WLC - Configurer l'authentification RADIUS pour les utilisateurs de gestion

Options de téléchargement

PDF (619.6 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (632.4 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (835.2 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:5 novembre 2012

ID du document:71989

Langage sans préjugés

Dans la documentation de ce produit, les auteurs s‘efforcent d‘utiliser un langage exempt de préjugés. Aux fins de cet ensemble de documents, l’expression « sans préjugés » est définie comme un langage sans discrimination fondée sur l’âge, le handicap, le sexe, l’identité raciale, l’identité ethnique, l’orientation sexuelle, la situation socio-économique et l’intersectionnalité. Des exceptions peuvent être présentes dans la documentation en raison de la langue codée en dur dans les interfaces utilisateur du logiciel du produit, de la langue utilisée en fonction de la documentation de l’appel d’offres ou de la langue utilisée par un produit tiers référencé. En savoir plus sur la façon dont Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Contenu

Introduction

Conditions préalables

Conditions requises

Components Used

Conventions

Configuration

Diagramme du réseau

Configurations

Configuration WLC

Configuration de Cisco Secure ACS

Gérez le WLC localement ainsi que via le serveur RADIUS

Vérification

Dépannage

Informations connexes

Introduction

Ce document explique comment configurer un contrôleur de réseau local sans fil (WLC) et un serveur de contrôle d'accès (Cisco Secure ACS) de sorte que le serveur d'AAA puisse authentifier des utilisateurs gestionnairs sur le contrôleur. Le document explique également comment les différents utilisateurs gestionnaires peuvent recevoir différents privilèges en utilisant les attributs spécifiques du fournisseur (VSA) retournés du serveur Cisco Secure ACS RADIUS.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

Connaissance de la configuration des paramètres de base sur les WLC
Connaissance de la configuration d'un serveur RADIUS tel que Cisco Secure ACS

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

Contrôleur LAN sans fil Cisco 4400 qui exécute la version 7.0.216.0
Cisco Secure ACS qui exécute le logiciel version 4.1 et est utilisé comme serveur RADIUS dans cette configuration.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration

Dans cette section, vous trouverez les informations sur la façon de configurer le WLC et l'ACS pour l'objectif décrit dans ce document.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Cet exemple de configuration utilise les paramètres suivants :

Adresse IP du Cisco Secure ACS —172.16.1.1/255.255.0.0
Adresse IP de l'interface de gestion du contrôleur—172.16.1.30/255.255.0.0
Clé secrète partagée utilisée sur le point d’accès (AP) et le serveur RADIUS : asdf1234
Voici les informations d'identification des deux utilisateurs que cet exemple configure sur ACS :
- Nom d'utilisateur - acsreadwrite
  
  Mot de passe - acsreadwrite
- Nom d'utilisateur - acsreadonly
  
  Mot de passe - acsreadonly

Vous devez configurer le WLC et Cisco Secure Cisco Secure ACS afin de :

Tout utilisateur qui se connecte au WLC avec le nom d'utilisateur et le mot de passe comme acsreadwrite bénéficie d'un accès administratif complet au WLC.
Tout utilisateur qui se connecte au WLC avec le nom d'utilisateur et le mot de passe comme acsreadonly a un accès en lecture seule au WLC.

Configurations

Ce document utilise les configurations suivantes :

Configuration WLC
Configuration de Cisco Secure ACS

Configuration WLC

Configurer le WLC pour accepter la gestion via le serveur Cisco Secure ACS

Complétez ces étapes afin de configurer le WLC de sorte qu'il puisse communiquer avec le serveur RADIUS.

Dans l'interface utilisateur graphique du WLC, cliquez sur Security. Dans le menu de gauche, cliquez sur RADIUS > Authentication. La page RADIUS Authentication servers apparaît. Pour ajouter un nouveau serveur RADIUS, cliquez sur Nouveau. Dans la page RADIUS Authentication Servers > New, saisissez les paramètres spécifiques au serveur RADIUS. Voici un exemple.
Activez la case d'option Management afin de permettre au serveur RADIUS d'authentifier les utilisateurs qui se connectent au WLC.

Remarque : assurez-vous que le secret partagé configuré sur cette page correspond au secret partagé configuré sur le serveur RADIUS. C'est seulement alors que le WLC peut communiquer avec le serveur RADIUS.
Vérifiez si le WLC est configuré pour être géré par Cisco Secure ACS. Pour ce faire, cliquez sur Sécurité à partir de l'interface graphique du WLC. La fenêtre de l'interface utilisateur graphique qui en résulte s'affiche comme dans cet exemple.

Vous pouvez voir que la case Management est activée pour le serveur RADIUS 172.16.1.1. Ceci montre qu'ACS est autorisé à authentifier les utilisateurs de gestion sur le WLC.

Configuration de Cisco Secure ACS

Complétez les étapes de ces sections afin de configurer ACS :

Ajoutez le WLC en tant que client AAA au serveur RADIUS.
Configurez les utilisateurs et leurs attributs RADIUS IETF appropriés.
Configurer un utilisateur avec un accès en lecture/écriture.
Configurer un utilisateur avec un accès en lecture seule.

Ajouter le WLC en tant que client AAA au serveur RADIUS

Complétez ces étapes afin d'ajouter le WLC en tant que client AAA dans Cisco Secure ACS.

Dans l'interface graphique ACS, cliquez sur Network Configuration.
Sous Clients AAA, cliquez sur Ajouter une entrée.
Dans la fenêtre Add AAA Client, saisissez le nom d'hôte du WLC, l'adresse IP du WLC et une clé secrète partagée.

Dans cet exemple, voici les paramètres :
- Le nom d'hôte du client AAA est WLC-4400
- 172.16.1.30/16 est l'adresse IP du client AAA, qui, dans ce cas, est le WLC.
- La clé secrète partagée est « asdf1234 ».
Cette clé secrète partagée doit être identique à la clé secrète partagée que vous configurez sur le WLC.
Dans le menu déroulant Authentifier à l'aide, sélectionnez RADIUS (Cisco Airespace).
Cliquez sur Soumettre + Redémarrer afin d'enregistrer la configuration.

Configurer les utilisateurs et leurs attributs RADIUS IETF appropriés

Afin d'authentifier un utilisateur via un serveur RADIUS, pour la connexion et la gestion du contrôleur, vous devez ajouter l'utilisateur à la base de données RADIUS avec l'attribut Service-Type RADIUS IETF défini sur la valeur appropriée en fonction des privilèges de l'utilisateur.

Afin de définir des privilèges de lecture-écriture pour l'utilisateur, affectez à l'attribut Service-Type la valeur Administrative.
Afin de définir des privilèges en lecture seule pour l'utilisateur, définissez l'attribut Service-Type sur NAS-Prompt.

Configurer un utilisateur avec accès en lecture/écriture

Le premier exemple montre la configuration d'un utilisateur ayant un accès complet au WLC. Lorsque cet utilisateur tente de se connecter au contrôleur, le serveur RADIUS s'authentifie et fournit à cet utilisateur un accès administratif complet.

Dans cet exemple, le nom d'utilisateur et le mot de passe sont acsreadwrite.

Suivez ces étapes sur Cisco Secure ACS.

Dans l'interface graphique ACS, cliquez sur User Setup.
Tapez le nom d'utilisateur à ajouter à ACS comme le montre cet exemple de fenêtre.
Cliquez sur Ajouter/Modifier afin d'accéder à la page Modifier l'utilisateur.
Dans la page User Edit, indiquez le nom réel, la description et le mot de passe de cet utilisateur.
Faites défiler jusqu'au paramètre IETF RADIUS Attributes et cochez Service-Type Attribute.
Dans cet exemple, l'utilisateur acsreadwrite doit avoir un accès complet, choisissez Administrative pour le menu déroulant Service-Type et cliquez sur Submit.

Cela garantit que cet utilisateur particulier dispose d'un accès en lecture-écriture au WLC.

Parfois, cet attribut Service-Type n'est pas visible sous les paramètres utilisateur. Dans de tels cas, complétez ces étapes afin de le rendre visible.

Dans l'interface graphique ACS, sélectionnez Interface Configuration > RADIUS (IETF) afin d'activer les attributs IETF dans la fenêtre User Configuration.

Vous accédez ainsi à la page Paramètres RADIUS (IETF).
Dans la page Paramètres RADIUS (IETF), vous pouvez activer l'attribut IETF qui doit être visible sous les paramètres utilisateur ou groupe. Pour cette configuration, cochez Service-Type pour la colonne User et cliquez sur Submit. Cette fenêtre présente un exemple.

Remarque : Cet exemple spécifie l'authentification par utilisateur. Vous pouvez également effectuer l'authentification en fonction du groupe auquel appartient un utilisateur particulier. Dans de tels cas, activez la case à cocher Groupe afin que cet attribut soit visible sous les paramètres de groupe.

Remarque : En outre, si l'authentification est basée sur un groupe, vous devez affecter des utilisateurs à un groupe particulier et configurer les attributs IETF du paramètre de groupe pour fournir des privilèges d'accès aux utilisateurs de ce groupe. Référez-vous à Gestion de groupe pour des informations détaillées sur la façon de configurer et de gérer des groupes.

Configurer un utilisateur avec un accès en lecture seule

Cet exemple montre la configuration d'un utilisateur avec un accès en lecture seule au WLC. Lorsque cet utilisateur tente de se connecter au contrôleur, le serveur RADIUS s'authentifie et fournit à cet utilisateur un accès en lecture seule.

Dans cet exemple, le nom d'utilisateur et le mot de passe sont en lecture seule.

Suivez ces étapes sur Cisco Secure ACS :

Dans l'interface graphique ACS, cliquez sur User Setup.
Tapez le nom d'utilisateur que vous voulez ajouter à ACS et cliquez sur Ajouter/Modifier afin d'accéder à la page Modifier l'utilisateur.
Fournissez le vrai nom, la description et le mot de passe de cet utilisateur. Cette fenêtre présente un exemple.
Faites défiler jusqu'au paramètre IETF RADIUS Attributes et cochez Service-Type Attribute.
Dans cet exemple, l'utilisateur acsreadonly devant disposer d'un accès en lecture seule, choisissez Invite NAS dans le menu déroulant Service-Type et cliquez sur Soumettre.

Cela garantit que cet utilisateur particulier dispose d'un accès en lecture seule au WLC.

Gérez le WLC localement ainsi que via le serveur RADIUS

Vous pouvez également configurer les utilisateurs de gestion localement sur le WLC. Cela peut être fait à partir de l'interface graphique du contrôleur, sous Management > Local Management Users.

Supposons que le WLC est configuré avec des utilisateurs de gestion, tant localement que dans le serveur RADIUS, avec la case Management activée. Dans un tel scénario, par défaut, lorsqu'un utilisateur tente de se connecter au WLC, le WLC se comporte de la manière suivante :

Le WLC commence par examiner les utilisateurs de gestion locaux définis pour valider l'utilisateur. Si l'utilisateur existe dans sa liste locale, il autorise l'authentification de cet utilisateur. Si cet utilisateur n'apparaît pas localement, il recherche le serveur RADIUS.
Si le même utilisateur existe à la fois localement et dans le serveur RADIUS mais avec des privilèges d'accès différents, alors le WLC authentifie l'utilisateur avec les privilèges spécifiés localement. En d'autres termes, la configuration locale sur le WLC est toujours prioritaire par rapport au serveur RADIUS.

L'ordre d'authentification des utilisateurs de gestion peut être modifié sur le WLC. Pour ce faire, à partir de la page Sécurité du WLC, cliquez sur Ordre de priorité > Utilisateur de gestion. À partir de cette page, vous pouvez spécifier l'ordre d'authentification. Voici un exemple.

Remarque : si LOCAL est sélectionné comme deuxième priorité, l'utilisateur sera authentifié à l'aide de cette méthode uniquement si la méthode définie comme première priorité (RADIUS/TACACS) est inaccessible.

Vérification

Afin de vérifier si votre configuration fonctionne correctement, accédez au WLC via le mode CLI ou GUI (HTTP/HTTPS). Lorsque l'invite de connexion apparaît, tapez le nom d'utilisateur et le mot de passe configurés sur Cisco Secure ACS.

Si les configurations sont correctes, vous êtes authentifié avec succès dans le WLC.

Vous pouvez également vous assurer que l'utilisateur authentifié bénéficie des restrictions d'accès spécifiées par ACS. Pour ce faire, accédez à l'interface graphique du WLC via HTTP/HTTPS (assurez-vous que le WLC est configuré pour autoriser HTTP/HTTPS).

Un utilisateur disposant d'un accès en lecture-écriture défini dans l'ACS dispose de plusieurs privilèges configurables dans le WLC. Par exemple, un utilisateur en lecture-écriture a le privilège de créer un nouveau WLAN sous la page WLAN du WLC. Cette fenêtre présente un exemple.

Lorsqu'un utilisateur disposant de privilèges de lecture seule tente de modifier la configuration sur le contrôleur, l'utilisateur voit ce message.

Ces restrictions d'accès peuvent également être vérifiées via l'interface de ligne de commande du WLC. La sortie ci-dessous est un exemple.

(Cisco Controller) >?

debug          Manages system debug options.
help           Help
linktest       Perform a link test to a specified MAC address.
logout         Exit this session. Any unsaved changes are lost.
show           Display switch options and settings.

(Cisco Controller) >config

Incorrect usage.  Use the '?' or <TAB> key to list commands.

Comme le montre cet exemple, a ? sur l'interface de ligne de commande du contrôleur affiche la liste des commandes disponibles pour l'utilisateur actuel. Notez également que la commande config n'est pas disponible dans cet exemple de sortie. Ceci illustre qu'un utilisateur en lecture seule n'a pas le privilège d'effectuer des configurations sur le WLC. En revanche, un utilisateur en lecture-écriture dispose des privilèges nécessaires pour effectuer des configurations sur le contrôleur (en mode GUI et CLI).

Remarque : Même après avoir authentifié un utilisateur WLC via le serveur RADIUS, lorsque vous naviguez d'une page à l'autre, le serveur HTTP[S] authentifie toujours entièrement le client à chaque fois. La seule raison pour laquelle vous n'êtes pas invité à vous authentifier sur chaque page est que votre navigateur met en cache et relit vos informations d'identification.

Dépannage

Dans certaines circonstances, un contrôleur authentifie les utilisateurs de gestion via ACS, l'authentification se termine correctement (access-accept) et aucune erreur d'autorisation n'apparaît sur le contrôleur. Mais l'utilisateur est invité à nouveau à s'authentifier.

Dans de tels cas, vous ne pouvez pas interpréter ce qui est faux et pourquoi l'utilisateur ne peut pas se connecter au WLC en utilisant simplement la commande debug aaa events enable. Au lieu de cela, le contrôleur affiche une autre invite d'authentification.

Une raison possible est que l'ACS n'est pas configuré pour transmettre l'attribut Service-Type pour cet utilisateur ou ce groupe particulier, même si le nom d'utilisateur et le mot de passe sont correctement configurés sur l'ACS.

La sortie de la commande debug aaa events enable n'indique pas qu'un utilisateur ne possède pas les attributs requis (par exemple, l'attribut Service-Type) même si un access-accept est renvoyé à partir du serveur AAA. Cet exemple de sortie de commande debug aaa events enable montre un exemple.

 (Cisco Controller) >debug aaa events enable



Mon Aug 13 20:14:33 2011: AuthenticationRequest: 0xa449a8c

Mon Aug 13 20:14:33 2011: Callback.....................................0x8250c40

Mon Aug 13 20:14:33 2011: protocolType.................................0x00020001

Mon Aug 13 20:14:33 2011: proxyState......................1A:00:00:00:00:00-00:00

Mon Aug 13 20:14:33 2011: Packet contains 5 AVPs (not shown)

Mon Aug 13 20:14:33 2011: 1a:00:00:00:00:00 Successful transmission of 
Authentication Packet (id 8) to 172.16.1.1:1812, proxy state 
1a:00:00:00:00:00-00:00

Mon Aug 13 20:14:33 2011: ****Enter processIncomingMessages: response code=2

Mon Aug 13 20:14:33 2011: ****Enter processRadiusResponse: response code=2

Mon Aug 13 20:14:33 2011: 1a:00:00:00:00:00 Access-Accept 
received from RADIUS server 172.16.1.1 for mobile 1a:00:00:00:00:00 receiveId = 0

Mon Aug 13 20:14:33 2011: AuthorizationResponse: 0x9802520

Mon Aug 13 20:14:33 2011: structureSize................................28

Mon Aug 13 20:14:33 2011: resultCode...................................0

Mon Aug 13 20:14:33 2011: protocolUsed.................................0x00000001

Mon Aug 13 20:14:33 2011: proxyState.......................1A:00:00:00:00:00-00:00

Mon Aug 13 20:14:33 2011: Packet contains 0 AVPs:

Dans ce premier exemple, la sortie de commande debug aaa events enable indique que Access-Accept a bien été reçu du serveur RADIUS mais que l'attribut Service-Type n'est pas transmis au WLC. Ceci est dû au fait que l'utilisateur particulier n'est pas configuré avec cet attribut sur l'ACS.

Cisco Secure ACS doit être configuré pour renvoyer l'attribut Service-Type après authentification de l'utilisateur. La valeur de l'attribut Service-Type doit être définie sur Administrative ou NAS-Prompt en fonction des privilèges utilisateur.

Ce deuxième exemple montre la sortie de la commande debug aaa events enable à nouveau. Cependant, cette fois, l'attribut Service-Type est défini sur Administrative sur ACS.

(Cisco Controller)>debug aaa events enable



Mon Aug 13 20:17:02 2011: AuthenticationRequest: 0xa449f1c

Mon Aug 13 20:17:02 2011: Callback.....................................0x8250c40

Mon Aug 13 20:17:02 2011: protocolType.................................0x00020001

Mon Aug 13 20:17:02 2011: proxyState.......................1D:00:00:00:00:00-00:00

Mon Aug 13 20:17:02 2011: Packet contains 5 AVPs (not shown)

Mon Aug 13 20:17:02 2011: 1d:00:00:00:00:00 Successful transmission of 
Authentication Packet (id 11) to 172.16.1.1:1812, proxy state 
1d:00:00:00:00:00-00:00

Mon Aug 13 20:17:02 2011: ****Enter processIncomingMessages: response code=2

Mon Aug 13 20:17:02 2011: ****Enter processRadiusResponse: response code=2

Mon Aug 13 20:17:02 2011: 1d:00:00:00:00:00 Access-Accept received 
from RADIUS server 172.16.1.1 for mobile 1d:00:00:00:00:00 receiveId = 0

Mon Aug 13 20:17:02 2011: AuthorizationResponse: 0x9802520

Mon Aug 13 20:17:02 2011: structureSize................................100

Mon Aug 13 20:17:02 2011: resultCode...................................0

Mon Aug 13 20:17:02 2011: protocolUsed.................................0x00000001

Mon Aug 13 20:17:02 2011: proxyState.......................1D:00:00:00:00:00-00:00

Mon Aug 13 20:17:02 2011: Packet contains 2 AVPs:

Mon Aug 13 20:17:02 2011: AVP[01] Service-Type...........0x00000006 (6) (4 bytes)

Mon Aug 13 20:17:02 2011: AVP[02] Class.........
CISCOACS:000d1b9f/ac100128/acsserver (36 bytes)

Vous pouvez voir dans cet exemple de sortie que l'attribut Service-Type est transmis au WLC.