Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

Ejemplo de Configuración de Cisco Airespace VSAs (Vendor Specific Attributes) en un Cisco Secure ACS (Access Control Server)

3 Marzo 2009 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (14 Abril 2009) | Comentarios

Contenidos

Introducción
Prerrequisitos
      Requisitos
      Componentes Utilizados
      Convenciones
Antecedentes
      Antes de Utilizar Atributos RADIUS en el Cisco Secure ACS
Importe los Atributos Cisco Airespace VSA al Cisco Secure ACS
      Defina los Atributos Cisco Airespace VSA en un Archivo de Importación RADIUS Vendor/VSA
      Archivo de Diccionario Airespace
      Agregue los Atributos Cisco Airespace VSA al Cisco Secure ACS
Verificación
Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Las versiones 4.0 y posteriores de Cisco Secure Access Control Server (ACS) soportan Cisco Airespace Vendor Specific Attributes (Atributos Específicos de Proveedor de Cisco Airespace, VSA) de forma predeterminada. Para versiones del ACS anteriores a la 4.0, el archivo de diccionario de Cisco Airespace debe ser importado al Cisco Secure ACS. Este documento, explica cómo importar el archivo de diccionario de Cisco Airespace al Cisco Secure ACS en las versiones anteriores a la versión 4.0. El código de proveedor para los atributos Cisco Airespace VSA es 14179.

Prerrequisitos

Requisitos

Asegúrese de cumplir los siguientes requisitos antes de utilizar esta configuración:

  • Tener conocimientos básicos sobre cómo configurar un servidor Cisco Secure para autenticar clientes inalámbricos

  • Tener conocimientos sobre Cisco Unified Wireless Security Solutions

Componentes Utilizados

La información de este documento se basa en la versión 3.2 del servidor Cisco Secure ACS

La información de este documento se creó a partir de dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

Con la versión 4.0 y posteriores de Cisco Secure ACS, el ACS soporta estos atributos Cisco Airespace VSA de forma predeterminada:

  • Aire-WLAN-Id

  • Aire-QoS-Level

  • Aire-DSCP

  • Aire-802.1P-Tag

  • Aire-Interface-Name

  • Aire-ACL-Name

Para obtener más información sobre estos atributos, consulte la sección Atributos RADIUS Utilizados en Identity Networking de la Guía de Configuración del Cisco Wireless LAN Controller, Versión 4.1.

Para versiones del ACS anteriores a la 4.0, se debe importar el archivo de diccionario de Cisco Airespace al Cisco Secure ACS. En la próxima sección, se explica cómo importar el archivo de diccionario de Cisco Airespace al Cisco Secure ACS.

Antes de Utilizar los Atributos RADIUS en el Cisco Secure ACS

Para configurar que un atributo específico que se envíe a un usuario, deberá asegurarse de lo siguiente:

  • En la sección Network Configuration, debe configurar la entrada del cliente AAA que corresponda al dispositivo de acceso. Este dispositivo de acceso proporciona acceso a la red para que el usuario utilice diversos RADIUS que soporten el atributo que desea enviar al cliente AAA.

  • En la sección Interface Configuration, debe habilitar el atributo para que este aparezca en las páginas de: perfil de usuario ó perfil de grupo de usuarios. Puede habilitar atributos en la página que corresponde a la variedad RADIUS que soporta el atributo. Por ejemplo, que el atributo IETF RADIUS Session-Timeout (27) aparezca en la página RADIUS (IETF).

    Nota: De forma predeterminada, los atributos RADIUS por usuario están deshabilitados porque no aparecen en la página Interface Configuration. Antes de poder habilitar atributos basados por usuario, usted deberá habilitar la opción per-user TACACS+/RADIUS Attributes en la página Advanced Options de la sección Interface Configuration. Una vez habilitados los atributos por usuario, aparecerá una columna de usuario deshabilitada en la página Interface Configuration para dicho atributo.

  • Debe habilitar el atributo en el perfil que utiliza para controlar las autorizaciones para el usuario. El perfil se encuentra en las páginas de edición de usuario o de grupo o en la página Shared RADIUS Authorization Component. Cuando este atributo está habilitado, el ACS lo envía al cliente AAA en el mensaje access-accept. En las opciones que están asociadas con el atributo, usted podrá determinar el valor del atributo que es enviado al cliente AAA.

    Nota: Los parámetros en un perfil de usuario sobrescriben los parámetros de un perfil de grupo. Por ejemplo: si configura Session-Timeout en el perfil de usuario y también en el grupo al que se asigna el usuario, el ACS enviará al cliente AAA el valor de Session-Timeout que se haya especificado en el perfil del usuario.

Importe los atributos Cisco Airespace VSA al Cisco Secure ACS

Para importar los atributos Cisco Airespace VSA al Cisco Secure ACS, deberá completar estos pasos:

  1. Defina los atributos Cisco Airespace VSA en un archivo de importación RADIUS Vendor/VSA.

  2. Determine el RADIUS vendor slot al cual desea agregar los nuevos atributos RADIUS vendor y VSA.

  3. Agregue los atributos Cisco Airespace VSA al Cisco Secure ACS.

Nota: Asegúrese de que la aplicación regedit no esté corriendo. Si regedit está corriendo en el servidor Windows Cisco Secure ACS, es posible que no permita efectuar las actualizaciones de Registro necesarias para agregar un conjunto personalizado de atributos RADIUS vendor y VSA.

Defina los Atributos Cisco Airespace VSA en un Archivo de importación RADIUS Vendor/VSA

Para poder importar el conjunto de atributos Cisco Airespace VSA en el Cisco Secure ACS, deberá definir el conjunto de atributos RADIUS Vendor y VSA en un archivo de importación. Esta sección, detalla el formato y el contenido de los archivos de importación RADIUS VSA.

Los archivos de importación RADIUS Vendor/VSA utilizan un formato .ini de Windows. Cada archivo de importación RADIUS Vendor/VSA contiene tres tipos de secciones. Estas secciones están detalladas en la siguiente tabla. Cada sección está compuesta por un encabezado y un conjunto de llaves y valores. El orden de las secciones en el archivo de importación RADIUS Vendor/VSA es irrelevante.

airespace-vsa-acs-config1.gif

Definición del conjunto Vendor y VSA

Cada archivo de importación RADIUS Vendor/VSA debe contar con una sección de conjunto de atributos Vendor y VSA. El encabezado de la sección debe ser [User Defined Vendor].

airespace-vsa-acs-config2.gif

Por ejemplo: esta sección de conjunto vendor y atributos VSA define al vendor (proveedor) Cisco Airespace, cuyo número de proveedor asignado por IETF es 14179.

[User Defined Vendor]
Name=Airespace
IETF Code=14179
VSA 1=Airespace-WLAN-Id
VSA 2=Airespace-QoS-Level
VSA 3=Airespace-DSCP
VSA 4=Airespace-802.1p-Tag
VSA 5=Airespace-Interface-Name
VSA 6=Airespace-ACL-Name

Definición de Atributos

Cada archivo de importación RADIUS Vendor/VSA debe contar con una sección de definición de atributos para cada atributo definido en la sección conjunto vendor y VSA. El encabezado de cada sección de definición de atributos debe coincidir con el nombre del atributo definido para dicho atributo en la sección conjunto vendor y VSA. En esta tabla, se enumeran las claves válidas para una sección de definición de atributos:

airespace-vsa-acs-config3.gif

Por ejemplo: esta sección de definición de atributos define Airespace-Interface-Name VSA, que es un string (cadena de caracteres) que se utiliza para especificar el nombre de la interfaz.

[Airespace-Interface-Name]
Type=STRING
Profile=OUT

Definición de Enumeración

Las definiciones de enumeración le permiten asociar un nombre basado en texto para cada valor numérico válido de un atributo de tipo entero. En las secciones Group Setup y User Setup de la interfaz HTML de Cisco Secure ACS, los valores de texto que defina aparecerán en listas asociadas con los atributos que utilizan las enumeraciones. Las secciones de definición de enumeración sólo son necesarias si una sección de definición de atributos hace referencia a ellas. Únicamente los atributos de tipo entero pueden hacer referencia a una sección de definición de enumeración.

El encabezado de cada sección de definición de enumeración debe coincidir con el valor de una clave Enums que haga referencia a la misma. Una sección de definición de enumeración puede referenciada por más de una clave Enums, eso permite que se vuelvan a utilizar las definiciones de enumeración comunes. Una sección de definición de enumeración puede tener hasta 1000 claves. Esta tabla, muestra las claves válidas para una sección de definición de enumeración:

airespace-vsa-acs-config4.gif

Por ejemplo: esta sección de definición de enumeración define la enumeración QOS-VALUES, que asocia el valor string silver con el entero 0, el valor string Gold con el entero 1 y así sucesivamente.

[QOS-VALUES]
0=Silver
1=Gold
2=Platinum
3=Bronze
4=Uranium

Archivo de Diccionario de Airespace

Se deben considerar todos estos parámetros necesarios para crear el archivo AirespaceVSA.ini. A continuación se presenta un ejemplo:

[User Defined Vendor]
Name=Airespace
IETF Code=14179
VSA 1=Airespace-WLAN-Id
VSA 2=Airespace-QoS-Level
VSA 3=Airespace-DSCP
VSA 4=Airespace-802.1p-Tag
VSA 5=Airespace-Interface-Name
VSA 6=Airespace-ACL-Name

RadiusExtensionPoints=EAP

[Airespace-WLAN-Id]
Type=INTEGER
Profile=OUT

[Airespace-QoS-Level]
Type=INTEGER
Profile=OUT
Enums=QOS-VALUES

[QOS-VALUES]
0=Silver
1=Gold
2=Platinum
3=Bronze
4=Uranium

[Airespace-DSCP]
Type=INTEGER
Profile=OUT

[Airespace-802.1p-Tag]
Type=INTEGER
Profile=OUT

[Airespace-Interface-Name]
Type=STRING
Profile=OUT

[Airespace-ACL-Name]
Type=STRING
Profile=OUT

Guarde este archivo como Airespace.ini en su disco duro, preferentemente en el directorio C:\Cisco Secure ACS 3.2\Utils. El próximo paso es agregar los atributos VSA al Cisco Secure ACS.

Agregue los Atributos Cisco Airespace VSA al Cisco Secure ACS

Puede utilizar el comando CSUtil.exe -addUDV disponible en el directorio Utils (C:\Cisco Secure ACS 3.2\Utils) para agregar un máximo de diez conjuntos personalizados RADIUS Vendors y VSA al Cisco Secure ACS. Cada conjunto RADIUS Vendors y VSA se agrega a uno de los diez posibles RADIUS vendor slots definidos por el usuario.

El comando CSUtil.exe -listUDV enumera cada uno de los RADIUS vendor slots definidos por el usuario en el orden numérico de slot. El comando CSUtil.exe muestra los slots que no cuentan con ningún RADIUS vendor slot personalizado como Unassigned. Un slot catalogado como Unassigned está vacío. Puede agregar un RADIUS vendor personalizado a cualquier slot que figure como Unassigned en la lista. A continuación se presenta un ejemplo:

C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -listUDV
CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
UDV 0 - RADIUS (Airespace)
UDV 1 - Unassigned
UDV 2 - Unassigned
UDV 3 - Unassigned
UDV 4 - Unassigned
UDV 5 - Unassigned
UDV 6 - Unassigned
UDV 7 - Unassigned
UDV 8 - Unassigned
UDV 9 - Unassigned

Mientras el comando CSUtil.exe agrega un conjunto personalizado de atributos RADIUS vendor y VSA al Cisco Secure ACS, todos los servicios del Cisco Secure ACS se detienen y se reinician automáticamente. No se autentica ningún usuario durante este proceso.

Siga estos pasos para agregar los atributos Cisco Airespace VSA al Cisco Secure ACS:

  1. En el servidor que corre Cisco Secure ACS, abra una ventana de MS DOS (command prompt) y cambie de directorio al que contenga CSUtil.exe. Por ejemplo: si Cisco Secure ACS está instalado en el directorio C:\Cisco Secure ACS 3.2, el directorio Utils se encontrará disponible en este directorio. En el prompt DOS, ingrese:

    C:\Cisco Secure ACS 3.2\cd Utils
    
    C:\Cisco Secure ACS 3.2\Utils
  2. Ahora, ingrese este comando:

    CSUtil.exe -addUDV slot-number filename

    donde slot-number es un RADIUS vendor slot de Cisco Secure ACS no utilizado y filename es el nombre de un archivo de importación RADIUS Vendor/VSA. El nombre de archivo puede incluir una ruta relativa o absoluta al archivo de importación RADIUS Vendor/VSA. Presione Enter.

    Por ejemplo: para agregar los atributos Cisco Airespace VSA definidos en C:\Cisco Secure ACS 3.2\Utils\Airespace.ini al slot 5, el comando es:

    CSUtil.exe -addUDV 5 Airespace.ini

    CSUtil.exe muestra un prompt de confirmación.

  3. Para confirmar que desea agregar los atributos VSA y detener todos los servicios del Cisco Secure ACS durante el proceso, escriba Y y presione Enter.

    CSUtil.exe detiene los servicios del Cisco Secure ACS, analiza el archivo de entrada vendor/VSA y agrega los nuevos atributos RADIUS vendor y VSA al Cisco Secure ACS. Este proceso puede demorar algunos minutos. Una vez completado, CSUtil.exe reinicia los servicios del Cisco Secure ACS.

    A continuación se presenta un ejemplo:

    C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -addUDV 0 Airespace.ini
    CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
    
    Adding or removing vendors requires ACS services to be re-started.
    Please make sure regedit is not running as it can prevent registry
    backup/restore operations
    
    Are you sure you want to proceed? (Y or N)Y
    Parsing [.\Airespace.ini] for addition at UDV slot [0]
    Stopping any running services
    Creating backup of current config
    Adding Vendor [Airespace] added as [RADIUS (Airespace)]
    Adding VSA [Airespace-WLAN-Id]
    Adding VSA [Airespace-QoS-Level]
    Adding VSA [Airespace-DSCP]
    Adding VSA [Airespace-802.1p-Tag]
    Adding VSA [Airespace-Interface-Name]
    Adding VSA [Airespace-ACL-Name]
    Done
    Checking new configuration...
    New configuration OK
    Re-starting stopped services

Verificación

Una vez agregados los atributos Cisco Airespace VSA al Cisco Secure ACS, podrá verificar este mismo proceso desde la GUI del Cisco Secure ACS. Complete estos pasos para la verificación:

  1. Inicie sesión en la GUI del Cisco Secure ACS.

  2. Haga clic en Network Configuration en el menú del lado izquierdo y navegue hasta la página Add a AAA client.

    En la ventana AAA Client, encontrará la opción RADIUS (Airespace) en el menú desplegable Authenticate Using.

    A continuación se presenta un ejemplo:

    airespace-vsa-acs-config5.gif

    En la página Interface Configuration, encontrará los atributos RADIUS (Airespace) incluidos en una lista.

    Nota: En la sección Network Configuration, deberá configurar la entrada de cliente AAA que corresponda al dispositivo de acceso que proporciona acceso de red al usuario para que utilice los atributos RADIUS (Airespace) que desea enviar al cliente AAA. Posteriormente, los atributos RADIUS correspondientes se incluirán en una lista en la página Interface Configuration.

    airespace-vsa-acs-config6.gif

  3. Cuando haga clic en el link RADIUS (Airespace) de esta página, podrá ver y seleccionar los atributos.

    airespace-vsa-acs-config7.gif

Troubleshooting

Si el archivo de diccionario de Airespace no se importa al Cisco Secure ACS, verifique lo siguiente:

  • Asegúrese de estar importando un archivo .ini (archivo de importación VSA) con el formato correcto. Si el formato del archivo no es correcto, aparecerá este mensaje de error:

    C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -addUDV 0 Airespace.dct
    CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
    
    Adding or removing vendors requires ACS services to be re-started.
    Please make sure regedit is not running as it can prevent registry
    backup/restore operations
    
    Are you sure you want to proceed? (Y or N)Y
    Parsing [.\Airespace.ini] for addition at UDV slot [0]
    Cant find [Name] value
    
  • Asegúrese de que el slot del proveedor en el que está tratando de importar el diccionario se encuentre libre y que no esté asignado al diccionario de otro proveedor. Si intenta instalar atributos VSA en un slot ya asignado, recibirá este error:

    Vendor Slot already configured, specify alternate value
    

    Puede utilizar el comando CSUtil.exe -listUDV para ver la lista de slots que están vacíos.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 97849