Ce document explique les étapes de configuration nécessaires pour authentifier un administrateur du hall d'entrée du contrôleur LAN sans fil (WLC) avec un serveur RADIUS.
Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :
Connaissance de la configuration des paramètres de base sur les WLC
Connaissance de la configuration d'un serveur RADIUS, tel que Cisco Secure ACS
Connaissance des utilisateurs invités dans le WLC
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Contrôleur LAN sans fil Cisco 4400 qui exécute la version 7.0.216.0
Cisco Secure ACS qui exécute le logiciel version 4.1 et est utilisé comme serveur RADIUS dans cette configuration.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Un administrateur de hall, également appelé ambassadeur de hall d'entrée d'un WLC, peut créer et gérer des comptes d'utilisateurs invités sur le contrôleur de réseau local sans fil (WLC). L'ambassadeur du hall d'entrée dispose de privilèges de configuration limités et ne peut accéder qu'aux pages Web utilisées pour gérer les comptes d'invité. L'ambassadeur du hall d'entrée peut spécifier la durée pendant laquelle les comptes d'utilisateurs invités restent actifs. Après l'expiration du délai spécifié, les comptes d'utilisateur invité expirent automatiquement.
Reportez-vous au Guide de déploiement : Accès invité Cisco à l'aide du contrôleur de réseau local sans fil Cisco pour plus d'informations sur les utilisateurs invités.
Afin de créer un compte d'utilisateur invité sur le WLC, vous devez vous connecter au contrôleur en tant qu'administrateur de hall d'entrée. Ce document explique comment un utilisateur est authentifié dans le WLC en tant qu'administrateur de hall d'entrée en fonction des attributs retournés par le serveur RADIUS.
Remarque : L'authentification de l'administrateur du hall d'entrée peut également être effectuée en fonction du compte administrateur du hall configuré localement sur le WLC. Reportez-vous à Création d'un compte Lobby Ambassador pour plus d'informations sur la création d'un compte administrateur de hall localement sur un contrôleur.
Dans cette section, vous trouverez les informations sur la façon de configurer le WLC et Cisco Secure ACS pour l'objectif décrit dans ce document.
Ce document utilise les configurations suivantes :
L'adresse IP de l'interface de gestion du WLC est 10.77.244.212/27.
L'adresse IP du serveur RADIUS est 10.77.244.197/27.
La clé secrète partagée utilisée sur le point d’accès (AP) et le serveur RADIUS est cisco123.
Le nom d'utilisateur et le mot de passe de l'administrateur du hall configuré dans le serveur RADIUS sont tous deux lobbyadmin.
Dans l'exemple de configuration de ce document, tout utilisateur se connectant au contrôleur avec un nom d'utilisateur et un mot de passe comme lobbyadmin se voit attribuer le rôle d'administrateur de hall.
Avant de démarrer la configuration WLC nécessaire, assurez-vous que votre contrôleur exécute la version 4.0.206.0 ou ultérieure. Ceci est dû au bogue Cisco ID CSCsg89868 (clients enregistrés uniquement) dans lequel l'interface Web du contrôleur affiche des pages Web incorrectes pour l'utilisateur LobbyAdmin lorsque le nom d'utilisateur est stocké dans une base de données RADIUS. LobbyAdmin est présenté avec l'interface ReadOnly au lieu de l'interface LobbyAdmin.
Ce bogue a été résolu dans WLC version 4.0.206.0. Par conséquent, assurez-vous que votre version de contrôleur est 4.0.206.0 ou ultérieure. Référez-vous à Mise à niveau logicielle du contrôleur de réseau local sans fil (WLC) pour obtenir des instructions sur la mise à niveau de votre contrôleur vers la version appropriée.
Afin d'exécuter l'authentification de gestion du contrôleur avec le serveur RADIUS, assurez-vous que l'indicateur Admin-auth-via-RADIUS est activé sur le contrôleur. Ceci peut être vérifié à partir de la sortie de commande show radius summary.
La première étape consiste à configurer les informations du serveur RADIUS sur le contrôleur et à établir l'accessibilité de couche 3 entre le contrôleur et le serveur RADIUS.
Complétez ces étapes afin de configurer le WLC avec des détails sur l'ACS :
Dans l'interface graphique du WLC, sélectionnez l'onglet Sécurité et configurez l'adresse IP et le secret partagé du serveur ACS.
Ce secret partagé doit être le même sur l'ACS pour que le WLC puisse communiquer avec l'ACS.
Remarque : Le secret partagé ACS est sensible à la casse. Par conséquent, assurez-vous de saisir correctement les informations secrètes partagées.
Cette figure illustre un exemple :
Cochez la case Gestion afin de permettre à ACS de gérer les utilisateurs du WLC comme indiqué dans la figure de l'étape 1. Cliquez ensuite sur Apply.
Vérifiez l'accessibilité de la couche 3 entre le contrôleur et le serveur RADIUS configuré à l'aide de la commande ping. Cette option ping est également disponible sur la page du serveur RADIUS configuré dans l'interface graphique du WLC dans l'onglet Security>RADIUS Authentication.
Ce schéma montre une réponse ping réussie du serveur RADIUS. Par conséquent, l'accessibilité de couche 3 est disponible entre le contrôleur et le serveur RADIUS.
Complétez les étapes de ces sections afin de configurer le serveur RADIUS :
Complétez ces étapes afin d'ajouter le WLC en tant que client AAA dans le serveur RADIUS. Comme mentionné précédemment, ce document utilise ACS comme serveur RADIUS. Vous pouvez utiliser n'importe quel serveur RADIUS pour cette configuration.
Complétez ces étapes afin d'ajouter le WLC en tant que client AAA dans ACS :
Dans l'interface utilisateur graphique ACS, sélectionnez l'onglet Configuration réseau.
Sous Clients AAA, cliquez sur Ajouter une entrée.
Dans la fenêtre Add AAA Client, saisissez le nom d'hôte du WLC, l'adresse IP du WLC et une clé secrète partagée. Reportez-vous à l'exemple de diagramme de l'étape 5.
Dans le menu déroulant Authentifier à l'aide, sélectionnez RADIUS (Cisco Aironet).
Cliquez sur Soumettre + Redémarrer afin d'enregistrer la configuration.
Afin d'authentifier un utilisateur de gestion d'un contrôleur en tant qu'administrateur de hall via le serveur RADIUS, vous devez ajouter l'utilisateur à la base de données RADIUS avec l'attribut de type de service RADIUS IETF défini sur Callback Administrative. Cet attribut attribue à l'utilisateur spécifique le rôle d'administrateur de hall d'entrée sur un contrôleur.
Ce document montre l'exemple d'utilisateur lobbyadmin en tant qu'administrateur de hall. Afin de configurer cet utilisateur, procédez comme suit sur ACS :
Dans l'interface utilisateur graphique ACS, sélectionnez l'onglet User Setup.
Entrez le nom d'utilisateur à ajouter à ACS comme le montre cet exemple de fenêtre :
Cliquez sur Ajouter/Modifier afin d'accéder à la page Modifier l'utilisateur.
Sur la page User Edit, indiquez le nom réel, la description et le mot de passe de cet utilisateur.
Dans cet exemple, le nom d'utilisateur et le mot de passe utilisés sont lobbyadmin.
Faites défiler jusqu'au paramètre IETF RADIUS Attributes et cochez la case Service-Type Attribute.
Choisissez Callback Administrative dans le menu déroulant Service-Type et cliquez sur Submit.
Cet attribut attribue à cet utilisateur le rôle d'administrateur de hall d'entrée.
Parfois, cet attribut Service-Type n'est pas visible sous les paramètres utilisateur. Dans ce cas, procédez comme suit afin de le rendre visible :
Dans l'interface graphique ACS, sélectionnez Interface Configuration > RADIUS (IETF) afin d'activer les attributs IETF dans la fenêtre User Configuration.
Cela vous amène à la page Paramètres RADIUS (IETF).
Dans la page Paramètres RADIUS (IETF), vous pouvez activer l'attribut IETF qui doit être visible sous les paramètres utilisateur ou groupe. Pour cette configuration, cochez Service-Type pour la colonne User et cliquez sur Submit.
Cette fenêtre présente un exemple :
Remarque : Cet exemple spécifie l'authentification par utilisateur. Vous pouvez également effectuer l'authentification en fonction du groupe auquel appartient un utilisateur particulier. Dans de tels cas, cochez la case Groupe pour que cet attribut soit visible sous Paramètres de groupe.
Remarque : En outre, si l'authentification est basée sur un groupe, vous devez affecter des utilisateurs à un groupe particulier et configurer les attributs IETF du paramètre de groupe pour fournir des privilèges d'accès aux utilisateurs de ce groupe. Référez-vous à Gestion des groupes d'utilisateurs pour des informations détaillées sur la façon de configurer et de gérer les groupes.
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Afin de vérifier que votre configuration fonctionne correctement, accédez au WLC via le mode GUI (HTTP/HTTPS).
Remarque : Un ambassadeur du hall d'entrée ne peut pas accéder à l'interface de ligne de commande du contrôleur et peut donc créer des comptes d'utilisateurs invités uniquement à partir de l'interface utilisateur graphique du contrôleur.
Lorsque l'invite de connexion apparaît, saisissez le nom d'utilisateur et le mot de passe configurés sur l'ACS. Si les configurations sont correctes, vous êtes authentifié avec succès dans le WLC en tant qu'administrateur de hall d'entrée. Cet exemple montre comment l'interface utilisateur graphique d'un administrateur de hall d'entrée gère l'authentification réussie :
Remarque : Vous pouvez voir qu'un administrateur de hall d'entrée n'a pas d'autre option que la gestion des utilisateurs invités.
Afin de le vérifier à partir du mode CLI, établissez une connexion Telnet avec le contrôleur en tant qu'administrateur en lecture-écriture. Émettez la commande debug aaa all enable au niveau de l'interface de ligne de commande du contrôleur.
(Cisco Controller) >debug aaa all enable (Cisco Controller) > *aaaQueueReader: Aug 26 18:07:35.072: ReProcessAuthentication previous proto 28, next proto 20001 *aaaQueueReader: Aug 26 18:07:35.072: AuthenticationRequest: 0x3081f7dc *aaaQueueReader: Aug 26 18:07:35.072: Callback.....................................0x10756dd0 *aaaQueueReader: Aug 26 18:07:35.072: protocolType.................................0x00020001 *aaaQueueReader: Aug 26 18:07:35.072: proxyState...................................00:00:00:40: 00:00-00:00 *aaaQueueReader: Aug 26 18:07:35.072: Packet contains 5 AVPs (not shown) *aaaQueueReader: Aug 26 18:07:35.072: apfVapRadiusInfoGet: WLAN(0) dynamic int attributes srcAddr: 0x0, gw:0x0, mask:0x0, vlan:0, dpPort:0, srcPort:0 *aaaQueueReader: Aug 26 18:07:35.073: 00:00:00:40:00:00 Successful transmission of Authentication Packet (id 39) to 10.77.244.212:1812, proxy state 00:00:00:40:00:00-00:01 *aaaQueueReader: Aug 26 18:07:35.073: 00000000: 01 27 00 47 00 00 00 00 00 00 00 00 00 00 00 00 .'.G............ *aaaQueueReader: Aug 26 18:07:35.073: 00000010: 00 00 00 00 01 0c 6c 6f 62 62 79 61 64 6d 69 6e ......lobbyadmin *aaaQueueReader: Aug 26 18:07:35.073: 00000020: 02 12 5f 5b 5c 12 c5 c8 52 d3 3f 4f 4f 8e 9d 38 .._[\...R.?OO..8 *aaaQueueReader: Aug 26 18:07:35.073: 00000030: 42 91 06 06 00 00 00 07 04 06 0a 4e b1 1a 20 09 B..........N.... *aaaQueueReader: Aug 26 18:07:35.073: 00000040: 57 4c 43 34 34 30 30 WLC4400 *radiusTransportThread: Aug 26 18:07:35.080: 00000000: 02 27 00 40 7e 04 6d 533d ed 79 9c b6 99 d1 f8 .'.@~.mS=.y..... *radiusTransportThread: Aug 26 18:07:35.080: 00000010: d0 5a 8f 4f 08 06 ff ffff ff 06 06 00 00 00 0b .Z.O............ *radiusTransportThread: Aug 26 18:07:35.080: 00000020: 19 20 43 41 43 53 3a 302f 61 65 32 36 2f 61 34 ..CACS:0/ae26/a4 *radiusTransportThread: Aug 26 18:07:35.080: 00000030: 65 62 31 31 61 2f 6c 6f62 62 79 61 64 6d 69 6e eb11a/lobbyadmin *radiusTransportThread: Aug 26 18:07:35.080: ****Enter processIncomingMessages: response code=2 *radiusTransportThread: Aug 26 18:07:35.080: ****Enter processRadiusResponse: response code=2 *radiusTransportThread: Aug 26 18:07:35.080: 00:00:00:40:00:00 Access-Accept received from RADIUS server 10.77.244.212 for mobile 00:00:00:40:00:00 receiveId = 0 *radiusTransportThread: Aug 26 18:07:35.080: AuthorizationResponse: 0x13c73d50 *radiusTransportThread: Aug 26 18:07:35.080: structureSize................................118 *radiusTransportThread: Aug 26 18:07:35.080: resultCode...................................0 *radiusTransportThread: Aug 26 18:07:35.080: protocolUsed.................................0x00000001 *radiusTransportThread: Aug 26 18:07:35.080: proxyState...................................00:00:00:40:00:00-00:00 *radiusTransportThread: Aug 26 18:07:35.080: Packet contains 3 AVPs: *radiusTransportThread: Aug 26 18:07:35.080: AVP[01] Framed-IP-Address........................0xffffffff (-1) (4 bytes) *radiusTransportThread: Aug 26 18:07:35.080: AVP[02] Service-Type.............................0x0000000b (11) (4 bytes) *radiusTransportThread: Aug 26 18:07:35.080: AVP[03] Class.................................... CACS:0/ae26/a4eb11a/lobbyadmin (30 bytes) *emWeb: Aug 26 18:07:35.084: Authentication succeeded for lobbyadmin
Dans les informations en surbrillance de cette sortie, vous pouvez voir que l'attribut de type de service 11 (Callback Administrative) est transmis au contrôleur à partir du serveur ACS et que l'utilisateur est connecté en tant qu'administrateur de hall d'entrée.
Ces commandes peuvent être utiles :
debug aaa details enable
debug aaa events enable
debug aaa packets enable
Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.
Lorsque vous connectez à un contrôleur disposant des privilèges d'ambassadeur du hall d'entrée, vous ne pouvez pas créer un compte d'utilisateur invité avec une valeur de durée de vie "0« , qui est un compte qui n'expire jamais. Dans ces situations, vous recevez le message d'erreur Lifetime not be 0.
Ceci est dû au bogue Cisco ID CSCsf32392 (clients enregistrés uniquement) , qui se trouve principalement avec WLC version 4.0. Ce bogue a été résolu dans WLC version 4.1.