Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

Административный доступ TACACS к установившемуся Примеру конфигурации контроллеров беспроводной локальной сети доступа

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ предоставляет пример конфигурации Terminal Access Controller Access Control System (TACACS) Плюс (TACACS +) в Cisco Сходившийся Контроллер беспроводной локальной сети (WLC) Доступа 5760/3850/3650 для CLI и GUI. Этот документ также предоставляет некоторые основные советы для устранения проблем конфигурации.

TACACS + является протоколом клиент/сервер, который предоставляет централизованную защиту для пользователей, которые пытаются получить управляющего доступ к маршрутизатору или серверу доступа к сети. TACACS + предоставляет эти сервисы Аутентификации, авторизации и учета (AAA):

  • Аутентификация пользователей, которые пытаются войти к сетевому оборудованию

  • Авторизация определить то, что должен иметь уровень пользователей доступа

  • При учете для отслеживания все изменения пользователь делает

Внесенный BG Surendra, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Как настроить WLC и облегченные точки доступа (LAP) для главной операции
  • Протокол LWAPP и методы безопасности беспроводной связи
  • Базовые знания о RADIUS и TACACS +
  • Базовые знания о конфигурации AсS Cisco

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • WLC 5760, который выполняет Cisco IOS® XE Release 3.3.3
  • Access Control Server (ACS) 5.2

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).  

Схема сети

Конфигурации

Это - два процесса шага:

  • Конфигурация на WLC
  • Конфигурация на RADIUS/СЕРРЕРЕ TACACS

Конфигурация на WLC

  1. Определите Сервер tacacs на WLC. Гарантируйте настройку того же самого общего секретного ключа на TACACS.
    tacacs-server host 10.106.73.71 key Cisco123
    tacacs server ACS
     address ipv4 10.106.102.50
     key Cisco123
     timeout 10
  2. Настройте группы серверов и сопоставьте сервер, настроенный в предыдущем шаге.
    aaa group server tacacs+ ACS
     server name ACS
    !
  3. Настройте Аутентификацию и Политику авторизации для административного доступа. В этом вы разрешаете группу TACACS, придерживавшуюся локальной переменной, которая является нейтрализацией.
    aaa authentication login Admin_Access group ACS local

    aaa authorization exec Admin_Access group ACS local
  4. Примените политику к line vty и HTTP.
    line vty 0 4
     authorization exec Admin_Access
     login authentication Admin_Access
    line vty 5 15
     exec-timeout 0 0
     authorization exec Admin_Access
     login authentication Admin_Access
  5. Примените то же к HTTP.
    ip http server
    ip http authentication aaa login-authentication Admin_Access
    ip http authentication aaa exec-authorization Admin_Access

Конфигурация на ACS

  1. Выберите Network Resources> Network Devices и AAA Clients для добавления WLC как клиент AAA для TACACS на ACS. Гарантируйте, что Общий секретный ключ, настроенный здесь, совпадает с тем, настроенным на WLC.

  2. Выберите Users и Identity Stores>> Users Internal Identity Stores для определения пользователя для административного доступа.

  3. Выберите Policy Elements> Authorization и Permissions> Device Administration> Shell Profiles для установки уровней привилегий в 15.

  4. Выберите Access Policies> Access Services> Default Device Admin для разрешения требуемых протоколов.

  5. Выберите Access Policies> Access Services> Default Device Admin> Identity для создания идентичности для администратора устройства, который позволяет внутренним пользователям с параметрами проверки подлинности.

  6. Выберите Access Policies> Access Services> Default Device Admin> Authorization для разрешения профиля авторизации Priv15, созданного в Шаге 3. Здесь клиент с переданной идентичностью (внутренние пользователи) помещен на профиль Priv15.

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Откройте браузер и введите IP-адрес коммутатора. Опознавательные Требуемые быстрые показы. Введите учетные данные группового пользователя для регистрации к устройству.

Чтобы проверить доступ Telnet/SSH, Telnet/SSH к IP-адресу коммутатора и ввести учетные данные.

Это отображено для регистрации ACS.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Введите команду debug tacacs для устранения проблем конфигурации.

debug tacacs

*May 14 23:11:06.396: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:06.396: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:06.396: TPLUS: processing authentication continue request id 4775
*May 14 23:11:06.396: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
16 bytes data)
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 28 bytes response
*May 14 23:11:06.398: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:06.398: TPLUS: Received authen response status GET_PASSWORD (8)
*May 14 23:11:08.680: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:08.680: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.680: TPLUS: processing authentication continue request id 4775
*May 14 23:11:08.680: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
6 bytes data)
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 18 bytes response
*May 14 23:11:08.687: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:08.687: TPLUS: Received authen response status PASS (2)
*May 14 23:11:08.687: TPLUS: Queuing AAA Authorization request 4775 for processing
*May 14 23:11:08.687: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.687: TPLUS: processing authorization request id 4775
*May 14 23:11:08.687: TPLUS: Protocol set to None .....Skipping
*May 14 23:11:08.687: TPLUS: Sending AV service=shell
*May 14 23:11:08.687: TPLUS: Sending AV cmd*
*May 14 23:11:08.687: TPLUS: Authorization request created for 4775(surbg123)
*May 14 23:11:08.687: TPLUS: using previously set server 10.106.102.50 from
group SURBG_ACS

*May 14 23:11:08.688: TPLUS(000012A7)/0/NB_WAIT/93C63F04: Started 10 sec timeout
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: socket event 2
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: wrote entire 61 bytes request
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: Would block while reading
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
18 bytes data)
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 30 bytes response
*May 14 23:11:08.696: TPLUS(000012A7)/0/93C63F04: Processing the reply packet
*May 14 23:11:08.696: TPLUS: Processed AV priv-lvl=15
*May 14 23:11:08.696: TPLUS: received authorization response for 4775: PASS

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 117711