Konfigurieren des 9800 WLC Lobby Ambassador mit RADIUS- und TACACS+-Authentifizierung

Download-Optionen

  • PDF     (2.5 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.4 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.5 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:7. Juni 2021
Dokument-ID:215552

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Konfiguration der Catalyst 9800 Wireless Controller für die externe RADIUS- und TACACS+-Authentifizierung von Lobby Ambassador-Benutzern beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Catalyst Wireless 9800-Konfigurationsmodell
    • AAA-, RADIUS- und TACACS+-Konzepte

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Catalyst Wireless Controller der Serie 9800 (Catalyst 9800-CL)
    • Cisco IOS® XE Gibraltar 16.12.1s
    • ISE 2.3.0

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Der Lobby Ambassador-Benutzer wird vom Administrator des Netzwerks erstellt. Ein Lobby Ambassador-Benutzer kann einen Gastbenutzernamen, ein Passwort, eine Beschreibung und eine Lebensdauer erstellen. Darüber hinaus können Sie den Gastbenutzer löschen. Der Gastbenutzer kann über die Benutzeroberfläche oder die CLI erstellt werden.

    Konfigurieren

    Netzwerkdiagramm

    Network diagram

    In diesem Beispiel sind die Lobby Ambassadors "lobby" und "lobbyTac" konfiguriert. Der Lobby Ambassador "lobby" soll gegen den RADIUS Server und der Lobby Ambassador "lobbyTac" gegen TACACS+ authentifiziert werden.

    Die Konfiguration erfolgt zunächst für den RADIUS Lobby Ambassador und schließlich für den TACACS+ Lobby Ambassador. Die Konfiguration für RADIUS und TACACS+ ISE wird ebenfalls gemeinsam genutzt.

    RADIUS authentifizieren

    Konfigurieren von RADIUS auf dem Wireless LAN Controller (WLC)

    Schritt 1: Deklarieren Sie den RADIUS-Server. Erstellen Sie den ISE RADIUS-Server auf dem WLC.

    GUI: 

    Navigieren Sie zu Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add (Konfiguration > Sicherheit > AAA > Server/Gruppen > RADIUS > Server > + Hinzufügen wie im Bild dargestellt.

    WLC Radius server configuration

    Wenn das Konfigurationsfenster geöffnet wird, sind die obligatorischen Konfigurationsparameter der RADIUS-Servername (er muss nicht mit dem ISE/AAA-Systemnamen übereinstimmen), die IP-ADRESSE des RADIUS-Servers und der gemeinsame geheime Schlüssel. Alle anderen Parameter können als Standard beibehalten oder nach Wunsch konfiguriert werden.

    CLI:

    Tim-eWLC1(config)#radius server RadiusLobby
    Tim-eWLC1(config-radius-server)#address ipv4 192.168.166.8 auth-port 1812 acct-port 1813
    Tim-eWLC1(config-radius-server)#key 0 Cisco1234
    Tim-eWLC1(config)#end

    Schritt 2: Hinzufügen des RADIUS-Servers zu einer Servergruppe Definieren Sie eine Servergruppe, und fügen Sie den konfigurierten RADIUS-Server hinzu. Dies ist der RADIUS-Server, der für die Authentifizierung des Lobby Ambassador-Benutzers verwendet wird. Wenn im WLC mehrere RADIUS-Server konfiguriert sind, die für die Authentifizierung verwendet werden können, wird empfohlen, alle RADIUS-Server zur gleichen Servergruppe hinzuzufügen. In diesem Fall können Sie die Authentifizierungen auf den RADIUS-Servern in der Servergruppe vom WLC-Lastenausgleich vornehmen lassen.

    GUI:

    Navigieren Sie zu Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add (Konfiguration > Sicherheit > AAA > Server/Gruppen > RADIUS > Servergruppen > + Hinzufügen wie im Bild dargestellt.

    WLC Radius group configuration

    Wenn das Konfigurationsfenster geöffnet wird, um der Gruppe einen Namen zu geben, verschieben Sie die konfigurierten RADIUS-Server aus der Liste "Verfügbare Server" in die Liste "Zugewiesene Server".

    CLI:

    Tim-eWLC1(config)#aaa group server radius GroupRadLobby
    Tim-eWLC1(config-sg-radius)#server name RadiusLobby
    Tim-eWLC1(config-sg-radius)#end

    Schritt 3: Erstellen einer Liste von Authentifizierungsmethoden Die Liste der Authentifizierungsmethoden definiert den Authentifizierungstyp, den Sie suchen, und fügt diesen Typ auch der von Ihnen definierten Servergruppe an. Sie wissen, ob die Authentifizierung lokal auf dem WLC oder extern bei einem RADIUS-Server erfolgt.

    GUI:

    Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authentication > + Add, wie im Bild dargestellt.

    AAA method list configuration on the WLC

    Wenn das Konfigurationsfenster geöffnet wird, geben Sie einen Namen ein, wählen Sie die Typoption Anmelden aus, und weisen Sie die zuvor erstellte Servergruppe zu.

    Gruppentyp ist lokal.

    GUI:

    Wenn Sie Group Type (Gruppentyp) als 'local' (lokal) auswählen, prüft der WLC zunächst, ob der Benutzer in der lokalen Datenbank vorhanden ist, und greift dann nur dann auf die Server Group zurück, wenn der Lobby Ambassador-Benutzer nicht in der lokalen Datenbank gefunden wurde.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod local group GroupRadLobby
    Tim-eWLC1(config)#end

    Hinweis: Bitte beachten Sie den Fehler CSCvs87163 wenn Sie zuerst lokal verwenden. Dies wurde in 17.3 behoben.

    Gruppentyp als Gruppe.

    GUI:

    Wenn Sie Gruppentyp als 'Gruppe' auswählen und keine Fallback-to-Local-Option aktiviert ist, prüft der WLC den Benutzer nur mit der Servergruppe und checkt seine lokale Datenbank nicht ein.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby
    Tim-eWLC1(config)#end

    Gruppentyp als Gruppe, und die Option Fallback to local ist aktiviert.

    GUI:

    Wenn Sie Gruppentyp als 'Gruppe' auswählen und die Option Fallback to local aktiviert ist, prüft der WLC den Benutzer anhand der Servergruppe und fragt die lokale Datenbank nur ab, wenn der RADIUS-Server in der Antwort eine Zeitüberschreitung aufweist. Wenn der Server antwortet, löst der WLC keine lokale Authentifizierung aus.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby local
    Tim-eWLC1(config)#end

    Schritt 4: Erstellen Sie eine Liste mit Autorisierungsmethoden. Die Liste der Autorisierungsmethoden definiert den Autorisierungstyp, den Sie für den Lobby-Botschafter benötigen, der in diesem Fall 'exec' lautet. Er wird außerdem mit derselben definierten Servergruppe verbunden. Außerdem kann ausgewählt werden, ob die Authentifizierung lokal auf dem WLC oder extern bei einem RADIUS-Server erfolgt.

    GUI:

    Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authorization > + Add (Konfiguration > Sicherheit > AAA > AAA-Methodenliste > Autorisierung > + Hinzufügen), wie in der Abbildung dargestellt.

    Radius_Authorz

    Wenn das Konfigurationsfenster geöffnet wird, um einen Namen anzugeben, wählen Sie die Typoption als 'exec' aus, und weisen Sie die zuvor erstellte Servergruppe zu.

    Beachten Sie, dass der Gruppentyp auf die gleiche Weise angewendet wird, wie er im Abschnitt Liste der Authentifizierungsmethoden beschrieben wurde.

    CLI:

    Gruppentyp ist lokal.

    Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod local group GroupRadLobby
    Tim-eWLC1(config)#end

    Gruppentyp als Gruppe.

    Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby
    Tim-eWLC1(config)#end

    Gruppentyp als Gruppe, und die Option Fallback to local ist aktiviert.

    Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby local
    Tim-eWLC1(config)#end

    Schritt 5: Weisen Sie die Methoden zu. Nach der Konfiguration der Methoden müssen diese den Optionen für die Anmeldung beim WLC zugewiesen werden, um den Gastbenutzer wie die VTY-Leitung (SSH/Telnet) oder HTTP (GUI) zu erstellen.

    Diese Schritte können nicht über die GUI ausgeführt werden, daher müssen sie über die CLI ausgeführt werden.

    HTTP/GUI-Authentifizierung:

    Tim-eWLC1(config)#ip http authentication aaa login-authentication AuthenLobbyMethod
    Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozLobbyMethod
    Tim-eWLC1(config)#end

    Wenn Sie Änderungen an den HTTP-Konfigurationen vornehmen, ist es am besten, die HTTP- und HTTPS-Dienste neu zu starten:

    Tim-eWLC1(config)#no ip http server
    Tim-eWLC1(config)#no ip http secure-server
    Tim-eWLC1(config)#ip http server
    Tim-eWLC1(config)#ip http secure-server
    Tim-eWLC1(config)#end

    Anschluss VTY.

    Tim-eWLC1(config)#line vty 0 15
    Tim-eWLC1(config-line)#login authentication AuthenLobbyMethod
    Tim-eWLC1(config-line)#authorization exec AuthozLobbyMethod
    Tim-eWLC1(config-line)#end

    Schritt 6: Dieser Schritt ist nur in Softwareversionen vor 17.5.1 oder 17.3.3 erforderlich und nicht nach den Versionen, in denen CSCvu29748 implementiert wurde. Definieren des Remote-Benutzers. Der auf der ISE für den Lobby Ambassador erstellte Benutzername muss auf dem WLC als Remote-Benutzername definiert werden. Wenn der Remote-Benutzername nicht im WLC definiert ist, wird die Authentifizierung korrekt durchgeführt. Der Benutzer erhält jedoch vollen Zugriff auf den WLC, anstatt nur auf die Lobby Ambassador-Berechtigungen zuzugreifen. Diese Konfiguration ist nur über die CLI möglich.

    CLI:

    Tim-eWLC1(config)#aaa remote username lobby

    Konfigurieren von ISE - RADIUS

    Schritt 1: Fügen Sie den WLC zur ISE hinzu. Navigieren Sie zu Administration > Network Resources > Network Devices > Add. Der WLC muss zur ISE hinzugefügt werden. Wenn Sie den WLC zur ISE hinzufügen, aktivieren Sie die RADIUS-Authentifizierungseinstellungen, und konfigurieren Sie die erforderlichen Parameter wie im Bild dargestellt.

    Radius_ISE

    Wenn das Konfigurationsfenster geöffnet wird, geben Sie einen Namen (IP ADD) ein, aktivieren Sie die RADIUS-Authentifizierungseinstellungen, und geben Sie unter "Protocol Radius" den erforderlichen gemeinsamen geheimen Schlüssel ein.

    Schritt 2: Erstellen Sie den Lobby Ambassador-Benutzer auf der ISE. Navigieren Sie zu Administration > Identity Management > Identities > Users > Add.

    Fügen Sie der ISE den Benutzernamen und das Passwort hinzu, die dem Lobby Ambassador zugewiesen sind, der die Gastbenutzer erstellt. Dies ist der Benutzername, den der Administrator dem Lobby-Botschafter zuweist.

    Radius_Identity

    Wenn das Konfigurationsfenster geöffnet wird, geben Sie den Namen und das Kennwort für den Lobby Ambassador-Benutzer ein. Stellen Sie außerdem sicher, dass der Status Enabled (Aktiviert) lautet.

    Schritt 3: Erstellen eines Autorisierungsprofils für Ergebnisse Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile > Hinzufügen. Erstellen Sie ein Ergebnisautorisierungsprofil, um an den WLC zurückzukehren und ein Access-Accept mit den erforderlichen Attributen wie im Bild dargestellt zu erhalten.

    Radius_Auhtorization

    Stellen Sie sicher, dass das Profil so konfiguriert ist, dass es eine Access-Accept-Nachricht sendet, wie im Bild gezeigt.

    Radius_Author_Attributes

    Sie müssen die Attribute unter Erweiterte Attributeinstellungen manuell hinzufügen. Die Attribute werden benötigt, um den Benutzer als Lobby-Botschafter zu definieren und um das Privileg bereitzustellen, damit der Lobby-Botschafter die erforderlichen Änderungen vornehmen kann.

    Radius_Attributes

    Schritt 4: Erstellen Sie eine Richtlinie, um die Authentifizierung zu verarbeiten. Navigieren Sie zu Richtlinie > Richtliniensätze > Hinzufügen. Die Konfiguration der Richtlinie hängt von der Entscheidung des Administrators ab. Netzwerkzugriff-Benutzernamenbedingung und das Standard-Netzwerkzugriffsprotokoll werden hier verwendet.

    Es muss unbedingt sichergestellt werden, dass unter der Autorisierungsrichtlinie das unter der Ergebnisautorisierung konfigurierte Profil ausgewählt ist. Auf diese Weise können Sie die erforderlichen Attribute an den WLC zurückgeben, wie im Bild dargestellt.

    Radius_Policy

    Wenn das Konfigurationsfenster geöffnet wird, konfigurieren Sie die Autorisierungsrichtlinie. Die Authentifizierungsrichtlinie kann als Standard beibehalten werden.

    Radius_Autho_Profile

    TACACS+ authentifizieren 

    Konfigurieren von TACACS+ auf WLC

    Schritt 1: Deklarieren Sie den TACACS+-Server. Erstellen Sie den ISE TACACS-Server im WLC.

    GUI:

    Navigieren Sie zu Configuration > Security > AAA > Servers/Groups > TACACS+ > Servers > + Add (Konfiguration > Sicherheit > AAA > Server/Gruppen > TACACS+ > Server > + Hinzufügen wie im Bild dargestellt.

    TACACS_Add_WLC

    Wenn das Konfigurationsfenster geöffnet wird, sind die obligatorischen Konfigurationsparameter der TACACS+-Servername (er muss nicht mit dem ISE/AAA-Systemnamen übereinstimmen), die IP-ADRESSE des TACACS-Servers und der gemeinsame geheime Schlüssel. Alle anderen Parameter können als Standard beibehalten oder nach Bedarf konfiguriert werden.

    CLI:

    Tim-eWLC1(config)#tacacs server TACACSLobby
    Tim-eWLC1(config-server-tacacs)#address ipv4 192.168.166.8
    Tim-eWLC1(config-server-tacacs)#key 0 Cisco123
    Tim-eWLC1(config-server-tacacs)#end

    Schritt 2: Fügen Sie den TACACS+-Server einer Servergruppe hinzu. Definieren Sie eine Servergruppe, und fügen Sie den gewünschten konfigurierten TACACS+-Server hinzu. Dabei handelt es sich um die für die Authentifizierung verwendeten TACACS+-Server.

    GUI:

    Navigieren Sie zu Configuration > Security > AAA > Servers / Groups > TACACS > Server Groups > + Add (Konfiguration > Sicherheit > AAA > Server/Gruppen > TACACS > Servergruppen > + Hinzufügen wie im Bild dargestellt.

    TACACS_Groups

    Wenn das Konfigurationsfenster geöffnet wird, geben Sie der Gruppe einen Namen und verschieben die gewünschten TACACS+-Server aus der Liste "Verfügbare Server" in die Liste "Zugewiesene Server".

    CLI:

    Tim-eWLC1(config)#aaa group server tacacs+ GroupTacLobby
    Tim-eWLC1(config-sg-tacacs+)#server name TACACSLobby
    Tim-eWLC1(config-sg-tacacs+)#end

    Schritt 3: Erstellen einer Liste von Authentifizierungsmethoden Die Liste der Authentifizierungsmethoden definiert den erforderlichen Authentifizierungstyp und fügt ihn der konfigurierten Servergruppe an. Außerdem kann ausgewählt werden, ob die Authentifizierung lokal auf dem WLC oder extern bei einem TACACS+-Server erfolgen kann.

    GUI:

    Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authentication > + Add, wie im Bild dargestellt.

    TACACS_Method

    Wenn das Konfigurationsfenster geöffnet wird, geben Sie einen Namen ein, wählen Sie die Typoption Anmelden aus, und weisen Sie die zuvor erstellte Servergruppe zu.

    Gruppentyp ist lokal.

    GUI:

    Wenn Sie Group Type (Gruppentyp) als 'local' (lokal) auswählen, überprüft der WLC zunächst, ob der Benutzer in der lokalen Datenbank vorhanden ist, und greift dann nur dann auf die Server Group zurück, wenn der Lobby Ambassador-Benutzer nicht in der lokalen Datenbank gefunden wird.

    Hinweis: Bitte beachten Sie diesen Fehler: CSCvs87163der in Absatz 17.3 festgelegt ist.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AutheTacMethod local group GroupTacLobby
    Tim-eWLC1(config)#end

    Gruppentyp als Gruppe.

    GUI:

    Wenn Sie Gruppentyp als Gruppe auswählen und keine Fallback-to-Local-Option aktiviert ist, prüft der WLC den Benutzer nur mit der Servergruppe und checkt seine lokale Datenbank nicht ein.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby
    Tim-eWLC1(config)#end

    Gruppentyp als Gruppe, und die Option Fallback to local ist aktiviert.

    GUI:

    Wenn Sie Gruppentyp als 'Gruppe' auswählen und die Option Fallback an lokal aktiviert ist, prüft der WLC den Benutzer anhand der Servergruppe und fragt die lokale Datenbank nur ab, wenn der TACACS-Server in der Antwort eine Zeitüberschreitung aufweist. Wenn der Server eine Ablehnung sendet, wird der Benutzer nicht authentifiziert, auch wenn er in der lokalen Datenbank vorhanden ist.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby local
    Tim-eWLC1(config)#end

    Schritt 4: Erstellen Sie eine Liste mit Autorisierungsmethoden.

    Die Liste der Autorisierungsmethoden definiert den Autorisierungstyp, der für den Lobby-Botschafter benötigt wird, der in diesem Fall exec. Sie ist außerdem mit derselben konfigurierten Servergruppe verbunden. Sie können auch auswählen, ob die Authentifizierung lokal auf dem WLC oder extern bei einem TACACS+-Server erfolgt.

    GUI:

    Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authorization > + Add (Konfiguration > Sicherheit > AAA > AAA-Methodenliste > Autorisierung > + Hinzufügen), wie in der Abbildung dargestellt.

    TACACS_Autho_Method

    Wenn das Konfigurationsfenster geöffnet wird, geben Sie einen Namen an, wählen Sie die Typoption als exec aus, und weisen Sie die zuvor erstellte Servergruppe zu.

    Beachten Sie, dass der Gruppentyp auf die gleiche Weise angewendet wird, wie er im Teil Liste der Authentifizierungsmethoden erläutert wird.

    CLI:

    Gruppentyp ist lokal.

    Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod local group GroupTacLobby
    Tim-eWLC1(config)#end

    Gruppentyp als Gruppe.

    Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby
    Tim-eWLC1(config)#end

    Gruppentyp als Gruppe, und die Option Fallback to local ist aktiviert.

    Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby local
    Tim-eWLC1(config)#end

    Schritt 5: Weisen Sie die Methoden zu. Nach der Konfiguration der Methoden müssen diese den Optionen zugewiesen werden, um sich beim WLC anzumelden und den Gastbenutzer wie VTY oder HTTP (GUI) zu erstellen. Diese Schritte können nicht über die GUI ausgeführt werden, daher müssen sie über die CLI ausgeführt werden.

    HTTP/GUI-Authentifizierung:

    Tim-eWLC1(config)#ip http authentication aaa login-authentication AutheTacMethod
    Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozTacMethod
    Tim-eWLC1(config)#end

    Wenn Sie Änderungen an den HTTP-Konfigurationen vornehmen, ist es am besten, die HTTP- und HTTPS-Dienste neu zu starten:

    Tim-eWLC1(config)#no ip http server
    Tim-eWLC1(config)#no ip http secure-server
    Tim-eWLC1(config)#ip http server
    Tim-eWLC1(config)#ip http secure-server
    Tim-eWLC1(config)#end

    Leitung VTY:

    Tim-eWLC1(config)#line vty 0 15
    Tim-eWLC1(config-line)#login authentication AutheTacMethod
    Tim-eWLC1(config-line)#authorization exec AuthozTacMethod
    Tim-eWLC1(config-line)#end

    Schritt 6: Definieren des Remote-Benutzers. Der auf der ISE für den Lobby Ambassador erstellte Benutzername muss auf dem WLC als Remote-Benutzername definiert werden. Wenn der Remote-Benutzername nicht im WLC definiert ist, wird die Authentifizierung korrekt durchgeführt. Der Benutzer erhält jedoch vollen Zugriff auf den WLC, anstatt nur auf die Lobby Ambassador-Berechtigungen zuzugreifen. Diese Konfiguration ist nur über die CLI möglich.

    CLI:

    Tim-eWLC1(config)#aaa remote username lobbyTac

    Konfigurieren von ISE - TACACS+

    Schritt 1: Aktivieren Sie Device Admin. Navigieren Sie zu Administration > System > Deployment. Bevor Sie fortfahren, wählen Sie Enable Device Admin Service (Geräte-Admin-Service aktivieren) aus, und stellen Sie sicher, dass ISE wie im Bild dargestellt aktiviert wurde. 

    TACACS_Enable_ISE

    Schritt 2: Fügen Sie den WLC zur ISE hinzu. Navigieren Sie zu Administration > Network Resources > Network Devices > Add. Der WLC muss zur ISE hinzugefügt werden. Wenn Sie den WLC zur ISE hinzufügen, aktivieren Sie die TACACS+-Authentifizierungseinstellungen, und konfigurieren Sie die erforderlichen Parameter wie im Bild dargestellt.

    Radius_ISE

    Wenn das Konfigurationsfenster geöffnet wird, in dem Sie einen Namen eingeben können, IP ADD, aktivieren Sie die TACACS+-Authentifizierungseinstellungen, und geben Sie den erforderlichen gemeinsamen geheimen Schlüssel ein.

    Schritt 3: Erstellen Sie den Lobby Ambassador-Benutzer auf der ISE. Navigieren Sie zu Administration > Identity Management > Identities > Users > Add. Fügen Sie der ISE den Benutzernamen und das Passwort hinzu, die dem Lobby Ambassador zugewiesen wurden, der die Gastbenutzer erstellt. Dies ist der Benutzername, den der Administrator dem Lobby-Botschafter zuweist, wie im Bild gezeigt.

    TACACS_Identity

    Wenn das Konfigurationsfenster geöffnet wird, geben Sie den Namen und das Kennwort für den Lobby Ambassador-Benutzer ein. Stellen Sie außerdem sicher, dass der Status Enabled (Aktiviert) lautet.

    Schritt 4: Erstellen Sie ein Ergebnis-TACACS+-Profil. Navigieren Sie zu Work Centers > Device Administration > Policy Elements > Results > TACACS Profiles, wie im Bild dargestellt. Senden Sie mit diesem Profil die erforderlichen Attribute an den WLC zurück, um den Benutzer als Lobby-Botschafter zu platzieren.

    TACACS_Policy

    Wenn das Konfigurationsfenster geöffnet wird, geben Sie einen Namen für das Profil ein, konfigurieren Sie auch eine Default Privileged 15 und ein Custom Attribute als Type Obligatory, name als Benutzertyp und value lobby-admin. Lassen Sie den allgemeinen Aufgabentyp auch als Shell (Shell) auswählen, wie im Bild gezeigt.

    TACACS_Attributes

    Schritt 5: Erstellen eines Policy Sets. Navigieren Sie zu Work Centers > Device Administration > Device Admin Policy Sets (Arbeitsbereiche > Geräteverwaltung > Geräte-Admin-Richtliniensätze), wie im Bild dargestellt. Die Konfiguration der Richtlinie hängt von der Entscheidung des Administrators ab. Für dieses Dokument werden die Bedingung "Netzwerkzugriff - Benutzername" und das Standardgeräteverwaltungsprotokoll verwendet. Es ist zwingend erforderlich, dass Sie gemäß der Autorisierungsrichtlinie sicherstellen, dass das unter der Ergebnisautorisierung konfigurierte Profil ausgewählt ist. Auf diese Weise können Sie die erforderlichen Attribute an den WLC zurückgeben.

    TACACS_Policy_Set

    Wenn das Konfigurationsfenster geöffnet wird, konfigurieren Sie die Autorisierungsrichtlinie. Die Authentifizierungsrichtlinie kann wie im Bild dargestellt als Standard beibehalten werden.

    Auth

    Überprüfung

    Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    show run aaa
    show run | sec remote
    show run | sec http
    show aaa method-lists authentication
    show aaa method-lists authorization
    show aaa servers
    show tacacs

    So sieht die Lobby Ambassador GUI nach erfolgreicher Authentifizierung aus.

    final

    Fehlerbehebung

    In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

    RADIUS authentifizieren

    Für die RADIUS-Authentifizierung können die folgenden Debugging-Methoden verwendet werden:

    Tim-eWLC1#debug aaa authentication
    Tim-eWLC1#debug aaa authorization
    Tim-eWLC1#debug aaa attr
    Tim-eWLC1#terminal monitor

    Stellen Sie sicher, dass die richtige Methodenliste aus dem Debugging ausgewählt ist. Darüber hinaus gibt der ISE-Server die erforderlichen Attribute mit dem richtigen Benutzernamen, Benutzertyp und den entsprechenden Berechtigungen zurück.

    Feb 5 02:35:27.659: AAA/AUTHEN/LOGIN (00000000): Pick method list 'AuthenLobbyMethod'
    Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(0):
     7FBA5500C870 0 00000081 username(450) 5 lobby
    Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(1):
     7FBA5500C8B0 0 00000001 user-type(1187) 4 lobby-admin
    Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(2):
     7FBA5500C8F0 0 00000001 priv-lvl(335) 4 15(F)
    Feb 5 02:35:27.683: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host 
    192.168.166.104 by user 'lobby' using crypto cipher 'ECDHE-RSA-AES128-GCM-SHA256'

    TACACS+ authentifizieren

    Für die TACACS+-Authentifizierung kann dieses Debugging verwendet werden:

    Tim-eWLC1#debug tacacs
    Tim-eWLC1#terminal monitor

    Stellen Sie sicher, dass die Authentifizierung mit dem richtigen Benutzernamen und der richtigen ISE IP ADD durchgeführt wird. Außerdem muss der Status "PASS" angezeigt werden. Im gleichen Debug, gleich nach der Authentifizierungsphase, wird der Autorisierungsprozess vorgestellt. Bei dieser Autorisierung stellt Phase sicher, dass der richtige Benutzername zusammen mit der richtigen ISE IP ADD verwendet wird. In dieser Phase können Sie die auf der ISE konfigurierten Attribute anzeigen, die den WLC als Lobby Ambassador-Benutzer mit den richtigen Berechtigungen angeben.

    Beispiel für die Authentifizierungsphase:

    Feb 5 02:06:48.245: TPLUS: Queuing AAA Authentication request 0 for processing
    Feb 5 02:06:48.245: TPLUS: Authentication start packet created for 0(lobbyTac)
    Feb 5 02:06:48.245: TPLUS: Using server 192.168.166.8
    Feb 5 02:06:48.250: TPLUS: Received authen response status GET_PASSWORD (8)
    Feb 5 02:06:48.266: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
    Feb 5 02:06:48.266: TPLUS: Received authen response status PASS (2)

    Beispiel für Autorisierungsphase:

    Feb 5 02:06:48.267: TPLUS: Queuing AAA Authorization request 0 for processing
    Feb 5 02:06:48.267: TPLUS: Authorization request created for 0(lobbyTac)
    Feb 5 02:06:48.267: TPLUS: Using server 192.168.166.8
    Feb 5 02:06:48.279: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
    Feb 5 02:06:48.279: TPLUS: Processed AV priv-lvl=15
    Feb 5 02:06:48.279: TPLUS: Processed AV user-type=lobby-admin
    Feb 5 02:06:48.279: TPLUS: received authorization response for 0: PASS

    Die oben für RADIUS und TACACS+ genannten Debug-Beispiele enthalten die wichtigsten Schritte für eine erfolgreiche Anmeldung. Die Debug-Programme sind ausführlicher und die Ausgabe größer. Um die Debugs zu deaktivieren, kann der folgende Befehl verwendet werden:

    Tim-eWLC1#undebug all

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    18-Jun-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Timoty J Padilla

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.