Configure el RADIUS y TACACS+ para la autenticación GUI y CLI en 9800 reguladores inalámbricos LAN

Introducción

Este documento describe cómo configurar reguladores 9800 LAN de la Tecnología inalámbrica (WLC) para la autenticación externa RADIUS o TACACS+ cuando usted tiene acceso a su interfaz gráfica de usuario (GUI) o al comando line interface(cli).

Antecedentes

Cuando un usuario intenta tener acceso al CLI o al GUI del WLC, será incitado para entrar un nombre de usuario y contraseña. Por abandono, estas credenciales se comparan contra la base de datos local de los usuarios, que está presente en el dispositivo sí mismo. Alternativamente, el WLC se puede dar instrucciones para comparar las credenciales de la entrada contra un servidor AAA del telecontrol: el WLC puede hablar con el servidor con el uso del RADIUS o de TACACS+.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Modelo de la configuración de la Tecnología inalámbrica 9800 del catalizador
• Conceptos AAA, RADIUS y TACACS+

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• C9800-CL v16.10
• ISE 2.2.0

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Configurar

En este ejemplo, configure dos tipos de usuarios en el servidor AAA (ISE), respectivamente el adminuser y el helpdeskuser. Se espera que el adminuser del usuario sea concedido el acceso total al WLC, mientras que el helpdeskuser se significa para ser concedido solamente los privilegios del monitor al WLC, por lo tanto ningún acceso de la configuración.

Primero, configure en el WLC y en ISE para la autenticación de RADIUS, y realice más adelante lo mismo para TACACS+.

Configure RADIUS WLC

Paso 1. Declare al servidor de RADIUS.

En primer lugar, cree al servidor de RADIUS ISE en el WLC. Esto se puede hacer de la página https:// <WLC-IP>/webui/#/aaa GUI WLC tal y como se muestra en de la imagen.

Una ventana emergente se abrirá, donde usted puede pulsar el nombre de servidor (no tiene que hacer juego el nombre del sistema ISE), su dirección IP, el secreto compartido, y el puerto que se utiliza para la autenticación y las estadísticas, junto con otros parámetros.

Del CLI:

paolo-9800(config)#radius server labISE
paolo-9800(config-radius-server)# address ipv4 10.48.71.92 auth-port 1812 acct-port 1813
paolo-9800(config-radius-server)# key Cisco123

Paso 2. Asocie al servidor de RADIUS a un grupo de servidores.

En caso de que usted tenga los servidores de RADIUS múltiples que pueden ser utilizados para la autenticación, se recomienda para asociar todos estos servidores al mismo grupo de servidores. El WLC entonces tomará el cuidado de diversas autenticaciones del Equilibrio de carga entre los servidores en el grupo de servidores.

De la misma tabulación GUI tal y como se muestra en de la imagen.

En la ventana emergente, dé un nombre al grupo, y mueva a los servidores deseados a la lista asignada.

Del CLI:

paolo-9800(config)#aaa group server radius radGroup
paolo-9800(config-sg-radius)# server name labISE

Paso 3. Cree un método de inicio de sesión de la autenticación AAA esas puntas al grupo de servidor de RADIUS.

Siempre en la página https:// <WLC-IP>/webui/#/aaa GUI, el movimiento a la tabulación de la lista de métodos AAA y crea el método de autenticación tal y como se muestra en de la imagen.

En la ventana emergente, dé un nombre al método, seleccione el tipo como clave, y asigne el servidor del grupo creado en el paso anterior.

Si usted selecciona el Tipo de grupo como “local”, el WLC en primer lugar controle si existe el usuario localmente, y después recurrirá al grupo de servidores.

CLI:

paolo-9800(config)#aaa authentication login radAutheMethod local group radGroup

Si usted selecciona el Tipo de grupo como “grupo”, y ninguna caída de nuevo a la opción local controlada, el WLC apenas controlará al usuario contra el grupo de servidores.

CLI:

paolo-9800(config)#aaa authentication login radAutheMethod group radGroup

Si usted selecciona el Tipo de grupo como “grupo”, y la caída de nuevo a la opción local se controla, el WLC controlará al usuario contra el grupo de servidores y preguntará la base de datos local solamente si no responde el servidor. Si el servidor envía un rechazo, no autenticarán al usuario, aunque puede ser que exista en la base de datos local.

CLI:

paolo-9800(config)#aaa authentication login radAutheMethod group radGroup local

En esta disposición del ejemplo, hay algunos usuarios que se crean solamente localmente, y algunos usuarios solamente en el servidor ISE, por lo tanto hace uso de la primera opción.

Paso 4.Create que un método del exec de autorización AAA ese señala al grupo de servidor de RADIUS. El usuario tiene que también ser autorizado para ser concedido el acceso. De la misma tabulación tal y como se muestra en de la imagen.

Utilice la misma pedido del local/del grupo que se utiliza para el método de autenticación en el paso anterior, y del tipo selecto como “ejecutivo”.

Del CLI:

paolo-9800(config)#aaa authorization exec radAuthzMethod local group radGroup

Paso 5. Asigne los métodos a las configuraciones HTTP y a las líneas VTY usadas para Telnet/SSH. Estos pasos no pueden ocurrir del GUI, por lo tanto necesitan ser hechos del CLI.

Para la autenticación GUI:

paolo-9800(config)#ip http authentication aaa login-authentication radAutheMethod 
paolo-9800(config)#ip http authentication aaa exec-authorization radAuthzMethod

Para la autenticación Telnet/SSH:

paolo-9800(config)#line vty 0 15
paolo-9800(config-line)#login authentication radAutheMethod
paolo-9800(config-line)#authorization exec radAuthzMethod 

Cuando usted realiza los cambios a las configuraciones HTTP, es el mejor recomenzar los servicios HTTP y HTTPS:

paolo-9800(config)#no ip http server
paolo-9800(config)#no ip http secure-server
paolo-9800(config)#ip http server
paolo-9800(config)#ip http secure-server

Configure RADIUS ISE

Paso 1. Configure el WLC como dispositivo de red para el RADIUS tal y como se muestra en de la imagen.

En la nueva ventana, agregue la dirección IP, RADIUS selecto, y pulse el mismo secreto compartido usado en el WLC.

Paso 2. Cree un resultado de la autorización, para volver el privilegio.

Para configurar, el adminuser necesita tener un nivel de privilegio de 15, que permitirán tener acceso al shell del mensaje del ejecutivo. El otro usuario en lugar de otro, helpdeskuser no necesita el acceso pronto del shell del ejecutivo, y él puede ser asignado un nivel de privilegio más bajo de 15. Para hacer así pues, cree un resultado del perfil de la autorización para el adminuser tal y como se muestra en de la imagen.

Especialmente, el perfil para el adminuser tiene que parecer esto:

Entonces cree similar para el helpdeskuser, cambian solamente la cadena shell:priv-lvl=15 para descascar: el priv-lvl=X, y substituye X por el nivel de privilegio deseado. En este ejemplo, se utiliza 1.

Paso 3. Cree a los usuarios en ISE tal y como se muestra en de la imagen.

Las credenciales dadas a los usuarios serán las que usted pulsará adentro a WLC más adelante cuando usted autentica. 

Paso 4. Autentique a los usuarios: En este decorado, la regla de la política de autenticación del valor por defecto de ISE preconfigurado ya permite el acceso a la red del valor por defecto, por lo tanto no hay necesidad de cambiarla:

Paso 5. Autorice a los usuarios: Después de que el intento de inicio de sesión pase la política de autenticación, necesita ser autorizado, e ISE necesita volver el perfil de la autorización creado anterior (el permiso valida, junto con el nivel de privilegio).

En este ejemplo, filtre el intento de inicio de sesión basado en la dirección IP del dispositivo (que es la dirección IP WLC), y distinga el nivel de privilegio que se concederá sobre la base del username.

Otro acercamiento válido será asignar a todos los usuarios admin a cierto grupo y conceder el nivel de privilegio 15 solamente a los usuarios que pertenecen a tal grupo.

Configure Tacacs+ WLC

Paso 1. Declare el servidor Tacacs+. En primer lugar, cree el servidor ISE Tacacs+ en el WLC. Esto se puede hacer de la página https:// <WLC-IP>/webui/#/aaa GUI WLC.

Una ventana emergente se abre, donde usted puede pulsar el nombre de servidor (no tiene que hacer juego el nombre del sistema ISE), su dirección IP, la clave compartida, y el puerto se utiliza que y el descanso.

Del CLI:

paolo-9800(config)#tacacs server labISE
paolo-9800(config-server-tacacs)# address ipv4 10.48.71.92
paolo-9800(config-server-tacacs)# key Cisco123

Paso 2. Asocie el servidor Tacacs+ a un grupo de servidores. En caso de que usted tenga servidores múltiples Tacacs+ que se puedan utilizar para la autenticación, se recomienda para asociar todos estos servidores al mismo grupo de servidores. El WLC entonces toma el cuidado de diversas autenticaciones del Equilibrio de carga entre los servidores en el grupo de servidores.

De la misma tabulación GUI tal y como se muestra en de la imagen.

En la ventana emergente, dé un nombre al grupo, y mueva a los servidores deseados a la lista asignada.

Del CLI:

paolo-9800(config)#aaa group server tacacs+ tacGroup
paolo-9800(config-sg-tacacs+)# server name labISE

Paso 3. Cree un método de inicio de sesión de la autenticación AAA esas puntas al grupo de servidores Tacacs+. Siempre en la página GUI, https:// <WLC-IP>/webui/#/aaa, movimiento a la tabulación de la lista de métodos AAA, y crea el método de autenticación tal y como se muestra en de la imagen.

En la ventana emergente, dé un nombre al método, seleccione el tipo como clave, y asigne el servidor del grupo creado en el paso anterior.
Si usted selecciona el Tipo de grupo como local, las en primer lugar controles WLC si existe el usuario localmente, y entonces recurrirán al grupo de servidores.

CLI:

paolo-9800(config)#aaa authentication login tacAutheMethod local group tacGroup 

Si usted selecciona el Tipo de grupo como grupo, y ninguna caída de nuevo a la opción local controlada, el WLC apenas controla al usuario contra el grupo de servidores.

CLI:

paolo-9800(config)#aaa authentication login tacAutheMethod group tacGroup 

Si usted selecciona el Tipo de grupo como grupo, y la caída de nuevo a la opción local se controla, el WLC controlará al usuario contra el grupo de servidores y preguntará la base de datos local solamente si no responde el servidor. Si el servidor envía un rechazo, no autenticarán al usuario, aunque puede ser que exista en la base de datos local.

CLI:

paolo-9800(config)#aaa authentication login tacAutheMethod group tacGroup local

En esta disposición, crean a algunos usuarios solamente localmente y algunos usuarios solamente en el servidor ISE, por lo tanto la primera opción se utiliza.

Paso 4. Cree un método del exec de autorización AAA esas puntas al grupo de servidores Tacacs+. El usuario tiene que también ser autorizado para ser concedido el acceso. De la misma tabulación tal y como se muestra en de la imagen.

Utilice la misma pedido del local/del grupo que se utiliza para el método de autenticación en el paso anterior, y del tipo selecto como “ejecutivo”.

Del CLI:

paolo-9800(config)#aaa authorization exec tacAuthzMethod local group tacGroup

Paso 5. Asigne los métodos a las configuraciones HTTP y a las líneas VTY usadas para Telnet/SSH

Estos pasos no se pueden hacer del GUI, por lo tanto necesitan ser hechos del CLI.

• Para la autenticación GUI:

paolo-9800(config)#ip http authentication aaa login-authentication tacAutheMethod 
paolo-9800(config)#ip http authentication aaa exec-authorization tacAuthzMethod 

• Para la autenticación Telnet/SSH:

paolo-9800(config)#line vty 0 15
paolo-9800(config-line)#login authentication tacAutheMethod 
paolo-9800(config-line)#authorization exec tacAuthzMethod

Nota: cuando el hacer cambia el configuraciones HTTP, es el mejor recomenzar los servicios HTTP y HTTPS:

paolo-9800(config)#no ip http server
paolo-9800(config)#no ip http secure-server
paolo-9800(config)#ip http server
paolo-9800(config)#ip http secure-server

Configuración Tacacs+ ISE

Paso 1. Configure el WLC como dispositivo de red para Tacacs+:

Observe que en este ejemplo, el WLC está agregado ya para el RADIUS, por lo tanto hacen clic en corrigen, y enrollan abajo a las configuraciones de la autenticación de TACACS, y agregan el secreto necesario:

Nota: para utilizar ISE como servidor TACACS+, usted debe tener un paquete de la licencia de la administración del dispositivo, y una base o una licencia de la movilidad.

También, una vez que las licencias están instaladas, usted debe activar la característica Admin del dispositivo para el nodo. Para hacer así pues, corregir el nodo del despliegue del nodo bajo el administrador > despliegue, y controlar el cuadro:

Paso 2. Cree los perfiles TACACS, para volver el privilegio

Para hacer las configuraciones, necesidades del “adminuser” de tener un nivel de privilegio de 15, que permitirán tener acceso al shell del mensaje del ejecutivo.

El otro usuario en lugar de otro, “helpdeskuser” no necesitará el acceso pronto del shell del ejecutivo, y él puede ser asignado un nivel de privilegio más bajo de 15.

Para hacer así pues, cree los perfiles TACACS:

Configure un perfil admin con el privilegio 15 como sigue:

En el perfil del servicio de ayuda en lugar de otro, el privilegio del valor por defecto se fija como 1.

Paso 3. Cree a los usuarios en ISE:

Éste es lo mismo que en el paso 3 de la configuración RADIUS ISE

Paso 4. Cree una directiva Admin del dispositivo fijada:

La directiva específica fijó el "IOS-9800", en este ejemplo, las peticiones de los filtros con la dirección IP igual al IP del ejemplo 9800.

Como política de autenticación, dejamos la regla predeterminada, y hemos puesto dos reglas de la autorización:

• primer se acciona cuando el username es “adminuser”, él permite la regla de los comandos all (vía el valor por defecto “Permit_all "), y asigna el privilegio 15 (vía 'IOS_Admin)
• segundo se acciona cuando el username es “helpdeskuser”, él permite la regla de los comandos all (vía el valor por defecto “Permit_all "), y asigna el privilegio 15 (vía 'IOS_Helpdesk)

Resolución de problemas

Para resolver problemas el acceso TACACS+ al GUI o al CLI WLC, publicar los “tacacs de la depuración” ordene, junto con el “término lunes” y vea la salida viva cuando se hace un intento de inicio de sesión.

Una tentativa de la registración satisfactoria del usuario del “adminuser” se muestra abajo:

paolo-9800#terminal monitor
paolo-9800#debug tacacs
TACACS access control debugging is on
paolo-9800#
Apr 17 12:16:55.269: TPLUS: Queuing AAA Authentication request 0 for processing
Apr 17 12:16:55.270: TPLUS(00000000) login timer started 1020 sec timeout
Apr 17 12:16:55.270: TPLUS: processing authentication start request id 0
Apr 17 12:16:55.270: TPLUS: Authentication start packet created for 0(adminuser)
Apr 17 12:16:55.270: TPLUS: Using server 10.48.71.92
Apr 17 12:16:55.270: TPLUS(00000000)/0/NB_WAIT/7FF771A25E18: Started 5 sec timeout
Apr 17 12:16:55.271: TPLUS(00000000)/0/NB_WAIT: socket event 2
Apr 17 12:16:55.271: TPLUS(00000000)/0/NB_WAIT: wrote entire 29 bytes request
Apr 17 12:16:55.271: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.272: TPLUS(00000000)/0/READ: Would block while reading
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 15 bytes data)
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: read entire 27 bytes response
Apr 17 12:16:55.277: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet
Apr 17 12:16:55.278: TPLUS: Received authen response status GET_PASSWORD (8)
Apr 17 12:16:55.278: TPLUS: Queuing AAA Authentication request 0 for processing
Apr 17 12:16:55.278: TPLUS(00000000) login timer started 1020 sec timeout
Apr 17 12:16:55.279: TPLUS: processing authentication continue request id 0
Apr 17 12:16:55.279: TPLUS: Authentication continue packet generated for 0
Apr 17 12:16:55.279: TPLUS(00000000)/0/WRITE/7FF771A25E18: Started 5 sec timeout
Apr 17 12:16:55.279: TPLUS(00000000)/0/WRITE: wrote entire 25 bytes request
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 103 bytes data)
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: read entire 115 bytes response
Apr 17 12:16:55.302: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet
Apr 17 12:16:55.302: TPLUS: Received authen response status PASS (2)
Apr 17 12:16:55.303: TPLUS: Queuing AAA Authorization request 0 for processing
Apr 17 12:16:55.303: TPLUS(00000000) login timer started 1020 sec timeout
Apr 17 12:16:55.303: TPLUS: processing authorization request id 0
Apr 17 12:16:55.304: TPLUS: Inappropriate protocol: 25
Apr 17 12:16:55.304: TPLUS: Sending AV service=shell
Apr 17 12:16:55.304: TPLUS: Sending AV cmd*
Apr 17 12:16:55.304: TPLUS: Authorization request created for 0(adminuser)
Apr 17 12:16:55.304: TPLUS: Using server 10.48.71.92
Apr 17 12:16:55.304: TPLUS(00000000)/0/NB_WAIT/7FF771A25E18: Started 5 sec timeout
Apr 17 12:16:55.305: TPLUS(00000000)/0/NB_WAIT: socket event 2
Apr 17 12:16:55.305: TPLUS(00000000)/0/NB_WAIT: wrote entire 48 bytes request
Apr 17 12:16:55.305: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.305: TPLUS(00000000)/0/READ: Would block while reading
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 18 bytes data)
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: read entire 30 bytes response
Apr 17 12:16:55.335: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet
Apr 17 12:16:55.335: TPLUS: Processed AV priv-lvl=15
Apr 17 12:16:55.335: TPLUS: received authorization response for 0: PASS
Apr 17 12:16:55.335: AAA Proxy: Couldnt get the login info
Apr 17 12:16:55.426:  Socket I/O cleanup message sent to TACACS

Apr 17 12:16:55.426:  Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT
TPLUS Proc:SOCKET IO CLEANUP EVENT

Apr 17 12:16:55.336: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host 10.149.4.75 by user 'adminuser' using crypto cipher 'ECDHE-RSA-AES256-GCM-SHA384'

Puede ser visto que el servidor Tacacs+ vuelve el privilegio correcto 'sistema de pesos americano priv-lvl=15

Al hacer la autenticación de RADIUS, en lugar, tendremos una salida similar de la depuración, referente al tráfico de RADIUS.

“la autenticación aaa de la depuración” y “la autorización aaa de la depuración” en lugar de otro mostrarán qué lista de métodos está siendo seleccionada por el WLC cuando el uso intenta abrirse una sesión.