Configuración de RADIUS y TACACS+ para la autenticación GUI y CLI en controladores de LAN inalámbrica 9800

Opciones de descarga

  • PDF     (3.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.9 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.5 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:9 de diciembre de 2022
ID del documento:214490

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar un Catalyst 9800 para la autenticación externa RADIUS o TACACS+.

    Antecedentes

    Cuando un usuario intenta acceder a la CLI o a la GUI del WLC, se le pide que ingrese un nombre de usuario y una contraseña. De forma predeterminada, estas credenciales se comparan con la base de datos local de usuarios, que está presente en el propio dispositivo. Alternativamente, el WLC se puede instruir para comparar las credenciales de entrada contra un servidor AAA remoto: el WLC puede hablar con el servidor con el uso de RADIUS o TACACS+.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Modelo de configuración de Catalyst Wireless 9800
    • Conceptos AAA, RADIUS y TACACS+

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • C9800-CL v17.9.2
    • ISE 3.2.0

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    En este ejemplo, se configuran dos tipos de usuarios en el servidor AAA (ISE), respectivamente adminuser y helpdeskuser. Estos usuarios forman parte de grupos, respectivamente admin-group y helpdesk-group. Se espera que el usuario adminuser, parte del admin-group, tenga acceso completo al WLC. Por otro lado, el helpdeskuser, parte del helpdesk-group, está destinado a ser concedido solamente privilegios del monitor al WLC, por lo tanto ningún acceso de la configuración. 

    Este artículo primero configura el WLC e ISE para la autenticación RADIUS y luego realiza lo mismo para TACACS+.

    Restricciones de usuario de sólo lectura

    Cuando se utiliza TACACS+ o RADIUS para la autenticación 9800 WebUI, existen estas restricciones:

    • Los usuarios con el nivel de privilegio 0 existen pero no tienen acceso a la GUI

    • Los usuarios con el nivel de privilegio [1, 14] sólo pueden ver la ficha Monitor (esto equivale al nivel de privilegio de un usuario autenticado localmente de sólo lectura)

    • Los usuarios con el nivel de privilegio 15 tienen acceso completo

    • No se admiten usuarios con el nivel de privilegio 15 y un conjunto de comandos que sólo permite comandos específicos. El usuario todavía puede ejecutar los cambios de configuración a través de la interfaz de usuario Web

    Estas consideraciones no se pueden cambiar ni modificar.

    Configuración de la autenticación RADIUS para el WLC

    Paso 1. Declare el servidor RADIUS.

    Desde la GUI:

    En primer lugar, cree el servidor RADIUS de ISE en el WLC. Esto se puede hacer desde la pestaña Servers/Groups → RADIUS → Servers desde la página GUI WLC accesible en https://<WLC-IP>/webui/#/aaa, o si navega hasta Configuration → Security → AAA, como se muestra en esta imagen.

    Add the ISE RADIUS server on the WLC

    Para agregar un servidor RADIUS en el WLC, haga clic en el botón Add enmarcado en rojo en la imagen. Se abrirá la ventana emergente que se muestra en la captura de pantalla.

    Create the ISE on the WLC

    En esta ventana emergente, debe proporcionar:

    • El nombre del servidor (tenga en cuenta que no tiene que coincidir con el nombre del sistema de ISE)
    • La dirección IP del servidor
    • El secreto compartido entre el WLC y el servidor RADIUS

    Se pueden configurar otros parámetros, como los puertos utilizados para la autenticación y la contabilidad, pero estos no son obligatorios y se dejan como predeterminados para esta documentación.

    Desde CLI:

    WLC-9800(config)# radius server ISE-lab
WLC-9800(config-radius-server)# address ipv4 10.48.39.134 auth-port 1812 acct-port 1813
    WLC-9800(config-radius-server)# key Cisco123

    Paso 2. Asigne el servidor RADIUS a un grupo de servidores.

    Desde la GUI:

    En caso de que tenga varios servidores RADIUS que se puedan utilizar para la autenticación, se recomienda asignar todos estos servidores al mismo grupo de servidores. El WLC se ocupa del balanceo de carga de las diferentes autenticaciones entre los servidores en el grupo de servidores. Los grupos de servidores RADIUS se configuran desde la ficha Servidores / Grupos → Grupos de servidores RADIUS → desde la misma página de GUI que la mencionada en el paso 1, que se muestra en la imagen.

    Add a RADIUS server group on the WLC

    En cuanto a la creación del servidor, aparece una ventana emergente al hacer clic en el botón Agregar enmarcado en la imagen de arriba, que se muestra en esta imagen.

    Add Server Group Pop-up

    En la ventana emergente, proporcione un nombre al grupo y mueva los servidores deseados a la lista Servidores asignados.

    Desde CLI:

    WLC-9800(config)# aaa group server radius RADIUS-Group
WLC-9800(config-sg-radius)# server name ISE-lab

    Paso 3. Cree un método de inicio de sesión de autenticación AAA que apunte al grupo de servidores RADIUS.

    Desde la GUI:

    Desde la página GUI https://<WLC-IP>/webui/#/aaa, navegue hasta la ficha AAA Method List → Authentication y cree un método de autenticación como se muestra en esta imagen.

    Radius - AAA Method List - Authentication

    Como es habitual, cuando utiliza el botón Add (Agregar) para crear un método de autenticación, aparece una ventana emergente de configuración, similar a la que se muestra en esta imagen.

    Defining the AAA authentication method

    En esta ventana emergente, proporcione un nombre para el método, seleccione Type as login y agregue el servidor de grupo creado en el paso anterior a la lista Assigned Server Groups. Con respecto al campo Group Type, es posible realizar varias configuraciones.

    • Si selecciona Group Type como local, el WLC primero verifica si las credenciales del usuario existen localmente y luego vuelve al grupo del servidor.
    • Si selecciona Group Type como grupo y no marca la opción Fall back to local , el WLC verifica las credenciales del usuario contra el grupo del servidor.
    • Si selecciona Group Type as group, y marca la opción Fallback to local, el WLC verifica las credenciales del usuario contra el grupo del servidor y consulta la base de datos local solamente si el servidor no responde. Si el servidor envía un rechazo, el usuario se autentica, aunque pueda existir en la base de datos local.

    Desde CLI:

    Si desea que las credenciales de un usuario se comprueben con un grupo de servidores sólo si no se encuentran primero localmente, utilice

    WLC-9800(config)#aaa authentication login radius-authe-method local group RADIUS-Group

    Si desea que sólo se comprueben las credenciales de un usuario con un grupo de servidores, utilice

    WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group

    Si desea comprobar las credenciales de un usuario con un grupo de servidores y si esta última no responde con una entrada local, utilice

    WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group local

    En esta configuración de ejemplo, hay algunos usuarios que solo se crean localmente y otros usuarios solo en el servidor ISE, por lo tanto, hacen uso de la primera opción.

    Paso 4. Cree un método de ejecución de autorización AAA que apunte al grupo de servidores RADIUS.

    Desde la GUI:

    El usuario también debe estar autorizado para que se le conceda acceso. Desde la página GUI Configuration → Security → AAA, navegue hasta la ficha AAA Method List → Authorization y cree un método de autorización como se muestra en esta imagen.

    Authorization method creationCreación del método de autorización

    Aparecerá una ventana emergente de configuración de método de autorización similar a la mostrada mientras agrega una nueva con el botón Add (Agregar).

    Defining the AAA authorization method

    En esta ventana emergente de configuración, proporcione un nombre para el método de autorización, seleccione Type as exec y utilice el mismo orden de Group Type que el utilizado para el método de autenticación en el paso 3.

    Desde CLI:

    En cuanto al método de autenticación, la autorización se asigna primero para comprobar los usuarios con las entradas locales y, a continuación, con las entradas de un grupo de servidores.

    WLC-9800(config)# aaa authorization exec radius-autho-method local group RADIUS-Group

    Paso 5. Asigne los métodos a las configuraciones HTTP y a las líneas VTY utilizadas para Telnet/SSH.

    Desde la GUI:

    Los métodos de autenticación y autorización creados se pueden utilizar para la conexión de usuario HTTP y/o Telnet/SSH, que se puede configurar desde la pestaña AAA Advanced → AAA Interface (Interfaz AAA avanzada AAA) desde la página GUI WLC accesible en https://<WLC-IP>/webui/#/aaa, como se muestra en esta imagen :

    Radius - AAA Advanced Interface


    CLI para autenticación GUI:

    WLC-9800(config)# ip http authentication aaa login-authentication radius-authe-method 
    WLC-9800(config)# ip http authentication aaa exec-authorization radius-autho-method

    CLI para autenticación Telnet/SSH:

    WLC-9800(config)# line vty 0 15
WLC-9800(config-line)# login authentication radius-authe-method
    WLC-9800(config-line)# authorization exec radius-autho-method

    Tenga en cuenta que cuando se realizan cambios en las configuraciones HTTP, es mejor reiniciar los servicios HTTP y HTTPS. Esto se puede lograr con estos comandos.

    WLC-9800(config)# no ip http server
WLC-9800(config)# no ip http secure-server
WLC-9800(config)# ip http server
WLC-9800(config)# ip http secure-server

    Configuración de ISE para RADIUS

    Paso 1. Configure el WLC como un dispositivo de red para RADIUS.

    Desde la GUI

    Para declarar el WLC utilizado en la sección anterior como un dispositivo de red para RADIUS en ISE, navegue hasta Administración → Recursos de red → Dispositivos de red y abra la pestaña Dispositivos de red, como se muestra en la siguiente imagen. 

    Radius - ISE - Network Device List

    Para agregar un dispositivo de red, utilice el botón Add (Agregar), que abre el formulario de configuración del nuevo dispositivo de red.

    Radius - ISE - Network Device Config All

    En la nueva ventana, proporcione un nombre para el dispositivo de red y agregue su dirección IP. Seleccione los ajustes de autenticación de RADIUS y configure el mismo RADIUS Shared Secret que se utiliza en el WLC.

    Paso 2. Cree un resultado de autorización para devolver el privilegio.

    Desde la GUI:

    Para tener derechos de acceso de administrador, adminuser necesita tener un nivel de privilegio de 15, que permite acceder al intérprete de comandos exec. Por otro lado, el helpdeskuser no necesita acceso al intérprete de comandos exec y, por lo tanto, se le puede asignar un nivel de privilegio inferior a 15. Para asignar el nivel de privilegio adecuado a los usuarios, los perfiles de autorización pueden ser usuarios. Estos se pueden configurar desde la página de la GUI de ISE: Policy → Policy Elements → Results, en la pestaña Authorization → Authorization Profiles (Perfiles de autorización) que se muestra en la siguiente imagen.

    Radius - ISE - Authorization Profiles

    Para configurar un nuevo perfil de autorización, utilice el botón Agregar, que abre el formulario de configuración del nuevo perfil de autorización. Este formulario debe ser especialmente similar a este para configurar el perfil que se asigna a adminuser.

    Radius - ISE - Policy Element Config

    La configuración mostró el nivel de privilegio de concesiones 15 a cualquier usuario al que esté asociado. Como se mencionó anteriormente, este es el comportamiento esperado para el adminuser que se crea durante el siguiente paso. Sin embargo, helpdeskuser debe tener un nivel de privilegio inferior y, por lo tanto, debe crearse un segundo elemento de política.

    El elemento policy para helpdeskuser es similar al creado justo arriba, excepto que la cadena shell:priv-lvl=15 debe cambiarse a shell:priv-lvl=X, y reemplazar X con el nivel de privilegio deseado. En este ejemplo, se utiliza 1.

    Paso 3. Cree grupos de usuarios en ISE.

    Desde la GUI

    Los grupos de usuarios de ISE se crean desde la pestaña Grupos de identidad de usuario de la página GUI Administración → Gestión de identidad → Grupos, que se muestra en la captura de pantalla.

    Radius - ISE - User Identity Groups

    Para crear un nuevo usuario, utilice el botón Add (Agregar), que abre el formulario de configuración del nuevo grupo de identidades de usuario que se muestra.

    Radius - ISE - New User Identity Group

    Proporcione el nombre del grupo que se ha creado. Cree los dos grupos de usuarios mencionados anteriormente, a saber, admin-group y helpdesk-group.

    Paso 4. Cree usuarios en ISE.

    Desde la GUI

    Los usuarios de ISE se crean desde la ficha Usuarios de la página GUI de Administration → Identity Management → Identities (Administración Gestión de identidades Identidades), que se muestra en la captura de pantalla.

    Radius - ISE - Network Access Users

    Para crear un usuario nuevo, utilice el botón Add (Agregar), que abre el formulario de configuración de usuario de acceso a la red que se muestra.

    Radius - ISE - New Network Access User

    Proporcione las credenciales a los usuarios, a saber, su nombre de usuario y contraseña, que son los que se utilizan para autenticar en el WLC. Asegúrese también de que el Estado del usuario es Activado. Por último, agregue el usuario a su grupo relacionado, que se ha creado en el paso 4, con el menú desplegable User Groups al final del formulario.

    Cree los dos usuarios descritos anteriormente, a saber, adminuser y helpdeskuser.

    Paso 5. Autentique a los usuarios.

    Desde la GUI:

    En esta situación, la política de autenticación de los conjuntos de políticas predeterminados de ISE, que ya está preconfigurada, permite el acceso a la red predeterminado. Estos conjuntos de políticas se pueden ver en la página de la GUI de ISE de conjuntos de políticas →, como se muestra en esta imagen. Por lo tanto, no hay necesidad de cambiarlo.

    Radius - ISE - Policy Sets Default

    Paso 6. Autorizar a los usuarios.

    Desde la GUI:

    Una vez que el intento de inicio de sesión supera la política de autenticación, debe autorizarse e ISE debe devolver el perfil de autorización creado anteriormente (aceptación de permiso, junto con el nivel de privilegio).

    En este ejemplo, los intentos de inicio de sesión se filtran en función de la dirección IP del dispositivo (que es la dirección IP del WLC) y distinguen el nivel de privilegio que se otorgará en función del grupo al que pertenece un usuario. Otro enfoque válido es filtrar los usuarios en función de su nombre de usuario, ya que cada grupo solo contiene un usuario en este ejemplo.

    Radius - ISE - Policy Sets Default Authorization

    Después de que este paso se haya completado, las credenciales configuradas para adminuser y helpdesk user se pueden utilizar para autenticar en el WLC a través de la GUI o a través de Telnet/SSH. 

    Configuración de TACACS+ WLC

    Paso 1. Declare el servidor TACACS+. 

    Desde la GUI:

    En primer lugar, cree el ISE del servidor Tacacs+ en el WLC. Esto se puede hacer desde la pestaña Servers/Groups → TACACS+ → Servers desde la página GUI WLC accesible en https://<WLC-IP>/webui/#/aaa, o si navega hasta Configuration → Security → AAA, como se muestra en esta imagen.

    TACACS - Servers _ Groups - Servers Pages

    Para agregar un servidor TACACS en el WLC, haga clic en el botón Add enmarcado en rojo en la imagen de arriba. Se abrirá la ventana emergente representada.

    TACACS - Add Server Pop-up

    Cuando se abra la ventana emergente, proporcione el nombre del servidor (no tiene que coincidir con el nombre del sistema ISE), su dirección IP, la clave compartida, el puerto que se utiliza y el tiempo de espera.

    En esta ventana emergente, debe proporcionar

    • El nombre del servidor (tenga en cuenta que no tiene que coincidir con el nombre del sistema de ISE)
    • La dirección IP del servidor
    • El secreto compartido entre el WLC y el servidor TACACS+

    Se pueden configurar otros parámetros, como los puertos utilizados para la autenticación y la contabilidad, pero estos no son obligatorios y se dejan como predeterminados para esta documentación.

    Desde CLI:

    WLC-9800(config)# tacacs server ISE-lab
WLC-9800(config-server-tacacs)# address ipv4 10.48.39.134
WLC-9800(config-server-tacacs)# key Cisco123

    Paso 2. Asigne el servidor TACACS+ a un grupo de servidores. 

    Desde la GUI:

    En caso de que tenga varios servidores TACACS+ que se puedan utilizar para la autenticación, se recomienda asignar todos estos servidores al mismo grupo de servidores. El WLC entonces se encarga de balancear la carga de las diversas autenticaciones entre los servidores en el grupo del servidor. TACACS+ Los grupos de servidores se configuran desde la pestaña Servidores / Grupos → TACACS → Grupos de servidores desde la misma página GUI que la mencionada en el paso 1, que se muestra en la imagen.

    Desde la misma pestaña de la GUI que se muestra en la imagen.

    TACACS - Servers _ Groups - Groups pages

    En cuanto a la creación del servidor, aparece una ventana emergente al hacer clic en el botón Agregar enmarcado en la imagen de arriba, que se representa en la imagen.

    Assigning the TACACS group

    En la ventana emergente, asigne un nombre al grupo y mueva los servidores deseados a la lista Servidores asignados.

    Desde CLI:

    WLC-9800(config)# aaa group server tacacs+ TACACS-Group
WLC-9800(config-sg-tacacs+)# server name ISE-lab


    Paso 3. Cree un método de inicio de sesión de autenticación AAA que apunte al grupo de servidores TACACS+. 

    Desde la GUI:

    Desde la página GUI https://<WLC-IP>/webui/#/aaa, navegue hasta la pestaña AAA Method List → Authentication y cree un método de autenticación como se muestra en la imagen.

    TACACS - AAA Method List - Authentication

    Como es habitual, cuando utiliza el botón Add (Agregar) para crear un método de autenticación, aparece una ventana emergente de configuración, similar a la que se muestra en esta imagen.

    Defining the TACACS authentication method

    En esta ventana emergente, proporcione un nombre para el método, seleccione Tipo como inicio de sesión y agregue el servidor de grupos creado en el paso anterior a la lista Grupos de servidores asignados. Con respecto al campo Group Type (Tipo de grupo), es posible realizar varias configuraciones.

    • Si selecciona Group Type como local, el WLC primero verifica si las credenciales del usuario existen localmente y luego vuelve al grupo del servidor.
    • Si selecciona Group Type como grupo y no marca la opción Fall back to local , el WLC verifica las credenciales del usuario contra el grupo del servidor.
    • Si selecciona Group Type as group, y marca la opción Fallback to local, el WLC verifica las credenciales del usuario contra el grupo del servidor y consulta la base de datos local solamente si el servidor no responde. Si el servidor envía un rechazo, el usuario se autentica, aunque pueda existir en la base de datos local.

    Desde CLI:

    Si desea que las credenciales de un usuario se comprueben con un grupo de servidores sólo si no se encuentran primero localmente, utilice

    WLC-9800(config)# aaa authentication login tacacs-authe-method local group TACACS-Group 

    Si desea que sólo se comprueben las credenciales de un usuario con un grupo de servidores, utilice

    WLC-9800(config)# aaa authentication login tacacs-authe-method group TACACS-Group 

    Si desea que se comprueben las credenciales de un usuario con un grupo de servidores y si esta última no responde con una entrada local, utilice

    WLC-9800(config)# aaa authentication login tacacs-authe-method group TACACS-Group local

    En esta configuración de ejemplo, hay algunos usuarios que solo se crean localmente y otros usuarios solo en el servidor ISE, por lo tanto, hacen uso de la primera opción.

    Paso 4. Cree un método de ejecución de autorización AAA que apunte al TACACS+ grupo de servidores. 

    Desde la GUI

    El usuario también tiene que estar autorizado para que se le conceda acceso. Desde la página GUI Configuration → Security → AAA, navegue hasta la ficha AAA Method List → Authorization y cree un método de autorización como se muestra en la imagen.

    TACACS - AAA Method List - Authorization

    Aparecerá una ventana emergente de configuración de método de autorización similar a la mostrada mientras agrega una nueva con el botón Add (Agregar).

    Defining the TACACS authorization method

    En esta ventana emergente de configuración, proporcione un nombre para el método de autorización, seleccione Type as exec y utilice el mismo orden de Group Type que el utilizado para el método de autenticación en el paso anterior. 

    Desde CLI:

    WLC-9800(config)# aaa authorization exec tacacs-autho-method local group TACACS-Group

    Paso 5. Asigne los métodos a las configuraciones HTTP y a las líneas VTY utilizadas para Telnet/SSH.

    Desde la GUI:

    Los métodos de autenticación y autorización creados se pueden utilizar para la conexión de usuario HTTP y/o Telnet/SSH, que se puede configurar desde la pestaña AAA Advanced → AAA Interface (Interfaz AAA avanzada AAA) desde la página WLC de GUI accesible en https://<WLC-IP>/webui/#/aaa, como se muestra en la imagen.

    Setting the AAA advanced method settings

    Desde CLI:

    Para la autenticación GUI:

    WLC-9800(config)# ip http authentication aaa login-authentication tacacs-authe-method 
WLC-9800(config)# ip http authentication aaa exec-authorization tacacs-autho-method

    Para autenticación Telnet/SSH:

    WLC-9800(config)# line vty 0 15
WLC-9800(config-line)# login authentication tacacs-authe-method  
    WLC-9800(config-line)# authorization exec tacacs-autho-method

    Tenga en cuenta que cuando se realizan cambios en las configuraciones HTTP, es mejor reiniciar los servicios HTTP y HTTPS. Esto se puede lograr con estos comandos.

    WLC-9800(config)# no ip http server
WLC-9800(config)# no ip http secure-server
WLC-9800(config)# ip http server
WLC-9800(config)# ip http secure-server

    Configuración de ISE de TACACS+

    Paso 1. Configure el WLC como dispositivo de red para TACACS+.

    Desde la GUI

    Para declarar el WLC utilizado en la sección anterior como un dispositivo de red para RADIUS en ISE, navegue hasta Administración → Recursos de red → Dispositivos de red y abra la pestaña Dispositivos de red, como se muestra en esta imagen. 

    TACACS - ISE - Network Device List

    Tenga en cuenta que en este ejemplo, el WLC ya se ha agregado para la autenticación RADIUS (consulte el Paso 1 de la sección Configuración de RADIUS ISE anterior). Por lo tanto, su configuración simplemente debe modificarse para configurar la autenticación TACACS, que se puede hacer cuando selecciona el WLC en la lista de dispositivos de red y hace clic en el botón Edit . Esto abre el formulario de configuración del dispositivo de red que se muestra en esta imagen.

    TACACS - ISE - Network Device Config

    Una vez que se abrió la nueva ventana, desplácese hacia abajo hasta la sección Configuración de autenticación TACACS, habilite estas configuraciones y agregue el secreto compartido ingresado durante el Paso 1 de la sección Configuración de TACACS+ WLC.

    Paso 2. Active la función Device Admin para el nodo.

    Nota: para utilizar ISE como servidor TACACS+, debe disponer de un paquete de licencias Device Administration y una licencia Base o Mobility.

    Desde la GUI:

    Una vez instaladas las licencias Device Administration, debe habilitar la función Device Admin para el nodo para poder utilizar ISE como servidor TACACS+. Para ello, edite la configuración del nodo de implementación de ISE utilizado, que se encuentra en Administrator → Deployment, y haga clic en su nombre o con la ayuda del botón Edit (Editar).

    TACACS - ISE - Administration System

    Una vez abierta la ventana de configuración del nodo, simplemente verifique la opción Enable Device Admin Service bajo la sección Policy Service, como se muestra en esta imagen.

    TACACS - ISE - Deployment Node Config

    Paso 3. Crear perfiles TACACS, para devolver el privilegio

    Desde la GUI:

    Para tener derechos de acceso de administrador, adminuser necesita tener un nivel de privilegio de 15, que permite acceder al intérprete de comandos exec. Por otro lado, el helpdeskuser no necesita acceso al intérprete de comandos exec y, por lo tanto, se le puede asignar un nivel de privilegio inferior a 15. Para asignar el nivel de privilegio adecuado a los usuarios, los perfiles de autorización pueden ser usuarios. Estos se pueden configurar desde la página GUI de ISE Centros de trabajo → Administración de dispositivos → Elementos de política, en la pestaña Resultados → Perfiles TACACS que se muestra en la siguiente imagen.

    TACACS - ISE - TACACS Profiles

    Para configurar un nuevo perfil TACACS, utilice el botón Add (Agregar), que abre el nuevo formulario de configuración del perfil similar al que se muestra en la imagen. Este formulario debe ser especialmente similar a este para configurar el perfil que se asigna a adminuser (es decir, con el nivel de privilegios de shell 15).

    TACACS - ISE - TACACS profile config

    Repita la operación para el perfil de soporte técnico. Para este último, el Privilegio predeterminado y el Privilegio máximo se establecen en 1.

    Paso 4. Cree grupos de usuarios en ISE.

    Esto es lo mismo que se presentó en el paso 3 de la sección Configuración de RADIUS ISE de este documento.

    Paso 5. Cree los usuarios en ISE:

    Esto es lo mismo que se presentó en el paso 4 de la sección Configuración de RADIUS ISE de este documento.

    Paso 6. Cree un conjunto de directivas de administración de dispositivos.

    Desde la GUI:

    En cuanto al acceso RADIUS, una vez que se crean los usuarios, sus políticas de autenticación y autorización todavía deben definirse en ISE para otorgarles los derechos de acceso adecuados. La autenticación TACACS utiliza conjuntos de políticas de administración de dispositivos para ese fin, que se pueden configurar desde la página GUI de los Centros de trabajo → Administración de dispositivos → Conjuntos de políticas de administración de dispositivos.

    TACACS - ISE - Device Admin Policy Sets

    Para crear un conjunto de directivas de administración de dispositivos, utilice el botón agregar enmarcado en rojo en la imagen anterior. De este modo, se agrega un elemento a la lista de conjuntos de directivas. Proporcione un nombre para el conjunto recién creado, una condición bajo la cual debe aplicarse y la Secuencia de protocolos / servidor permitidos (aquí, el Administrador de dispositivo predeterminado es suficiente). Utilice el botón Save (Guardar) para finalizar la adición del conjunto de políticas y utilice la punta de flecha de la derecha para acceder a su página de configuración, tal y como aparece en la representada.

    ISE TACACS policy set

    El conjunto de políticas específico "WLC TACACS Authentication" en este ejemplo filtra las solicitudes con una dirección IP igual a la dirección IP del WLC C9800 de ejemplo.

    Como política de autenticación, se ha dejado la regla predeterminada porque satisface la necesidad del caso de uso. Se han establecido dos normas de autorización,

    • El primero se activa cuando el usuario pertenece al grupo admin-group definido. Permite todos los comandos (mediante la regla predeterminada "Permit_all") y asigna el privilegio 15 (mediante el perfil TACACS "IOS_Admin" definido).
    • El segundo se activa cuando el usuario pertenece al grupo definido helpdesk-group. Permite todos los comandos (mediante la regla 'Permit_all' predeterminada) y asigna el privilegio 1 (mediante el perfil TACACS "IOS_Helpdesk" definido).

    Una vez que se haya completado este paso, las credenciales configuradas para los usuarios adminuser y helpdesk se pueden utilizar para autenticar en el WLC a través de la GUI o con Telnet/SSH. 

    Troubleshoot

    Resolución de problemas de WLC GUI o CLI RADIUS/TACACS+ acceso a través de WLC CLI

    Para resolver problemas de acceso TACACS+ a la GUI o CLI del WLC, ejecute el comando debug tacacs, junto con el monitor de terminal uno y vea la salida en vivo cuando se realiza un intento de inicio de sesión.

    Como ejemplo, un login exitoso seguido de un logout del usuario adminuser genera esta salida.

    WLC-9800# terminal monitor
    WLC-9800# debug tacacs
    TACACS access control debugging is on
    WLC-9800#
    Dec 8 11:38:34.684: TPLUS: Queuing AAA Authentication request 15465 for processing
    Dec 8 11:38:34.684: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:34.684: TPLUS: processing authentication start request id 15465
Dec 8 11:38:34.685: TPLUS: Authentication start packet created for 15465(adminuser)
Dec 8 11:38:34.685: TPLUS: Using server 10.48.39.134
Dec 8 11:38:34.685: TPLUS(00003C69)/0/NB_WAIT/7FD29013CA68: Started 5 sec timeout
Dec 8 11:38:34.687: TPLUS(00003C69)/0/NB_WAIT: socket event 2
Dec 8 11:38:34.688: TPLUS(00003C69)/0/NB_WAIT: wrote entire 45 bytes request
Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: Would block while reading
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 15 bytes data)
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 27 bytes response
Dec 8 11:38:34.701: TPLUS(00003C69)/0/7FD29013CA68: Processing the reply packet
Dec 8 11:38:34.701: TPLUS: Received authen response status GET_PASSWORD (8)
Dec 8 11:38:38.156: TPLUS: Queuing AAA Authentication request 15465 for processing
Dec 8 11:38:38.156: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:38.156: TPLUS: processing authentication continue request id 15465
Dec 8 11:38:38.156: TPLUS: Authentication continue packet generated for 15465
Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE/7FD3796079D8: Started 5 sec timeout
Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE: wrote entire 29 bytes request
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 6 bytes data)
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 18 bytes response
Dec 8 11:38:38.183: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet
Dec 8 11:38:38.183: TPLUS: Received authen response status PASS (2)
Dec 8 11:38:38.184: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: adminuser] [Source: 10.61.80.151] [localport: 22] at 12:38:38 CET Thu Dec 8 2022
Dec 8 11:38:38.259: TPLUS: Queuing AAA Authorization request 15465 for processing
Dec 8 11:38:38.260: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:38.260: TPLUS: processing authorization request id 15465
Dec 8 11:38:38.260: TPLUS: Protocol set to None .....Skipping
Dec 8 11:38:38.260: TPLUS: Sending AV service=shell
Dec 8 11:38:38.260: TPLUS: Sending AV cmd*
Dec 8 11:38:38.260: TPLUS: Authorization request created for 15465(adminuser)
Dec 8 11:38:38.260: TPLUS: using previously set server 10.48.39.134 from group TACACS-Group
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT/7FD3796079D8: Started 5 sec timeout
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: socket event 2
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: wrote entire 64 bytes request
Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: Would block while reading
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 18 bytes data)
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 30 bytes response
Dec 8 11:38:38.285: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet
Dec 8 11:38:38.285: TPLUS: Processed AV priv-lvl=15
Dec 8 11:38:38.285: TPLUS: received authorization response for 15465: PASS
Dec 8 11:38:44.225: %SYS-6-LOGOUT: User adminuser has exited tty session 7(10.61.80.151)
Dec 8 11:38:44.225:Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT
Dec 8 11:38:44.226: %HA_EM-6-LOG: catchall: logout 
Dec 8 11:39:18.689: %SYS-6-LOGOUT: User admin has exited tty session 5(10.61.80.151)
Dec 8 11:39:18.690:Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT

    Se puede ver en estos registros que el servidor TACACS+ devuelve el privilegio correcto (que es AV priv-lvl=15).

    Cuando realiza la autenticación RADIUS, en cambio, se muestra una salida de depuración similar, que concierne al tráfico RADIUS.

    Los comandos debug aaa authentication y debug aaa authorization muestran en su lugar qué lista de métodos selecciona el WLC cuando el usuario intenta iniciar sesión.

    Resolución de problemas de acceso a WLC GUI o CLI TACACS+ a través de ISE GUI

    Desde la página Operaciones → TACACS → Registros en vivo, se puede ver cada autenticación de usuario realizada con TACACS+ hasta las últimas 24 horas. Para gastar los detalles de una autorización o autenticación TACACS+, utilice el botón Details relacionado con este evento.

    TACACS live logs - general view

    Cuando se utiliza, un intento de autenticación exitoso para el helpdeskuser tiene el siguiente aspecto:

    TACACS live logs

    A partir de esto, se puede ver que el usuario helpdeskuser se ha autenticado correctamente en el dispositivo de red WLC-9800 gracias a la política de autenticación WLC TACACS AuthenticationDefault. Además, el perfil de autorización IOS Helpdesk se ha asignado a este usuario y se le ha otorgado el nivel de privilegio 1.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    15-Nov-2021
    Se agregó una nota sobre los niveles de privilegio y la interfaz de usuario web
    1.0
    04-Jun-2019
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Paolo Fusconi
      Cisco TAC
    • Guilian Deflandre
      Cisco TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos