Exemple de configuration de l'accès administrateur TACACS aux contrôleurs LAN sans fil d'accès convergé

Options de téléchargement

  • PDF     (1.2 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.3 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (537.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:20 mai 2014
ID du document:117711

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document fournit un exemple de configuration de Terminal Access Controller Access Control System Plus (TACACS+) dans un contrôleur LAN sans fil d'accès convergé Cisco (WLC) 5760/3850/3650 pour l'interface de ligne de commande et l'interface utilisateur graphique. Ce document fournit également quelques conseils de base pour dépanner la configuration.

TACACS+ est un protocole client/serveur qui fournit une sécurité centralisée aux utilisateurs qui tentent d'obtenir un accès de gestion à un routeur ou à un serveur d'accès au réseau. TACACS+ fournit les services AAA (Authentication, Authorization, and Accounting) suivants :

  • Authentification des utilisateurs qui tentent de se connecter à l’équipement réseau

  • Autorisation permettant de déterminer le niveau d'accès que les utilisateurs doivent avoir

  • Comptabilité permettant de suivre toutes les modifications apportées par l'utilisateur

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Comment configurer les WLC et les points d'accès légers (LAP) pour le fonctionnement de base
  • Méthodes de sécurité LWAPP (Lightweight Access Point Protocol) et sans fil
  • Connaissances de base de RADIUS et TACACS+
  • Connaissance de base de la configuration Cisco ACS

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • WLC 5760 qui exécute Cisco IOS® XE version 3.3.3
  • Access Control Server (ACS) 5.2

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configuration

Note: Utilisez l'Outil de recherche de commande (clients inscrits seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Configurations

Il s'agit d'un processus en deux étapes :

  • Configuration sur le WLC
  • Configuration sur le serveur RADIUS/TACACS

Configuration sur le WLC

  1. Définissez le serveur TACACS sur le WLC. Assurez-vous de configurer exactement le même secret partagé sur TACACS.
    tacacs-server host 10.106.73.71 key Cisco123
    tacacs server ACS
     address ipv4 10.106.102.50
     key Cisco123
     timeout 10
  2. Configurez les groupes de serveurs et mappez le serveur configuré à l'étape précédente.
    aaa group server tacacs+ ACS
     server name ACS
    !
  3. Configurez les stratégies d'authentification et d'autorisation pour l'accès administrateur. Dans ce cas, vous autorisez le groupe TACACS suivi de local, qui est le secours.
    aaa authentication login Admin_Access group ACS local

    aaa authorization exec Admin_Access group ACS local
  4. Appliquez la stratégie à la ligne vty et HTTP.
    line vty 0 4
     authorization exec Admin_Access
     login authentication Admin_Access
    line vty 5 15
     exec-timeout 0 0
     authorization exec Admin_Access
     login authentication Admin_Access
  5. Appliquez la même chose à HTTP.
    ip http server
    ip http authentication aaa login-authentication Admin_Access
    ip http authentication aaa exec-authorization Admin_Access

Configuration sur ACS

  1. Choisissez Network Resources > Network Devices and AAA Clients afin d'ajouter le WLC en tant que client AAA pour TACACS sur ACS. Assurez-vous que le secret partagé configuré ici correspond à celui configuré sur le WLC.

  2. Choisissez Utilisateurs et magasins d'identités > Banque d'identités internes > Utilisateurs afin de définir l'utilisateur pour l'accès administrateur.

  3. Choisissez Policy Elements > Authorization and Permissions > Device Administration > Shell Profiles afin de définir les niveaux de privilège à 15.

  4. Choisissez Access Policies > Access Services > Default Device Admin afin d'autoriser les protocoles requis.

  5. Choisissez Access Policies > Access Services > Default Device Admin > Identity afin de créer une identité pour l'administrateur de périphérique qui autorise les utilisateurs internes avec des options d'authentification.

  6. Choisissez Access Policies > Access Services > Default Device Admin > Authorization afin d'autoriser le profil d'autorisation Priv15 créé à l'étape 3. Ici, le client avec l'identité passée (utilisateurs internes) est placé sur le profil Priv15.

Vérification

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Ouvrez un navigateur et saisissez l'adresse IP du commutateur. L'invite Authentication Required s'affiche. Entrez les informations d'identification de l'utilisateur du groupe afin de vous connecter au périphérique.

Afin de vérifier l'accès Telnet/SSH, Telnet/SSH à l'adresse IP du commutateur et entrez les informations d'identification.

Ceci est affiché pour la journalisation ACS.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Note: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

Entrez la commande debug tacacs afin de dépanner votre configuration.

debug tacacs

*May 14 23:11:06.396: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:06.396: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:06.396: TPLUS: processing authentication continue request id 4775
*May 14 23:11:06.396: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
 16 bytes data)
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 28 bytes response
*May 14 23:11:06.398: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:06.398: TPLUS: Received authen response status GET_PASSWORD (8)
*May 14 23:11:08.680: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:08.680: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.680: TPLUS: processing authentication continue request id 4775
*May 14 23:11:08.680: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
 6 bytes data)
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 18 bytes response
*May 14 23:11:08.687: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:08.687: TPLUS: Received authen response status PASS (2)
*May 14 23:11:08.687: TPLUS: Queuing AAA Authorization request 4775 for processing
*May 14 23:11:08.687: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.687: TPLUS: processing authorization request id 4775
*May 14 23:11:08.687: TPLUS: Protocol set to None .....Skipping
*May 14 23:11:08.687: TPLUS: Sending AV service=shell
*May 14 23:11:08.687: TPLUS: Sending AV cmd*
*May 14 23:11:08.687: TPLUS: Authorization request created for 4775(surbg123)
*May 14 23:11:08.687: TPLUS: using previously set server 10.106.102.50 from
 group SURBG_ACS
*May 14 23:11:08.688: TPLUS(000012A7)/0/NB_WAIT/93C63F04: Started 10 sec timeout
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: socket event 2
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: wrote entire 61 bytes request
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: Would block while reading
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
 18 bytes data)
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 30 bytes response
*May 14 23:11:08.696: TPLUS(000012A7)/0/93C63F04: Processing the reply packet
*May 14 23:11:08.696: TPLUS: Processed AV priv-lvl=15
*May 14 23:11:08.696: TPLUS: received authorization response for 4775: PASS

Historique de révision

Révision Date de publication Commentaires
1.0
20-May-2014
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Surendra BG
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits