Guest

Accès administrateur TACACS à l'exemple Sans fil convergé de configuration de contrôleurs LAN d'Access

Options de téléchargement

  • PDF     (88.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
  • ePub     (84.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (79.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:20 mai 2014
ID du document:117711
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document fournit un exemple de configuration du Terminal Access Controller Access Control System Plus (TACACS+) dans un contrôleur LAN Sans fil d'Access convergé par Cisco (WLC) 5760/3850/3650 pour le CLI et le GUI. Ce document fournit également quelques conseils de base pour dépanner la configuration.

TACACS+ est un protocole de client/serveur qui fournit la Sécurité centralisée pour les utilisateurs qui tentent de gagner l'accès de Gestion à un routeur ou à un serveur d'accès à distance. TACACS+ fournit ces services d'Authentification, autorisation et comptabilité (AAA) :

  • Authentification des utilisateurs qui tentent d'ouvrir une session à l'équipement réseau

  • Autorisation de déterminer ce que les utilisateurs de niveau d'accès devraient avoir

  • La comptabilité pour maintenir toutes les modifications l'utilisateur fait

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Comment configurer WLCs et Point d'accès léger (recouvrements) pour le fonctionnement de base
  • Point d'accès léger Protocol (LWAPP) et méthodes de sécurité sans fil
  • Connaissance de base du RAYON et du TACACS+
  • Connaissance de base de configuration de Cisco ACS

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • WLC 5760 qui exécute la version 3.3.3 du Cisco IOS® XE
  • Serveur de contrôle d'accès (ACS) 5.2

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Configurations

C'est un processus en deux étapes :

  • Configuration sur le WLC
  • Configuration sur le serveur RADIUS/TACACS

Configuration sur le WLC

  1. Définissez le serveur TACACS sur le WLC. Assurez que vous configurez le précis mêmes secret partagé sur le TACACS.
    tacacs-server host 10.106.73.71 key Cisco123
    tacacs server ACS
     address ipv4 10.106.102.50
     key Cisco123
     timeout 10
  2. Configurez les groupes de serveurs et tracez le serveur configuré dans l'étape précédente.
    aaa group server tacacs+ ACS
     server name ACS
    !
  3. Configurez l'authentification et les stratégies d'autorisation pour l'accès administrateur. En cela, vous laissez le groupe TACACS suivi des gens du pays qui sont le retour.
    aaa authentication login Admin_Access group ACS local

    aaa authorization exec Admin_Access group ACS local
  4. Appliquez-vous la stratégie au line vty et au HTTP.
    line vty 0 4
     authorization exec Admin_Access
     login authentication Admin_Access
    line vty 5 15
     exec-timeout 0 0
     authorization exec Admin_Access
     login authentication Admin_Access
  5. Appliquez-vous la même chose au HTTP.
    ip http server
    ip http authentication aaa login-authentication Admin_Access
    ip http authentication aaa exec-authorization Admin_Access

Configuration sur l'ACS

  1. Choisissez les ressources de réseau > les périphériques de réseau et les clients d'AAA afin d'ajouter le WLC en tant que client d'AAA pour TACACS sur l'ACS. Assurez que le secret partagé configuré ici apparie celui configuré sur le WLC.

  2. Choisissez les utilisateurs et l'identité enregistre > identité interne enregistre > des utilisateurs afin de définir l'utilisateur pour l'accès administrateur.

  3. Des profils choisissez les éléments de stratégie > l'autorisation et les autorisations > de périphérique gestion > shell afin de placer les niveaux de privilège à 15.

  4. Choisissez les stratégies d'Access > les services d'accès > l'admin de périphérique de par défaut afin de permettre les protocoles requis.

  5. Choisissez les stratégies d'Access > les services d'accès > l'admin > l'identité de périphérique de par défaut afin de créer une identité pour l'administrateur de périphérique qui permet des utilisateurs internes avec des options d'authentification.

  6. Choisissez les stratégies d'Access > les services d'accès > l'admin > l'autorisation de périphérique de par défaut afin de permettre le profil de l'autorisation Priv15 créé dans l'étape 3. Ici le client avec l'identité passée (utilisateurs internes) est mis sur le profil Priv15.

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Ouvrez un navigateur et écrivez l'adresse IP de commutateur. Les affichages de demande requis par authentification. Écrivez les identifiants utilisateurs de groupe afin d'ouvrir une session au périphérique.

Afin de vérifier l'accès Telnet/SSH, Telnet/SSH à l'adresse IP de commutateur et entrer dans les qualifications.

Ceci est affiché pour se connecter ACS.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

Entrez dans le debug tacacs commandent afin de dépanner votre configuration.

debug tacacs

*May 14 23:11:06.396: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:06.396: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:06.396: TPLUS: processing authentication continue request id 4775
*May 14 23:11:06.396: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
 16 bytes data)
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 28 bytes response
*May 14 23:11:06.398: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:06.398: TPLUS: Received authen response status GET_PASSWORD (8)
*May 14 23:11:08.680: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:08.680: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.680: TPLUS: processing authentication continue request id 4775
*May 14 23:11:08.680: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
 6 bytes data)
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 18 bytes response
*May 14 23:11:08.687: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:08.687: TPLUS: Received authen response status PASS (2)
*May 14 23:11:08.687: TPLUS: Queuing AAA Authorization request 4775 for processing
*May 14 23:11:08.687: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.687: TPLUS: processing authorization request id 4775
*May 14 23:11:08.687: TPLUS: Protocol set to None .....Skipping
*May 14 23:11:08.687: TPLUS: Sending AV service=shell
*May 14 23:11:08.687: TPLUS: Sending AV cmd*
*May 14 23:11:08.687: TPLUS: Authorization request created for 4775(surbg123)
*May 14 23:11:08.687: TPLUS: using previously set server 10.106.102.50 from
 group SURBG_ACS
*May 14 23:11:08.688: TPLUS(000012A7)/0/NB_WAIT/93C63F04: Started 10 sec timeout
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: socket event 2
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: wrote entire 61 bytes request
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: Would block while reading
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
 18 bytes data)
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 30 bytes response
*May 14 23:11:08.696: TPLUS(000012A7)/0/93C63F04: Processing the reply packet
*May 14 23:11:08.696: TPLUS: Processed AV priv-lvl=15
*May 14 23:11:08.696: TPLUS: received authorization response for 4775: PASS
TAC Authored

Contribution d’experts de Cisco

  • Surendra BG
    Cisco TAC Engineer.

Ce document vous est-il utile?

Commentaires

Laissez-nous vous aider

Ce document s’applique à ces produits