Exemple de configuration d'une affectation de VLAN dynamique avec des contrôleurs de réseau local sans fil en fonction du mappage du groupe ACS au groupe Active Directory
Contenu
Introduction
Ce document explique comment authentifier le client sans fil utilisant la base de données de Répertoire actif de Microsoft® Windows (AD), comment configurer le mappage de groupe entre le groupe d'AD et le groupe du Cisco Secure Access Control Server (ACS), et comment affecter le client authentifié dynamiquement à un VLAN configuré sur le groupe tracé ACS. Ce document se concentre sur le groupe d'AD traçant seulement avec le logiciel ACS et pas avec les ACS Solution Engine.
Conditions préalables
Conditions requises
Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :
-
Ayez la connaissance de base des contrôleurs LAN Sans fil (WLCs) et du Point d'accès léger (les recouvrements)
-
Ayez la connaissance fonctionnelle du Cisco Secure ACS
-
Avoir une connaissance complète des réseaux sans fil et des problèmes liés à la sécurité sans fil
-
Ayez la connaissance fonctionnelle et configurable sur l'affectation dynamique VLAN
Référez-vous au pour en savoir plus dynamique d'affectation VLAN.
-
Ayez la compréhension de base des services d'AD de Microsoft Windows, aussi bien que le contrôleur de domaine et les concepts de DN
-
Avoir une connaissance de base du protocole LWAPP (Lightweight AP Protocol)
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
-
Gamme Cisco 2000 WLC qui exécute la version de microprogramme 4.0.217.0
-
RECOUVREMENT Cisco 802.11a/b/g de gamme Cisco 1000
-
Adaptateur client sans fil qui exécute la version de microprogramme 3.6
-
Cisco Aironet Desktop Utility (ADU) ce exécute la version 3.6
-
Cisco Secure ACS exécutant la version 4.1
-
Serveur de Microsoft Windows 2003 configuré comme contrôleur de domaine
-
Commutateur de gamme Cisco 2950 qui exécute la version 12.1
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Informations générales
La version 4.1 de Cisco Secure ACS pour Windows authentifie les utilisateurs Sans fil contre une de plusieurs bases de données possibles, qui inclut sa base de données interne. Vous pouvez configurer ACS pour authentifier des utilisateurs avec plus d'un type de base de données. Vous pouvez configurer l'ACS pour expédier l'authentification des utilisateurs à un ou plusieurs bases de données d'utilisateur externe. Le soutien des bases de données d'utilisateur externe signifie que l'ACS n'exige pas de vous de créer les entrées d'utilisateur en double dans la base de données utilisateur.
Des utilisateurs de sans fil peuvent être authentifiés à l'aide de plusieurs bases de données externes comme :
-
Base de données de Windows
-
Services d'annuaire de NetWare de Novell (NDS)
-
Protocole LDAP (Lightweight Directory Access Protocol) générique
-
Connectivité de base de données ouverte (ODBC) - bases de données relationnelles conformes
-
Serveurs de Remote Access Dial-In User Service de proxy de LEAP (RAYON)
-
Serveurs de jetons de Rivest, de Shamir, et d'Adelman (RSA) SecurID
-
serveurs de jetons Rayon-conformes
Les tableaux de compatibilité d'authentification et de base de données utilisateur ACS présentent les divers Protocoles d'authentification pris en charge par l'ACS interne et des bases de données externes.
Ce document se concentre sur authentifier les utilisateurs de sans fil qui utilisent la base de données externe de Windows.
Vous pouvez configurer l'ACS pour authentifier des utilisateurs avec la base de données d'utilisateur externe dans une de deux manières :
-
Par affectation spécifique d'utilisateur — Vous pouvez configurer l'ACS pour authentifier les utilisateurs spécifiques avec une base de données d'utilisateur externe. Afin de faire ceci, l'utilisateur doit exister dans la base de données interne ACS et vous devez placer la liste d'authentification de mot de passe dans l'installation utilisateur à la base de données d'utilisateur externe que l'ACS devrait employer pour authentifier l'utilisateur.
-
Par stratégie inconnue d'utilisateur — Vous pouvez configurer l'ACS pour tenter l'authentification des utilisateurs qui ne sont pas dans la base de données interne ACS à l'aide d'une base de données d'utilisateur externe. Vous n'avez pas besoin de définir de nouveaux utilisateurs dans la base de données interne ACS pour cette méthode.
Ce document se concentre sur authentifier des utilisateurs de sans fil utilisant la méthode inconnue de stratégie d'utilisateur.
Quand les tentatives ACS d'authentifier l'utilisateur contre la base de données de Windows, les identifiants utilisateurs ACS en avant à la base de données de Windows. La base de données de Windows valide les identifiants utilisateurs, et sur l'authentification réussie, informe l'ACS.
Après l'authentification réussie, l'ACS recueille l'information du groupe de cet utilisateur de la base de données de Windows. Après réception de cette information du groupe, l'ACS associe les utilisateurs de l'information du groupe recueillie de base de données de Windows avec le groupe tracé correspondant ACS afin d'assigner des VLAN dynamiques au client sans fil. En bref, l'ACS peut être configuré pour tracer la base de données de Windows à un groupe ACS et pour affecter l'utilisateur authentifié dynamiquement à un VLAN configuré dans le groupe tracé ACS.
En outre, après la première authentification réussie, l'utilisateur est dynamiquement créé sur l'ACS. Une fois que l'utilisateur est avec succès authentifié pour la première fois, l'utilisateur est caché dans l'ACS avec un pointeur à sa base de données. Ceci évite l'ACS de rechercher la liste entière de base de données pendant des tentatives ultérieures d'authentification.
Restrictions ACS sur le mappage de groupe avec la base de données d'utilisateur Windows
ACS a ces limites sur le mappage de groupe pour les utilisateurs qui sont authentifiés par une base de données d'utilisateur Windows :
-
ACS peut seulement mappage de comité de soutien pour les utilisateurs qui appartiennent à 500 ou moins groupes de Windows.
-
ACS peut seulement effectuer le mappage de groupe à l'aide des groupes locaux et globaux auxquels un utilisateur appartient dans le domaine qui a authentifié l'utilisateur.
Configurez
Dans cet exemple, vous êtes configuré sur l'AD de Winodws et tracé à l'AD un groupe particulier. Le Cisco Secure ACS est configuré pour utiliser la base de données externe sur l'AD de Windows pour authentifier des clients sans fil. Puis, l'AD est alors tracé au groupe ACS pour les utilisateurs authentifiés assignant de ce fait l'utilisateur de ce groupe particulier d'AD à un VLAN spécifié dans le groupe tracé correspondant ACS.
La section suivante explique comment configurer les périphériques pour ceci.
Diagramme du réseau
Ce document utilise la configuration réseau suivante :
Installation de configuration
Ce document utilise les configurations suivantes :
-
Nom de domaine de Microsoft Windows : lab.wireless
-
Utilisateurs d'AD : wireless123
-
Utilisateur d'AD : wireless123 assigné au groupe d'AD : VLAN 20
-
Groupe d'AD : VLAN 20 tracé au groupe ACS : Groupe 20 où le groupe 20 est configuré pour affecter les utilisateurs authentifiés de ce groupe dans l'interface vlan20 sur le WLC.
-
Ici le contrôleur de domaine et le serveur ACS sont configurés dans le même ordinateur.
Ces suppositions sont faites avant que vous exécutiez cette configuration :
-
Le RECOUVREMENT est déjà inscrit au WLC.
-
Vous vous rendez compte de la façon configurer un serveur DHCP interne ou un serveur DHCP externe sur le contrôleur afin d'assigner l'adresse IP au client sans fil. Référez-vous à configurer le DHCP afin de configurer un serveur DHCP interne sur le contrôleur.
-
Le document discute la configuration exigée du côté Sans fil et suppose que le réseau câblé est en place.
Afin d'accomplir l'affectation dynamique VLAN avec WLCs a basé sur ACS au mappage de groupe d'AD, ces étapes doit être exécutée :
Configurez la base de données de Répertoire actif et d'utilisateur Windows
Afin de configurer l'AD et la base de données d'utilisateur Windows à utiliser pour authentifier des clients sans fil, ces étapes doivent être exécutées :
-
Configurez le serveur dans votre réseau comme contrôleur de domaine
-
Créez les utilisateurs et les groupes de Répertoire actif dans le domaine
Configurez le serveur dans votre réseau comme contrôleur de domaine
La configuration d'un contrôleur de domaine comporte la création d'une nouvelle structure d'AD, et l'installation et la configuration du service DNS sur le serveur.
Ce document crée un domaine lab.wireless sur le serveur Windows 2003 configuré comme contrôleur de domaine.
En tant qu'élément de ce procédé de création d'AD, vous installez le serveur DNS sur le serveur Windows 2003 afin de résoudre lab.wireless à sa propre adresse IP et à d'autres processus de résolution de noms dans le domaine. Vous pouvez également configurer un serveur DNS externe afin de se connecter à l'Internet.
Note: Veillez-vous pour avoir le CD de Windows 2003 afin d'installer le serveur DNS sur l'ordinateur hôte.
Référez-vous à installer et à configurer Windows 2003 comme contrôleur de domaine pour une procédure de configuration détaillée.
Créez les utilisateurs et les groupes de Répertoire actif dans le domaine
L'étape suivante est de créer des utilisateurs et des groupes dans le domaine lab.wireless. Référez-vous aux étapes 1 et 2 de l'AddingUsers et des ordinateurs à la section de domaine de Répertoire actif de ce document de MicrosoftSupport afin de créer des utilisateurs et des groupes d'AD.
Comme déjà mentionné dans la section d'installation de configuration de ce document, un utilisateur wireless123 est créé et tracé à l'AD le groupe vlan20.
Ajoutez le serveur ACS en tant que membre du domaine
Référez-vous aux étapes 1 et 2 des utilisateurs et des ordinateurs ajoutants à la section de domaine de Répertoire actif de ce document de support de Microsoft afin d'ajouter le serveur ACS au domaine lab.wireless.
Note: Mentions de cette section seulement comment ajouter l'ordinateur Windows qui exécute le logiciel ACS au domaine. Cette procédure s'applique pas applicable pour ajouter les ACS Solution Engine comme membre du domaine.
Configurez le Cisco Secure ACS
Afin de configurer ACS pour cette installation, ces étapes doivent être exécutées :
Configurez l'ACS pour l'authentification de base de données d'utilisateur Windows et le mappage de groupe
Maintenant que le serveur ACS est joint au domaine lab.wireless, l'étape suivante est de configurer l'ACS pour l'authentification de base de données d'utilisateur Windows et de tracer la base de données externe d'AD de Windows au groupe ACS. Les utilisateurs inconnus qui authentifient à l'aide de la base de données spécifiée automatiquement appartiennent à, et héritent des autorisations du groupe.
Comme cité précédemment, cet exemple trace le VLAN 20 de groupe d'AD, avec le groupe 20 de groupe ACS.
Note: Avant que vous configuriez le serveur ACS, effectuez les tâches comme expliqué dans le chapitre de configuration d'authentification de Windows pour l'authentification de l'utilisateur et le mappage fiables de groupe.
Configurez la base de données d'utilisateur externe de Windows dans le serveur ACS
Du GUI ACS, terminez-vous ces étapes :
-
Dans la barre de navigation, bases de données d'utilisateur externe de clic.
-
Sur les bases de données d'utilisateur externe paginez, cliquez sur la configuration de base de données.
L'ACS affiche une liste de tous les types de base de données possibles d'utilisateur externe.
-
Base de données de Windows de clic.
Si aucune configuration de base de données de Windows n'existe, la table de création de configuration de base de données apparaît. Autrement, la page de configuration de base de données d'utilisateur externe paraît.
-
Cliquez sur Configure.
La page de configuration de base de données d'utilisateur Windows paraît avec plusieurs options.
-
Configurez les options requises. Toutes les configurations à la page de configuration de base de données d'utilisateur Windows sont facultatives et n'ont pas besoin d'être activées à moins que vous vouliez permettre et configurer les caractéristiques spécifiques qu'elles prennent en charge.
Note: Ce document ne configure pas l'un de ces options manuellement car elles ne sont pas nécessaires pour cet exemple de configuration.
Référez-vous au pour en savoir plus d'options de configuration de base de données d'utilisateur Windows.
-
Cliquez sur Submit afin de terminer cette configuration.
L'ACS enregistre la configuration de base de données d'utilisateur Windows que vous avez créée. Vous pouvez maintenant l'ajouter à votre stratégie inconnue d'utilisateur ou assigner des comptes utilisateurs spécifiques pour utiliser cette base de données pour l'authentification. Ce document ajoute cette configuration à la stratégie inconnue d'utilisateur.
Configurez la stratégie inconnue d'utilisateur avec la base de données de Windows
La stratégie inconnue d'utilisateur est un expédition de forme d'authentification. Essentiellement, cette caractéristique est une étape supplémentaire dans la procédure d'authentification. Si un nom d'utilisateur n'existe pas dans la base de données interne ACS, l'ACS en avant la demande d'authentification d'un nom d'utilisateur et mot de passe entrant aux bases de données externes avec lesquelles il est configuré pour communiquer. La base de données externe doit prendre en charge le protocole d'authentification utilisé dans la demande d'authentification.
Référez-vous au pour en savoir plus inconnu de stratégie d'utilisateur.
Dans cet exemple, l'ACS devrait expédier la demande d'authentification étant livré par le WLC d'un client sans fil à la base de données de Windows configurée dans la section précédente. Afin de réaliser ceci, le groupe d'utilisateurs inconnu devrait être tracé à la base de données externe de Windows (lab.wireless) utilisant ces étapes :
-
Dans la barre de navigation, bases de données d'utilisateur externe de clic. Puis, cliquez sur la stratégie inconnue d'utilisateur.
-
Afin de permettre l'authentification de l'utilisateur inconnue, activez la stratégie inconnue d'utilisateur :
-
Sélectionnez le contrôle l'option suivante de bases de données d'utilisateur externe.
-
Sélectionnez la base de données de Windows dans les bases de données externes les répertorient et cliquent sur --> (bouton de flèche à droite) pour le déplacer des bases de données externes aux bases de données sélectionnées le répertoriez. Afin d'enlever une base de données des bases de données sélectionnées le répertoriez, sélectionnez la base de données, et puis cliquez sur <-- (bouton de flèche gauche) pour le déplacer de nouveau aux bases de données externes le répertoriez.
-
-
Cliquez sur Submit.
L'ACS enregistre et implémente la configuration de politique inconnue d'utilisateur que vous avez créée.
Créez le mappage de groupe ACS avec le groupe de Windows
Terminez-vous ces étapes du GUI ACS :
-
Dans la barre de navigation, bases de données d'utilisateur externe de clic. Puis, mappages de groupe de base de données de clic.
-
Cliquez sur le nom de la base de données d'utilisateur externe pour lequel vous voulez configurer un mappage de groupe.
Dans cet exemple, c'est base de données de Windows.
-
Dans le domaine résultant les configurations paginent, cliquent sur New la configuration.
Note: Par défaut vous voyez seulement le domaine \ PAR DÉFAUT à cette page.
La nouvelle page de configuration de domaine de définir paraît.
-
Dans la case détectée de domaines de cette page, vous devriez pouvoir voir le LABORATOIRE de base de données d'utilisateur Windows. Cliquez sur Submit.
Le nouveau LABORATOIRE de domaine windows apparaît dans la liste de domaines dans la page de configurations de domaine.
-
Cliquez sur le domaine de LABORATOIRE.
Les mappages de groupe pour le domaine : La table de LABORATOIRE apparaît.
-
Cliquez sur Add le mappage.
Le nouveau mappage de groupe de création pour le domaine : La page de LABORATOIRE s'ouvre. La liste de groupe affiche les noms de groupe qui sont dérivés de la base de données de LABORATOIRE. Dans ce group set, vous devriez pouvoir voir le groupe vlan20 créé dans l'AD de ce domaine de laboratoire.
-
Choisissez vlan20 de la liste de groupe, puis cliquez sur Add à sélectionné.
-
Dans la liste déroulante de groupe ACS, choisissez Group20 auquel vous voulez tracer les utilisateurs qui appartiennent au groupe d'AD : VLAN 20.
-
Cliquez sur Submit.
Le groupe tracé à la liste ACS apparaît au bas de la colonne de groupes de base de données suivant les indications de l'exemple. L'astérisque (*) à l'extrémité de chaque ensemble de groupes indique que les utilisateurs qui sont authentifiés avec la base de données d'utilisateur externe peuvent appartenir à d'autres groupes sans compter que ceux dans le positionnement.
Configurez ACS pour l'affectation dynamique VLAN
L'affectation dynamique VLAN est une caractéristique qui place un utilisateur de sans fil dans une particularité VLAN basée sur les qualifications fournies par l'utilisateur. Cette tâche d'assigner des utilisateurs à une particularité VLAN est gérée par un serveur d'authentification RADIUS, tel que le Cisco Secure ACS. Elle peut être utilisée, par exemple, pour permettre à l'hôte sans fil de rester sur le même VLAN alors qu'il se déplace au sein d'un réseau de campus.
Note: Ce document utilise Cisco Airespace [le VSA (la Constructeur-particularité)] Attribut pour affecter un utilisateur avec succès authentifié avec un nom d'interface VLAN (pas l'ID DE VLAN) selon la configuration de groupe sur l'ACS.
Afin de configurer l'ACS pour l'affectation dynamique VLAN, ces étapes doivent être exécutées :
Ajoutez le WLC comme client d'AAA à l'ACS
Afin de configurer ACS pour l'affectation dynamique VLAN, vous devez configurer le client d'AAA pour le WLC sur le serveur de RAYON. Ce document suppose que le WLC est déjà ajouté à l'ACS en tant que client d'AAA. Référez-vous à ajouter des clients d'AAA à un ACS pour les informations sur la façon dont ajouter le client d'AAA à l'ACS.
Note: Dans l'exemple de ce document, l'option de RAYON (Airespace) sous l'authentifier utilisant abaissent le menu du client d'AAA d'ajouter que la page devrait être configurée, alors que le WLC en tant que client d'AAA à l'ACS est configuré.
Configurer le groupe ACS avec l'option d'attribut VSA Cisco Airespace
Procédez comme suit :
-
Du GUI ACS dans la barre de navigation, Group Setup de clic du côté gauche afin de configurer un nouveau groupe.
-
Dans la liste déroulante de groupe, choisissez le groupe 20 (selon cet exemple) et cliquez sur Edit les configurations.
-
Sur le groupe 20 éditez la page de configurations, cliquez sur l'accès dans la liste déroulante et choisissez le RAYON (Cisco Airespace) afin de configurer la configuration d'attribut VSA d'Airespace.
Note: Si cet attribut n'est pas affiché sous la configuration de groupe, éditez les configurations de RAYON (Airespace) pour inclure le nom d'interface sous l'écran de configuration d'interface de l'ACS.
-
Dans le Cisco Airespace RADIUS Attributes sectionnez, activez l'Air-Interface-nom et écrivez vlan20 comme le nom d'interface à retourner par ce groupe ACS sur l'authentification réussie.
-
Cliquez sur Submit + reprise.
Configurez le contrôleur LAN Sans fil
Afin de configurer WLC pour cette installation, ces étapes doivent être exécutées :
Configurez le WLC avec des coordonnées du serveur d'authentification
Complétez ces étapes afin de définir le WLC pour cette configuration :
-
Dans l'interface graphique du contrôleur, cliquez sur Security.
-
Cliquez sur New.
-
À la page de configuration du serveur d'authentification du RAYON (ACS), écrivez l'adresse IP du serveur de RAYON et de la clé secrète partagée utilisés entre le serveur de RAYON et le WLC.
Cette clé secrète partagée devrait être identique que celle configurée dans l'ACS sous le Network Configuration > AAA Clients > Add Entry. Ce document utilise le serveur ACS avec l'adresse IP de 10.77.244.196/27.
-
Assurez-vous que l'état de serveur est activé. Cochez la case Network User. Ceci s'assure que les utilisateurs du réseau sont authentifiés contre ce serveur.
Configurez les interfaces dynamiques (VLAN) sur le WLC
Cette procédure explique comment configurer des interfaces dynamiques sur le WLC. Pour une affectation dynamique réussie VLAN, le nom d'interface VLAN spécifié sous la configuration d'attribut VSA du serveur ACS devrait également être configuré dans le WLC.
Ce document configure l'interface VLAN avec le nom "vlan20" et l'ID DE VLAN = 20, et l'interface VLAN avec le nom dans le WLC.
Procédez comme suit :
-
Du GUI de contrôleur, sous la fenêtre de Controller > Interfaces, les interfaces dynamiques sont configurées.
-
Cliquez sur New.
-
Sur les interfaces > la nouvelle fenêtre, introduisent le nom d'interface comme vlan20, qui correspond le paramètre d'Airespace-interface configuré sur l'ACS et l'ID DE VLAN en tant que 20 pour l'assigner au VLAN 20.
-
Cliquez sur Apply.
-
À la page d'Interfaces > Edit, configurez les informations d'adresse d'ID DE VLAN, d'adresse IP, de netmask et de passerelle du sous-réseau VLAN 20 suivant les indications de cette fenêtre.
Note: Il est toujours recommandé pour utiliser un serveur DHCP pour assigner l'adresse IP aux clients. Dans ce cas, la zone adresse primaire de serveur DHCP devrait être remplie d'adresse IP du serveur DHCP.
-
Cliquez sur Apply.
Configurer les WLAN (SSID)
Sur le WLC, vous configurez le wirelesslab SSID et choisissez une méthode d'authentification, qui incite pour le nom d'utilisateur et mot de passe du client. Dans cet exemple, vous employez le LEAP comme méthode d'authentification pour authentifier l'utilisateur. Procédez comme suit :
-
Sur le GUI WLC, clic WLAN. Cliquez sur New.
-
Choisissez un nom de profil et écrivez le wirelesslab WLAN SSID.
-
Cliquez sur Apply.
-
Choisissez le WLANs > Edit, et sous l'onglet Général, activent le WLAN et choisissent l'interface comme Gestion afin d'assigner les adresses IP du sous-réseau de gestion.
-
Cliquez sur Security. Sous l'onglet de la couche 2, choisissez WPA+WPA2 comme degré de sécurité de la couche 2. Vous pouvez choisir la stratégie WPA ou WPA2. Dans cet exemple vous choisissez le WPA2 avec le cryptage TKIP et le 802.1x comme méthode d'authentification.
-
Cliquez sur les serveurs d'AAA et choisissez 10.77.244.196 comme le serveur d'authentification afin d'authentifier des utilisateurs de ce WLAN contre ce serveur.
-
Des utilisateurs de sans fil sont assignés à l'interface de gestion. Afin d'affecter l'utilisateur à une interface fournie par le serveur de rayon, choisissez avancé > Allow AAA Override.
Configurez le client sans fil
Cette section explique comment configurer le client sans fil. Procédez comme suit :
-
Cliquez sur Cisco Aironet Desktop Utility.
-
Choisissez Profile Management.
-
Mettez en valeur le profil existant et choisissez modifient suivant les indications de la figure 1.
Figure 1
-
Dans l'onglet Général, choisissez un nom de profil. Cet exemple utilise le LABORATOIRE de nom. Écrivez le wirelesslab SSID utilisé dans le WLC. Expositions de figure 2 comment faire ceci.
Figure 2
-
Cliquez sur Security. La méthode d'authentification configurée sur le client devrait être identique à celle de WLC. Choisissez WPA/WPA2/CCKM et choisissez le type d'EAP en tant que LEAP suivant les indications de la figure 3.
Figure 3
-
Cliquez sur Configure et choisissez manuellement le prompt pour le nom d'utilisateur et le mot de passe. La figure 4 affiche ceci.
Figure 4
-
Cliquez sur OK. Une fenêtre qui vous incite pour le nom d'utilisateur et mot de passe comme affiché apparaît. Entrez le nom d'utilisateur et le mot de passe que vous avez configuré dans la base de données de Windows. Dans cet exemple, le nom d'utilisateur est wireless123, le mot de passe est Cisco123. Dans le login à mettre en place, saisissez le domaine que vous avez configuré dans le Répertoire actif et cliquez sur OK. Dans cet exemple, c'est LABORATOIRE. explique ces étapes.
Vérifiez
Lancez le profil utilisateur de LABORATOIRE que vous avez configuré dans l'ADU. Selon votre configuration, le client est incité pour le nom d'utilisateur et mot de passe.
Cet exemple utilise le nom d'utilisateur et le mot de passe du côté client pour recevoir l'authentification et pour être assigné à un VLAN par le serveur RADIUS :
-
Nom d'utilisateur = wireless123
-
Mot de passe = cisco123
En outre, spécifiez lab.wireless dans la connexion pour mettre en place de la zone de dialogue d'Enter Wireless Network Password.
Une fois que le client sans fil authentifie avec succès, trouve le contrôleur de domaine, joint le domaine et s'associe au réseau WLAN par le wirelesslab SSID, vous doivent vérifier que votre client est assigné au VLAN approprié selon les attributs VSA envoyés par les configurations de groupe de serveurs de RAYON.
Complétez ces étapes afin d'accomplir ceci :
-
Du GUI de contrôleur, choisissez le moniteur. Cliquez sur les clients qui apparaît à gauche de la fenêtre des Points d'accès (aps).
Les statistiques de client sont affichées avec l'état comme associées.
-
Vous voyez une liste de clients sans fil qui sont associés à ce WLC. Cliquez sur en fonction le client qui a authentifié avec ACS.
Sur les détails paginez, observez que l'utilisateur : wireless123 est authentifié et associé par le wirelesslab SSID. Notez que l'adresse IP est 20.0.0.4 et l'interface est vlan20.
Dépannez
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. Référez-vous aux informations de debug d'AAA pour le Cisco Secure ACS pour Windows pour plus d'informations sur la façon dont comment se connecter et obtenir l'AAA mettez au point les informations dans l'ACS.
Dépannage des commandes
Note: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.
-
debug aaa events enable - Cette commande peut être utilisée pour s'assurer du transfert réussi des attributs RADIUS au client par l'intermédiaire du contrôleur. Cette partie de la sortie de débogage assure une transmission réussie des attributs RADIUS.
Voici la sortie de cette commande basée sur l'exemple de configuration de ce document :
Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Successful trans mission of Authentication Packet (id 131) to 10.77.244.196:1812, proxy state 00: 40:96:af:3e:93-96:af Fri Oct 5 15:47:38 2007: ****Enter processIncomingMessages: response code=11 Fri Oct 5 15:47:38 2007: ****Enter processRadiusResponse: response code=11 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic ation Packet (id 132) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af Fri Oct 5 15:47:38 2007: ****Enter processIncomingMessages: response code=11 Fri Oct 5 15:47:38 2007: ****Enter processRadiusResponse: response code=11 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic ation Packet (id 133) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af Fri Oct 5 15:47:38 2007: ****Enter processIncomingMessages: response code=2 Fri Oct 5 15:47:38 2007: ****Enter processRadiusResponse: response code=2 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Applying new AAA override for station 00:40:96:af:3e:93 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96 :af:3e:93 source: 4, valid bits: 0x200 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfNa me: vlan20, acl Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into chain for station 00:40:96:af:3e:93 Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96 :af:3e:93 source: 4, valid bits: 0x200 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfNa me: 'sales', acl Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Applying override policy from source Override Summation: Fri Oct 5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96 :af:3e:93 source: 256, valid bits: 0x200 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfNa me: 'sales', a Fri Oct 5 15:47:39 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for station 00:40:96:af:3e:93Comme vu de cette sortie de débogage, le WLC a passé sur les demandes d'authentification et les réponses entre le client sans fil et le serveur 10.77.244.196 de RAYON. Le serveur a avec succès authentifié le client sans fil (ceci peut être vérifié utilisant le message d'Access-recevoir). Sur l'authentification réussie, vous pouvez également voir le serveur de RAYON transmettre l'interface VLAN name:vlan20, donc dynamiquement assignant le client sans fil dans VLAN20.
-
enable d'AAA de debug dot1x — Cette commande est utilisée de mettre au point l'authentification entière de dot1x qui a lieu entre le client sans fil et le serveur d'authentification (ACS).
-
le debug aaa tout activent — Configures mettent au point de tous les messages d'AAA.
Voici la sortie de cette commande basée sur l'exemple de configuration de ce document :
(Cisco Controller) >Fri Oct 5 16:17:18 2007: AuthenticationRequest: 0xac4be5c Fri Oct 5 16:17:18 2007: Callback.....................................0x8 29a960 Fri Oct 5 16:17:18 2007: protocolType.................................0x0 0040001 Fri Oct 5 16:17:18 2007: proxyState...................................00: 40:96:AF:3E:93-07:00 Fri Oct 5 16:17:18 2007: Packet contains 12 AVPs (not shown) Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of Authentication Packet (id 137) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af ................................................................................. .................................................................................. .................................................................................. Fri Oct 5 16:17:18 2007: ****Enter processIncomingMessages: response code=11 Fri Oct 5 16:17:18 2007: ****Enter processRadiusResponse: response code=11 Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7 Fri Oct 5 16:17:18 2007: AuthorizationResponse: 0x9845500 Fri Oct 5 16:17:18 2007: structureSize................................130 Fri Oct 5 16:17:18 2007: resultCode...................................255 Fri Oct 5 16:17:18 2007: protocolUsed.................................0x0 0000001 Fri Oct 5 16:17:18 2007: proxyState...................................00: 40:96:AF:3E:93-07:00 Fri Oct 5 16:17:18 2007: Packet contains 3 AVPs (not shown) .............................................................................. .............................................................................. .............................................................................. .............................................................................. Fri Oct 5 16:17:18 2007: ****Enter processIncomingMessages: response code=11 Fri Oct 5 16:17:18 2007: ****Enter processRadiusResponse: response code=11 Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS server 10.77.244.196 for mobi) Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of Authentication Packet (id 139) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af Fri Oct 5 16:17:18 2007: 00000000: 01 8b 00 bb 54 4c 75 3a e5 b9 d2 c0 28 f2 9 3 b3 ....TLu:....(... Fri Oct 5 16:17:18 2007: 00000010: f2 81 50 65 01 10 77 69 72 65 6c 65 73 73 5 c 75 ..Pe..lab\wireless123 Fri Oct 5 16:17:18 2007: 00000020: 73 65 72 31 1f 13 30 30 2d 34 30 2d 39 36 2 d 41 ser1..00-40-96-A Fri Oct 5 16:17:18 2007: 00000030: 46 2d 33 45 2d 39 33 1e 18 30 30 2d 30 42 2 d 38 F-3E-93..00-0B-8 Fri Oct 5 16:17:18 2007: 00000040: 35 2d 35 42 2d 46 42 2d 44 30 3a 41 44 53 3 1 05 5-5B-FB-D0:wirelessl23. Fri Oct 5 16:17:18 2007: 00000050: 06 00 00 00 01 04 06 0a 4d f4 d4 20 06 57 4 c 43 ........M....WLC Fri Oct 5 16:17:18 2007: 00000060: 31 1a 0c 00 00 37 63 01 06 00 00 00 02 06 0 6 00 1....7c......... Fri Oct 5 16:17:18 2007: 00000070: 00 00 02 0c 06 00 00 05 14 3d 06 00 00 00 1 3 4f .........=.....O Fri Oct 5 16:17:18 2007: 00000080: 20 01 05 00 1e 11 01 00 08 85 8e 81 b0 7d b f ee .............}.. Fri Oct 5 16:17:18 2007: 00000090: b1 77 69 72 65 6c 65 73 73 5c 75 73 65 72 3 1 18 .lab\wireless123 ................................................................................ ................................................................................. .................................................................................. Fri Oct 5 16:17:18 2007: 00000050: 31 1a 3b 00 00 00 09 01 35 6c 65 61 70 3a 7 3 65 1.;.....5leap:se Fri Oct 5 16:17:18 2007: 00000060: 73 73 69 6f 6e 2d 6b 65 79 3d 84 e7 c5 3c 3 3 bd ssion-key=...<3. Fri Oct 5 16:17:18 2007: 00000070: a8 bf 7a 43 9d 6e bb c8 a8 2c 5d c6 91 d6 f 3 21 ..zC.n...,]....! Fri Oct 5 16:17:18 2007: 00000080: df 1e 0e 28 c1 ef a5 31 a7 cd 62 da 1a 1f 0 0 00 ...(...1..b..... Fri Oct 5 16:17:18 2007: 00000090: 00 09 01 19 61 75 74 68 2d 61 6c 67 6f 2d 7 4 79 ....auth-algo-ty Fri Oct 5 16:17:18 2007: 000000a0: 70 65 3d 65 61 70 2d 6c 65 61 70 19 17 43 4 1 43 pe=eap-leap..CAC .... Fri Oct 5 16:17:18 2007: ****Enter processIncomingMessages: response code=2 Fri Oct 5 16:17:18 2007: ****Enter processRadiusResponse: response code=2 Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7 Fri Oct 5 16:17:18 2007: AuthorizationResponse: 0x9845500 Fri Oct 5 16:17:18 2007: structureSize................................228 Fri Oct 5 16:17:18 2007: resultCode...................................0 Fri Oct 5 16:17:18 2007: protocolUsed.................................0x0 0000001 Fri Oct 5 16:17:18 2007: proxyState...................................00: 40:96:AF:3E:93-07:02 Fri Oct 5 16:17:18 2007: Packet contains 5 AVPs: Fri Oct 5 16:17:18 2007: AVP[01] Airespace / Interface-Name.......... .....vlan20 (5 bytes) Fri Oct 5 16:17:18 2007: AVP[02] EAP-Message......................... .....DATA (46 bytes) Fri Oct 5 16:17:18 2007: AVP[03] Cisco / LEAP-Session-Key............ .....DATA (16 bytes) Fri Oct 5 16:17:18 2007: AVP[04] Class............................... .....CACS:0/5943/a4df4d4/1 (21 bytes) Fri Oct 5 16:17:18 2007: AVP[05] Message-Authenticator............... .....DATA (16 bytes) Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Applying new AAA override for station 00:40:96:af:3e:93 Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96 :af:3e:93 source: 4, valid bits: 0x200 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfNa me: 'sales', acl Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into chain for station 00:40:96:af:3e:93 Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96 :af:3e:93 source: 4, valid bits: 0x200 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfNa me: 'sales', acl Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Applying override policy from source Override Summation: Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96 :af:3e:93 source: 256, valid bits: 0x200 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfNa me: 'sales', a Fri Oct 5 16:17:18 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for station 00:40:96:af:3e:93 Fri Oct 5 16:17:18 2007: AccountingMessage Accounting Interim: 0xac4b1f0 Fri Oct 5 16:17:18 2007: Packet contains 20 AVPs: Fri Oct 5 16:17:18 2007: AVP[01] User-Name........................... .....lab\wireless123 (14 bytes) Fri Oct 5 16:17:18 2007: AVP[02] Nas-Port............................ .....0x00000001 (1) (4 bytes) Fri Oct 5 16:17:18 2007: AVP[03] Nas-Ip-Address...................... .....0x0a4df4d4 (172881108) (4 bytes) Fri Oct 5 16:17:18 2007: AVP[04] Class............................... .....CACS:0/5943/a4df4d4/1 (21 bytes) Fri Oct 5 16:17:18 2007: AVP[05] NAS-Identifier...................... .....0x574c4331 (1464615729) (4 bytes) Fri Oct 5 16:17:18 2007: AVP[06] Airespace / WLAN-Identifier......... .....0x00000002 (2) (4 bytes) ...................................................................................... ....................................................................................... .......................................................................................
Informations connexes
- Authentification EAP avec le serveur RADIUS
- Diagnostics 2003, dépannage, et reprise de Répertoire actif de Windows Server
- Dépannage des exécutions de Répertoire actif
- Cisco SAUTENT
- Guide de configuration du contrôleur LAN sans fil Cisco, version 4.0
- Exemple de configuration d'attributs VSA Cisco Airespace sur un serveur Cisco Secure ACS
- Enregistrement d'un point d'accès léger (LAP) sur un contrôleur LAN sans fil (WLC)
- Guide utilisateur pour le Cisco Secure Access Control Server 4.1
- Support et documentation techniques - Cisco Systems
CommentairesLaissez-nous vous aider
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)