Este documento explica cómo configurar un controlador de LAN inalámbrico (WLC) y un Access Control Server (Cisco Secure ACS) de modo que el servidor AAA pueda autenticar los usuarios de administración en el controlador. El documento también explica cómo diferentes usuarios de administración pueden recibir diferentes privilegios usando los atributos específicos del vendedor (VSA) devueltos por el servidor Cisco Secure ACS RADIUS.
Asegúrese de cumplir estos requisitos antes de intentar esta configuración:
Conocimiento de cómo configurar parámetros básicos en WLC
Conocimiento de cómo configurar un servidor RADIUS como Cisco Secure ACS
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Cisco 4400 Wireless LAN Controller que ejecuta la versión 7.0.216.0
Cisco Secure ACS que ejecuta la versión de software 4.1 y se utiliza como servidor RADIUS en esta configuración.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
En esta sección, se le presenta la información sobre cómo configurar el WLC y el ACS para el propósito descrito en este documento.
En este documento, se utiliza esta configuración de red:
Este ejemplo de configuración utiliza estos parámetros:
Dirección IP de Cisco Secure ACS: 172.16.1.1/255.255.0.0
Dirección IP de la interfaz de administración del controlador: 172.16.1.30/255.255.0.0
Clave secreta compartida que se utiliza en el punto de acceso (AP) y en el servidor RADIUS: asdf1234
Estas son las credenciales de los dos usuarios que este ejemplo configura en el ACS:
Nombre de usuario: acsreadwrite
Contraseña: acsreadwrite
Nombre de usuario: acsreadonly
Contraseña: sólo lectura
Debe configurar el WLC y Cisco Secure Cisco Secure ACS para:
A cualquier usuario que inicie sesión en el WLC con el nombre de usuario y la contraseña como acsreadwrite se le da acceso administrativo completo al WLC.
A cualquier usuario que inicie sesión en el WLC con el nombre de usuario y la contraseña como acsreadonly se le da acceso de sólo lectura al WLC.
En este documento, se utilizan estas configuraciones:
Complete estos pasos para configurar el WLC para que se pueda comunicar con el servidor RADIUS.
Desde la GUI del WLC, haga clic en Security. En el menú de la izquierda, haga clic en RADIUS > Authentication. Aparece la página Servidores de autenticación RADIUS. Para agregar un nuevo servidor RADIUS, haga clic en Nuevo. En la página Servidores de autenticación RADIUS > Nuevo, ingrese los parámetros específicos del servidor RADIUS. Aquí está un ejemplo.
Verifique el botón de radio Management para permitir que el servidor RADIUS autentique a los usuarios que ingresan al WLC.
Nota: Asegúrese de que el secreto compartido configurado en esta página coincida con el secreto compartido configurado en el servidor RADIUS. Sólo entonces el WLC puede comunicarse con el servidor RADIUS.
Verifique si el WLC está configurado para ser administrado por Cisco Secure ACS. Para hacer esto, haga clic en Seguridad desde la GUI del WLC. La ventana GUI resultante aparece similar a este ejemplo.
Puede ver que la casilla de verificación Management está habilitada para el servidor RADIUS 172.16.1.1. Esto ilustra que se permite a ACS autenticar a los usuarios de administración en el WLC.
Complete los pasos en estas secciones para configurar el ACS:
Complete estos pasos para agregar el WLC como un cliente AAA en Cisco Secure ACS.
Desde la GUI de ACS, haga clic en Configuración de Red.
En los clientes AAA, haga clic en Add Entry (Agregar entrada).
En la ventana Add AAA Client, ingrese el nombre de host WLC, la dirección IP del WLC y una clave secreta compartida.
En este ejemplo, estas son las configuraciones:
El nombre de host del cliente AAA es WLC-4400
172.16.1.30/16 es la dirección IP del cliente AAA, que en este caso es el WLC.
La clave secreta compartida es "asdf1234".
Esta clave secreta compartida debe ser la misma que la clave secreta compartida que usted configura en el WLC.
En el menú desplegable Authenticate Using, elija RADIUS (Cisco Airespace).
Haga clic en Submit + Restart para guardar la configuración.
Para autenticar un usuario a través de un servidor RADIUS, para el login y la administración del controlador, debe agregar el usuario a la base de datos RADIUS con el atributo IETF RADIUS Service-Type establecido en el valor apropiado según los privilegios del usuario.
Para establecer privilegios de lectura-escritura para el usuario, establezca el atributo Service-Type en Administrativo.
Para establecer privilegios de sólo lectura para el usuario, establezca el atributo Service-Type en NAS-Prompt.
El primer ejemplo muestra la configuración de un usuario con acceso completo al WLC. Cuando este usuario intenta iniciar sesión en el controlador, el servidor RADIUS autentica y proporciona a este usuario acceso administrativo completo.
En este ejemplo, el nombre de usuario y la contraseña son acsreadwrite.
Complete estos pasos en Cisco Secure ACS.
Desde la GUI de ACS, haga clic en User Setup.
Escriba el nombre de usuario que se agregará al ACS como muestra esta ventana de ejemplo.
Haga clic en Add/Edit para ir a la página User Edit.
En la página User Edit (Editar usuario), proporcione los detalles de Nombre real, Descripción y Contraseña de este usuario.
Desplácese hacia abajo hasta la configuración IETF RADIUS Attributes y verifique Service-Type Attribute.
Dado que, en este ejemplo, se debe dar acceso completo a acsreadwrite de usuario, elija Administrative para el menú desplegable Service-Type y haga clic en Submit.
Esto asegura que este usuario en particular tenga acceso de lectura y escritura al WLC.
A veces, este atributo de tipo de servicio no está visible en la configuración del usuario. En tales casos, complete estos pasos para hacerlo visible.
Desde la GUI de ACS, elija Interface Configuration > RADIUS (IETF) para habilitar los atributos de IETF en la ventana User Configuration.
Esto lo lleva a la página de configuración de RADIUS (IETF).
En la página Configuración de RADIUS (IETF), puede activar el atributo IETF que debe estar visible en la configuración de usuario o grupo. Para esta configuración, verifique Tipo de servicio para la columna Usuario y haga clic en Enviar. Esta ventana muestra un ejemplo.
Nota: En este ejemplo se especifica la autenticación por usuario. También puede realizar la autenticación en función del grupo al que pertenece un usuario concreto. En tales casos, active la casilla de verificación Grupo para que este atributo esté visible en la configuración Grupo.
Nota: Además, si la autenticación se realiza en grupo, debe asignar usuarios a un grupo determinado y configurar los atributos IETF de configuración de grupo para proporcionar privilegios de acceso a los usuarios de ese grupo. Refiérase a Administración de Grupos para obtener información detallada sobre cómo configurar y administrar grupos.
Este ejemplo muestra la configuración de un usuario con acceso de sólo lectura al WLC. Cuando este usuario intenta iniciar sesión en el controlador, el servidor RADIUS autentica y proporciona a este usuario acceso de sólo lectura.
En este ejemplo, el nombre de usuario y la contraseña son acsreadonly.
Complete estos pasos en Cisco Secure ACS:
Desde la GUI de ACS, haga clic en User Setup.
Escriba el nombre de usuario que desea agregar al ACS y haga clic en Agregar/Editar para ir a la página de edición de usuario.
Proporcione el nombre real, la descripción y la contraseña de este usuario. Esta ventana muestra un ejemplo.
Desplácese hacia abajo hasta la configuración IETF RADIUS Attributes y verifique Service-Type Attribute.
Dado que, en este ejemplo, el usuario acsreadonly necesita tener acceso de sólo lectura, elija NAS Prompt en el menú desplegable Service-Type y haga clic en Submit.
Esto asegura que este usuario en particular tenga acceso de sólo lectura al WLC.
También puede configurar los usuarios de administración localmente en el WLC. Esto se puede hacer desde la GUI del controlador, bajo Management > Local Management Users.
Suponga que el WLC se configura con los usuarios de administración tanto localmente como en el servidor RADIUS con la casilla de verificación Management habilitada. En tal escenario, de forma predeterminada, cuando un usuario intenta iniciar sesión en el WLC, el WLC se comporta de esta manera:
El WLC primero mira a los usuarios de administración local definidos para validar el usuario. Si el usuario existe en su lista local, permite la autenticación para este usuario. Si este usuario no aparece de forma local, busca el servidor RADIUS.
Si el mismo usuario existe tanto localmente como en el servidor RADIUS pero con diferentes privilegios de acceso, el WLC autentica al usuario con los privilegios especificados localmente. En otras palabras, la configuración local en el WLC siempre tiene prioridad cuando se compara con el servidor RADIUS.
El orden de autenticación para los usuarios de administración se puede cambiar en el WLC. Para hacer esto, desde la página Seguridad en el WLC, haga clic en Orden de prioridad > Usuario de administración. En esta página puede especificar el orden de autenticación. Aquí está un ejemplo.
Nota: Si se selecciona LOCAL como segunda prioridad, el usuario se autenticará utilizando este método sólo si el método definido como la primera prioridad (RADIUS/ TACACS) es inalcanzable.
Para verificar si su configuración funciona correctamente, acceda al WLC a través del modo CLI o GUI (HTTP/HTTPS). Cuando aparezca el mensaje de inicio de sesión, escriba el nombre de usuario y la contraseña tal como se configuraron en Cisco Secure ACS.
Si tiene las configuraciones correctas, se autentica con éxito en el WLC.
También puede asegurarse de que el usuario autenticado reciba las restricciones de acceso especificadas por el ACS. Para hacerlo, acceda a la GUI del WLC a través de HTTP/HTTPS (asegúrese de que el WLC esté configurado para permitir HTTP/HTTPS).
Un usuario con acceso de lectura y escritura establecido en el ACS tiene varios privilegios configurables en el WLC. Por ejemplo, un usuario de lectura y escritura tiene el privilegio de crear una nueva WLAN bajo la página WLANs del WLC. Esta ventana muestra un ejemplo.
Cuando un usuario con proveedores de sólo lectura intenta alterar la configuración en el controlador, el usuario ve este mensaje.
Estas restricciones de acceso también pueden verificarse a través de la CLI del WLC. En este resultado, se muestra un ejemplo.
(Cisco Controller) >? debug Manages system debug options. help Help linktest Perform a link test to a specified MAC address. logout Exit this session. Any unsaved changes are lost. show Display switch options and settings. (Cisco Controller) >config Incorrect usage. Use the '?' or <TAB> key to list commands.
Como muestra este ejemplo de resultado, ¿un ? en la CLI del controlador se muestra una lista de comandos disponibles para el usuario actual. Observe también que el comando config no está disponible en este resultado de ejemplo. Esto ilustra que un usuario de sólo lectura no tiene el privilegio de hacer ninguna configuración en el WLC. Mientras que un usuario de lectura/escritura tiene los privilegios para realizar configuraciones en el controlador (tanto en el modo GUI como en el modo CLI).
Nota: Incluso después de autenticar un usuario WLC a través del servidor RADIUS, mientras navega de página en página, el servidor HTTP[S] aún autentica completamente al cliente cada vez. La única razón por la que no se le solicita la autenticación en cada página es que el explorador almacena en caché y reproduce sus credenciales.
Hay ciertas circunstancias cuando un controlador autentica a los usuarios de administración a través del ACS, la autenticación finaliza exitosamente (access-accept), y usted no ve ningún error de autorización en el controlador. Sin embargo, se le solicita de nuevo al usuario que realice la autenticación.
En tales casos, no puede interpretar lo que está mal y por qué el usuario no puede iniciar sesión en el WLC usando solamente el comando debug aaa events enable. En su lugar, el controlador muestra otro mensaje para la autenticación.
Una razón posible para esto es que el ACS no está configurado para transmitir el atributo Service-Type para ese usuario o grupo en particular, aunque el nombre de usuario y la contraseña estén correctamente configurados en el ACS.
La salida del comando debug aaa events enable no indica que un usuario no tenga los atributos requeridos (por este ejemplo, el atributo Service-Type) aunque se envíe access-accept desde el servidor AAA. Este ejemplo de resultado del comando debug aaa events enable muestra un ejemplo.
(Cisco Controller) >debug aaa events enable Mon Aug 13 20:14:33 2011: AuthenticationRequest: 0xa449a8c Mon Aug 13 20:14:33 2011: Callback.....................................0x8250c40 Mon Aug 13 20:14:33 2011: protocolType.................................0x00020001 Mon Aug 13 20:14:33 2011: proxyState......................1A:00:00:00:00:00-00:00 Mon Aug 13 20:14:33 2011: Packet contains 5 AVPs (not shown) Mon Aug 13 20:14:33 2011: 1a:00:00:00:00:00 Successful transmission of Authentication Packet (id 8) to 172.16.1.1:1812, proxy state 1a:00:00:00:00:00-00:00 Mon Aug 13 20:14:33 2011: ****Enter processIncomingMessages: response code=2 Mon Aug 13 20:14:33 2011: ****Enter processRadiusResponse: response code=2 Mon Aug 13 20:14:33 2011: 1a:00:00:00:00:00 Access-Accept received from RADIUS server 172.16.1.1 for mobile 1a:00:00:00:00:00 receiveId = 0 Mon Aug 13 20:14:33 2011: AuthorizationResponse: 0x9802520 Mon Aug 13 20:14:33 2011: structureSize................................28 Mon Aug 13 20:14:33 2011: resultCode...................................0 Mon Aug 13 20:14:33 2011: protocolUsed.................................0x00000001 Mon Aug 13 20:14:33 2011: proxyState.......................1A:00:00:00:00:00-00:00 Mon Aug 13 20:14:33 2011: Packet contains 0 AVPs:
En este primer ejemplo de resultado del comando debug aaa events enable, se ve que Access-Accept se recibe correctamente del servidor RADIUS pero el atributo Service-Type no se pasa al WLC. Esto se debe a que el usuario en particular no está configurado con este atributo en el ACS.
Cisco Secure ACS debe configurarse para devolver el atributo Service-Type después de la autenticación del usuario. El valor del atributo Service-Type se debe establecer en Administrative o NAS-Prompt según los privilegios de usuario.
Este segundo ejemplo muestra el resultado del comando debug aaa events enable nuevamente. Sin embargo, esta vez el atributo Service-Type se establece en Administrative en ACS.
(Cisco Controller)>debug aaa events enable Mon Aug 13 20:17:02 2011: AuthenticationRequest: 0xa449f1c Mon Aug 13 20:17:02 2011: Callback.....................................0x8250c40 Mon Aug 13 20:17:02 2011: protocolType.................................0x00020001 Mon Aug 13 20:17:02 2011: proxyState.......................1D:00:00:00:00:00-00:00 Mon Aug 13 20:17:02 2011: Packet contains 5 AVPs (not shown) Mon Aug 13 20:17:02 2011: 1d:00:00:00:00:00 Successful transmission of Authentication Packet (id 11) to 172.16.1.1:1812, proxy state 1d:00:00:00:00:00-00:00 Mon Aug 13 20:17:02 2011: ****Enter processIncomingMessages: response code=2 Mon Aug 13 20:17:02 2011: ****Enter processRadiusResponse: response code=2 Mon Aug 13 20:17:02 2011: 1d:00:00:00:00:00 Access-Accept received from RADIUS server 172.16.1.1 for mobile 1d:00:00:00:00:00 receiveId = 0 Mon Aug 13 20:17:02 2011: AuthorizationResponse: 0x9802520 Mon Aug 13 20:17:02 2011: structureSize................................100 Mon Aug 13 20:17:02 2011: resultCode...................................0 Mon Aug 13 20:17:02 2011: protocolUsed.................................0x00000001 Mon Aug 13 20:17:02 2011: proxyState.......................1D:00:00:00:00:00-00:00 Mon Aug 13 20:17:02 2011: Packet contains 2 AVPs: Mon Aug 13 20:17:02 2011: AVP[01] Service-Type...........0x00000006 (6) (4 bytes) Mon Aug 13 20:17:02 2011: AVP[02] Class......... CISCOACS:000d1b9f/ac100128/acsserver (36 bytes)
Puede ver en este ejemplo de resultado que el atributo Service-Type se pasa al WLC.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
01-Dec-2013 |
Versión inicial |