Ce document fournit un exemple de configuration pour l'authentification de l'administrateur HTTP sur le point d'accès (AP) version 1.01.
Aucune exigence spécifique n'est associée à ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Access Control Server (ACS) versions 2.6.4 et ultérieures
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.
Il n'y a aucune option pour configurer la comptabilité TACACS+ ou RADIUS ou l'autorisation de commande pour les sessions EXEC dans l'interface utilisateur graphique. Ces options peuvent être configurées dans l'interface de ligne de commande, mais ne sont pas recommandées. Si vous configurez ces options, elles peuvent sérieusement encombrer l'AP et l'ACS avec des demandes de comptabilisation ou d'autorisation (chaque élément de chaque page doit être comptabilisé ou autorisé).
Complétez ces étapes pour configurer l'interface :
Dans TACACS+ (Cisco IOS), sélectionnez la zone de groupe pour le premier champ de nouveau service non défini.
Dans le champ Service, saisissez Aironet.
Dans le champ Protocol, saisissez Shell.
Dans Options de configuration avancées, choisissez Fonctionnalités TACACS+ avancées > Afficher une fenêtre pour chaque service sélectionné.
Cliquez sur Submit.
Complétez ces étapes pour configurer l'utilisateur :
Dans Advanced TACACS+ Settings, sélectionnez Shell (exec).
Sélectionnez Niveau de privilège.
Dans le champ, saisissez 15.
Cliquez sur Submit.
Complétez ces étapes pour configurer le groupe :
Sélectionnez TACACS+.
Choisissez Coque Aironet > Attributs personnalisés.
Dans le champ Attributs personnalisés, entrez aironet : admin-capability=write+ident+firmware+admin+snmp.
Cliquez sur Submit.
Redémarrez.
Procédez comme suit pour configurer le réseau :
Créez un NAS pour l'AP en utilisant TACACS+ comme protocole.
La clé est le secret partagé de l'AP.
Cliquez sur Submit.
Redémarrez.
Remarque : si vous utilisez un serveur de jetons avec un mot de passe à usage unique, vous devez configurer la mise en cache des jetons afin d'éviter d'être constamment invité à saisir des mots de passe de niveau 1 et de niveau 15. Complétez ces étapes pour configurer la mise en cache des jetons :
Saisissez la configuration du groupe auquel vos utilisateurs admin appartiennent.
Sélectionnez Token Card Settings.
Sélectionnez Durée.
Choisissez une durée qui concilie vos besoins en matière de sécurité et de commodité.
Si votre session d'administration dure généralement cinq minutes ou moins, une durée de cinq minutes est préférable. Si votre session dure plus de cinq minutes, vous êtes de nouveau invité à saisir votre mot de passe toutes les cinq minutes. Notez que l'option Session ne fonctionne pas si la gestion des comptes est activée. Notez également que la mise en cache des jetons est active pour tous les utilisateurs du groupe et pour toutes les sessions du groupe avec tous les périphériques (pas seulement les sessions EXEC vers le point d'accès).
Procédez comme suit :
Choisissez Setup > Security > User Information > Add New User.
Ajouter un nouvel utilisateur avec des fonctionnalités d'administration complètes (tous les paramètres de fonctionnalité sont cochés).
Cliquez sur Précédent. Vous revenez à la page Configuration de la sécurité.
Cliquez sur Gestionnaire des utilisateurs. La page User Manager Setup s'affiche.
Activer le Gestionnaire des utilisateurs.
Click OK.
Procédez comme suit :
Choisissez Setup > Security > Authentication Server.
Saisissez l'adresse IP du serveur TACACS+.
Sélectionnez le type de serveur TACACS.
Dans le champ, saisissez port 49.
Dans le champ, saisissez secret partagé.
Cochez la case Authentification utilisateur.
Complétez ces étapes pour configurer le point d'accès pour IOS :
Choisissez Security > Server Manager.
Choisissez un serveur TACACS+ configuré ou configurez-en un nouveau.
Cliquez sur Apply.
Sélectionnez l'adresse IP du serveur TACACS+ dans la liste déroulante Admin Authentication (TACACS+).
Cliquez sur Apply.
Choisissez Security > Admin Access.
Créez un utilisateur local disposant d'un accès en lecture/écriture (si ce n'est déjà fait).
Cliquez sur Apply.
Sélectionnez Serveur d'authentification uniquement ou Serveur d'authentification (si ce dernier est introuvable dans la liste locale).
Cliquez sur Apply.
Aucune procédure de vérification n'est disponible pour cette configuration.
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
22-Feb-2005 |
Première publication |