Tecnología inalámbrica / Movilidad : LAN inalámbrica (WLAN)

Acceso del administrador TACACS al ejemplo de configuración convergido de los reguladores del Wireless LAN del acceso

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento proporciona un ejemplo de configuración del Terminal Access Controller Access Control System más (TACACS+) en Cisco convergió regulador del Wireless LAN del acceso (WLC) 5760/3850/3650 para el CLI y el GUI. Este documento también proporciona algunas extremidades básicas para resolver problemas la configuración.

El TACACS+ es un protocolo cliente/servidor que proporciona la Seguridad centralizada para los usuarios que intentan tener el Acceso de administración a un router o a un servidor de acceso a la red. El TACACS+ proporciona estos servicios del Authentication, Authorization, and Accounting (AAA):

  • Autenticación de los usuarios que intentan iniciar sesión al equipo de red

  • Autorización de determinar qué nivel de usuarios del acceso debe tener

  • El considerar para no perder de vista todos los cambios el usuario hace

Contribuido por Surendra BG, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Cómo configurar el WLCs y los Puntos de acceso ligeros (revestimientos) para la operación básica
  • Métodos del protocolo (LWAPP) y de la seguridad de red inalámbrica del Lightweight Access Point
  • Conocimiento básico del RADIUS y del TACACS+
  • Conocimiento básico de la configuración de ACS de Cisco

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • WLC 5760 que funciona con la versión 3.3.3 del ® XE del Cisco IOS
  • Access Control Server (ACS) 5.2

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configurar

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

Configuraciones

Esto es un proceso de dos pasos:

  • Configuración en el WLC
  • Configuración en el servidor RADIUS/TACACS

Configuración en el WLC

  1. Defina al servidor TACACS en el WLC. Asegúrele la configuración el exacto el mismo secreto compartido en el TACACS.
    tacacs-server host 10.106.73.71 key Cisco123
    tacacs server ACS
     address ipv4 10.106.102.50
     key Cisco123
     timeout 10
  2. Configure a los grupos de servidores y asocie el servidor configurado en el paso anterior.
    aaa group server tacacs+ ACS
     server name ACS
    !
  3. Configure la autenticación y las directivas de la autorización para el acceso del administrador. En esto, usted permite al grupo TACACS seguido por el local que es el retraso.
    aaa authentication login Admin_Access group ACS local

    aaa authorization exec Admin_Access group ACS local
  4. Aplique la directiva a la línea vty y HTTP.
    line vty 0 4
     authorization exec Admin_Access
     login authentication Admin_Access
    line vty 5 15
     exec-timeout 0 0
     authorization exec Admin_Access
     login authentication Admin_Access
  5. Aplique lo mismo al HTTP.
    ip http server
    ip http authentication aaa login-authentication Admin_Access
    ip http authentication aaa exec-authorization Admin_Access

Configuración en el ACS

  1. Elija los recursos de red > los dispositivos de red y a los clientes AAA para agregar el WLC como el cliente AAA para el TACACS en el ACS. Asegúrese que el secreto compartido configurado aquí haga juego el que está configurado en el WLC.

  2. Elija a los usuarios y la identidad salva > los almacenes internos de la identidad > Users para definir al usuario para el acceso del administrador.

  3. Elija los elementos > la autorización y los permisos de la directiva > Device Administration (Administración del dispositivo) > los perfiles del shell para fijar los niveles de privilegio a 15.

  4. Elija las políticas de acceso > los servicios del acceso > el dispositivo Admin del valor por defecto para permitir los protocolos requeridos.

  5. Elija las políticas de acceso > los servicios del acceso > el dispositivo del valor por defecto Admin > identidad para crear una identidad para el administrador de dispositivo que permite a los usuarios internos con las opciones de autenticación.

  6. Elija las políticas de acceso > los servicios del acceso > el dispositivo del valor por defecto Admin > autorización para permitir el perfil de la autorización Priv15 creado en el paso 3. Aquí ponen al cliente con la identidad pasajera (usuarios internos) en el perfil Priv15.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Abra un hojeador y ingrese el IP Address del Switch. Las visualizaciones requeridas autenticación del prompt. Ingrese los credenciales de usuario del grupo para iniciar sesión al dispositivo.

Para marcar el acceso del telnet/SSH, el telnet/SSH al IP Address del Switch y ingresar las credenciales.

Esto se visualiza para el registro ACS.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Ingrese el comando debug tacacs para resolver problemas su configuración.

debug tacacs

*May 14 23:11:06.396: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:06.396: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:06.396: TPLUS: processing authentication continue request id 4775
*May 14 23:11:06.396: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
16 bytes data)
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 28 bytes response
*May 14 23:11:06.398: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:06.398: TPLUS: Received authen response status GET_PASSWORD (8)
*May 14 23:11:08.680: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:08.680: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.680: TPLUS: processing authentication continue request id 4775
*May 14 23:11:08.680: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
6 bytes data)
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 18 bytes response
*May 14 23:11:08.687: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:08.687: TPLUS: Received authen response status PASS (2)
*May 14 23:11:08.687: TPLUS: Queuing AAA Authorization request 4775 for processing
*May 14 23:11:08.687: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.687: TPLUS: processing authorization request id 4775
*May 14 23:11:08.687: TPLUS: Protocol set to None .....Skipping
*May 14 23:11:08.687: TPLUS: Sending AV service=shell
*May 14 23:11:08.687: TPLUS: Sending AV cmd*
*May 14 23:11:08.687: TPLUS: Authorization request created for 4775(surbg123)
*May 14 23:11:08.687: TPLUS: using previously set server 10.106.102.50 from
group SURBG_ACS

*May 14 23:11:08.688: TPLUS(000012A7)/0/NB_WAIT/93C63F04: Started 10 sec timeout
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: socket event 2
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: wrote entire 61 bytes request
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: Would block while reading
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
18 bytes data)
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 30 bytes response
*May 14 23:11:08.696: TPLUS(000012A7)/0/93C63F04: Processing the reply packet
*May 14 23:11:08.696: TPLUS: Processed AV priv-lvl=15
*May 14 23:11:08.696: TPLUS: received authorization response for 4775: PASS


Document ID: 117711