WLC - 관리 사용자에 대한 RADIUS 인증 구성

소개

이 문서에서는 AAA 서버가 컨트롤러의 관리 사용자를 인증할 수 있도록 WLC(Wireless LAN Controller) 및 Access Control Server(Cisco Secure ACS)를 구성하는 방법에 대해 설명합니다. 또한 이 문서에서는 서로 다른 관리 사용자가 Cisco Secure ACS RADIUS 서버에서 반환된 VSA(Vendor-specific Attributes)를 사용하여 서로 다른 권한을 받는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

• WLC에서 기본 매개변수를 구성하는 방법에 대한 지식

• Cisco Secure ACS와 같은 RADIUS 서버를 구성하는 방법에 대한 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 버전 7.0.216.0을 실행하는 Cisco 4400 Wireless LAN Controller

• 소프트웨어 버전 4.1을 실행하고 이 컨피그레이션에서 RADIUS 서버로 사용되는 Cisco Secure ACS입니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

구성

이 섹션에서는 이 문서에 설명된 용도로 WLC 및 ACS를 구성하는 방법에 대한 정보를 제공합니다.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

이 컨피그레이션 예에서는 다음 매개변수를 사용합니다.

• Cisco Secure ACS의 IP 주소 —172.16.1.1/255.255.0.0

• 컨트롤러의 관리 인터페이스 IP 주소—172.16.1.30/255.255.0.0

• 액세스 포인트(AP) 및 RADIUS 서버에서 사용되는 공유 암호 키—asdf1234

• 다음은 이 예에서는 ACS에서 구성하는 두 사용자의 자격 증명입니다.

  • 사용자 이름 - acsreadwrite

    비밀번호 - acsreadwrite

  • 사용자 이름 - acsreadonly

    비밀번호 - acsreadonly

다음을 수행하려면 WLC 및 Cisco Secure Cisco Secure ACS를 구성해야 합니다.

• acsreadwrite로 사용자 이름 및 비밀번호를 사용하여 WLC에 로그인한 모든 사용자에게 WLC에 대한 전체 관리 액세스 권한이 부여됩니다.

• acsreadonly로 사용자 이름 및 비밀번호를 사용하여 WLC에 로그인하는 모든 사용자에게 WLC에 대한 읽기 전용 액세스 권한이 부여됩니다.

구성

이 문서에서는 다음 구성을 사용합니다.

• WLC 컨피그레이션

• Cisco Secure ACS 컨피그레이션

WLC 컨피그레이션

Cisco Secure ACS Server를 통해 관리를 허용하도록 WLC 구성

RADIUS 서버와 통신할 수 있도록 WLC를 구성하려면 다음 단계를 완료합니다.

1. WLC GUI에서 Security(보안)를 클릭합니다. 왼쪽의 메뉴에서 RADIUS > Authentication을 클릭합니다. RADIUS Authentication servers 페이지가 나타납니다. 새 RADIUS 서버를 추가하려면 New(새로 만들기)를 클릭합니다. RADIUS Authentication Servers(RADIUS 인증 서버) > New(새) 페이지에서 RADIUS 서버에 해당하는 매개변수를 입력합니다. 이제 DDoS 공격의 실제 사례를 살펴보겠습니다.

   

2. RADIUS 서버가 WLC에 로그인하는 사용자를 인증하도록 하려면 Management 라디오 버튼을 선택합니다.

   참고: 이 페이지에 구성된 공유 암호가 RADIUS 서버에 구성된 공유 암호와 일치하는지 확인하십시오. WLC가 RADIUS 서버와 통신할 수 있어야 합니다.

3. WLC가 Cisco Secure ACS에서 관리되도록 구성되었는지 확인합니다. 이렇게 하려면 WLC GUI에서 Security(보안)를 클릭합니다. 결과 GUI 창이 이 예와 유사합니다.

   

   RADIUS 서버 172.16.1.1에 대해 관리 확인란이 활성화되어 있음을 확인할 수 있습니다. ACS에서 WLC의 관리 사용자를 인증할 수 있음을 나타냅니다.

Cisco Secure ACS 컨피그레이션

ACS를 구성하려면 다음 섹션의 단계를 완료합니다.

1. RADIUS 서버에 AAA 클라이언트로 WLC를 추가합니다.

2. 사용자 및 해당 RADIUS IETF 특성을 구성합니다.

3. 읽기-쓰기 액세스를 사용하여 사용자를 구성합니다.

4. 읽기 전용 액세스 권한을 가진 사용자를 구성합니다.

RADIUS 서버에 AAA 클라이언트로 WLC 추가

Cisco Secure ACS에서 WLC를 AAA 클라이언트로 추가하려면 다음 단계를 완료합니다.

1. ACS GUI에서 Network Configuration(네트워크 컨피그레이션)을 클릭합니다.

2. AAA Clients(AAA 클라이언트)에서 Add Entry(항목 추가)를 클릭합니다.

3. Add AAA Client(AAA 클라이언트 추가) 창에서 WLC 호스트 이름, WLC의 IP 주소 및 공유 비밀 키를 입력합니다.

   이 예에서는 다음과 같은 설정을 사용합니다.

   • AAA 클라이언트 호스트 이름은 WLC-4400입니다.

   • 172.16.1.30/16은 AAA 클라이언트 IP 주소입니다. 이 경우 WLC입니다.

   • 공유 비밀 키는 "asdf1234"입니다.

     

   이 공유 비밀 키는 WLC에서 구성한 공유 비밀 키와 동일해야 합니다.

4. Authenticate Using(다음을 사용하여 인증) 드롭다운 메뉴에서 RADIUS(Cisco Airespace)를 선택합니다.

5. 구성을 저장하려면 Submit + Restart를 클릭합니다.

사용자 및 해당 RADIUS IETF 특성 구성

RADIUS 서버를 통해 사용자를 인증하려면 컨트롤러 로그인 및 관리를 위해 IETF RADIUS 특성 Service-Type이 사용자 권한에 따라 적절한 값으로 설정된 RADIUS 데이터베이스에 사용자를 추가해야 합니다.

• 사용자에 대한 읽기-쓰기 권한을 설정하려면 Service-Type Attribute를 Administrative로 설정합니다.

• 사용자에 대한 읽기 전용 권한을 설정하려면 Service-Type Attribute를 NAS-Prompt로 설정합니다.

읽기-쓰기 액세스 권한으로 사용자 구성

첫 번째 예는 WLC에 대한 전체 액세스 권한을 가진 사용자의 컨피그레이션을 보여줍니다. 이 사용자가 컨트롤러에 로그인을 시도하면 RADIUS 서버는 이 사용자를 인증하고 전체 관리 액세스를 제공합니다.

이 예에서는 사용자 이름과 비밀번호가 acsreadwrite입니다.

Cisco Secure ACS에서 다음 단계를 완료합니다.

1. ACS GUI에서 User Setup(사용자 설정)을 클릭합니다.

2. 이 예제 창에 표시된 대로 ACS에 추가할 사용자 이름을 입력합니다.

   

3. 사용자 편집 페이지로 이동하려면 추가/편집을 누릅니다.

4. 사용자 편집 페이지에서 이 사용자의 실제 이름, 설명 및 비밀번호 세부 정보를 제공합니다.

5. 아래로 스크롤하여 IETF RADIUS Attributes(IETF RADIUS 특성) 설정으로 이동하고 Service-Type Attribute(서비스 유형 특성)를 선택합니다.

6. 이 예에서는 사용자 acsreadwrite에 전체 액세스 권한이 부여되어야 하므로 Service-Type 풀다운 메뉴에서 Administrative를 선택하고 Submit을 클릭합니다.

   이렇게 하면 특정 사용자가 WLC에 대한 읽기-쓰기 액세스 권한을 갖게 됩니다.

   

경우에 따라 이 Service-Type 특성은 사용자 설정에 표시되지 않습니다. 이 경우 이 단계를 완료하여 이 단계를 표시하십시오.

1. ACS GUI에서 Interface Configuration(인터페이스 컨피그레이션) > RADIUS(IETF)를 선택하여 User Configuration(사용자 컨피그레이션) 창에서 IETF 특성을 활성화합니다.

   그러면 RADIUS(IETF) 설정 페이지로 이동합니다.

2. RADIUS (IETF) 설정 페이지에서 사용자 또는 그룹 설정 아래에 표시되어야 하는 IETF 특성을 활성화할 수 있습니다. 이 컨피그레이션에서는 User(사용자) 열에 대해 Service-Type(서비스 유형)을 선택하고 Submit(제출)을 클릭합니다. 이 창에는 예제가 표시됩니다.

   

   참고: 이 예에서는 사용자별로 인증을 지정합니다. 특정 사용자가 속한 그룹을 기반으로 인증을 수행할 수도 있습니다. 이 경우 그룹 설정 아래에 이 속성이 표시되도록 그룹 확인란을 활성화합니다.

   참고: 또한 인증이 그룹 기반인 경우 특정 그룹에 사용자를 할당하고 그룹 설정 IETF 속성을 구성하여 해당 그룹의 사용자에게 액세스 권한을 제공해야 합니다. 그룹 구성 및 관리 방법에 대한 자세한 내용은 그룹 관리를 참조하십시오.

읽기 전용 액세스로 사용자 구성

이 예에서는 WLC에 대한 읽기 전용 액세스 권한을 가진 사용자의 컨피그레이션을 보여줍니다. 이 사용자가 컨트롤러에 로그인을 시도하면 RADIUS 서버는 이 사용자를 인증하고 읽기 전용 액세스를 제공합니다.

이 예에서 사용자 이름과 비밀번호는 acsreadonly입니다.

Cisco Secure ACS에서 다음 단계를 완료합니다.

1. ACS GUI에서 User Setup(사용자 설정)을 클릭합니다.

2. ACS에 추가할 사용자 이름을 입력하고 Add/Edit(추가/수정)를 클릭하여 User Edit(사용자 수정) 페이지로 이동합니다.

   

3. 이 사용자의 실제 이름, 설명 및 암호를 제공합니다. 이 창에는 예제가 표시됩니다.

   

4. 아래로 스크롤하여 IETF RADIUS Attributes(IETF RADIUS 특성) 설정으로 이동하고 Service-Type Attribute(서비스 유형 특성)를 선택합니다.

5. 이 예에서 사용자 acsreadonly는 읽기 전용 액세스 권한을 가져야 하므로 Service-Type 풀다운 메뉴에서 NAS Prompt를 선택하고 Submit을 클릭합니다.

   이렇게 하면 특정 사용자가 WLC에 대한 읽기 전용 액세스 권한을 갖게 됩니다.

   

RADIUS 서버를 통해 로컬 및 WLC 관리

WLC에서 관리 사용자를 로컬로 구성할 수도 있습니다. 이 작업은 컨트롤러 GUI의 Management(관리) > Local Management Users(로컬 관리 사용자) 아래에서 수행할 수 있습니다.

WLC가 관리 확인란이 활성화된 RADIUS 서버뿐만 아니라 로컬에서도 관리 사용자로 구성되어 있다고 가정합니다. 이러한 시나리오에서는 기본적으로 사용자가 WLC에 로그인을 시도할 때 WLC는 다음과 같이 동작합니다.

1. WLC는 먼저 사용자를 검증하기 위해 정의된 로컬 관리 사용자를 확인합니다. 사용자가 로컬 목록에 있으면 이 사용자에 대한 인증을 허용합니다. 이 사용자가 로컬로 나타나지 않으면 RADIUS 서버를 찾습니다.

2. 동일한 사용자가 RADIUS 서버뿐만 아니라 로컬에도 있지만 액세스 권한이 다른 경우 WLC는 로컬로 지정된 권한을 가진 사용자를 인증합니다. 즉, RADIUS 서버와 비교할 때 WLC의 로컬 컨피그레이션이 항상 우선합니다.

관리 사용자에 대한 인증 순서는 WLC에서 변경할 수 있습니다. 이렇게 하려면 WLC의 Security(보안) 페이지에서 Priority Order(우선순위 주문) > Management User(관리 사용자)를 클릭합니다. 이 페이지에서 인증 순서를 지정할 수 있습니다. 이제 DDoS 공격의 실제 사례를 살펴보겠습니다.

참고: LOCAL을 두 번째 우선 순위로 선택한 경우 첫 번째 우선 순위(RADIUS/TACACS)로 정의된 방법에 연결할 수 없는 경우에만 이 방법을 사용하여 사용자를 인증합니다.

다음을 확인합니다.

컨피그레이션이 제대로 작동하는지 확인하려면 CLI 또는 GUI(HTTP/HTTPS) 모드를 통해 WLC에 액세스합니다. 로그인 프롬프트가 나타나면 Cisco Secure ACS에 구성된 사용자 이름과 비밀번호를 입력합니다.

구성이 올바르면 WLC에 성공적으로 인증됩니다.

또한 인증된 사용자에게 ACS에서 지정한 액세스 제한이 제공되는지 확인할 수 있습니다. 이렇게 하려면 HTTP/HTTPS를 통해 WLC GUI에 액세스합니다(WLC가 HTTP/HTTPS를 허용하도록 구성되었는지 확인).

ACS에서 읽기-쓰기 액세스 권한이 설정된 사용자는 WLC에서 여러 가지 구성 가능한 권한을 갖습니다. 예를 들어, 읽기-쓰기 사용자는 WLC의 WLANs 페이지 아래에 새 WLAN을 생성할 수 있는 권한이 있습니다. 이 창에는 예제가 표시됩니다.

읽기 전용 권한을 가진 사용자가 컨트롤러에서 컨피그레이션을 변경하려고 하면 사용자는 이 메시지를 보게 됩니다.

이러한 액세스 제한은 WLC의 CLI를 통해 확인할 수도 있습니다. 이 출력은 예를 보여줍니다.

(Cisco Controller) >?

debug          Manages system debug options.
help           Help
linktest       Perform a link test to a specified MAC address.
logout         Exit this session. Any unsaved changes are lost.
show           Display switch options and settings.

(Cisco Controller) >config

Incorrect usage.  Use the '?' or <TAB> key to list commands.

이 예제 출력에서 볼 수 있듯이, a? 컨트롤러 CLI에서 현재 사용자에게 사용 가능한 명령 목록을 표시합니다. 또한 이 예제 출력에서는 config 명령을 사용할 수 없습니다. 이는 읽기 전용 사용자에게 WLC에서 어떤 컨피그레이션도 수행할 수 있는 권한이 없음을 나타냅니다. 반면 읽기-쓰기 사용자는 컨트롤러에서 컨피그레이션을 수행할 수 있는 권한이 있습니다(GUI 및 CLI 모드 모두).

참고: RADIUS 서버를 통해 WLC 사용자를 인증한 후에도 페이지에서 페이지를 탐색할 때 HTTP[S] 서버는 매번 클라이언트를 완전히 인증합니다. 각 페이지에서 인증을 요청하지 않는 유일한 이유는 브라우저가 자격 증명을 캐시하고 재생하기 때문입니다.

문제 해결

컨트롤러가 ACS를 통해 관리 사용자를 인증하고, 인증이 성공적으로 완료되고(액세스-수락), 컨트롤러에서 어떤 권한 부여 오류가 표시되지 않는 특정 상황이 있습니다. 그러나 사용자에게 인증 프롬프트가 다시 표시됩니다.

이러한 경우 debug aaa events enable 명령을 사용하기만 하면 사용자가 WLC에 로그인할 수 없는 이유와 잘못된 것을 해석할 수 없습니다. 대신 컨트롤러는 인증을 위한 다른 프롬프트를 표시합니다.

한 가지 가능한 이유는 ACS에서 사용자 이름과 비밀번호가 올바르게 구성되었더라도 ACS가 특정 사용자 또는 그룹에 대한 서비스 유형 특성을 전송하도록 구성되지 않았기 때문입니다.

debug aaa events enable 명령의 출력에서는 access-accept가 AAA 서버에서 다시 전송되더라도 사용자에게 필수 특성(이 예: Service-Type 특성)이 없음을 나타내지 않습니다. 이 예에서는 debug aaa events enable 명령 출력을 보여 줍니다.

 (Cisco Controller) >debug aaa events enable



Mon Aug 13 20:14:33 2011: AuthenticationRequest: 0xa449a8c

Mon Aug 13 20:14:33 2011: Callback.....................................0x8250c40

Mon Aug 13 20:14:33 2011: protocolType.................................0x00020001

Mon Aug 13 20:14:33 2011: proxyState......................1A:00:00:00:00:00-00:00

Mon Aug 13 20:14:33 2011: Packet contains 5 AVPs (not shown)

Mon Aug 13 20:14:33 2011: 1a:00:00:00:00:00 Successful transmission of 
Authentication Packet (id 8) to 172.16.1.1:1812, proxy state 
1a:00:00:00:00:00-00:00

Mon Aug 13 20:14:33 2011: ****Enter processIncomingMessages: response code=2

Mon Aug 13 20:14:33 2011: ****Enter processRadiusResponse: response code=2

Mon Aug 13 20:14:33 2011: 1a:00:00:00:00:00 Access-Accept 
received from RADIUS server 172.16.1.1 for mobile 1a:00:00:00:00:00 receiveId = 0

Mon Aug 13 20:14:33 2011: AuthorizationResponse: 0x9802520

Mon Aug 13 20:14:33 2011: structureSize................................28

Mon Aug 13 20:14:33 2011: resultCode...................................0

Mon Aug 13 20:14:33 2011: protocolUsed.................................0x00000001

Mon Aug 13 20:14:33 2011: proxyState.......................1A:00:00:00:00:00-00:00

Mon Aug 13 20:14:33 2011: Packet contains 0 AVPs:

이 첫 번째 예에서 debug aaa events enable 명령 출력에서는 Access-Accept가 RADIUS 서버에서 성공적으로 수신되었지만 Service-Type 특성이 WLC에 전달되지 않았음을 확인할 수 있습니다. 이는 특정 사용자가 ACS에서 이 특성으로 구성되지 않았기 때문입니다.

사용자 인증 후 Service-Type 특성을 반환하도록 Cisco Secure ACS를 구성해야 합니다. Service-Type 특성 값은 사용자 권한에 따라 Administrative 또는 NAS-Prompt로 설정해야 합니다.

두 번째 예에서는 debug aaa events enable 명령 출력을 다시 보여줍니다. 그러나 이번에는 Service-Type 특성이 ACS에서 Administrative로 설정됩니다.

(Cisco Controller)>debug aaa events enable



Mon Aug 13 20:17:02 2011: AuthenticationRequest: 0xa449f1c

Mon Aug 13 20:17:02 2011: Callback.....................................0x8250c40

Mon Aug 13 20:17:02 2011: protocolType.................................0x00020001

Mon Aug 13 20:17:02 2011: proxyState.......................1D:00:00:00:00:00-00:00

Mon Aug 13 20:17:02 2011: Packet contains 5 AVPs (not shown)

Mon Aug 13 20:17:02 2011: 1d:00:00:00:00:00 Successful transmission of 
Authentication Packet (id 11) to 172.16.1.1:1812, proxy state 
1d:00:00:00:00:00-00:00

Mon Aug 13 20:17:02 2011: ****Enter processIncomingMessages: response code=2

Mon Aug 13 20:17:02 2011: ****Enter processRadiusResponse: response code=2

Mon Aug 13 20:17:02 2011: 1d:00:00:00:00:00 Access-Accept received 
from RADIUS server 172.16.1.1 for mobile 1d:00:00:00:00:00 receiveId = 0

Mon Aug 13 20:17:02 2011: AuthorizationResponse: 0x9802520

Mon Aug 13 20:17:02 2011: structureSize................................100

Mon Aug 13 20:17:02 2011: resultCode...................................0

Mon Aug 13 20:17:02 2011: protocolUsed.................................0x00000001

Mon Aug 13 20:17:02 2011: proxyState.......................1D:00:00:00:00:00-00:00

Mon Aug 13 20:17:02 2011: Packet contains 2 AVPs:

Mon Aug 13 20:17:02 2011: AVP[01] Service-Type...........0x00000006 (6) (4 bytes)

Mon Aug 13 20:17:02 2011: AVP[02] Class.........
CISCOACS:000d1b9f/ac100128/acsserver (36 bytes)

이 예에서 Service-Type 특성이 WLC에 전달되었음을 확인할 수 있습니다.

관련 정보

• 무선 LAN 컨트롤러 구성 - 컨피그레이션 가이드
• 무선 LAN 컨트롤러의 VLAN 컨피그레이션 예
• RADIUS 서버 및 무선 LAN 컨트롤러 구성을 통한 동적 VLAN 할당 예
• 무선 LAN 컨트롤러 및 경량 액세스 포인트 기본 구성 예
• 무선 LAN 컨트롤러가 있는 AP 그룹 VLAN 컨피그레이션 예
• 기술 지원 및 문서 − Cisco Systems

Revision History