは、設定が正常に動作していることを確認します。

ブラウザを開き、スイッチ IP アドレスを入力して下さい。 認証は敏速なディスプレイを必要としました。 デバイスにグループ ユーザーの資格情報ログインを入力して下さい。

Telnet/SSH アクセス、Telnet/SSH をスイッチ IP アドレスにチェックし、資格情報を入力するため。

これは ACS 記録のために表示する。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

設定をトラブルシューティングするために debug tacacs コマンドを入力して下さい。

debug tacacs

*May 14 23:11:06.396: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:06.396: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:06.396: TPLUS: processing authentication continue request id 4775
*May 14 23:11:06.396: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
16 bytes data)
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 28 bytes response
*May 14 23:11:06.398: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:06.398: TPLUS: Received authen response status GET_PASSWORD (8)
*May 14 23:11:08.680: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:08.680: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.680: TPLUS: processing authentication continue request id 4775
*May 14 23:11:08.680: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
6 bytes data)
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 18 bytes response
*May 14 23:11:08.687: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:08.687: TPLUS: Received authen response status PASS (2)
*May 14 23:11:08.687: TPLUS: Queuing AAA Authorization request 4775 for processing
*May 14 23:11:08.687: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.687: TPLUS: processing authorization request id 4775
*May 14 23:11:08.687: TPLUS: Protocol set to None .....Skipping
*May 14 23:11:08.687: TPLUS: Sending AV service=shell
*May 14 23:11:08.687: TPLUS: Sending AV cmd*
*May 14 23:11:08.687: TPLUS: Authorization request created for 4775(surbg123)
*May 14 23:11:08.687: TPLUS: using previously set server 10.106.102.50 from
group SURBG_ACS

*May 14 23:11:08.688: TPLUS(000012A7)/0/NB_WAIT/93C63F04: Started 10 sec timeout
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: socket event 2
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: wrote entire 61 bytes request
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: Would block while reading
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
18 bytes data)
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 30 bytes response
*May 14 23:11:08.696: TPLUS(000012A7)/0/93C63F04: Processing the reply packet
*May 14 23:11:08.696: TPLUS: Processed AV priv-lvl=15
*May 14 23:11:08.696: TPLUS: received authorization response for 4775: PASS

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117711