El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar un Catalyst 9800 para la autenticación externa RADIUS o TACACS+.
Cuando un usuario intenta acceder a la CLI o a la GUI del WLC, se le pide que ingrese un nombre de usuario y una contraseña. De forma predeterminada, estas credenciales se comparan con la base de datos local de usuarios, que está presente en el propio dispositivo. Alternativamente, el WLC se puede instruir para comparar las credenciales de entrada contra un servidor AAA remoto: el WLC puede hablar con el servidor con el uso de RADIUS o TACACS+.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
En este ejemplo, se configuran dos tipos de usuarios en el servidor AAA (ISE), respectivamente adminuser y helpdeskuser. Estos usuarios forman parte de grupos, respectivamente admin-group y helpdesk-group. Se espera que el usuario adminuser, parte del admin-group, tenga acceso completo al WLC. Por otro lado, el helpdeskuser, parte del helpdesk-group, está destinado a ser concedido solamente privilegios del monitor al WLC, por lo tanto ningún acceso de la configuración.
Este artículo primero configura el WLC e ISE para la autenticación RADIUS y luego realiza lo mismo para TACACS+.
Cuando se utiliza TACACS+ o RADIUS para la autenticación 9800 WebUI, existen estas restricciones:
Los usuarios con el nivel de privilegio [1, 14] sólo pueden ver la ficha Monitor (esto equivale al nivel de privilegio de un usuario autenticado localmente de sólo lectura)
Los usuarios con el nivel de privilegio 15 tienen acceso completo
No se admiten usuarios con el nivel de privilegio 15 y un conjunto de comandos que sólo permite comandos específicos. El usuario todavía puede ejecutar los cambios de configuración a través de la interfaz de usuario Web
Estas consideraciones no se pueden cambiar ni modificar.
Paso 1. Declare el servidor RADIUS.
Desde la GUI:
En primer lugar, cree el servidor RADIUS de ISE en el WLC. Esto se puede hacer desde la pestaña Servers/Groups → RADIUS → Servers desde la página GUI WLC accesible en https://<WLC-IP>/webui/#/aaa, o si navega hasta Configuration → Security → AAA, como se muestra en esta imagen.
Para agregar un servidor RADIUS en el WLC, haga clic en el botón Add enmarcado en rojo en la imagen. Se abrirá la ventana emergente que se muestra en la captura de pantalla.
En esta ventana emergente, debe proporcionar:
Se pueden configurar otros parámetros, como los puertos utilizados para la autenticación y la contabilidad, pero estos no son obligatorios y se dejan como predeterminados para esta documentación.
Desde CLI:
WLC-9800(config)# radius server ISE-lab WLC-9800(config-radius-server)# address ipv4 10.48.39.134 auth-port 1812 acct-port 1813
WLC-9800(config-radius-server)# key Cisco123
Paso 2. Asigne el servidor RADIUS a un grupo de servidores.
Desde la GUI:
En caso de que tenga varios servidores RADIUS que se puedan utilizar para la autenticación, se recomienda asignar todos estos servidores al mismo grupo de servidores. El WLC se ocupa del balanceo de carga de las diferentes autenticaciones entre los servidores en el grupo de servidores. Los grupos de servidores RADIUS se configuran desde la ficha Servidores / Grupos → Grupos de servidores RADIUS → desde la misma página de GUI que la mencionada en el paso 1, que se muestra en la imagen.
En cuanto a la creación del servidor, aparece una ventana emergente al hacer clic en el botón Agregar enmarcado en la imagen de arriba, que se muestra en esta imagen.
En la ventana emergente, proporcione un nombre al grupo y mueva los servidores deseados a la lista Servidores asignados.
Desde CLI:
WLC-9800(config)# aaa group server radius RADIUS-Group WLC-9800(config-sg-radius)# server name ISE-lab
Paso 3. Cree un método de inicio de sesión de autenticación AAA que apunte al grupo de servidores RADIUS.
Desde la GUI:
Desde la página GUI https://<WLC-IP>/webui/#/aaa, navegue hasta la ficha AAA Method List → Authentication y cree un método de autenticación como se muestra en esta imagen.
Como es habitual, cuando utiliza el botón Add (Agregar) para crear un método de autenticación, aparece una ventana emergente de configuración, similar a la que se muestra en esta imagen.
En esta ventana emergente, proporcione un nombre para el método, seleccione Type as login y agregue el servidor de grupo creado en el paso anterior a la lista Assigned Server Groups. Con respecto al campo Group Type, es posible realizar varias configuraciones.
Desde CLI:
Si desea que las credenciales de un usuario se comprueben con un grupo de servidores sólo si no se encuentran primero localmente, utilice
WLC-9800(config)#aaa authentication login radius-authe-method local group RADIUS-Group
Si desea que sólo se comprueben las credenciales de un usuario con un grupo de servidores, utilice
WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group
Si desea comprobar las credenciales de un usuario con un grupo de servidores y si esta última no responde con una entrada local, utilice
WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group local
En esta configuración de ejemplo, hay algunos usuarios que solo se crean localmente y otros usuarios solo en el servidor ISE, por lo tanto, hacen uso de la primera opción.
Paso 4. Cree un método de ejecución de autorización AAA que apunte al grupo de servidores RADIUS.
Desde la GUI:
El usuario también debe estar autorizado para que se le conceda acceso. Desde la página GUI Configuration → Security → AAA, navegue hasta la ficha AAA Method List → Authorization y cree un método de autorización como se muestra en esta imagen.
Creación del método de autorización
Aparecerá una ventana emergente de configuración de método de autorización similar a la mostrada mientras agrega una nueva con el botón Add (Agregar).
En esta ventana emergente de configuración, proporcione un nombre para el método de autorización, seleccione Type as exec y utilice el mismo orden de Group Type que el utilizado para el método de autenticación en el paso 3.
Desde CLI:
En cuanto al método de autenticación, la autorización se asigna primero para comprobar los usuarios con las entradas locales y, a continuación, con las entradas de un grupo de servidores.
WLC-9800(config)# aaa authorization exec radius-autho-method local group RADIUS-Group
Paso 5. Asigne los métodos a las configuraciones HTTP y a las líneas VTY utilizadas para Telnet/SSH.
Desde la GUI:
Los métodos de autenticación y autorización creados se pueden utilizar para la conexión de usuario HTTP y/o Telnet/SSH, que se puede configurar desde la pestaña AAA Advanced → AAA Interface (Interfaz AAA avanzada AAA) desde la página GUI WLC accesible en https://<WLC-IP>/webui/#/aaa, como se muestra en esta imagen :
CLI para autenticación GUI:
WLC-9800(config)# ip http authentication aaa login-authentication radius-authe-method
WLC-9800(config)# ip http authentication aaa exec-authorization radius-autho-method
CLI para autenticación Telnet/SSH:
WLC-9800(config)# line vty 0 15 WLC-9800(config-line)# login authentication radius-authe-method
WLC-9800(config-line)# authorization exec radius-autho-method
Tenga en cuenta que cuando se realizan cambios en las configuraciones HTTP, es mejor reiniciar los servicios HTTP y HTTPS. Esto se puede lograr con estos comandos.
WLC-9800(config)# no ip http server WLC-9800(config)# no ip http secure-server WLC-9800(config)# ip http server WLC-9800(config)# ip http secure-server
Paso 1. Configure el WLC como un dispositivo de red para RADIUS.
Desde la GUI
Para declarar el WLC utilizado en la sección anterior como un dispositivo de red para RADIUS en ISE, navegue hasta Administración → Recursos de red → Dispositivos de red y abra la pestaña Dispositivos de red, como se muestra en la siguiente imagen.
Para agregar un dispositivo de red, utilice el botón Add (Agregar), que abre el formulario de configuración del nuevo dispositivo de red.
En la nueva ventana, proporcione un nombre para el dispositivo de red y agregue su dirección IP. Seleccione los ajustes de autenticación de RADIUS y configure el mismo RADIUS Shared Secret que se utiliza en el WLC.
Paso 2. Cree un resultado de autorización para devolver el privilegio.
Desde la GUI:
Para tener derechos de acceso de administrador, adminuser necesita tener un nivel de privilegio de 15, que permite acceder al intérprete de comandos exec. Por otro lado, el helpdeskuser no necesita acceso al intérprete de comandos exec y, por lo tanto, se le puede asignar un nivel de privilegio inferior a 15. Para asignar el nivel de privilegio adecuado a los usuarios, los perfiles de autorización pueden ser usuarios. Estos se pueden configurar desde la página de la GUI de ISE: Policy → Policy Elements → Results, en la pestaña Authorization → Authorization Profiles (Perfiles de autorización) que se muestra en la siguiente imagen.
Para configurar un nuevo perfil de autorización, utilice el botón Agregar, que abre el formulario de configuración del nuevo perfil de autorización. Este formulario debe ser especialmente similar a este para configurar el perfil que se asigna a adminuser.
La configuración mostró el nivel de privilegio de concesiones 15 a cualquier usuario al que esté asociado. Como se mencionó anteriormente, este es el comportamiento esperado para el adminuser que se crea durante el siguiente paso. Sin embargo, helpdeskuser debe tener un nivel de privilegio inferior y, por lo tanto, debe crearse un segundo elemento de política.
El elemento policy para helpdeskuser es similar al creado justo arriba, excepto que la cadena shell:priv-lvl=15 debe cambiarse a shell:priv-lvl=X, y reemplazar X con el nivel de privilegio deseado. En este ejemplo, se utiliza 1.
Paso 3. Cree grupos de usuarios en ISE.
Desde la GUI
Los grupos de usuarios de ISE se crean desde la pestaña Grupos de identidad de usuario de la página GUI Administración → Gestión de identidad → Grupos, que se muestra en la captura de pantalla.
Para crear un nuevo usuario, utilice el botón Add (Agregar), que abre el formulario de configuración del nuevo grupo de identidades de usuario que se muestra.
Proporcione el nombre del grupo que se ha creado. Cree los dos grupos de usuarios mencionados anteriormente, a saber, admin-group y helpdesk-group.
Paso 4. Cree usuarios en ISE.
Desde la GUI
Los usuarios de ISE se crean desde la ficha Usuarios de la página GUI de Administration → Identity Management → Identities (Administración Gestión de identidades Identidades), que se muestra en la captura de pantalla.
Para crear un usuario nuevo, utilice el botón Add (Agregar), que abre el formulario de configuración de usuario de acceso a la red que se muestra.
Proporcione las credenciales a los usuarios, a saber, su nombre de usuario y contraseña, que son los que se utilizan para autenticar en el WLC. Asegúrese también de que el Estado del usuario es Activado. Por último, agregue el usuario a su grupo relacionado, que se ha creado en el paso 4, con el menú desplegable User Groups al final del formulario.
Cree los dos usuarios descritos anteriormente, a saber, adminuser y helpdeskuser.
Paso 5. Autentique a los usuarios.
Desde la GUI:
En esta situación, la política de autenticación de los conjuntos de políticas predeterminados de ISE, que ya está preconfigurada, permite el acceso a la red predeterminado. Estos conjuntos de políticas se pueden ver en la página de la GUI de ISE de conjuntos de políticas →, como se muestra en esta imagen. Por lo tanto, no hay necesidad de cambiarlo.
Paso 6. Autorizar a los usuarios.
Desde la GUI:
Una vez que el intento de inicio de sesión supera la política de autenticación, debe autorizarse e ISE debe devolver el perfil de autorización creado anteriormente (aceptación de permiso, junto con el nivel de privilegio).
En este ejemplo, los intentos de inicio de sesión se filtran en función de la dirección IP del dispositivo (que es la dirección IP del WLC) y distinguen el nivel de privilegio que se otorgará en función del grupo al que pertenece un usuario. Otro enfoque válido es filtrar los usuarios en función de su nombre de usuario, ya que cada grupo solo contiene un usuario en este ejemplo.
Después de que este paso se haya completado, las credenciales configuradas para adminuser y helpdesk user se pueden utilizar para autenticar en el WLC a través de la GUI o a través de Telnet/SSH.
Paso 1. Declare el servidor TACACS+.
Desde la GUI:
En primer lugar, cree el ISE del servidor Tacacs+ en el WLC. Esto se puede hacer desde la pestaña Servers/Groups → TACACS+ → Servers desde la página GUI WLC accesible en https://<WLC-IP>/webui/#/aaa, o si navega hasta Configuration → Security → AAA, como se muestra en esta imagen.
Para agregar un servidor TACACS en el WLC, haga clic en el botón Add enmarcado en rojo en la imagen de arriba. Se abrirá la ventana emergente representada.
Cuando se abra la ventana emergente, proporcione el nombre del servidor (no tiene que coincidir con el nombre del sistema ISE), su dirección IP, la clave compartida, el puerto que se utiliza y el tiempo de espera.
En esta ventana emergente, debe proporcionar
Se pueden configurar otros parámetros, como los puertos utilizados para la autenticación y la contabilidad, pero estos no son obligatorios y se dejan como predeterminados para esta documentación.
Desde CLI:
WLC-9800(config)# tacacs server ISE-lab WLC-9800(config-server-tacacs)# address ipv4 10.48.39.134 WLC-9800(config-server-tacacs)# key Cisco123
Paso 2. Asigne el servidor TACACS+ a un grupo de servidores.
Desde la GUI:
En caso de que tenga varios servidores TACACS+ que se puedan utilizar para la autenticación, se recomienda asignar todos estos servidores al mismo grupo de servidores. El WLC entonces se encarga de balancear la carga de las diversas autenticaciones entre los servidores en el grupo del servidor. TACACS+ Los grupos de servidores se configuran desde la pestaña Servidores / Grupos → TACACS → Grupos de servidores desde la misma página GUI que la mencionada en el paso 1, que se muestra en la imagen.
Desde la misma pestaña de la GUI que se muestra en la imagen.
En cuanto a la creación del servidor, aparece una ventana emergente al hacer clic en el botón Agregar enmarcado en la imagen de arriba, que se representa en la imagen.
En la ventana emergente, asigne un nombre al grupo y mueva los servidores deseados a la lista Servidores asignados.
Desde CLI:
WLC-9800(config)# aaa group server tacacs+ TACACS-Group WLC-9800(config-sg-tacacs+)# server name ISE-lab
Paso 3. Cree un método de inicio de sesión de autenticación AAA que apunte al grupo de servidores TACACS+.
Desde la GUI:
Desde la página GUI https://<WLC-IP>/webui/#/aaa, navegue hasta la pestaña AAA Method List → Authentication y cree un método de autenticación como se muestra en la imagen.
Como es habitual, cuando utiliza el botón Add (Agregar) para crear un método de autenticación, aparece una ventana emergente de configuración, similar a la que se muestra en esta imagen.
En esta ventana emergente, proporcione un nombre para el método, seleccione Tipo como inicio de sesión y agregue el servidor de grupos creado en el paso anterior a la lista Grupos de servidores asignados. Con respecto al campo Group Type (Tipo de grupo), es posible realizar varias configuraciones.
Desde CLI:
Si desea que las credenciales de un usuario se comprueben con un grupo de servidores sólo si no se encuentran primero localmente, utilice
WLC-9800(config)# aaa authentication login tacacs-authe-method local group TACACS-Group
Si desea que sólo se comprueben las credenciales de un usuario con un grupo de servidores, utilice
WLC-9800(config)# aaa authentication login tacacs-authe-method group TACACS-Group
Si desea que se comprueben las credenciales de un usuario con un grupo de servidores y si esta última no responde con una entrada local, utilice
WLC-9800(config)# aaa authentication login tacacs-authe-method group TACACS-Group local
En esta configuración de ejemplo, hay algunos usuarios que solo se crean localmente y otros usuarios solo en el servidor ISE, por lo tanto, hacen uso de la primera opción.
Paso 4. Cree un método de ejecución de autorización AAA que apunte al TACACS+ grupo de servidores.
Desde la GUI
El usuario también tiene que estar autorizado para que se le conceda acceso. Desde la página GUI Configuration → Security → AAA, navegue hasta la ficha AAA Method List → Authorization y cree un método de autorización como se muestra en la imagen.
Aparecerá una ventana emergente de configuración de método de autorización similar a la mostrada mientras agrega una nueva con el botón Add (Agregar).
En esta ventana emergente de configuración, proporcione un nombre para el método de autorización, seleccione Type as exec y utilice el mismo orden de Group Type que el utilizado para el método de autenticación en el paso anterior.
Desde CLI:
WLC-9800(config)# aaa authorization exec tacacs-autho-method local group TACACS-Group
Paso 5. Asigne los métodos a las configuraciones HTTP y a las líneas VTY utilizadas para Telnet/SSH.
Desde la GUI:
Los métodos de autenticación y autorización creados se pueden utilizar para la conexión de usuario HTTP y/o Telnet/SSH, que se puede configurar desde la pestaña AAA Advanced → AAA Interface (Interfaz AAA avanzada AAA) desde la página WLC de GUI accesible en https://<WLC-IP>/webui/#/aaa, como se muestra en la imagen.
Desde CLI:
Para la autenticación GUI:
WLC-9800(config)# ip http authentication aaa login-authentication tacacs-authe-method WLC-9800(config)# ip http authentication aaa exec-authorization tacacs-autho-method
Para autenticación Telnet/SSH:
WLC-9800(config)# line vty 0 15 WLC-9800(config-line)# login authentication tacacs-authe-method
WLC-9800(config-line)# authorization exec tacacs-autho-method
Tenga en cuenta que cuando se realizan cambios en las configuraciones HTTP, es mejor reiniciar los servicios HTTP y HTTPS. Esto se puede lograr con estos comandos.
WLC-9800(config)# no ip http server WLC-9800(config)# no ip http secure-server WLC-9800(config)# ip http server WLC-9800(config)# ip http secure-server
Paso 1. Configure el WLC como dispositivo de red para TACACS+.
Desde la GUI
Para declarar el WLC utilizado en la sección anterior como un dispositivo de red para RADIUS en ISE, navegue hasta Administración → Recursos de red → Dispositivos de red y abra la pestaña Dispositivos de red, como se muestra en esta imagen.
Tenga en cuenta que en este ejemplo, el WLC ya se ha agregado para la autenticación RADIUS (consulte el Paso 1 de la sección Configuración de RADIUS ISE anterior). Por lo tanto, su configuración simplemente debe modificarse para configurar la autenticación TACACS, que se puede hacer cuando selecciona el WLC en la lista de dispositivos de red y hace clic en el botón Edit . Esto abre el formulario de configuración del dispositivo de red que se muestra en esta imagen.
Una vez que se abrió la nueva ventana, desplácese hacia abajo hasta la sección Configuración de autenticación TACACS, habilite estas configuraciones y agregue el secreto compartido ingresado durante el Paso 1 de la sección Configuración de TACACS+ WLC.
Paso 2. Active la función Device Admin para el nodo.
Nota: para utilizar ISE como servidor TACACS+, debe disponer de un paquete de licencias Device Administration y una licencia Base o Mobility.
Desde la GUI:
Una vez instaladas las licencias Device Administration, debe habilitar la función Device Admin para el nodo para poder utilizar ISE como servidor TACACS+. Para ello, edite la configuración del nodo de implementación de ISE utilizado, que se encuentra en Administrator → Deployment, y haga clic en su nombre o con la ayuda del botón Edit (Editar).
Una vez abierta la ventana de configuración del nodo, simplemente verifique la opción Enable Device Admin Service bajo la sección Policy Service, como se muestra en esta imagen.
Paso 3. Crear perfiles TACACS, para devolver el privilegio
Desde la GUI:
Para tener derechos de acceso de administrador, adminuser necesita tener un nivel de privilegio de 15, que permite acceder al intérprete de comandos exec. Por otro lado, el helpdeskuser no necesita acceso al intérprete de comandos exec y, por lo tanto, se le puede asignar un nivel de privilegio inferior a 15. Para asignar el nivel de privilegio adecuado a los usuarios, los perfiles de autorización pueden ser usuarios. Estos se pueden configurar desde la página GUI de ISE Centros de trabajo → Administración de dispositivos → Elementos de política, en la pestaña Resultados → Perfiles TACACS que se muestra en la siguiente imagen.
Para configurar un nuevo perfil TACACS, utilice el botón Add (Agregar), que abre el nuevo formulario de configuración del perfil similar al que se muestra en la imagen. Este formulario debe ser especialmente similar a este para configurar el perfil que se asigna a adminuser (es decir, con el nivel de privilegios de shell 15).
Repita la operación para el perfil de soporte técnico. Para este último, el Privilegio predeterminado y el Privilegio máximo se establecen en 1.
Paso 4. Cree grupos de usuarios en ISE.
Esto es lo mismo que se presentó en el paso 3 de la sección Configuración de RADIUS ISE de este documento.
Paso 5. Cree los usuarios en ISE:
Esto es lo mismo que se presentó en el paso 4 de la sección Configuración de RADIUS ISE de este documento.
Paso 6. Cree un conjunto de directivas de administración de dispositivos.
Desde la GUI:
En cuanto al acceso RADIUS, una vez que se crean los usuarios, sus políticas de autenticación y autorización todavía deben definirse en ISE para otorgarles los derechos de acceso adecuados. La autenticación TACACS utiliza conjuntos de políticas de administración de dispositivos para ese fin, que se pueden configurar desde la página GUI de los Centros de trabajo → Administración de dispositivos → Conjuntos de políticas de administración de dispositivos.
Para crear un conjunto de directivas de administración de dispositivos, utilice el botón agregar enmarcado en rojo en la imagen anterior. De este modo, se agrega un elemento a la lista de conjuntos de directivas. Proporcione un nombre para el conjunto recién creado, una condición bajo la cual debe aplicarse y la Secuencia de protocolos / servidor permitidos (aquí, el Administrador de dispositivo predeterminado es suficiente). Utilice el botón Save (Guardar) para finalizar la adición del conjunto de políticas y utilice la punta de flecha de la derecha para acceder a su página de configuración, tal y como aparece en la representada.
El conjunto de políticas específico "WLC TACACS Authentication" en este ejemplo filtra las solicitudes con una dirección IP igual a la dirección IP del WLC C9800 de ejemplo.
Como política de autenticación, se ha dejado la regla predeterminada porque satisface la necesidad del caso de uso. Se han establecido dos normas de autorización,
Una vez que se haya completado este paso, las credenciales configuradas para los usuarios adminuser y helpdesk se pueden utilizar para autenticar en el WLC a través de la GUI o con Telnet/SSH.
Para resolver problemas de acceso TACACS+ a la GUI o CLI del WLC, ejecute el comando debug tacacs, junto con el monitor de terminal uno y vea la salida en vivo cuando se realiza un intento de inicio de sesión.
Como ejemplo, un login exitoso seguido de un logout del usuario adminuser genera esta salida.
WLC-9800# terminal monitor
WLC-9800# debug tacacs
TACACS access control debugging is on
WLC-9800#
Dec 8 11:38:34.684: TPLUS: Queuing AAA Authentication request 15465 for processing
Dec 8 11:38:34.684: TPLUS(00003C69) login timer started 1020 sec timeout Dec 8 11:38:34.684: TPLUS: processing authentication start request id 15465 Dec 8 11:38:34.685: TPLUS: Authentication start packet created for 15465(adminuser) Dec 8 11:38:34.685: TPLUS: Using server 10.48.39.134 Dec 8 11:38:34.685: TPLUS(00003C69)/0/NB_WAIT/7FD29013CA68: Started 5 sec timeout Dec 8 11:38:34.687: TPLUS(00003C69)/0/NB_WAIT: socket event 2 Dec 8 11:38:34.688: TPLUS(00003C69)/0/NB_WAIT: wrote entire 45 bytes request Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: Would block while reading Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 15 bytes data) Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 27 bytes response Dec 8 11:38:34.701: TPLUS(00003C69)/0/7FD29013CA68: Processing the reply packet Dec 8 11:38:34.701: TPLUS: Received authen response status GET_PASSWORD (8) Dec 8 11:38:38.156: TPLUS: Queuing AAA Authentication request 15465 for processing Dec 8 11:38:38.156: TPLUS(00003C69) login timer started 1020 sec timeout Dec 8 11:38:38.156: TPLUS: processing authentication continue request id 15465 Dec 8 11:38:38.156: TPLUS: Authentication continue packet generated for 15465 Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE/7FD3796079D8: Started 5 sec timeout Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE: wrote entire 29 bytes request Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 6 bytes data) Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 18 bytes response Dec 8 11:38:38.183: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet Dec 8 11:38:38.183: TPLUS: Received authen response status PASS (2) Dec 8 11:38:38.184: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: adminuser] [Source: 10.61.80.151] [localport: 22] at 12:38:38 CET Thu Dec 8 2022 Dec 8 11:38:38.259: TPLUS: Queuing AAA Authorization request 15465 for processing Dec 8 11:38:38.260: TPLUS(00003C69) login timer started 1020 sec timeout Dec 8 11:38:38.260: TPLUS: processing authorization request id 15465 Dec 8 11:38:38.260: TPLUS: Protocol set to None .....Skipping Dec 8 11:38:38.260: TPLUS: Sending AV service=shell Dec 8 11:38:38.260: TPLUS: Sending AV cmd* Dec 8 11:38:38.260: TPLUS: Authorization request created for 15465(adminuser) Dec 8 11:38:38.260: TPLUS: using previously set server 10.48.39.134 from group TACACS-Group Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT/7FD3796079D8: Started 5 sec timeout Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: socket event 2 Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: wrote entire 64 bytes request Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: Would block while reading Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 18 bytes data) Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 30 bytes response Dec 8 11:38:38.285: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet Dec 8 11:38:38.285: TPLUS: Processed AV priv-lvl=15 Dec 8 11:38:38.285: TPLUS: received authorization response for 15465: PASS Dec 8 11:38:44.225: %SYS-6-LOGOUT: User adminuser has exited tty session 7(10.61.80.151) Dec 8 11:38:44.225:Socket I/O cleanup message sent to TACACS TPLUS Proc:SOCKET IO CLEANUP EVENT Dec 8 11:38:44.226: %HA_EM-6-LOG: catchall: logout Dec 8 11:39:18.689: %SYS-6-LOGOUT: User admin has exited tty session 5(10.61.80.151) Dec 8 11:39:18.690:Socket I/O cleanup message sent to TACACS TPLUS Proc:SOCKET IO CLEANUP EVENT
Se puede ver en estos registros que el servidor TACACS+ devuelve el privilegio correcto (que es AV priv-lvl=15).
Cuando realiza la autenticación RADIUS, en cambio, se muestra una salida de depuración similar, que concierne al tráfico RADIUS.
Los comandos debug aaa authentication
y debug aaa authorization
muestran en su lugar qué lista de métodos selecciona el WLC cuando el usuario intenta iniciar sesión.
Desde la página Operaciones → TACACS → Registros en vivo, se puede ver cada autenticación de usuario realizada con TACACS+ hasta las últimas 24 horas. Para gastar los detalles de una autorización o autenticación TACACS+, utilice el botón Details relacionado con este evento.
Cuando se utiliza, un intento de autenticación exitoso para el helpdeskuser tiene el siguiente aspecto:
A partir de esto, se puede ver que el usuario helpdeskuser se ha autenticado correctamente en el dispositivo de red WLC-9800 gracias a la política de autenticación WLC TACACS Authentication → Default. Además, el perfil de autorización IOS Helpdesk se ha asignado a este usuario y se le ha otorgado el nivel de privilegio 1.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
15-Nov-2021 |
Se agregó una nota sobre los niveles de privilegio y la interfaz de usuario web |
1.0 |
04-Jun-2019 |
Versión inicial |