Ejemplo de Configuración de Autenticación de Servidor RADIUS de Usuarios de Administración en el Controlador de LAN Inalámbrico (WLC)

Introducción

Este documento explica cómo configurar un controlador de LAN inalámbrico (WLC) y un Access Control Server (Cisco Secure ACS) de modo que el servidor AAA pueda autenticar los usuarios de administración en el controlador. El documento también explica cómo diferentes usuarios de administración pueden recibir diferentes privilegios usando los atributos específicos del vendedor (VSA) devueltos por el servidor Cisco Secure ACS RADIUS.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

• Conocimiento de cómo configurar los parámetros básicos en WLCs

• Conocimiento de cómo configurar a un servidor de RADIUS como Cisco ACS seguro

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Regulador LAN de la Tecnología inalámbrica de Cisco 4400 que funciona con la versión 7.0.216.0

• Cisco ACS seguro que funciona con la versión de software 4.1 y se utiliza como servidor de RADIUS en esta configuración.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configurar

En esta sección, le presentan con la información sobre cómo configurar el WLC y el ACS para el propósito descrito en este documento.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Este ejemplo de la configuración utiliza estos parámetros:

• Dirección IP de Cisco ACS seguro — 172.16.1.1/255.255.0.0

• Dirección IP de la interfaz de administración del regulador — 172.16.1.30/255.255.0.0

• Clave secreta compartida que se utiliza en el punto de acceso y el servidor de RADIUS — asdf1234

• Éstas son las credenciales de los dos usuarios que este ejemplo configura en el ACS:

  • Username - acsreadwrite

    Contraseña - acsreadwrite

  • Username - acsreadonly

    Contraseña - acsreadonly

Usted necesita configurar el WLC y Cisco Cisco seguro ACS seguro para:

• Cualquier usuario que registre en el WLC con el nombre de usuario y contraseña mientras que el acsreadwrite se da el acceso administrativo completo al WLC.

• Dan cualquier usuario que registre en el WLC con el nombre de usuario y contraseña como acsreadonly acceso de sólo lectura al WLC.

Configuraciones

Este documento utiliza estas configuraciones:

• Configuración WLC

• Configuración segura de Cisco ACS

Configuración WLC

Configure el WLC para validar la Administración con Cisco aseguran al servidor ACS

Complete estos pasos para configurar el WLC de modo que pueda comunicar con el servidor de RADIUS.

1. Del GUI WLC, haga clic la Seguridad. Del menú a la izquierda, haga clic RADIUS > autenticación. La página de los servidores de autenticación de RADIUS aparece. Para agregar a un nuevo servidor de RADIUS, haga clic nuevo. En los servidores de autenticación de RADIUS > la nueva página, ingresa los parámetros específicos al servidor de RADIUS. Aquí está un ejemplo.

   

2. Controle el botón de radio de la Administración para permitir que el servidor de RADIUS autentique a los usuarios que se abren una sesión el WLC.

   Nota: Asegúrese de que el secreto compartido configurado en esta página haga juego con el secreto compartido configurado en el servidor de RADIUS. Solamente entonces el WLC puede comunicar con el servidor de RADIUS.

3. Verifique si el WLC esté configurado para ser manejado por Cisco ACS seguro. Para hacer esto, haga clic la Seguridad del GUI WLC. La ventana resultante GUI aparece similar a este ejemplo.

   

   Usted puede ver que la casilla de verificación de la Administración está activada para el servidor de RADIUS 172.16.1.1. Esto ilustra que ACS está permitido autenticar a los usuarios de la Administración en el WLC.

Configuración segura de Cisco ACS

Complete los pasos en estas secciones para configurar el ACS:

1. Agregue el WLC como cliente AAA al servidor de RADIUS.

2. Configure los usuarios y sus atributos apropiados IETF RADIUS.

3. Configure a un usuario con el acceso de lectura/escritura.

4. Configure a un usuario con acceso de sólo lectura.

Agregue el WLC como cliente AAA al servidor de RADIUS

Complete estos pasos para agregar el WLC como cliente AAA en Cisco ACS seguro.

1. Del GUI ACS, haga clic la configuración de red.

2. En los clientes AAA, haga clic en Add Entry (Agregar entrada).

3. En la ventana del cliente AAA del agregar, ingrese el nombre de host WLC, el IP address del WLC, y una clave secreta compartida.

   En este ejemplo, éstas son las configuraciones:

   • Nombre del host del cliente AAA está el WLC-4400

   • 172.16.1.30/16 es la dirección IP del cliente AAA, que, en este caso es el WLC.

   • La clave secreta compartida es el "asdf1234".

     

   Esta clave secreta compartida debe ser lo mismo que la clave secreta compartida que usted configura en el WLC.

4. De la autenticidad usando el menú desplegable, elija RADIUS (Cisco Airespace).

5. El tecleo somete + reinicio para salvar la configuración.

Configure los usuarios y sus atributos apropiados IETF RADIUS

Para autenticar a un usuario vía un servidor de RADIUS, para la clave del regulador y la Administración, usted debe agregar al usuario a la base de datos RADIUS con el tipo de servicio del atributo de RADIUS IETF fijado al valor apropiado según los privilegios del usuario.

• Para fijar los privilegios de lectura/grabación para el usuario, fije el atributo de tipo de servicio a administrativo.

• Para fijar los privilegios inalterables para el usuario, fije el NAS-mensaje del atributo de tipo de servicio.

Configure a un usuario con el acceso de lectura/escritura

El primer ejemplo muestra la configuración de un usuario con el acceso total al WLC. Cuando este usuario intenta abrirse una sesión al regulador, el servidor de RADIUS autentica y provee de este usuario el acceso administrativo completo.

En este ejemplo, el nombre de usuario y contraseña es acsreadwrite.

Complete estos pasos en Cisco ACS seguro.

1. Del GUI ACS, haga clic la configuración de usuario.

2. Pulse el username que se agregará al ACS como esta ventana de muestra muestra.

   

3. El tecleo agrega/corrige para ir al usuario corrige la página.

4. En el usuario corrija la página, proporcione a los detalles del Nombre real, de la descripción y de la contraseña de este usuario.

5. Enrolle abajo a los atributos de RADIUS IETF que fijan y al atributo de tipo de servicio del control.

6. Puesto que, en este ejemplo, el acsreadwrite del usuario necesita ser dado el acceso total, elija administrativo para el menú desplegable del tipo de servicio y el tecleo somete.

   Esto se asegura de que este usuario determinado tenga acceso de lectura/escritura al WLC.

   

A veces, este atributo de tipo de servicio no es visible bajo ajustes de usuario. En estos casos, complete estos pasos para hacerlo visible.

1. Del GUI ACS, elija la configuración de la interfaz > RADIUS (IETF) para activar los atributos IETF en la ventana de la configuración de usuario.

   Esto le lleva a la página Configuración RADIUS (IETF).

2. De la página Configuración RADIUS (IETF), usted puede activar el atributo IETF que necesita ser visible bajo el usuario o configuraciones de grupo. Para esta configuración, controle el tipo de servicio para saber si hay la columna del usuario y el tecleo somete. Esta ventana muestra un ejemplo.

   

   Nota: Este ejemplo especifica la autenticación en una base del por-usuario. Usted puede también realizar la autenticación basada en el grupo a quien un usuario determinado pertenece. En estos casos, active el cuadro de casilla del grupo de modo que este atributo sea visible bajo configuraciones de grupo.

   Nota: También, si la autenticación está sobre una base del grupo, usted necesita asignar a los usuarios a un grupo determinado y configurar los atributos IETF de la configuración de grupo para proporcionar a los privilegios de acceso a los usuarios de ese grupo. Refiera a la Administración del grupo para información detallada sobre cómo configurar y manejar a los grupos.

Configure a un usuario con acceso de sólo lectura

Este ejemplo muestra la configuración de un usuario con acceso de sólo lectura al WLC. Cuando este usuario intenta abrirse una sesión al regulador, el servidor de RADIUS autentica y provee de este usuario acceso de sólo lectura.

En este ejemplo, el nombre de usuario y contraseña está acsreadonly.

Complete estos pasos en Cisco ACS seguro:

1. Del GUI ACS, haga clic la configuración de usuario.

2. Pulse el username que usted quiere agregar al ACS y al tecleo agrega/corrige para ir al usuario corrige la página.

   

3. Proporcione al Nombre real, a la descripción y a la contraseña de este usuario. Esta ventana muestra un ejemplo.

   

4. Enrolle abajo a los atributos de RADIUS IETF que fijan y al atributo de tipo de servicio del control.

5. Puesto que, en este ejemplo, el usuario acsreadonly necesita tener acceso de sólo lectura, elegir el mensaje NAS del menú desplegable y del tecleo del tipo de servicio someta.

   Esto se asegura de que este usuario determinado tenga acceso de sólo lectura al WLC.

   

Maneje el WLC localmente así como a través del servidor de RADIUS

Usted puede también configurar a los usuarios de la Administración localmente en el WLC. Esto se puede hacer del GUI del regulador, bajo los usuarios de la Administración > de la administración local.

Asuma que el WLC está configurado con los usuarios de la Administración localmente así como en el servidor de RADIUS con la casilla de verificación de la Administración activada. En tal decorado, por abandono, cuando un usuario intenta abrirse una sesión al WLC, el WLC se comporta de este modo:

1. El WLC primero mira a los usuarios de la administración local definidos para validar al usuario. Si el usuario existe en su lista local, después permite la autenticación para este usuario. Si no aparece este usuario localmente, después mira al servidor de RADIUS.

2. Si el mismo usuario existe localmente así como en el servidor de RADIUS pero con diversos privilegios de acceso, después el WLC autentica al usuario con los privilegios especificados localmente. Es decir la configuración local en el WLC toma siempre la precedencia cuando está comparada al servidor de RADIUS.

La orden de la autenticación para los usuarios de la Administración se puede cambiar en el WLC. Para hacer esto, de la página Seguridad en el WLC, orden de la prioridad del tecleo > usuario de la Administración. De esta página usted puede especificar la orden de la autenticación. Aquí está un ejemplo.

Nota: Si el LOCAL se selecciona como segunda prioridad, después autenticarán al usuario usando este método solamente si el método definido como la primera prioridad (RADIUS/TACACS) es inalcanzable.

Verificación

Para verificar si su configuración trabaje correctamente, tenga acceso al WLC con el modo CLI o GUI (HTTP/HTTPS). Cuando aparece el prompt de inicio de sesión, pulse el nombre de usuario y contraseña según lo configurado en Cisco ACS seguro.

Si usted tiene las configuraciones correctas, le autentican con éxito en el WLC.

Usted puede también asegurarse de si proporcionen el usuario autenticado las restricciones de acceso según lo especificado por el ACS. Para hacer así pues, tenga acceso al GUI WLC con el HTTP/HTTPS (asegúrese de que WLC esté configurado para permitir el HTTP/HTTPS).

Un usuario con el conjunto de acceso de lectura/escritura en el ACS tiene varios privilegios configurables en el WLC. Por ejemplo, un usuario de lectura/grabación tiene el privilegio de crear una nueva red inalámbrica (WLAN) conforme a la página de las redes inalámbricas (WLAN) del WLC. Esta ventana muestra un ejemplo.

Cuando un usuario con solamente los provileges leídos intenta alterar la configuración en el regulador, el usuario ve este mensaje.

Estas restricciones de acceso se pueden también verificar con el CLI del WLC. En este resultado, se muestra un ejemplo.

(Cisco Controller) >?

debug          Manages system debug options.
help           Help
linktest       Perform a link test to a specified MAC address.
logout         Exit this session. Any unsaved changes are lost.
show           Display switch options and settings.

(Cisco Controller) >config

Incorrect usage.  Use the '?' or <TAB> key to list commands.

¿Como esta salida de ejemplo muestra, a? en el regulador el CLI visualiza una lista de comandos disponibles para el Usuario usuario actual. También note que el comando config no está disponible en esta salida de ejemplo. Esto ilustra que un usuario inalterable no tiene el privilegio de hacer ninguna configuraciones en el WLC. Considerando que, un usuario de lectura/grabación tiene los privilegios de hacer las configuraciones en el regulador (GUI y modo CLI).

Nota: Incluso después usted autentica a un usuario WLC a través del servidor de RADIUS, pues usted hojea de la página para paginar, el servidor del [S] HTTP todavía autentica completamente al cliente cada vez. La única razón que le no incitan para la autenticación en cada página es que sus cachés del buscador y juega de nuevo sus credenciales.

Troubleshooting

Hay ciertas circunstancias cuando un regulador autentica a los usuarios de la Administración vía el ACS, los finales de la autenticación con éxito (acceso-valide), y usted no ve ningún error de la autorización en el regulador. Pero, incitan al usuario otra vez para la autenticación.

En estos casos, usted no puede interpretar cuál es incorrecto y por porqué el usuario no puede registrar en el WLC apenas usando el comando enable de los eventos aaa de la depuración. En lugar, el regulador visualiza otro mensaje para la autenticación.

Una razón posible de esto es que el ACS no está configurado para transmitir el atributo de tipo de servicio para ese usuario determinado o para agruparlo aunque el nombre de usuario y contraseña se configura correctamente en el ACS.

La salida del comando enable de los eventos aaa de la depuración no indica que un usuario no tiene los atributos requeridos (por este ejemplo, el atributo de tipo de servicio) aunque un acceso-validar se devuelve del servidor AAA. Esta salida del comando enable de los eventos aaa de la depuración del ejemplo muestra un ejemplo.

 (Cisco Controller) >debug aaa events enable



Mon Aug 13 20:14:33 2011: AuthenticationRequest: 0xa449a8c

Mon Aug 13 20:14:33 2011: Callback.....................................0x8250c40

Mon Aug 13 20:14:33 2011: protocolType.................................0x00020001

Mon Aug 13 20:14:33 2011: proxyState......................1A:00:00:00:00:00-00:00

Mon Aug 13 20:14:33 2011: Packet contains 5 AVPs (not shown)

Mon Aug 13 20:14:33 2011: 1a:00:00:00:00:00 Successful transmission of 
Authentication Packet (id 8) to 172.16.1.1:1812, proxy state 
1a:00:00:00:00:00-00:00

Mon Aug 13 20:14:33 2011: ****Enter processIncomingMessages: response code=2

Mon Aug 13 20:14:33 2011: ****Enter processRadiusResponse: response code=2

Mon Aug 13 20:14:33 2011: 1a:00:00:00:00:00 Access-Accept 
received from RADIUS server 172.16.1.1 for mobile 1a:00:00:00:00:00 receiveId = 0

Mon Aug 13 20:14:33 2011: AuthorizationResponse: 0x9802520

Mon Aug 13 20:14:33 2011: structureSize................................28

Mon Aug 13 20:14:33 2011: resultCode...................................0

Mon Aug 13 20:14:33 2011: protocolUsed.................................0x00000001

Mon Aug 13 20:14:33 2011: proxyState.......................1A:00:00:00:00:00-00:00

Mon Aug 13 20:14:33 2011: Packet contains 0 AVPs:

En esta primera salida del comando enable de los eventos aaa de la depuración del ejemplo, usted ve que Acceso-Validar está recibido con éxito del servidor de RADIUS pero el atributo de tipo de servicio no está pasado sobre el WLC. Esto es porque no configuran al usuario determinado con este atributo en el ACS.

Cisco ACS seguro necesita ser configurado para volver el atributo de tipo de servicio después de la autenticación de usuario. El valor de atributo del tipo de servicio se debe fijar a administrativo o al NAS-mensaje según los privilegios del usuario.

Este segundo ejemplo muestra el comando enable de los eventos aaa de la depuración hecho salir otra vez. Sin embargo, este vez el atributo de tipo de servicio se fija a administrativo en el ACS.

(Cisco Controller)>debug aaa events enable



Mon Aug 13 20:17:02 2011: AuthenticationRequest: 0xa449f1c

Mon Aug 13 20:17:02 2011: Callback.....................................0x8250c40

Mon Aug 13 20:17:02 2011: protocolType.................................0x00020001

Mon Aug 13 20:17:02 2011: proxyState.......................1D:00:00:00:00:00-00:00

Mon Aug 13 20:17:02 2011: Packet contains 5 AVPs (not shown)

Mon Aug 13 20:17:02 2011: 1d:00:00:00:00:00 Successful transmission of 
Authentication Packet (id 11) to 172.16.1.1:1812, proxy state 
1d:00:00:00:00:00-00:00

Mon Aug 13 20:17:02 2011: ****Enter processIncomingMessages: response code=2

Mon Aug 13 20:17:02 2011: ****Enter processRadiusResponse: response code=2

Mon Aug 13 20:17:02 2011: 1d:00:00:00:00:00 Access-Accept received 
from RADIUS server 172.16.1.1 for mobile 1d:00:00:00:00:00 receiveId = 0

Mon Aug 13 20:17:02 2011: AuthorizationResponse: 0x9802520

Mon Aug 13 20:17:02 2011: structureSize................................100

Mon Aug 13 20:17:02 2011: resultCode...................................0

Mon Aug 13 20:17:02 2011: protocolUsed.................................0x00000001

Mon Aug 13 20:17:02 2011: proxyState.......................1D:00:00:00:00:00-00:00

Mon Aug 13 20:17:02 2011: Packet contains 2 AVPs:

Mon Aug 13 20:17:02 2011: AVP[01] Service-Type...........0x00000006 (6) (4 bytes)

Mon Aug 13 20:17:02 2011: AVP[02] Class.........
CISCOACS:000d1b9f/ac100128/acsserver (36 bytes)

Usted puede ver en esta salida de ejemplo que el atributo de tipo de servicio está pasado sobre el WLC.

Información Relacionada

• Configurando el regulador inalámbrico LAN - Guía de configuración
• Ejemplo de Configuración de VLANs en Controladores de LAN Inalámbrica
• Asignación VLAN dinámica con el servidor de RADIUS y el ejemplo inalámbrico de la configuración del regulador LAN
• Ejemplo de la configuración básica del controlador y del Lightweight Access Point del Wireless LAN
• Ejemplo de Configuración de VLANs de Grupo de AP con Controladores de LAN Inalámbrica
• Soporte Técnico y Documentación - Cisco Systems