WLC - Configuración de la Autenticación RADIUS para Usuarios de Administración

Opciones de descarga

  • PDF     (619.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (633.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (835.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:5 de noviembre de 2012
ID del documento:71989

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento explica cómo configurar un controlador de LAN inalámbrico (WLC) y un Access Control Server (Cisco Secure ACS) de modo que el servidor AAA pueda autenticar los usuarios de administración en el controlador. El documento también explica cómo diferentes usuarios de administración pueden recibir diferentes privilegios usando los atributos específicos del vendedor (VSA) devueltos por el servidor Cisco Secure ACS RADIUS.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Conocimiento de cómo configurar parámetros básicos en WLC

  • Conocimiento de cómo configurar un servidor RADIUS como Cisco Secure ACS

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco 4400 Wireless LAN Controller que ejecuta la versión 7.0.216.0

  • Cisco Secure ACS que ejecuta la versión de software 4.1 y se utiliza como servidor RADIUS en esta configuración.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configurar

En esta sección, se le presenta la información sobre cómo configurar el WLC y el ACS para el propósito descrito en este documento.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

manage-wlc-users-radius-01.gif

Este ejemplo de configuración utiliza estos parámetros:

  • Dirección IP de Cisco Secure ACS: 172.16.1.1/255.255.0.0

  • Dirección IP de la interfaz de administración del controlador: 172.16.1.30/255.255.0.0

  • Clave secreta compartida que se utiliza en el punto de acceso (AP) y en el servidor RADIUS: asdf1234

  • Estas son las credenciales de los dos usuarios que este ejemplo configura en el ACS:

    • Nombre de usuario: acsreadwrite

      Contraseña: acsreadwrite

    • Nombre de usuario: acsreadonly

      Contraseña: sólo lectura

Debe configurar el WLC y Cisco Secure Cisco Secure ACS para:

  • A cualquier usuario que inicie sesión en el WLC con el nombre de usuario y la contraseña como acsreadwrite se le da acceso administrativo completo al WLC.

  • A cualquier usuario que inicie sesión en el WLC con el nombre de usuario y la contraseña como acsreadonly se le da acceso de sólo lectura al WLC.

Configuraciones

En este documento, se utilizan estas configuraciones:

Configuración de WLC

Configuración del WLC para Aceptar la Administración a través del Cisco Secure ACS Server

Complete estos pasos para configurar el WLC para que se pueda comunicar con el servidor RADIUS.

  1. Desde la GUI del WLC, haga clic en Security. En el menú de la izquierda, haga clic en RADIUS > Authentication. Aparece la página Servidores de autenticación RADIUS. Para agregar un nuevo servidor RADIUS, haga clic en Nuevo. En la página Servidores de autenticación RADIUS > Nuevo, ingrese los parámetros específicos del servidor RADIUS. Aquí está un ejemplo.

    manage-wlc-users-radius-02.gif

  2. Verifique el botón de radio Management para permitir que el servidor RADIUS autentique a los usuarios que ingresan al WLC.

    Nota: Asegúrese de que el secreto compartido configurado en esta página coincida con el secreto compartido configurado en el servidor RADIUS. Sólo entonces el WLC puede comunicarse con el servidor RADIUS.

  3. Verifique si el WLC está configurado para ser administrado por Cisco Secure ACS. Para hacer esto, haga clic en Seguridad desde la GUI del WLC. La ventana GUI resultante aparece similar a este ejemplo.

    manage-wlc-users-radius-03.gif

    Puede ver que la casilla de verificación Management está habilitada para el servidor RADIUS 172.16.1.1. Esto ilustra que se permite a ACS autenticar a los usuarios de administración en el WLC.

Configuración de Cisco Secure ACS

Complete los pasos en estas secciones para configurar el ACS:

  1. Agregue el WLC como un cliente AAA al servidor RADIUS.

  2. Configure los usuarios y sus atributos IETF RADIUS adecuados.

  3. Configure un usuario con acceso de lectura y escritura.

  4. Configure un usuario con acceso de sólo lectura.

Agregue el WLC como cliente AAA al servidor RADIUS

Complete estos pasos para agregar el WLC como un cliente AAA en Cisco Secure ACS.

  1. Desde la GUI de ACS, haga clic en Configuración de Red.

  2. En los clientes AAA, haga clic en Add Entry (Agregar entrada).

  3. En la ventana Add AAA Client, ingrese el nombre de host WLC, la dirección IP del WLC y una clave secreta compartida.

    En este ejemplo, estas son las configuraciones:

    • El nombre de host del cliente AAA es WLC-4400

    • 172.16.1.30/16 es la dirección IP del cliente AAA, que en este caso es el WLC.

    • La clave secreta compartida es "asdf1234".

      manage-wlc-users-radius-04.gif

    Esta clave secreta compartida debe ser la misma que la clave secreta compartida que usted configura en el WLC.

  4. En el menú desplegable Authenticate Using, elija RADIUS (Cisco Airespace).

  5. Haga clic en Submit + Restart para guardar la configuración.

Configure a los Usuarios y sus Atributos IETF RADIUS Apropiados

Para autenticar un usuario a través de un servidor RADIUS, para el login y la administración del controlador, debe agregar el usuario a la base de datos RADIUS con el atributo IETF RADIUS Service-Type establecido en el valor apropiado según los privilegios del usuario.

  • Para establecer privilegios de lectura-escritura para el usuario, establezca el atributo Service-Type en Administrativo.

  • Para establecer privilegios de sólo lectura para el usuario, establezca el atributo Service-Type en NAS-Prompt.

Configuración de un usuario con acceso de lectura y escritura

El primer ejemplo muestra la configuración de un usuario con acceso completo al WLC. Cuando este usuario intenta iniciar sesión en el controlador, el servidor RADIUS autentica y proporciona a este usuario acceso administrativo completo.

En este ejemplo, el nombre de usuario y la contraseña son acsreadwrite.

Complete estos pasos en Cisco Secure ACS.

  1. Desde la GUI de ACS, haga clic en User Setup.

  2. Escriba el nombre de usuario que se agregará al ACS como muestra esta ventana de ejemplo.

    manage-wlc-users-radius-05.gif

  3. Haga clic en Add/Edit para ir a la página User Edit.

  4. En la página User Edit (Editar usuario), proporcione los detalles de Nombre real, Descripción y Contraseña de este usuario.

  5. Desplácese hacia abajo hasta la configuración IETF RADIUS Attributes y verifique Service-Type Attribute.

  6. Dado que, en este ejemplo, se debe dar acceso completo a acsreadwrite de usuario, elija Administrative para el menú desplegable Service-Type y haga clic en Submit.

    Esto asegura que este usuario en particular tenga acceso de lectura y escritura al WLC.

    manage-wlc-users-radius-06.gif

A veces, este atributo de tipo de servicio no está visible en la configuración del usuario. En tales casos, complete estos pasos para hacerlo visible.

  1. Desde la GUI de ACS, elija Interface Configuration > RADIUS (IETF) para habilitar los atributos de IETF en la ventana User Configuration.

    Esto lo lleva a la página de configuración de RADIUS (IETF).

  2. En la página Configuración de RADIUS (IETF), puede activar el atributo IETF que debe estar visible en la configuración de usuario o grupo. Para esta configuración, verifique Tipo de servicio para la columna Usuario y haga clic en Enviar. Esta ventana muestra un ejemplo.

    manage-wlc-users-radius-07.gif

    Nota: En este ejemplo se especifica la autenticación por usuario. También puede realizar la autenticación en función del grupo al que pertenece un usuario concreto. En tales casos, active la casilla de verificación Grupo para que este atributo esté visible en la configuración Grupo.

    Nota: Además, si la autenticación se realiza en grupo, debe asignar usuarios a un grupo determinado y configurar los atributos IETF de configuración de grupo para proporcionar privilegios de acceso a los usuarios de ese grupo. Refiérase a Administración de Grupos para obtener información detallada sobre cómo configurar y administrar grupos.

Configuración de un usuario con acceso de sólo lectura

Este ejemplo muestra la configuración de un usuario con acceso de sólo lectura al WLC. Cuando este usuario intenta iniciar sesión en el controlador, el servidor RADIUS autentica y proporciona a este usuario acceso de sólo lectura.

En este ejemplo, el nombre de usuario y la contraseña son acsreadonly.

Complete estos pasos en Cisco Secure ACS:

  1. Desde la GUI de ACS, haga clic en User Setup.

  2. Escriba el nombre de usuario que desea agregar al ACS y haga clic en Agregar/Editar para ir a la página de edición de usuario.

    manage-wlc-users-radius-08.gif

  3. Proporcione el nombre real, la descripción y la contraseña de este usuario. Esta ventana muestra un ejemplo.

    manage-wlc-users-radius-09.gif

  4. Desplácese hacia abajo hasta la configuración IETF RADIUS Attributes y verifique Service-Type Attribute.

  5. Dado que, en este ejemplo, el usuario acsreadonly necesita tener acceso de sólo lectura, elija NAS Prompt en el menú desplegable Service-Type y haga clic en Submit.

    Esto asegura que este usuario en particular tenga acceso de sólo lectura al WLC.

    manage-wlc-users-radius-10.gif

Gestione el WLC tanto a nivel local como a través del servidor RADIUS

También puede configurar los usuarios de administración localmente en el WLC. Esto se puede hacer desde la GUI del controlador, bajo Management > Local Management Users.

manage-wlc-users-radius-11.gif

Suponga que el WLC se configura con los usuarios de administración tanto localmente como en el servidor RADIUS con la casilla de verificación Management habilitada. En tal escenario, de forma predeterminada, cuando un usuario intenta iniciar sesión en el WLC, el WLC se comporta de esta manera:

  1. El WLC primero mira a los usuarios de administración local definidos para validar el usuario. Si el usuario existe en su lista local, permite la autenticación para este usuario. Si este usuario no aparece de forma local, busca el servidor RADIUS.

  2. Si el mismo usuario existe tanto localmente como en el servidor RADIUS pero con diferentes privilegios de acceso, el WLC autentica al usuario con los privilegios especificados localmente. En otras palabras, la configuración local en el WLC siempre tiene prioridad cuando se compara con el servidor RADIUS.

El orden de autenticación para los usuarios de administración se puede cambiar en el WLC. Para hacer esto, desde la página Seguridad en el WLC, haga clic en Orden de prioridad > Usuario de administración. En esta página puede especificar el orden de autenticación. Aquí está un ejemplo.

manage-wlc-users-radius-12.gif

Nota: Si se selecciona LOCAL como segunda prioridad, el usuario se autenticará utilizando este método sólo si el método definido como la primera prioridad (RADIUS/ TACACS) es inalcanzable.

Verificación

Para verificar si su configuración funciona correctamente, acceda al WLC a través del modo CLI o GUI (HTTP/HTTPS). Cuando aparezca el mensaje de inicio de sesión, escriba el nombre de usuario y la contraseña tal como se configuraron en Cisco Secure ACS.

Si tiene las configuraciones correctas, se autentica con éxito en el WLC.

También puede asegurarse de que el usuario autenticado reciba las restricciones de acceso especificadas por el ACS. Para hacerlo, acceda a la GUI del WLC a través de HTTP/HTTPS (asegúrese de que el WLC esté configurado para permitir HTTP/HTTPS).

Un usuario con acceso de lectura y escritura establecido en el ACS tiene varios privilegios configurables en el WLC. Por ejemplo, un usuario de lectura y escritura tiene el privilegio de crear una nueva WLAN bajo la página WLANs del WLC. Esta ventana muestra un ejemplo.

manage-wlc-users-radius-13.gif

Cuando un usuario con proveedores de sólo lectura intenta alterar la configuración en el controlador, el usuario ve este mensaje.

manage-wlc-users-radius-14.gif

Estas restricciones de acceso también pueden verificarse a través de la CLI del WLC. En este resultado, se muestra un ejemplo.

(Cisco Controller) >?

debug          Manages system debug options.
help           Help
linktest       Perform a link test to a specified MAC address.
logout         Exit this session. Any unsaved changes are lost.
show           Display switch options and settings.

(Cisco Controller) >config

Incorrect usage.  Use the '?' or <TAB> key to list commands.

Como muestra este ejemplo de resultado, ¿un ? en la CLI del controlador se muestra una lista de comandos disponibles para el usuario actual. Observe también que el comando config no está disponible en este resultado de ejemplo. Esto ilustra que un usuario de sólo lectura no tiene el privilegio de hacer ninguna configuración en el WLC. Mientras que un usuario de lectura/escritura tiene los privilegios para realizar configuraciones en el controlador (tanto en el modo GUI como en el modo CLI).

Nota: Incluso después de autenticar un usuario WLC a través del servidor RADIUS, mientras navega de página en página, el servidor HTTP[S] aún autentica completamente al cliente cada vez. La única razón por la que no se le solicita la autenticación en cada página es que el explorador almacena en caché y reproduce sus credenciales.

Troubleshoot

Hay ciertas circunstancias cuando un controlador autentica a los usuarios de administración a través del ACS, la autenticación finaliza exitosamente (access-accept), y usted no ve ningún error de autorización en el controlador. Sin embargo, se le solicita de nuevo al usuario que realice la autenticación.

En tales casos, no puede interpretar lo que está mal y por qué el usuario no puede iniciar sesión en el WLC usando solamente el comando debug aaa events enable. En su lugar, el controlador muestra otro mensaje para la autenticación.

Una razón posible para esto es que el ACS no está configurado para transmitir el atributo Service-Type para ese usuario o grupo en particular, aunque el nombre de usuario y la contraseña estén correctamente configurados en el ACS.

La salida del comando debug aaa events enable no indica que un usuario no tenga los atributos requeridos (por este ejemplo, el atributo Service-Type) aunque se envíe access-accept desde el servidor AAA. Este ejemplo de resultado del comando debug aaa events enable muestra un ejemplo.

 (Cisco Controller) >debug aaa events enable



Mon Aug 13 20:14:33 2011: AuthenticationRequest: 0xa449a8c

Mon Aug 13 20:14:33 2011: Callback.....................................0x8250c40

Mon Aug 13 20:14:33 2011: protocolType.................................0x00020001

Mon Aug 13 20:14:33 2011: proxyState......................1A:00:00:00:00:00-00:00

Mon Aug 13 20:14:33 2011: Packet contains 5 AVPs (not shown)

Mon Aug 13 20:14:33 2011: 1a:00:00:00:00:00 Successful transmission of 
Authentication Packet (id 8) to 172.16.1.1:1812, proxy state 
1a:00:00:00:00:00-00:00

Mon Aug 13 20:14:33 2011: ****Enter processIncomingMessages: response code=2

Mon Aug 13 20:14:33 2011: ****Enter processRadiusResponse: response code=2

Mon Aug 13 20:14:33 2011: 1a:00:00:00:00:00 Access-Accept 
received from RADIUS server 172.16.1.1 for mobile 1a:00:00:00:00:00 receiveId = 0

Mon Aug 13 20:14:33 2011: AuthorizationResponse: 0x9802520

Mon Aug 13 20:14:33 2011: structureSize................................28

Mon Aug 13 20:14:33 2011: resultCode...................................0

Mon Aug 13 20:14:33 2011: protocolUsed.................................0x00000001

Mon Aug 13 20:14:33 2011: proxyState.......................1A:00:00:00:00:00-00:00

Mon Aug 13 20:14:33 2011: Packet contains 0 AVPs:

En este primer ejemplo de resultado del comando debug aaa events enable, se ve que Access-Accept se recibe correctamente del servidor RADIUS pero el atributo Service-Type no se pasa al WLC. Esto se debe a que el usuario en particular no está configurado con este atributo en el ACS.

Cisco Secure ACS debe configurarse para devolver el atributo Service-Type después de la autenticación del usuario. El valor del atributo Service-Type se debe establecer en Administrative o NAS-Prompt según los privilegios de usuario.

Este segundo ejemplo muestra el resultado del comando debug aaa events enable nuevamente. Sin embargo, esta vez el atributo Service-Type se establece en Administrative en ACS. 

(Cisco Controller)>debug aaa events enable



Mon Aug 13 20:17:02 2011: AuthenticationRequest: 0xa449f1c

Mon Aug 13 20:17:02 2011: Callback.....................................0x8250c40

Mon Aug 13 20:17:02 2011: protocolType.................................0x00020001

Mon Aug 13 20:17:02 2011: proxyState.......................1D:00:00:00:00:00-00:00

Mon Aug 13 20:17:02 2011: Packet contains 5 AVPs (not shown)

Mon Aug 13 20:17:02 2011: 1d:00:00:00:00:00 Successful transmission of 
Authentication Packet (id 11) to 172.16.1.1:1812, proxy state 
1d:00:00:00:00:00-00:00

Mon Aug 13 20:17:02 2011: ****Enter processIncomingMessages: response code=2

Mon Aug 13 20:17:02 2011: ****Enter processRadiusResponse: response code=2

Mon Aug 13 20:17:02 2011: 1d:00:00:00:00:00 Access-Accept received 
from RADIUS server 172.16.1.1 for mobile 1d:00:00:00:00:00 receiveId = 0

Mon Aug 13 20:17:02 2011: AuthorizationResponse: 0x9802520

Mon Aug 13 20:17:02 2011: structureSize................................100

Mon Aug 13 20:17:02 2011: resultCode...................................0

Mon Aug 13 20:17:02 2011: protocolUsed.................................0x00000001

Mon Aug 13 20:17:02 2011: proxyState.......................1D:00:00:00:00:00-00:00

Mon Aug 13 20:17:02 2011: Packet contains 2 AVPs:

Mon Aug 13 20:17:02 2011: AVP[01] Service-Type...........0x00000006 (6) (4 bytes)

Mon Aug 13 20:17:02 2011: AVP[02] Class.........
CISCOACS:000d1b9f/ac100128/acsserver (36 bytes)

Puede ver en este ejemplo de resultado que el atributo Service-Type se pasa al WLC.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
01-Dec-2013
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos