تهيئة RADIUS و AMP؛ TACACS+ لواجهة المستخدم الرسومية (GUI) و AMP؛ مصادقة CLI على 9800 WLCs

خيارات التنزيل

  • PDF     (3.4 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٢٨ مارس ٢٠٢٤
معرّف المستند:214490

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا وثيقة كيف أن يشكل مادة حفازة 9800 ل RADIUS أو TACACS+ صحة هوية خارجية.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • نموذج تكوين Catalyst Wireless 9800
    • مفاهيم المصادقة والتفويض والمحاسبة (AAA) و RADIUS و+TACACS

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • C9800-CL الإصدار 17.9.2
    • ISE 3.2.0

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    عندما يحاول مستعمل أن ينفذ ال CLI أو ال gui من ال WLC، هم حضضت أن يدخل username وكلمة. وبشكل افتراضي، تتم مقارنة بيانات الاعتماد هذه مع قاعدة البيانات المحلية للمستخدمين، الموجودة على الجهاز نفسه. بدلا من ذلك، يمكن توجيه عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لمقارنة بيانات اعتماد الإدخال مقابل خادم AAA بعيد: يمكن أن تتحدث WLC إلى الخادم باستخدام RADIUS أو TACACS+. هذان هما طريقتا المصادقة الخارجيتان الوحيدتان لمستخدمي المسؤول (لا يوجد LDAP على سبيل المثال).

    التكوين

    في هذا المثال، تم تكوين نوعين من المستخدمين على خادم AAA (ISE)، على التواليadminuser، وhelpdeskuser. هؤلاء المستخدمون جزء منadmin-groupالمجموعات وhelpdesk-groupالمجموعات على التوالي. منadminuserالمتوقع منح المستخدم، وهو جزء منadmin-group، حق الوصول الكامل إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). من ناحية أخرى،helpdeskuser، جزء منhelpdesk-groupال، يعني أن يتم فقط منح امتيازات المراقبة إلى WLC. وبالتالي، لا يوجد وصول إلى التكوين. 

    تقوم هذه المقالة أولا بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ومعيار ISE لمصادقة RADIUS، ثم تقوم بتنفيذ الأمر نفسه لاحقا ل TACACS+.

    قيود المستخدم للقراءة فقط

    عند إستخدام TACACS+ أو RADIUS لمصادقة 9800 WebUI، تكون هذه القيود موجودة:

    • يتواجد المستخدمون الذين لديهم مستوى الامتياز 0 ولكن ليس لديهم حق الوصول إلى واجهة المستخدم الرسومية

    • يمكن للمستخدمين الذين لديهم امتيازات من 1 إلى 14 فقط عرض علامة التبويب شاشة" (وهذا يعادل مستوى الامتياز لمستخدم تتم مصادقته محليا للقراءة فقط)

    • المستخدمون الذين لديهم مستوى الامتياز 15 لديهم حق الوصول الكامل

    • لا يتم دعم المستخدمين الذين لديهم مستوى الامتياز 15 ومجموعة الأوامر التي تتيح أوامر معينة فقط. لا يزال بإمكان المستخدم تنفيذ تغييرات التكوين من خلال WebUI

    لا يمكن تغيير هذه الاعتبارات أو تعديلها.

    تكوين مصادقة RADIUS ل WLC

    الخطوة 1. إعلان خادم RADIUS.

    من واجهة المستخدم الرسومية:

    أولا، قم بإنشاء خادم ISE RADIUS على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). يمكن القيام بذلك من علامة التبويبServers/Groups > RADIUS > Serversمن صفحة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخاصة بواجهة المستخدم الرسومية (GUI) التي يمكن الوصول إليها فيhttps:///webui/#/aaa، أو إذا أتصلتConfiguration > Security > AAA، كما هو موضح في هذه الصورة.

    Add the ISE RADIUS Server on the WLC

    لإضافة خادم RADIUS على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، انقر زر إضافة المؤطر بالأحمر في الصورة. يؤدي هذا إلى فتح النافذة المنبثقة المعروضة في لقطة الشاشة.

    Create the ISE on the WLC

    في هذه النافذة المنبثقة، يجب عليك توفير:

    • اسم الخادم (لاحظ أنه لا يجب أن يطابق اسم نظام ISE)
    • عنوان IP للخادم
    • السر المشترك بين ال WLC وخادم RADIUS

    يمكن تكوين معلمات أخرى، مثل المنافذ المستخدمة للمصادقة والمحاسبة، ولكن هذه ليست إلزامية وتترك كإعداد افتراضي لهذا المستند.

    من واجهة سطر الأوامر:

    WLC-9800(config)#radius server ISE-lab
WLC-9800(config-radius-server)#address ipv4 10.48.39.134 auth-port 1812 acct-port 1813
    WLC-9800(config-radius-server)#key Cisco123


    الخطوة 2. قم بتعيين خادم RADIUS إلى مجموعة خوادم.

    من واجهة المستخدم الرسومية:

    في حالة وجود خوادم RADIUS متعددة يمكن إستخدامها للمصادقة، يوصى بتعيين جميع هذه الخوادم إلى مجموعة الخوادم نفسها. تهتم وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) بتوزيع الأحمال بين عمليات المصادقة المختلفة بين الخوادم في مجموعة الخوادم. يتم تكوين مجموعات خوادم RADIUS منServers/Groups > RADIUS > Server Groupsعلامة التبويب من نفس صفحة واجهة المستخدم الرسومية (GUI) المذكورة في الخطوة 1.، كما هو موضح في الصورة.

    Add a RADIUS Server Group on the WLC

    بالنسبة لإنشاء الخادم، تظهر نافذة منبثقة عند النقر فوق الزر إضافة (الإطار في الصورة السابقة)، والذي يتم تصفيفه هنا.

    Add Server Group Pop-up

    في القائمة المنبثقة، قم بتوفير اسم للمجموعة، ثم قم بنقل الخوادم المطلوبة إلى قائمة الخوادم المعينة.

    من واجهة سطر الأوامر:

    WLC-9800(config)# aaa group server radius RADIUS-Group
WLC-9800(config-sg-radius)# server name ISE-lab


    الخطوة 3. قم بإنشاء طريقة تسجيل دخول مصادقة AAA تشير إلى مجموعة خوادم RADIUS.

    من واجهة المستخدم الرسومية:

    بعد من صفحةhttps:///webui/#/aaaواجهة المستخدم الرسومية، انتقل إلى علامة التبويبAAA Method List > Authenticationوأنشئ طريقة مصادقة كما هو موضح في هذه الصورة.

    Radius - AAA Method List - Authentication

    كما هو معتاد، عندما تستخدم زر إضافة لإنشاء طريقة مصادقة، تظهر نافذة منبثقة للتكوين، مماثلة للنافذة الموضحة في هذه الصورة.

    Defining the AAA Authentication Method

    في هذه النافذة المنبثقة، قم بتوفير اسم للأسلوب. أخترTypeكسجل دخول، وقم بإضافة خادم المجموعة الذي تم إنشاؤه في الخطوة السابقة إلىAssigned Server Groupsالقائمة. فيما يتعلق بحقل نوع المجموعة، يمكن إجراء العديد من التكوينات.

    • إذا أخترت "نوع المجموعة" محليا، يتحقق عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أولا مما إذا كانت بيانات اعتماد المستخدم موجودة محليا، ثم يعود مرة أخرى إلى مجموعة الخوادم.
    • إذا أخترت نوع المجموعة كمجموعة ولم تقم بالتحقق من الخيار رجوع إلى محلي، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يتحقق فقط من مسوغات المستخدم مقابل مجموعة الخوادم.
    • إذا أخترت "نوع المجموعة" كمجموعة وفحصت الخيار "إحتياطي إلى محلي"، يتحقق عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) من بيانات اعتماد المستخدم مقابل مجموعة الخوادم ويستعلم عن قاعدة البيانات المحلية فقط إذا لم يستجب الخادم. إذا قام الخادم بإرسال رفض، ستتم مصادقة المستخدم، حتى وإن كان يمكن أن يكون موجودا على قاعدة البيانات المحلية.

    من واجهة سطر الأوامر:

    إذا كنت تريد التحقق من بيانات اعتماد المستخدم مع مجموعة خوادم فقط إذا لم يتم العثور عليها محليا أولا، أستخدم:

    WLC-9800(config)#aaa authentication login radius-authe-method local group RADIUS-Group


    إذا كنت تريد التحقق من بيانات اعتماد المستخدم مع مجموعة خوادم فقط، أستخدم:

    WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group


    إذا كنت تريد التحقق من بيانات اعتماد المستخدم مع مجموعة خوادم وإذا لم يستجب هذا الأخير مع الإدخال المحلي، فاستخدم:

    WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group local


    في هذا المثال، هناك بعض المستخدمين الذين تم إنشاؤهم محليا فقط، وبعض المستخدمين فقط على خادم ISE، وبالتالي، يستخدمون الخيار الأول.

    الخطوة 4. قم بإنشاء طريقة EXEC لتفويض AAA تشير إلى مجموعة خوادم RADIUS.

    من واجهة المستخدم الرسومية:

    يجب أيضا تخويل المستخدم حتى يتم منحه حق الوصول. بعد منGUI Page Configuration > Security > AAA، انتقل إلىAAA Method List > Authorizationعلامة التبويب، وقم بإنشاء طريقة اعتماد كما هو موضح في هذه الصورة.

    Authorization Method Creationإنشاء أسلوب التخويل

    يظهر تكوين أسلوب تخويل منبثق مماثل للأسلوب الذي تم تصويره عند إضافة أسلوب جديد باستخدام الزر إضافة.

    Defining the AAA Authorization Method

    في هذا التكوين المنبثق، قم بتوفير اسم لطريقة التخويل، واختر النوع باسمexec، واستخدم نفس الترتيب لنوع المجموعة كالمستخدم لطريقة المصادقة في الخطوة 3.

    من واجهة سطر الأوامر:

    أما بالنسبة لطريقة المصادقة، فيتم تعيين التخويل أولا للتحقق من المستخدمين مقابل الإدخالات المحلية، ثم مقابل الإدخالات في مجموعة خوادم.

    WLC-9800(config)#aaa authorization exec radius-autho-method local group RADIUS-Group


    الخطوة 5. قم بتعيين الطرق إلى تكوينات HTTP وإلى خطوط vty المستخدمة ل Telnet/SSH.

    من واجهة المستخدم الرسومية:

    يمكن إستخدام طرق المصادقة والتفويض التي تم إنشاؤها لاتصال مستخدم HTTP و/أو Telnet/SSH، والتي يمكن تكوينها منAAA Advanced > AAA Interfaceعلامة التبويب التي لا تزال من صفحة GUI WLC التي يمكن الوصول إليها فيhttps:///webui/#/aaa، كما هو موضح في هذه الصورة:

    Radius - AAA Advanced Interface


    CLI لمصادقة واجهة المستخدم الرسومية:

    WLC-9800(config)#ip http authentication aaa login-authentication radius-authe-method 
    WLC-9800(config)#ip http authentication aaa exec-authorization radius-autho-method


    CLI لمصادقة Telnet/SSH:

    WLC-9800(config)#line vty 0 15
WLC-9800(config-line)#login authentication radius-authe-method
    WLC-9800(config-line)#authorization exec radius-autho-method


    لاحظ أنه عند إجراء التغييرات على تكوينات HTTP، فمن الأفضل إعادة تشغيل خدمات HTTP و HTTPS. يمكن تحقيق ذلك باستخدام الأوامر التالية:

    WLC-9800(config)#no ip http server
WLC-9800(config)#no ip http secure-server
WLC-9800(config)#ip http server
WLC-9800(config)#ip http secure-server

    تكوين ISE ل RADIUS

    الخطوة 1. قم بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) كجهاز شبكة ل RADIUS.

    من واجهة المستخدم الرسومية:

    لتوضيح إستخدام عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في القسم السابق كجهاز شبكة ل RADIUS في ISE، انتقل إلىAdministration > Network Ressources > Network Devicesعلامة التبويب أجهزة الشبكة وافتحها، كما هو موضح في الصورة التالية.

    Radius - ISE - Network Device List

    لإضافة جهاز شبكة، أستخدم الزر إضافة الذي يفتح نموذج تكوين جهاز الشبكة الجديد.

    Radius - ISE - Network Device Config All

    في الإطار الجديد، قم بتوفير اسم لجهاز الشبكة، وإضافة عنوان IP الخاص به. أخترت ال RADIUS مصادقة عملية إعداد وشكلت ال نفسه RADIUS مشترك سر بما أن الواحد يستعمل على ال WLC.

    الخطوة 2. قم بإنشاء نتيجة تفويض، لإرجاع الامتياز.

    من واجهة المستخدم الرسومية:

    للحصول على حقوق الوصول للمسؤول، يلزمadminuserأن يكون مستوى الامتياز 15، والذي يسمح بالوصول إلى طبقة مطالبة exec. من ناحية أخرى، لاhelpdeskuserيحتاج EXEC للوصول السريع إلى Shell وبالتالي يمكن تعيينه بمستوى امتياز أقل من 15. لتعيين مستوى الامتياز المناسب للمستخدمين، يمكن إستخدام ملفات تعريف التخويل. يمكن تكوين هذه العناصر منISE GUI Page Policy > Policy Elements > Results، أسفل علامة التبويبAuthorization > Authorization Profilesالموضحة في الصورة التالية.

    Radius - ISE - Authorization Profiles

    لتكوين ملف تعريف تخويل جديد، أستخدم الزر إضافة الذي يفتح نموذج تكوين ملف تعريف التخويل الجديد. يجب أن يبدو هذا النموذج على وجه الخصوص لتكوين ملف التعريف الذي يتم تعيينهadminuser.

    Radius - ISE - Policy Element Config

    عرض التكوين مستوى امتياز منح 15 لأي مستخدم مرتبط به. وكما ذكر من قبل، هذا هو السلوك المتوقعadminuserمن قبل والذي يتم إنشاؤه أثناء الخطوة التالية. ومع ذلك،helpdeskuserيجب أن يكون مستوى الامتيازات أقل، وبالتالي يجب إنشاء عنصر سياسة ثان.

    عنصر السياسة لhelpdeskuserال مماثل إلى واحد خلق أعلاه فقط، ماعدا أن السلسلةshell:priv-lvl=15ينبغي أن تغير إلىshell:priv-lvl=X، واستبدلت X مع الإمتياز مستوى. في هذا المثال، يتم إستخدام رقم 1.

    الخطوة 3. إنشاء مجموعات مستخدمين على ISE.

    من واجهة المستخدم الرسومية:

    يتم إنشاء مجموعات مستخدمي ISE من علامة التبويب مجموعات هوية المستخدم فيAdministration > Identity Management > Groups GUI Pageالشاشة، والذي يظهر في التقاط الشاشة.

    Radius - ISE - User Identity Groups

    لإنشاء مستخدم جديد، أستخدم الزر إضافة الذي يفتح نموذج تكوين مجموعة هوية المستخدم الجديدة كما هو موضح.

    Radius - ISE - New User Identity Group

    قم بتوفير اسم المجموعة التي تم إنشاؤها. قم بإنشاء مجموعتي المستخدمين اللتين تمت مناقشتهما أعلاه، وهماadmin-group وhelpdesk-group.

    الخطوة 4. إنشاء مستخدمين على ISE.

    من واجهة المستخدم الرسومية:

    يتم إنشاء مستخدمي ISE من مستخدمي علامة التبويب لمستخدميAdministration > Identity Management > Identities GUI Pageعلامة التبويب، والتي تظهر في التقاط الشاشة.

    Radius - ISE - Network Access Users

    لإنشاء مستخدم جديد، أستخدم الزر "إضافة" لفتح نموذج تكوين مستخدم الوصول إلى الشبكة الجديد كما هو موضح.

    Radius - ISE - New Network Access User

    قم بتوفير بيانات الاعتماد للمستخدمين، أي اسم المستخدم وكلمة المرور الخاصين به/بها، وهما المستخدمين للمصادقة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). تأكد أيضا من أن حالة المستخدمEnabled. أخيرا، أضف المستخدم إلى مجموعته ذات الصلة، والتي تم إنشاؤها في الخطوة 4.، مع القائمة المنسدلة مجموعات المستخدمين في نهاية النموذج.

    قم بإنشاء المستخدمين اللذين تمت مناقشتهما أعلاه، وهماadminuserوhelpdeskuser.

    الخطوة 5. مصادقة المستخدمين.

    من واجهة المستخدم الرسومية:

    في هذا السيناريو، تسمح سياسة المصادقة الخاصة بمجموعات النهج الافتراضية ل ISE، والتي تم تكوينها مسبقا بالفعل، بالوصول الافتراضي إلى الشبكة. يمكن ملاحظة مجموعة النهج هذه منPolicy > Policy Setsصفحة واجهة المستخدم الرسومية (GUI) الخاصة ب ISE، كما هو موضح في هذه الصورة. لذلك لا حاجة إلى تغييره.

    Radius - ISE - Policy Sets Default

    الخطوة 6. تخويل المستخدمين.

    من واجهة المستخدم الرسومية:

    بعد أن تقوم محاولة تسجيل الدخول بتمرير سياسة المصادقة، يجب تخويلها ويجب على ISE إرجاع ملف تعريف التخويل الذي تم إنشاؤه مسبقا (السماح بقبول، بالإضافة إلى مستوى الامتيازات).

    في هذا المثال، تتم تصفية محاولات تسجيل الدخول استنادا إلى عنوان IP للجهاز (وهو عنوان IP الخاص بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC)) وتمييز مستوى الامتياز الذي سيتم منحه استنادا إلى المجموعة التي ينتمي إليها المستخدم. هناك نهج آخر صالح لتصفية المستخدمين استنادا إلى أسماء المستخدمين الخاصة بهم حيث تحتوي كل مجموعة على مستخدم واحد فقط في هذا المثال.

    Radius - ISE - Policy Sets Default Authorization

    بعد اكتمال هذه الخطوة، يمكن إستخدام بيانات الاعتماد التي تم تكوينها لadminuser المستخدمhelpdeskللمصادقة في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) عبر واجهة المستخدم الرسومية (GUI) أو من خلال برنامج Telnet/SSH. 

    تكوين TACACS+ WLC

    الخطوة 1. إعلان خادم TACACS+. 

    من واجهة المستخدم الرسومية:

    أولا، قم بإنشاء ISE لخادم TACACS+ على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). يمكن القيام بذلك من علامة التبويبServers/Groups > TACACS+ > Serversمن صفحة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخاصة بواجهة المستخدم الرسومية (GUI) التي يمكن الوصول إليها فيhttps:///webui/#/aaaأو إذا قمت بالانتقال إلىConfiguration > Security > AAA، كما هو موضح في هذه الصورة.

    TACACS - Servers _ Groups - Servers Pages

    لإضافة خادم TACACS على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، انقر فوق الزر إضافة المؤطر بالأحمر في الصورة أعلاه. يؤدي هذا إلى فتح النافذة المنبثقة المرسومة.

    TACACS - Add Server Pop-up

    عندما تفتح النافذة المنبثقة، قم بتوفير اسم الخادم (لا يجب أن يطابق اسم نظام ISE)، عنوان IP الخاص به، المفتاح المشترك، المنفذ المستخدم، والمهلة.

    في هذه النافذة المنبثقة، يجب عليك توفير:

    • اسم الخادم (لاحظ أنه لا يجب أن يطابق اسم نظام ISE)
    • عنوان IP للخادم
    • السر المشترك بين عنصر التحكم في الشبكة المحلية اللاسلكية وخادم TACACS+


    يمكن تكوين معلمات أخرى، مثل المنافذ المستخدمة للمصادقة والمحاسبة، ولكن هذه ليست إلزامية وتترك كإعداد افتراضي لهذا المستند.

    من واجهة سطر الأوامر:

    WLC-9800(config)#tacacs server ISE-lab
WLC-9800(config-server-tacacs)#address ipv4 10.48.39.134
WLC-9800(config-server-tacacs)#key Cisco123

    الخطوة 2. قم بتعيين خادم TACACS+ إلى مجموعة خوادم.

    من واجهة المستخدم الرسومية:

    في حالة وجود خوادم TACACS+ متعددة يمكن إستخدامها للمصادقة، يوصى بتعيين جميع هذه الخوادم إلى مجموعة الخوادم نفسها. وعندئذ تهتم وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) بتوزيع الأحمال لمصادقات مختلفة بين الخوادم في مجموعة الخوادم. يتم تكوين مجموعات خوادم TACACS+ منServers/Groups > TACACS > Server Groupsعلامة التبويب من نفس صفحة واجهة المستخدم الرسومية (GUI) المذكورة في الخطوة 1.، والموضحة في الصورة.

    TACACS - Servers _ Groups - Groups Pages

    بالنسبة لإنشاء الخادم، تظهر نافذة منبثقة عند النقر فوق الزر إضافة في إطار الصورة السابقة، والموضح في الصورة.

    Assigning the TACACS Group

    في القائمة المنبثقة، قم بتسمية المجموعة وانقل الخوادم المطلوبة إلى قائمة الخوادم المعينة.

    من واجهة سطر الأوامر:

    WLC-9800(config)#aaa group server tacacs+ TACACS-Group
WLC-9800(config-sg-tacacs+)#server name ISE-lab


    الخطوة 3. قم بإنشاء طريقة تسجيل دخول مصادقة AAA تشير إلى مجموعة خوادم TACACS+. 

    من واجهة المستخدم الرسومية:

    بعد من صفحةhttps:///webui/#/aaaواجهة المستخدم الرسومية، انتقل إلىAAA Method List > Authenticationعلامة التبويب، وقم بإنشاء طريقة مصادقة كما هو موضح في الصورة.

    TACACS - AAA Method List - Authentication

    كما هو معتاد، عندما تستخدم زر إضافة لإنشاء طريقة مصادقة، تظهر نافذة منبثقة للتكوين، مماثلة للنافذة الموضحة في هذه الصورة.

    Defining the TACACS Authentication Method

    في هذا الإطار المنبثق، قم بتوفير اسم للأسلوب، واختر الكتابة باسمlogin، وقم بإضافة خادم المجموعة الذي تم إنشاؤه في الخطوة السابقة إلى قائمة مجموعات الخوادم المعينة. فيما يتعلق بحقل نوع المجموعة، يمكن إجراء العديد من التكوينات.

    • إذا أخترت "نوع المجموعة" محليا، يتحقق عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أولا مما إذا كانت بيانات اعتماد المستخدم موجودة محليا، ثم يعود مرة أخرى إلى مجموعة الخوادم.
    • إذا أخترت نوع المجموعة كمجموعة ولم تقم بالتحقق من الخيار رجوع إلى محلي، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يتحقق فقط من مسوغات المستخدم مقابل مجموعة الخوادم.
    • إذا أخترت "نوع المجموعة" كمجموعة وفحصت الخيار "إحتياطي إلى محلي"، يتحقق عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) من بيانات اعتماد المستخدم مقابل مجموعة الخوادم ويستعلم عن قاعدة البيانات المحلية فقط إذا لم يستجب الخادم. إذا قام الخادم بإرسال رفض، ستتم مصادقة المستخدم، حتى وإن كان يمكن أن يكون موجودا على قاعدة البيانات المحلية.

    من واجهة سطر الأوامر:

    إذا كنت تريد التحقق من بيانات اعتماد المستخدم مع مجموعة خوادم فقط إذا لم يتم العثور عليها محليا أولا، أستخدم:

    WLC-9800(config)#aaa authentication login tacacs-authe-method local group TACACS-Group 


    إذا كنت تريد التحقق من بيانات اعتماد المستخدم مع مجموعة خوادم فقط، أستخدم:

    WLC-9800(config)#aaa authentication login tacacs-authe-method group TACACS-Group 


    إذا كنت تريد التحقق من بيانات اعتماد المستخدم مع مجموعة خوادم وإذا كان هذا الأخير لا يستجيب مع إدخال محلي، فاستخدم:

    WLC-9800(config)#aaa authentication login tacacs-authe-method group TACACS-Group local


    في هذا المثال، هناك بعض المستخدمين الذين تم إنشاؤها محليا فقط، وبعض المستخدمين فقط على خادم ISE، وبالتالي إستخدام الخيار الأول.

    الخطوة 4. قم بإنشاء طريقة EXEC لتفويض AAA تشير إلى مجموعة خوادم TACACS+. 

    من واجهة المستخدم الرسومية:

    يجب أيضا تخويل المستخدم حتى يتم منحه حق الوصول. ما زال من صفحة واجهة المستخدم الرسومية (GUI)،Configuration > Security > AAA، انتقل إلى علامة التبويبAAA Method List > Authorization، ثم قم بإنشاء طريقة تخويل كما هو موضح في الصورة.

    TACACS - AAA Method List - Authorization

    يظهر تكوين أسلوب تخويل منبثق مماثل للأسلوب الذي تم تصويره عند إضافة أسلوب جديد باستخدام الزر إضافة.

    Defining the TACACS Authorization Method

    في هذا التكوين المنبثق، قم بتوفير اسم لطريقة التخويل، واختر النوع باسمexec، واستخدم نفس الترتيب لنوع المجموعة كالمستخدم لطريقة المصادقة في الخطوة السابقة. 

    من واجهة سطر الأوامر:

    WLC-9800(config)#aaa authorization exec tacacs-autho-method local group TACACS-Group


    الخطوة 5. قم بتعيين الطرق إلى تكوينات HTTP وإلى خطوط vty المستخدمة ل Telnet/SSH.

    من واجهة المستخدم الرسومية:

    يمكن إستخدام طرق المصادقة والتفويض التي تم إنشاؤها لاتصال مستخدم HTTP و/أو Telnet/SSH، والتي يمكن تكوينها منAAA Advanced > AAA Interfaceعلامة التبويب التي لا تزال من صفحة GUI WLC التي يمكن الوصول إليها فيhttps:///webui/#/aaa، كما هو موضح في الصورة.

    Setting the AAA Advanced Method Settings

    من واجهة سطر الأوامر:

    بالنسبة لمصادقة واجهة المستخدم الرسومية (GUI):

    WLC-9800(config)#ip http authentication aaa login-authentication tacacs-authe-method 
WLC-9800(config)#ip http authentication aaa exec-authorization tacacs-autho-method


    لمصادقة Telnet/SSH:

    WLC-9800(config)#line vty 0 15
WLC-9800(config-line)#login authentication tacacs-authe-method  
    WLC-9800(config-line)#authorization exec tacacs-autho-method


    لاحظ أنه عند إجراء التغييرات على تكوينات HTTP، فمن الأفضل إعادة تشغيل خدمات HTTP و HTTPS. يمكن تحقيق ذلك باستخدام هذه الأوامر.

    WLC-9800(config)#no ip http server
WLC-9800(config)#no ip http secure-server
WLC-9800(config)#ip http server
WLC-9800(config)#ip http secure-server

    تكوين TACACS+ ISE

    الخطوة 1. قم بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) كجهاز شبكة ل TACACS+.

    من واجهة المستخدم الرسومية:

    لتوضيح إستخدام عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في القسم السابق كجهاز شبكة ل RADIUS في ISE، انتقل إلىAdministration > Network Resources > Network Devicesعلامة التبويب أجهزة الشبكة وافتحها، كما هو موضح في هذه الصورة.

    TACACS - ISE - Network Device List

    في هذا المثال، تمت إضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لمصادقة RADIUS (ارجع إلى الخطوة 1. من القسم تكوين RADIUS ISE). لذلك، يحتاج تكوينه ببساطة إلى أن يتم تعديله لتكوين مصادقة TACACS، والذي يمكن فعله عندما تختار WLC في قائمة أجهزة الشبكة وانقر فوق الزر تحرير. وهذا يؤدي إلى فتح نموذج تكوين جهاز الشبكة كما هو موضح في هذه الصورة.

    TACACS - ISE - Network Device Config

    بمجرد فتح النافذة الجديدة، قم بالتمرير إلى قسم إعدادات مصادقة TACACS، وتمكين هذه الإعدادات، وإضافة السر المشترك الذي تم إدخاله أثناء الخطوة 1. من القسم تكوين TACACS+ WLC.

    الخطوة 2. قم بتمكين ميزة "مسؤول الجهاز" للعقدة.

    note-icon

    ملاحظة: من أجل إستخدام ISE كخادم TACACS+، يجب أن يكون لديك حزمة ترخيص إدارة الأجهزة وإما ترخيص Base أو Mobility.

    من واجهة المستخدم الرسومية:

    بمجرد تثبيت تراخيص إدارة الأجهزة، يجب عليك تمكين ميزة "إدارة الأجهزة" للعقدة لتتمكن من إستخدام ISE كخادم TACACS+. وللقيام بذلك، قم بتحرير تكوين عقدة نشر ISE المستخدمة، والتي يمكن العثور عليهاAdministrator > Deploymentأسفل، وانقر فوق اسمها أو قم بذلك بمساعدة الزرEdit.

    TACACS - ISE - Administration System

    بمجرد فتح نافذة تكوين العقدة، تحقق من خيار تمكين خدمة إدارة الأجهزة ضمن قسم "خدمة النهج"، كما هو موضح في هذه الصورة.

    TACACS - ISE - Deployment Node Config

    الخطوة 3. قم بإنشاء ملفات تعريف TACACS، لإرجاع الامتياز.

    من واجهة المستخدم الرسومية:

    للحصول على حقوق الوصول للمسؤول، يلزمadminuserأن يكون مستوى الامتياز 15، والذي يسمح بالوصول إلى طبقة مطالبة exec. من ناحية أخرى، لاhelpdeskuserيحتاج EXEC للوصول السريع إلى Shell وبالتالي يمكن تعيينه بمستوى امتياز أقل من 15. لتعيين مستوى الامتياز المناسب للمستخدمين، يمكن إستخدام ملفات تعريف التخويل. يمكن تكوين هذه العناصر من صفحةWork Centers > Device Administration > Policy Elementsواجهة المستخدم الرسومية (ISE) أسفل علامة التبويبResults > TACACS Profilesكما هو موضح في الصورة التالية.

    TACACS - ISE - TACACS Profiles

    لتكوين ملف تعريف TACACS جديد، أستخدم الزر "إضافة" الذي يفتح نموذج تكوين ملف التعريف الجديد المماثل لذلك الموجود في الصورة. يجب أن يبدو هذا النموذج بهذا الشكل بشكل خاص لتكوين ملف التعريف الذي يتم تعيينه إلىadminuser(والذي هو، باستخدام مستوى امتيازات shell 15).

    TACACS - ISE - TACACS Profile Config

    كرر العملية لملفhelpdeskالتعريف. ل هذا الأخير، التقصير امتياز، as maximum امتياز، كلا ثبتت إلى 1.

    الخطوة 4. إنشاء مجموعات مستخدمين على ISE.

    هذا هو نفسه معروض في الخطوة 3. من القسم تكوين RADIUS ISE من هذا المستند.

    الخطوة 5. قم بإنشاء المستخدمين على ISE.

    هذا هو نفسه معروض في الخطوة 4. من القسم تكوين RADIUS ISE من هذا المستند.

    الخطوة 6. إنشاء مجموعة نهج مسؤول جهاز.

    من واجهة المستخدم الرسومية:

    بالنسبة للوصول إلى RADIUS، بمجرد إنشاء المستخدمين، يظل من الضروري تعريف سياسات المصادقة والتفويض الخاصة بهم على ISE لمنحهم حقوق الوصول المناسبة. تستخدم مصادقة TACACS مجموعات نهج مسؤول الجهاز لهذه الغاية، والتي يمكن تكوينها منWork Centers > Device Administration > Device Admin Policy Sets GUI Pageكما هو موضح.

    TACACS - ISE - Device Admin Policy Sets

    لإنشاء مجموعة سياسات لإدارة الأجهزة، أستخدم الزر "إضافة" المؤطر باللون الأحمر في الصورة السابقة، يؤدي هذا إلى إضافة عنصر إلى قائمة مجموعات النهج. قم بتوفير اسم للمجموعة التي تم إنشاؤها حديثا، وشرط يجب تطبيقها تحته، والبروتوكولات/تسلسل الخادم المسموح به (هنا،Default Device Adminما يكفي). أستخدم الزرSaveلإنهاء إضافة مجموعة النهج واستخدام رأس السهم الموجود على يمينه للوصول إلى صفحة التكوين الخاصة به، كما يظهر على الصفحة المعروضة.

    ISE TACACS Policy Set

    تقوم مجموعة النهج المحددة "مصادقة WLC TACACS" في هذا المثال بتصفية الطلبات بعنوان IP الذي يساوي المثال C9800 WLC عنوان IP.

    كنهج مصادقة، تم ترك القاعدة الافتراضية لأنها تفي باحتياجات الاستخدام. تم إعداد قاعدتي تفويض:

    • يتم تشغيل الخيار الأول عندما ينتمي المستخدم إلى المجموعةadmin-groupالمعرفة. وهو يسمح بجميع الأوامر (عبر القاعدة الافتراضيةPermit_all) ويعين الامتياز 15 (عبر ملف تعريف TACACSIOS_Admin المحدد).
    • ويتم تشغيل الميزة الثانية عندما ينتمي المستخدم إلى المجموعةhelpdesk-groupالمحددة. وهي تسمح بجميع الأوامر (عبرPermit_all القاعدة الافتراضية) وتقوم بتعيين الامتياز 1 (عبر ملف تعريف TACACSIOS_Helpdeskالمحدد).

    بعد اكتمال هذه الخطوة، يمكن إستخدام بيانات الاعتماد التي تم تكوينها لadminuserالمستخدمينhelpdeskللمصادقة في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) عبر واجهة المستخدم الرسومية (GUI) أو باستخدام برنامج Telnet/SSH.

    استكشاف الأخطاء وإصلاحها

    إذا كان خادم RADIUS الخاص بك يتوقع إرسال سمة RADIUS لنوع الخدمة، فيمكنك الإضافة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) :

    radius-server attribute 6 on-for-login-auth

    أستكشاف أخطاء واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) أو وصول واجهة سطر الأوامر (CLI) عبر بروتوكول RADIUS/TACACS+ الخاص بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC)

    من أجل أستكشاف أخطاء وصول TACACS+ إلى واجهة المستخدم الرسومية (GUI) أو واجهة سطر الأوامر (CLI) الخاصةdebug tacacsبوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) وإصلاحها، قم بإصدار الأمر، بالإضافة إلى شاشة المحطة الطرفية الأولى ومشاهدة الإخراج المباشر عند إجراء محاولة تسجيل الدخول.

    على سبيل المثال، يقوم تسجيل الدخول الناجح الذي يتبعه تسجيل الخروج منadminuserالمستخدم بإنشاء هذا الإخراج.

    WLC-9800#terminal monitor
    WLC-9800#debug tacacs
    TACACS access control debugging is on
    WLC-9800#
    Dec 8 11:38:34.684: TPLUS: Queuing AAA Authentication request 15465 for processing
    Dec 8 11:38:34.684: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:34.684: TPLUS: processing authentication start request id 15465
Dec 8 11:38:34.685: TPLUS: Authentication start packet created for 15465(adminuser)
Dec 8 11:38:34.685: TPLUS: Using server 10.48.39.134
Dec 8 11:38:34.685: TPLUS(00003C69)/0/NB_WAIT/7FD29013CA68: Started 5 sec timeout
Dec 8 11:38:34.687: TPLUS(00003C69)/0/NB_WAIT: socket event 2
Dec 8 11:38:34.688: TPLUS(00003C69)/0/NB_WAIT: wrote entire 45 bytes request
Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: Would block while reading
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 15 bytes data)
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 27 bytes response
Dec 8 11:38:34.701: TPLUS(00003C69)/0/7FD29013CA68: Processing the reply packet
Dec 8 11:38:34.701: TPLUS: Received authen response status GET_PASSWORD (8)
Dec 8 11:38:38.156: TPLUS: Queuing AAA Authentication request 15465 for processing
Dec 8 11:38:38.156: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:38.156: TPLUS: processing authentication continue request id 15465
Dec 8 11:38:38.156: TPLUS: Authentication continue packet generated for 15465
Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE/7FD3796079D8: Started 5 sec timeout
Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE: wrote entire 29 bytes request
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 6 bytes data)
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 18 bytes response
Dec 8 11:38:38.183: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet
Dec 8 11:38:38.183: TPLUS: Received authen response status PASS (2)
Dec 8 11:38:38.184: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: adminuser] [Source: 10.61.80.151] [localport: 22] at 12:38:38 CET Thu Dec 8 2022
Dec 8 11:38:38.259: TPLUS: Queuing AAA Authorization request 15465 for processing
Dec 8 11:38:38.260: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:38.260: TPLUS: processing authorization request id 15465
Dec 8 11:38:38.260: TPLUS: Protocol set to None .....Skipping
Dec 8 11:38:38.260: TPLUS: Sending AV service=shell
Dec 8 11:38:38.260: TPLUS: Sending AV cmd*
Dec 8 11:38:38.260: TPLUS: Authorization request created for 15465(adminuser)
Dec 8 11:38:38.260: TPLUS: using previously set server 10.48.39.134 from group TACACS-Group
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT/7FD3796079D8: Started 5 sec timeout
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: socket event 2
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: wrote entire 64 bytes request
Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: Would block while reading
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 18 bytes data)
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 30 bytes response
Dec 8 11:38:38.285: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet
Dec 8 11:38:38.285: TPLUS: Processed AV priv-lvl=15
Dec 8 11:38:38.285: TPLUS: received authorization response for 15465: PASS
Dec 8 11:38:44.225: %SYS-6-LOGOUT: User adminuser has exited tty session 7(10.61.80.151)
Dec 8 11:38:44.225:Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT
Dec 8 11:38:44.226: %HA_EM-6-LOG: catchall: logout 
Dec 8 11:39:18.689: %SYS-6-LOGOUT: User admin has exited tty session 5(10.61.80.151)
Dec 8 11:39:18.690:Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT


    ويمكن ملاحظة أن خادم TACACS+ يرجع من هذه السجلات الامتياز الصحيح (وهوAV priv-lvl=15).

    عندما تقوم بمصادقة RADIUS، يظهر إخراج تصحيح مماثل، والذي يتعلق بحركة مرور RADIUS.

    الأمرdebug aaa authenticationوبدلا من ذلك،debug aaa authorizationعرض قائمة الطرق التي يتم إختيارها بواسطة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) عند محاولة المستخدم تسجيل الدخول.

    أستكشاف أخطاء واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) أو الوصول إلى واجهة سطر الأوامر (TACACS+) عبر واجهة المستخدم الرسومية (GUI) المتوافقة مع معيار ISE وإصلاحها

    من الصفحةOperations > TACACS > Live Logs، يمكن عرض كل مصادقة مستخدم تتم مع TACACS+ حتى آخر 24 ساعة. لتوسيع تفاصيل تفويض أو مصادقة TACACS+، أستخدم زر التفاصيل المتعلق بهذا الحدث.

    TACACS Live Logs - General View

    عند التوسيع، تبدوhelpdeskuserمحاولة مصادقة ناجحة لهذه الطريقة كما يلي:

    TACACS Live Logs

    ومن هذا، يمكنك أن ترى أنه تمت مصادقة المستخدمhelpdeskuserبنجاح على جهازWLC-9800الشبكة بمساعدة نهجWLC TACACS Authentication > Defaultالمصادقة. علاوة على ذلك، تم تعيينIOS Helpdeskملف تعريف التخويل لهذا المستخدم، وتم منحه مستوى الامتياز 1.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    4.0
    28-Mar-2024
    تقويم
    3.0
    24-Feb-2023
    تحديث رئيسي فيما يتعلق بمصادقة RADIUS و TACACS بما في ذلك CLI.
    2.0
    15-Nov-2021
    تمت إضافة ملاحظة حول مستويات الامتيازات وواجهة مستخدم ويب
    1.0
    04-Jun-2019
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Paolo Fusconi
      Cisco TAC Engineer
    • Guilian Deflandre
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات