Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

Пример настройки Cisco Airespace VSA на сервере Cisco Secure ACS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Сервер Cisco Secure Access Control Server (ACS) выпуск 4.0 и более поздние поддержки Определяемые поставщиком атрибуты (VSA) Airespace Cisco по умолчанию. Для версий ACS перед выпуском 4.0 файл словаря Airespace Cisco должен быть импортирован в Cisco Secure ACS. Этот документ объясняет, как импортировать файл словаря Airespace Cisco к Cisco Secure ACS для версий прежде 4.0. Код поставщика для VSA Airespace Cisco 14179.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Базовые знания о том, как настроить Cisco Secure Server для аутентификации беспроводных клиентов

  • Знание решений по обеспечению безопасности унифицированной беспроводной связи Cisco

Используемые компоненты

Сведения в этом документе основываются на версии сервера 3.2 Cisco Secure ACS

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

С выпуском 4.0 Cisco Secure ACS и позже, ACS поддерживает эти VSA Airespace Cisco по умолчанию:

  • AIRE-ИДЕНТИФИКАТОР-WLAN

  • Aire-QoS-Level

  • Aire-DSCP

  • Aire-802.1P-Tag

  • Aire-Interface-Name

  • Aire-ACL-Name

Для получения дополнительной информации об этих атрибутах обратитесь к Атрибутам RADIUS, Используемым в Идентичности Сетевой раздел руководства по конфигурированию контроллера Cisco Wireless LAN, Выпуска 4.1.

Для версий ACS перед выпуском 4.0 файл словаря Airespace Cisco должен быть импортирован в Cisco Secure ACS. Следующий раздел объясняет, как импортировать файл словаря Airespace Cisco к Cisco Secure ACS.

Перед использованием атрибутов RADIUS на Cisco Secure ACS

Для настройки определенного атрибута, который будет передаваться за пользователем, необходимо гарантировать что:

  • В Разделе конфигурации сети необходимо настроить запись клиента AAA, которая соответствует устройству доступа. Это устройство доступа предоставляет доступ к сети пользователю для использования множества RADIUS, который поддерживает атрибут, который вы хотите передаваемый клиенту AAA.

  • В разделе Конфигурации интерфейса необходимо включить атрибут, таким образом, это появляется на пользователе или страницах профиля группы пользователей. Можно включить атрибуты на странице, которая соответствует разнообразию RADIUS, которое поддерживает атрибут. Например, атрибут Session-Timeout РАДИУСА IETF (27) появляется на странице RADIUS (IETF).

    Примечание: По умолчанию атрибуты RADIUS для каждого пользователя не включены, потому что они не появляются на странице Interface Configuration. Прежде чем можно будет включить атрибуты на основе для каждого пользователя, необходимо включить TACACS для каждого пользователя +/RADIUS опция Attributes на странице Advanced Options в разделе Конфигурации интерфейса. После включения атрибутов по каждому пользователю столбец пользователь появится, как отключено на странице Interface Configuration для того атрибута.

  • В профиле вы используете для управления авторизациями для пользователя, который находится в пользователе или страницах edit группы или странице Shared RADIUS Authorization Component, необходимо включить атрибут. Когда этот атрибут включен, ACS передает атрибут клиенту AAA в сообщении access-accept. В опциях, которые привязаны к атрибуту, можно определить значение атрибута, который передается клиенту AAA.

    Примечание: Параметры настройки в профиле пользователя настройки перегрузки в профиле группы. Например, если вы настраиваете Session-Timeout в профиле пользователя и также в группе, на которую назначают пользователю, ACS передает клиенту AAA значение Session-Timeout, которое задано в профиле пользователя.

Импортируйте VSA Airespace Cisco к Cisco Secure ACS

Для импортирования VSA Airespace Cisco к Cisco Secure ACS необходимо выполнить эти шаги:

  1. Определите VSA Airespace Cisco в Поставщике RADIUS / файл импорта VSA.

  2. Определите слот Поставщика RADIUS, к которому вы хотите добавить нового Поставщика RADIUS и VSA.

  3. Добавьте VSA Airespace Cisco к Cisco Secure ACS.

Примечание: Удостоверьтесь, что не работает regedit приложения. Если regedit работает на Windows Server Cisco Secure ACS, он может предотвратить обновления Реестра, требуемые добавить пользовательского Поставщика RADIUS и набор VSA.

Определите VSA Airespace Cisco в ПОСТАВЩИКЕ RADIUS / файл импорта VSA

Для импортирования набора VSA Airespace Cisco в Cisco Secure ACS необходимо определить Поставщика RADIUS и набор VSA в файле импорта. Этот раздел детализирует формат и содержание файлов импорта VSA RADIUS.

Поставщик RADIUS / файлы импорта VSA использует формат .ini-файла Windows. Каждый Поставщик RADIUS / файл импорта VSA включает три типа разделов. Эти разделы детализированы в этой таблице. Каждый раздел включает заголовок раздела и ряд ключей и значений. Заказ разделов в Поставщике RADIUS / файл импорта VSA не важен.

airespace-vsa-acs-config1.gif

Поставщик и определение набора VSA

У каждого Поставщика RADIUS / файл импорта VSA должны быть один поставщик и раздел набора VSA. Заголовок раздела должен быть [Определяемым пользователем Поставщиком].

/image/gif/paws/97849/airespace-vsa-acs-config2.gif

Например, этот раздел набора поставщика и VSA определяет поставщика Airespace Cisco, назначенное на IETF количество поставщика которого 14179.

[User Defined Vendor]
Name=Airespace
IETF Code=14179
VSA 1=Airespace-WLAN-Id
VSA 2=Airespace-QoS-Level
VSA 3=Airespace-DSCP
VSA 4=Airespace-802.1p-Tag
VSA 5=Airespace-Interface-Name
VSA 6=Airespace-ACL-Name

Определение атрибута

У каждого Поставщика RADIUS / файл импорта VSA должен быть один раздел определения атрибута для каждого атрибута, определенного в поставщике и разделе набора VSA. Заголовок раздела каждого раздела определения атрибута должен совпасть с названием атрибута, определенным для того атрибута в поставщике и разделе набора VSA. Эта таблица приводит допустимые ключи для раздела определения атрибута:

/image/gif/paws/97849/airespace-vsa-acs-config3.gif

Например, этот раздел определения атрибута определяет VSA Interface-name Airespace, который является строкой, используемой для определения имени интерфейса.

[Airespace-Interface-Name]
Type=STRING
Profile=OUT

Определение обозначения

Определения обозначения позволяют вам привязать основанное на тексте название для каждого допустимого целочисленного значения атрибута целого типа. В Настройке групп и Разделах настройки пользователя интерфейса HTML Cisco Secure ACS, текстовые значения, которые вы определяете, появляются в списках, привязанных к атрибутам, которые используют перечисления. Разделы определения обозначения требуются, только если раздел определения атрибута ссылается на них. Только атрибуты, которые являются атрибутами целого типа, могут сослаться на раздел определения обозначения.

Заголовок раздела каждого раздела определения обозначения должен совпасть со значением ключа Enum, который ссылается на него. На раздел определения обозначения могут сослаться несколько ключей Enum, таким образом обеспечивая повторное использование общих определений обозначения. Раздел определения обозначения может иметь до 1000 ключей. Эта таблица приводит допустимые ключи для раздела определения обозначения:

/image/gif/paws/97849/airespace-vsa-acs-config4.gif

Например, этот раздел определения перечислений определяет перечисление ЗНАЧЕНИЙ QOS, которое привязывает серебро строкового значения к целому числу 0, Золото строкового значения с целым числом 1 и т.д.

[QOS-VALUES]
0=Silver
1=Gold
2=Platinum
3=Bronze

Файл словаря Airespace

Необходимо полагать, что все эти параметры должны были создать файл AirespaceVSA.ini. Например:

[User Defined Vendor]
Name=Airespace
IETF Code=14179
VSA 1=Airespace-WLAN-Id
VSA 2=Airespace-QoS-Level
VSA 3=Airespace-DSCP
VSA 4=Airespace-802.1p-Tag
VSA 5=Airespace-Interface-Name
VSA 6=Airespace-ACL-Name

RadiusExtensionPoints=EAP

[Airespace-WLAN-Id]
Type=INTEGER
Profile=OUT

[Airespace-QoS-Level]
Type=INTEGER
Profile=OUT
Enums=QOS-VALUES

[QOS-VALUES]
0=Silver
1=Gold
2=Platinum
3=Bronze

[Airespace-DSCP]
Type=INTEGER
Profile=OUT

[Airespace-802.1p-Tag]
Type=INTEGER
Profile=OUT

[Airespace-Interface-Name]
Type=STRING
Profile=OUT

[Airespace-ACL-Name]
Type=STRING
Profile=OUT

Сохраните этот файл как Airespace.ini и сохраните его на жестком диске, предпочтительно в C:\Cisco Secure ACS 3.2\Utils directory. Следующий шаг должен добавить VSA к Cisco Secure ACS.

Добавьте VSA Airespace Cisco к Cisco Secure ACS

Можно использовать команду CSUtil.exe-addUDV, доступную в каталоге Utils (каталог C:\Cisco Secure ACS 3.2\Utils) для составления в целом десяти пользовательских Поставщиков RADIUS, и VSA устанавливает в Cisco Secure ACS. Каждый набор Поставщика RADIUS и VSA добавлен к одному из десяти возможных слотов определяемого пользователем поставщика RADIUS.

Списки команд CSUtil.exe-listUDV каждый слот определяемого пользователем поставщика RADIUS в заказе номера слота. Слоты списков команд CSUtil.exe, которые не содержат пользовательского Поставщика RADIUS как Неназначенного. Неназначенный слот пуст. Можно добавить пользовательского Поставщика RADIUS к любому слоту, перечисленному как Неназначенного. Например:

C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -listUDV
CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
UDV 0 - RADIUS (Airespace)
UDV 1 - Unassigned
UDV 2 - Unassigned
UDV 3 - Unassigned
UDV 4 - Unassigned
UDV 5 - Unassigned
UDV 6 - Unassigned
UDV 7 - Unassigned
UDV 8 - Unassigned
UDV 9 - Unassigned

В то время как команда CSUtil.exe добавляет пользовательского Поставщика RADIUS и набор VSA к Cisco Secure ACS, все сервисы Cisco Secure ACS автоматически остановлены и перезапущены. Никакие пользователи не заверены во время этого процесса.

Выполните эти шаги для добавления VSA Airespace Cisco к Cisco Secure ACS:

  1. На компьютере, который выполняет Cisco Secure ACS, откройте командную строку MS DOS и каталоги изменения к каталогу, который содержит CSUtil.exe. Например, если Cisco Secure ACS будет установлен в каталоге C:\Cisco Secure ACS 3.2, то каталог Utils будет доступен в этом каталоге. От командной строки DOS введите это:

    C:\Cisco Secure ACS 3.2\cd Utils
    
    C:\Cisco Secure ACS 3.2\Utils
  2. Теперь, введите эту команду:

    CSUtil.exe -addUDV slot-number filename

    где slot-number является неиспользованным слотом Поставщика RADIUS Cisco Secure ACS, и имя файла является именем Поставщика RADIUS / файл импорта VSA. Имя файла может включать относительный или абсолютный путь в Поставщика RADIUS / файл импорта VSA. Нажмите клавишу Enter.

    Например, для добавления VSA Airespace Cisco, определенных в C:\Cisco Secure ACS 3.2\Utils\Airespace.ini к слоту 5, команда:

    CSUtil.exe -addUDV 5 Airespace.ini

    CSUtil.exe отображает приглашение подтверждения.

  3. Чтобы подтвердить, что вы хотите добавить VSA и остановить все сервисы Cisco Secure ACS во время процесса, введите Y и нажмите Enter.

    Сервисы Cisco Secure ACS остановов CSUtil.exe, анализирует входной файл поставщика/VSA и добавляет нового Поставщика RADIUS и VSA к Cisco Secure ACS. Этот процесс может занять несколько минут. После того, как это будет завершено, CSUtil.exe перезапускает сервисы Cisco Secure ACS.

    Например:

    C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -addUDV 0 Airespace.ini
    CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
    
    Adding or removing vendors requires ACS services to be re-started.
    Please make sure regedit is not running as it can prevent registry
    backup/restore operations
    
    Are you sure you want to proceed? (Y or N)Y
    Parsing [.\Airespace.ini] for addition at UDV slot [0]
    Stopping any running services
    Creating backup of current config
    Adding Vendor [Airespace] added as [RADIUS (Airespace)]
    Adding VSA [Airespace-WLAN-Id]
    Adding VSA [Airespace-QoS-Level]
    Adding VSA [Airespace-DSCP]
    Adding VSA [Airespace-802.1p-Tag]
    Adding VSA [Airespace-Interface-Name]
    Adding VSA [Airespace-ACL-Name]
    Done
    Checking new configuration...
    New configuration OK
    Re-starting stopped services

Проверка.

Как только VSA Airespace Cisco добавлены к Cisco Secure ACS, можно проверить то же от GUI Cisco Secure ACS. Выполните эти шаги для подтверждения:

  1. Вход в систему к GUI Cisco Secure ACS.

  2. Нажмите Network Configuration из левого бокового меню и перейдите к Добавлению страницы клиента AAA.

    В окне AAA Client вы найдете опцию RADIUS (Airespace) под выпадающее меню Используемой аутентификации.

    Например:

    airespace-vsa-acs-config5.gif

    На странице Interface Configuration вы найдете RADIUS (Airespace) атрибуты перечисленный.

    Примечание: В Разделе конфигурации сети необходимо настроить запись клиента AAA, которая соответствует устройству доступа, которое предоставляет доступ к сети пользователю для использования RADIUS (Airespace) атрибуты, которые вы хотите передаваемый клиенту AAA. Затем соответствующие атрибуты RADIUS будут перечислены на странице Interface Configuration.

    /image/gif/paws/97849/airespace-vsa-acs-config6.gif

  3. При нажатии RADIUS (Airespace) ссылка на этой странице можно просмотреть и выбрать атрибуты.

    airespace-vsa-acs-config7.gif

Устранение неполадок

Если файл словаря Airespace не импортирован в Cisco Secure ACS, проверьте их:

  • Гарантируйте импортирование должным образом отформатированного .ini (файл импорта VSA) файл. Если формат файла не будет корректен, то вы будете видеть это сообщение об ошибках:

    C:\Program Files\CiscoSecure ACS v3.2\Utils>csutil -addUDV 0 Airespace.dct
    CSUtil v3.2(1.20), Copyright 1997-2001, Cisco Systems Inc
    
    Adding or removing vendors requires ACS services to be re-started.
    Please make sure regedit is not running as it can prevent registry
    backup/restore operations
    
    Are you sure you want to proceed? (Y or N)Y
    Parsing [.\Airespace.ini] for addition at UDV slot [0]
    Cant find [Name] value
    
  • Гарантируйте, что слот поставщика, где вы пытаетесь импортировать словарь, свободен и не назначен на другой словарь поставщика. При попытке установить VSA к слоту, который уже назначен, то вы получите эту ошибку:

    Vendor Slot already configured, specify alternate value
    

    Можно использовать команду CSUtil.exe-listUDV для просмотра списка слотов, которые пусты.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения