TACACS Administrator Access to the Converged Access Wireless LAN Controllers 컨피그레이션 예

다운로드 옵션

  • PDF     (1.2 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (1.3 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (535.3 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2014년 5월 20일 (화)
문서 ID:117711

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 CLI 및 GUI용 Cisco WLC(Converged Access Wireless LAN Controller) 5760/3850/3650의 TACACS+(Terminal Access Controller Access Control System Plus) 컨피그레이션 예를 제공합니다. 이 문서에서는 컨피그레이션 트러블슈팅을 위한 몇 가지 기본적인 팁을 제공합니다.

TACACS+는 라우터 또는 네트워크 액세스 서버에 대한 관리 액세스를 시도하는 사용자에게 중앙 집중식 보안을 제공하는 클라이언트/서버 프로토콜입니다. TACACS+는 다음과 같은 AAA(Authentication, Authorization, and Accounting) 서비스를 제공합니다.

  • 네트워크 장비에 로그인을 시도하는 사용자의 인증

  • 사용자가 가져야 하는 액세스 수준을 결정하는 권한 부여

  • 사용자가 수행한 모든 변경 사항을 추적하는 계정 관리

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

  • 기본 작업을 위해 WLC 및 LAP(Lightweight Access Point)를 구성하는 방법
  • LWAPP(Lightweight Access Point Protocol) 및 무선 보안 방법
  • RADIUS 및 TACACS+에 대한 기본 지식
  • Cisco ACS 구성에 대한 기본 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • Cisco IOS® XE 릴리스 3.3.3를 실행하는 WLC 5760
  • ACS(Access Control Server) 5.2

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

참고:섹션에 사용된 명령에 대한 자세한 내용을 보려면 Command Lookup Tool(등록된 고객만 해당)을 사용합니다.

네트워크 다이어그램

구성

이 프로세스는 두 단계로 구성됩니다.

  • WLC의 구성
  • RADIUS/TACACS 서버의 컨피그레이션

WLC의 구성

  1. WLC에서 TACACS 서버를 정의합니다. TACACS에서 정확히 동일한 공유 암호를 구성해야 합니다.
    tacacs-server host 10.106.73.71 key Cisco123
    tacacs server ACS
     address ipv4 10.106.102.50
     key Cisco123
     timeout 10
  2. 서버 그룹을 구성하고 이전 단계에서 구성한 서버를 매핑합니다.
    aaa group server tacacs+ ACS
     server name ACS
    !
  3. 관리자 액세스를 위한 인증 및 권한 부여 정책을 구성합니다. 이 경우 TACACS 그룹 다음에 폴백인 로컬 그룹을 허용합니다.
    aaa authentication login Admin_Access group ACS local

    aaa authorization exec Admin_Access group ACS local
  4. 회선 vty 및 HTTP에 정책을 적용합니다.
    line vty 0 4
     authorization exec Admin_Access
     login authentication Admin_Access
    line vty 5 15
     exec-timeout 0 0
     authorization exec Admin_Access
     login authentication Admin_Access
  5. HTTP에도 동일하게 적용합니다.
    ip http server
    ip http authentication aaa login-authentication Admin_Access
    ip http authentication aaa exec-authorization Admin_Access

ACS의 구성

  1. ACS의 TACACS용 AAA 클라이언트로 WLC를 추가하려면 Network Resources(네트워크 리소스) > Network Devices and AAA Clients(네트워크 디바이스 및 AAA 클라이언트)를 선택합니다. 여기에 구성된 공유 암호가 WLC에 구성된 암호와 일치하는지 확인합니다.

  2. 관리자 액세스 위한 사용자 정의하려면 Users and Identity Stores(사용자 및 ID 저장소) > Internal Identity Stores(내부 ID 저장소) > Users(사용자)를 선택합니다.

  3. 권한 수준을 15로 설정하려면 Policy Elements(정책 요소) > Authorization and Permissions(권한 부여 및 권한) > Device Administration(디바이스 관리) > Shell Profiles(셸 프로필)를 선택합니다.

  4. 필요한 프로토콜을 허용하려면 Access Policies > Access Services > Default Device Admin을 선택합니다.

  5. 인증 옵션 가진 내부 사용자를 허용하는 장치 관리자의 ID를 생성하려면 Access Policies(액세스 정책) > Access Services(액세스 서비스) > Default Device Admin(기본 디바이스 관리자) > Identity(ID)를 선택합니다.

  6. 3단계에서 생성한 Priv15 권한 부여 프로파일을 허용하려면 액세스 정책 > 액세스 서비스 > 기본 디바이스 관리자 > 권한 부여를 선택합니다. 여기서 ID가 전달된 클라이언트(내부 사용자)가 Priv15 프로파일에 배치됩니다.

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

브라우저를 열고 스위치 IP 주소를 입력합니다. Authentication Required 프롬프트가 표시됩니다. 디바이스에 로그인하려면 그룹 사용자 자격 증명을 입력합니다.

텔넷/SSH 액세스를 확인하려면 스위치 IP 주소에 대한 텔넷/SSH를 선택하고 자격 증명을 입력합니다.

ACS 로깅에 대해 표시됩니다.

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

참고: debug 명령을 사용하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.

컨피그레이션 문제를 해결하려면 debug tacacs 명령을 입력합니다.

debug tacacs

*May 14 23:11:06.396: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:06.396: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:06.396: TPLUS: processing authentication continue request id 4775
*May 14 23:11:06.396: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
 16 bytes data)
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 28 bytes response
*May 14 23:11:06.398: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:06.398: TPLUS: Received authen response status GET_PASSWORD (8)
*May 14 23:11:08.680: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:08.680: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.680: TPLUS: processing authentication continue request id 4775
*May 14 23:11:08.680: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
 6 bytes data)
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 18 bytes response
*May 14 23:11:08.687: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:08.687: TPLUS: Received authen response status PASS (2)
*May 14 23:11:08.687: TPLUS: Queuing AAA Authorization request 4775 for processing
*May 14 23:11:08.687: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.687: TPLUS: processing authorization request id 4775
*May 14 23:11:08.687: TPLUS: Protocol set to None .....Skipping
*May 14 23:11:08.687: TPLUS: Sending AV service=shell
*May 14 23:11:08.687: TPLUS: Sending AV cmd*
*May 14 23:11:08.687: TPLUS: Authorization request created for 4775(surbg123)
*May 14 23:11:08.687: TPLUS: using previously set server 10.106.102.50 from
 group SURBG_ACS
*May 14 23:11:08.688: TPLUS(000012A7)/0/NB_WAIT/93C63F04: Started 10 sec timeout
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: socket event 2
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: wrote entire 61 bytes request
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: Would block while reading
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
 18 bytes data)
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 30 bytes response
*May 14 23:11:08.696: TPLUS(000012A7)/0/93C63F04: Processing the reply packet
*May 14 23:11:08.696: TPLUS: Processed AV priv-lvl=15
*May 14 23:11:08.696: TPLUS: received authorization response for 4775: PASS

개정 이력

개정 게시 날짜 의견
1.0
20-May-2014
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

  • Surendra BG
    Cisco TAC Engineer.

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품