Autentificación del Administrador Lobby deWireless LAN Controller a través del Servidor RADIUS

Introducción

Este documento explica los pasos para la configuración implicados para autenticar a un administrador del pasillo del regulador LAN de la Tecnología inalámbrica (WLC) con un servidor de RADIUS.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

• Conocimiento de cómo configurar los parámetros básicos en WLCs

• Conocimiento de cómo configurar a un servidor de RADIUS, tal como Cisco ACS seguro

• Conocimiento de los Usuarios invitados en el WLC

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Regulador LAN de la Tecnología inalámbrica de Cisco 4400 que funciona con la versión 7.0.216.0

• Cisco ACS seguro que funciona con la versión de software 4.1 y se utiliza como servidor de RADIUS en esta configuración.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

Un administrador del pasillo, también conocido como embajador del pasillo de un WLC, puede crear y manejar las cuentas de Usuario invitado en el regulador LAN de la Tecnología inalámbrica (WLC). El embajador del pasillo ha limitado los privilegios de la configuración y puede tener acceso solamente a las páginas web usadas para manejar las cuentas de invitado. El embajador del pasillo puede especificar la cantidad de tiempo que las cuentas de Usuario invitado siguen siendo activas. Después de los pasajes del tiempo especificado, las cuentas de Usuario invitado expiran automáticamente.

Refiera al Guía de despliegue: Acceso de invitado de Cisco usando el regulador inalámbrico LAN de Cisco para más información sobre los Usuarios invitados.

Para crear una cuenta de Usuario invitado en el WLC, usted necesita abrirse una sesión al regulador como administrador del pasillo. Este documento explica cómo autentican a un usuario en el WLC como un administrador del pasillo basado en los atributos volvió por el servidor de RADIUS.

Nota: La autenticación de administrador del pasillo se puede también realizar basó en la cuenta del administrador del pasillo configurada localmente en el WLC. Refiera a crear a un embajador del pasillo explican la información de cómo crear una cuenta del administrador del pasillo localmente en un regulador.

Configurar

En esta sección, le presentan con la información sobre cómo configurar el WLC y Cisco ACS seguro para el propósito descrito en este documento.

Configuraciones

Este documento utiliza estas configuraciones:

• La dirección IP de la interfaz de administración de WLC es 10.77.244.212/27.

• La dirección IP del servidor de RADIUS es 10.77.244.197/27.

• La clave secreta compartida que se utiliza en el punto de acceso y el servidor de RADIUS es cisco123.

• El nombre de usuario y contraseña del administrador del pasillo configurado en el servidor de RADIUS es ambo lobbyadmin.

En el ejemplo de la configuración en este documento, cualquier registro de usuario en el regulador con el nombre de usuario y contraseña como lobbyadmin se asigna el papel de un administrador del pasillo.

Configuración WLC

Antes de que usted comience la configuración necesaria WLC, asegúrese de que su regulador funcione con la versión 4.0.206.0 o más adelante. Esto es debido al ID de bug CSCsg89868 (clientes registrados de Cisco solamente) en el cual la interfaz Web del regulador visualiza las páginas web incorrectas para el usuario de LobbyAdmin cuando el username se salva en una base de datos RADIUS. El LobbyAdmin se presenta con el interfaz inalterable en vez del interfaz de LobbyAdmin.

Este bug se ha resuelto en la versión 4.0.206.0 WLC. Por lo tanto, asegúrese de que su versión del regulador sea 4.0.206.0 o más adelante. Refiera a la actualización de software inalámbrica del regulador LAN (WLC) para las instrucciones en cómo actualizar su regulador a la versión apropiada.

Para realizar la autenticación de la Administración del regulador con el servidor de RADIUS, asegúrese de que el indicador Admin-auth-vía-RADIUS está activado en el regulador. Esto se puede verificar de la salida del comando summary del radio de la demostración.

El primer paso es configurar la información del servidor de RADIUS sobre el regulador y establecer el reachability de la capa 3 entre el regulador y el servidor de RADIUS.

Configure la información del servidor de RADIUS sobre el regulador

Complete estos pasos para configurar el WLC con los detalles sobre el ACS:

1. Del GUI WLC, elija la ficha de seguridad y configure la dirección IP y el secreto compartido del servidor ACS.

   Este secreto compartido necesita ser lo mismo en el ACS para que el WLC comunique con el ACS.

   Nota:  El secreto compartido ACS es con diferenciación entre mayúsculas y minúsculas. Por lo tanto, asegúrese de ingresar la información secreta compartida correctamente.

   Esta figura muestra un ejemplo:

   

2. Controle la casilla de verificación de la Administración para permitir que el ACS maneje a los usuarios WLC tal y como se muestra en de la figura en el paso 1. Entonces, el tecleo se aplica.

3. Verifique el reachability de la capa 3 entre el regulador y el servidor Radius configurado con la ayuda del comando ping. Esta opción del ping está también disponible en la página del servidor Radius configurado en el GUI WLC en la autenticación cuadro de Security>RADIUS.

   Este diagrama muestra una contestación del ping exitoso del servidor de RADIUS. Por lo tanto, el reachability de la capa 3 está disponible entre el regulador y el servidor de RADIUS.

   

Configuración del servidor de RADIUS

Complete los pasos en estas secciones para configurar al servidor de RADIUS:

1. Agregue el WLC como cliente AAA al servidor de RADIUS

2. Configure el atributo de tipo de servicio apropiado IETF RADIUS para un administrador del pasillo

Agregue el WLC como cliente AAA al servidor de RADIUS

Complete estos pasos para agregar el WLC como cliente AAA en el servidor de RADIUS. Según lo mencionado anterior, este documento utiliza el ACS como el servidor de RADIUS. Usted puede utilizar a cualquier servidor de RADIUS para esta configuración.

Complete estos pasos para agregar el WLC como cliente AAA en el ACS:

1. Del GUI ACS, elija la configuración de red cuadro.

2. En los clientes AAA, haga clic en Add Entry (Agregar entrada).

3. En la ventana del cliente AAA del agregar, ingrese el nombre de host WLC, el IP address del WLC, y una clave secreta compartida. Vea el diagrama del ejemplo bajo paso 5.

4. De la autenticidad usando el menú desplegable, elija RADIUS (Cisco Aironet).

5. El tecleo somete + reinicio para salvar la configuración.

   

Configure el atributo de tipo de servicio apropiado IETF RADIUS para un administrador del pasillo

Para autenticar a un usuario de la Administración de un regulador como administrador del pasillo vía el servidor de RADIUS, usted debe agregar al usuario a la base de datos RADIUS con el atributo de tipo de servicio IETF RADIUS fijado al servicio repetido administrativo. Este atributo asigna a usuario específico el papel de un administrador del pasillo en un regulador.

Este documento muestra el lobbyadmin del usuario del ejemplo como administrador del pasillo. Para configurar a este usuario, complete estos pasos en el ACS:

1. Del GUI ACS, elija la configuración de usuario cuadro.

2. Ingrese el username que se agregará al ACS como esta ventana de muestra muestra:

   

3. El tecleo agrega/corrige para ir al usuario corrige la página.

4. En el usuario corrija la página, proporcione a los detalles del Nombre real, de la descripción y de la contraseña de este usuario.

   En este ejemplo, el nombre de usuario y contraseña usado es ambo lobbyadmin.

   

5. Enrolle abajo a los atributos de RADIUS IETF que fijan y controle la casilla de verificación del atributo de tipo de servicio.

6. Elija el servicio repetido administrativo del menú desplegable del tipo de servicio y el tecleo somete.

   Éste es el atributo que asigna a este usuario el papel de un administrador del pasillo.

   

   A veces, este atributo de tipo de servicio no es visible bajo ajustes de usuario. En estos casos, complete estos pasos para hacerlo visible:

   1. Del GUI ACS, elija la configuración de la interfaz > RADIUS (IETF) para activar los atributos IETF en la ventana de la configuración de usuario.

      Esto le trae a la página Configuración RADIUS (IETF).

   2. De la página Configuración RADIUS (IETF), usted puede activar el atributo IETF que necesita ser visible bajo el usuario o configuraciones de grupo. Para esta configuración, controle el tipo de servicio para saber si hay la columna del usuario y el tecleo somete.

      Esta ventana muestra un ejemplo:

      

      Nota: Este ejemplo especifica la autenticación en una base del por-usuario. Usted puede también realizar la autenticación basada en el grupo a quien un usuario determinado pertenece. En estos casos, controle el cuadro de casilla del grupo de modo que este atributo sea visible bajo configuraciones de grupo.

      Nota: También, si la autenticación está sobre una base del grupo, usted necesita asignar a los usuarios a un grupo determinado y configurar los atributos IETF de la configuración de grupo para proporcionar a los privilegios de acceso a los usuarios de ese grupo. Refiera a la Administración del grupo de usuarios para información detallada sobre cómo configurar y manejar a los grupos.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Para verificar que su configuración trabaje correctamente, tenga acceso al WLC con el modo GUI (HTTP/HTTPS).

Nota: Un embajador del pasillo no puede tener acceso al interfaz del regulador CLI y por lo tanto puede crear las cuentas de Usuario invitado solamente del GUI del regulador.

Cuando aparece el prompt de inicio de sesión, ingrese el nombre de usuario y contraseña según lo configurado en el ACS. Si usted tiene las configuraciones correctas, le autentican con éxito en el WLC como administrador del pasillo. Este ejemplo muestra cómo el GUI de un administrador del pasillo se ocupa la autenticación satisfactoria:

Nota: Usted puede ver que un administrador del pasillo no tiene ninguna otra opción aparte de la Administración del Usuario invitado.

Para verificarla del modo CLI, Telnet en el regulador como administrador de lectura/grabación. Publique el comando debug aaa all enable en el regulador CLI.

(Cisco Controller) >debug aaa all enable

(Cisco Controller) >
*aaaQueueReader: Aug 26 18:07:35.072: ReProcessAuthentication previous proto 28,
 next proto 20001
*aaaQueueReader: Aug 26 18:07:35.072: AuthenticationRequest: 0x3081f7dc
*aaaQueueReader: Aug 26 18:07:35.072:   Callback.....................................0x10756dd0
*aaaQueueReader: Aug 26 18:07:35.072:   protocolType.................................0x00020001
*aaaQueueReader: Aug 26 18:07:35.072:   proxyState...................................00:00:00:40:
00:00-00:00
*aaaQueueReader: Aug 26 18:07:35.072:   Packet contains 5 AVPs (not shown)
*aaaQueueReader: Aug 26 18:07:35.072: apfVapRadiusInfoGet: WLAN(0) dynamic int attributes srcAddr:
0x0, gw:0x0, mask:0x0, vlan:0, dpPort:0, srcPort:0
*aaaQueueReader: Aug 26 18:07:35.073: 00:00:00:40:00:00 Successful transmission of Authentication 
Packet (id 39) to 10.77.244.212:1812, proxy state 00:00:00:40:00:00-00:01
*aaaQueueReader: Aug 26 18:07:35.073: 00000000: 01 27 00 47 00 00 00 00  00 00 00 00 00 00 00 00  
.'.G............
*aaaQueueReader: Aug 26 18:07:35.073: 00000010: 00 00 00 00 01 0c 6c 6f  62 62 79 61 64 6d 69 6e  
......lobbyadmin
*aaaQueueReader: Aug 26 18:07:35.073: 00000020: 02 12 5f 5b 5c 12 c5 c8  52 d3 3f 4f 4f 8e 9d 38 
 .._[\...R.?OO..8
*aaaQueueReader: Aug 26 18:07:35.073: 00000030: 42 91 06 06 00 00 00 07  04 06 0a 4e b1 1a 20 09  
B..........N....
*aaaQueueReader: Aug 26 18:07:35.073: 00000040: 57 4c 43 34 34 30 30 WLC4400
*radiusTransportThread: Aug 26 18:07:35.080: 00000000: 02 27 00 40 7e 04 6d 533d ed 79 9c b6 99 d1 
f8  .'.@~.mS=.y.....
*radiusTransportThread: Aug 26 18:07:35.080: 00000010: d0 5a 8f 4f 08 06 ff ffff ff 06 06 00 00 00 
0b  .Z.O............
*radiusTransportThread: Aug 26 18:07:35.080: 00000020: 19 20 43 41 43 53 3a 302f 61 65 32 36 2f 61 
34  ..CACS:0/ae26/a4
*radiusTransportThread: Aug 26 18:07:35.080: 00000030: 65 62 31 31 61 2f 6c 6f62 62 79 61 64 6d 69 
6e  eb11a/lobbyadmin
*radiusTransportThread: Aug 26 18:07:35.080: ****Enter processIncomingMessages: response code=2
*radiusTransportThread: Aug 26 18:07:35.080: ****Enter processRadiusResponse: response code=2
*radiusTransportThread: Aug 26 18:07:35.080: 00:00:00:40:00:00 Access-Accept received from RADIUS 
server 10.77.244.212 for mobile 00:00:00:40:00:00 receiveId = 0
*radiusTransportThread: Aug 26 18:07:35.080: AuthorizationResponse: 0x13c73d50
*radiusTransportThread: Aug 26 18:07:35.080:    structureSize................................118
*radiusTransportThread: Aug 26 18:07:35.080:    resultCode...................................0
*radiusTransportThread: Aug 26 18:07:35.080:    protocolUsed.................................0x00000001
*radiusTransportThread: Aug 26 18:07:35.080:    proxyState...................................00:00:00:40:00:00-00:00
*radiusTransportThread: Aug 26 18:07:35.080:    Packet contains 3 AVPs:
*radiusTransportThread: Aug 26 18:07:35.080:        AVP[01] Framed-IP-Address........................0xffffffff (-1) (4 bytes)
*radiusTransportThread: Aug 26 18:07:35.080:        AVP[02] Service-Type.............................0x0000000b (11) (4 bytes)
*radiusTransportThread: Aug 26 18:07:35.080:        AVP[03] Class....................................
CACS:0/ae26/a4eb11a/lobbyadmin (30 bytes)
*emWeb: Aug 26 18:07:35.084: Authentication succeeded for lobbyadmin

En la información destacada en esta salida, usted puede ver que el atributo de tipo de servicio 11 (servicio repetido administrativo) está pasado sobre el regulador del servidor ACS y del usuario está abierto una sesión como administrador del pasillo.

Estos comandos pudieron estar de ayuda adicional:

• permiso de los detalles aaa de la depuración

• permiso de los eventos aaa de la depuración

• permiso de los paquetes aaa de la depuración

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Troubleshooting

Cuando usted se abre una sesión a un regulador con los privilegios del embajador del pasillo, usted no puede crear una cuenta de Usuario invitado con “un valor del tiempo de la vida del 0", que es una cuenta que nunca expira. En estas situaciones, usted recibe el valor del curso de la vida no puede ser 0 mensajes de error.

Esto es debido al ID de bug CSCsf32392 (clientes registrados de Cisco solamente), que se encuentra principalmente con la versión 4.0 WLC. Este bug se ha resuelto en la versión 4.1 WLC.

Información Relacionada

• Autenticación de servidor de RADIUS de los usuarios de la Administración en el ejemplo de la configuración del regulador
• Cisco unificó la configuración de la red inalámbrica TACACS+
• La guía de configuración inalámbrica del regulador LAN de Cisco, release/versión 4.0 - manejo de las cuentas de usuario
• ACL en el ejemplo inalámbrico de la configuración del regulador LAN
• FAQ inalámbrico del regulador LAN (WLC)
• ACL en los reguladores inalámbricos LAN: Reglas, limitaciones, y ejemplos
• Ejemplo de configuración de autenticación web externa con controladores de LAN inalámbrica
• Ejemplo de Configuración de la Autenticación Web del Controlador LAN Inalámbrico
• Ejemplo de Configuración de WLAN Guest y WLAN Interna mediante WLCs
• Soporte Técnico y Documentación - Cisco Systems