9800 Wireless LAN Controller에서 GUI 및 CLI 인증을 위한 RADIUS 및 TACACS+ 구성

소개

이 문서에서는 RADIUS 또는 TACACS+ 외부 인증을 위해 Catalyst 9800을 구성하는 방법에 대해 설명합니다.

배경 정보

사용자가 WLC의 CLI 또는 GUI에 액세스하려고 하면 사용자 이름과 비밀번호를 입력하라는 프롬프트가 표시됩니다. 기본적으로 이러한 자격 증명은 디바이스 자체에 있는 사용자의 로컬 데이터베이스와 비교됩니다. 또는 입력 자격 증명을 원격 AAA 서버와 비교하도록 WLC에 지시할 수 있습니다. WLC는 RADIUS 또는 TACACS+를 사용하여 서버와 통신할 수 있습니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Catalyst Wireless 9800 구성 모델
• AAA, RADIUS 및 TACACS+ 개념

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• C9800-CL v17.9.2
• ISE 3.2.0

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

이 예에서는 AAA 서버(ISE)에서 각각 adminuser와 helpdeskuser의 두 가지 사용자 유형이 구성됩니다. 이러한 사용자는 각각 admin-group 및 helpdesk-group의 그룹에 속합니다. admin-group의 일부인 사용자 adminuser에게 WLC에 대한 전체 액세스 권한이 부여되어야 합니다. 반면, 헬프데스크 그룹의 일부인 헬프데스크 사용자는 WLC에 대한 모니터 권한만 부여되므로 컨피그레이션 액세스가 허용되지 않습니다. 

이 문서에서는 먼저 RADIUS 인증을 위해 WLC 및 ISE를 구성하고 나중에 TACACS+에 대해서도 동일한 작업을 수행합니다.

읽기 전용 사용자 제한

9800 WebUI 인증에 TACACS+ 또는 RADIUS를 사용하는 경우 다음과 같은 제한이 있습니다.

• 권한 수준이 0인 사용자가 있지만 GUI에 액세스할 수 없습니다.

• 권한 수준이 [1, 14]인 사용자는 모니터 탭만 볼 수 있습니다(읽기 전용 로컬 인증 사용자의 권한 수준과 동일).

• 권한 수준이 15인 사용자는 전체 액세스 권한을 갖습니다.

• 권한 수준이 15이고 특정 명령만 허용하는 명령 집합이 있는 사용자는 지원되지 않습니다. 사용자는 WebUI를 통해 컨피그레이션 변경을 실행할 수 있습니다

이러한 고려 사항은 변경하거나 수정할 수 없습니다.

WLC에 대한 RADIUS 인증 구성

1단계. RADIUS 서버를 선언합니다.

GUI에서:

먼저 WLC에서 ISE RADIUS 서버를 생성합니다. 이 작업은 https://<WLC-IP>/webui/#/aaa에서 액세스할 수 있는 GUI WLC 페이지의 Servers/Groups → RADIUS → Servers 탭에서 수행하거나 이 이미지에 표시된 대로 Configuration → Security → AAA로 이동할 경우 수행할 수 있습니다.

WLC에 RADIUS 서버를 추가하려면 이미지의 빨간색으로 표시된 Add(추가) 버튼을 클릭합니다. 그러면 스크린샷에 표시된 팝업 창이 열립니다.

이 팝업 창에서 다음을 제공해야 합니다.

• 서버 이름(ISE 시스템 이름과 일치하지 않아도 됨)
• 서버 IP 주소
• WLC와 RADIUS 서버 간의 공유 암호

인증 및 어카운팅에 사용되는 포트와 같은 다른 매개변수를 구성할 수 있지만, 이러한 매개변수는 필수 사항이 아니며 이 설명서의 기본값으로 남겨둡니다.

CLI에서:

WLC-9800(config)# radius server ISE-lab
WLC-9800(config-radius-server)# address ipv4 10.48.39.134 auth-port 1812 acct-port 1813
WLC-9800(config-radius-server)# key Cisco123

2단계. RADIUS 서버를 서버 그룹에 매핑합니다.

GUI에서:

인증에 사용할 수 있는 여러 RADIUS 서버가 있는 경우, 이러한 모든 서버를 동일한 서버 그룹에 매핑하는 것이 좋습니다. WLC는 서버 그룹의 서버 간에 로드 밸런싱과 다른 인증을 처리합니다. RADIUS 서버 그룹은 1단계에서 설명한 것과 동일한 GUI 페이지의 Servers/Groups → RADIUS → Server Groups(서버/그룹 또는 RADIUS 서버 그룹) 탭에서 구성합니다(이미지에 표시됨).

서버 생성의 경우, 이 이미지에 표시된 위의 이미지에 있는 Add(추가) 버튼을 클릭하면 팝업 창이 나타납니다.

팝업에서 그룹에 이름을 입력하고 원하는 서버를 Assigned Servers(할당된 서버) 목록으로 이동합니다.

CLI에서:

WLC-9800(config)# aaa group server radius RADIUS-Group
WLC-9800(config-sg-radius)# server name ISE-lab

3단계. RADIUS 서버 그룹을 가리키는 AAA 인증 로그인 방법을 생성합니다.

GUI에서:

여전히 GUI 페이지 https:// <WLC-IP>/webui/#/aaa에서 AAA Method List → Authentication(AAA 방법 목록 인증) 탭으로 이동하여 이 이미지에 표시된 인증 방법을 생성합니다.

평소처럼 추가 버튼을 사용하여 인증 방법을 생성하면 이 그림에 표시된 것과 유사한 컨피그레이션 팝업 창이 나타납니다.

이 팝업 창에서 메서드의 이름을 제공하고 Type as login을 선택한 다음 이전 단계에서 생성한 그룹 서버를 Assigned Server Groups(할당된 서버 그룹) 목록에 추가합니다. Group Type(그룹 유형) 필드와 관련하여 몇 가지 컨피그레이션이 가능합니다.

• Group Type(그룹 유형)을 local(로컬)로 선택하면 WLC는 먼저 사용자 자격 증명이 로컬에 있는지 확인한 다음 서버 그룹으로 돌아갑니다.
• Group Type(그룹 유형)을 그룹으로 선택하고 Fall back to local(로컬로 폴백) 옵션을 선택하지 않으면 WLC는 서버 그룹에 대한 사용자 자격 증명만 확인합니다.
• Group Type(그룹 유형)을 그룹으로 선택하고 Fallback to local(로컬로 대체) 옵션을 선택하면 WLC는 서버 그룹에 대해 사용자 자격 증명을 확인하고 서버가 응답하지 않는 경우에만 로컬 데이터베이스를 쿼리합니다. 서버에서 거부를 전송하면 로컬 데이터베이스에 존재할 수 있더라도 사용자가 인증됩니다.

CLI에서:

사용자 자격 증명을 로컬에서 먼저 찾을 수 없는 경우에만 서버 그룹과 함께 확인하도록 하려면

WLC-9800(config)#aaa authentication login radius-authe-method local group RADIUS-Group

서버 그룹에서만 사용자 자격 증명을 검사하려면

WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group

사용자 자격 증명을 서버 그룹으로 검사하고 이 마지막 항목이 로컬 항목으로 응답하지 않을 경우

WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group local

이 예제 설정에서는 로컬에서만 생성된 일부 사용자와 ISE 서버에서만 생성된 일부 사용자가 있으므로 첫 번째 옵션을 사용합니다.

4단계. RADIUS 서버 그룹을 가리키는 AAA 권한 부여 exec 방법을 생성합니다.

GUI에서:

사용자에게 액세스 권한을 부여하려면 권한이 있어야 합니다. GUI 페이지 Configuration → Security → AAA에서 AAA Method List → Authorization(AAA 방법 목록 및 권한 부여) 탭으로 이동하여 이 이미지에 표시된 대로 권한 부여 방법을 생성합니다.

인증 방법 생성

Add(추가) 버튼을 사용하여 새 방법을 추가하는 동안 표시된 것과 유사한 권한 부여 방법 컨피그레이션 팝업이 나타납니다.

이 컨피그레이션 팝업에서 권한 부여 방법의 이름을 제공하고, Type을 exec으로 선택하고 3단계에서 인증 방법에 사용된 것과 동일한 그룹 유형 순서를 사용합니다.

CLI에서:

인증 방법의 경우 먼저 권한 부여가 할당되어 로컬 항목에 대해 사용자를 검사한 다음 서버 그룹의 항목에 대해 검사합니다.

WLC-9800(config)# aaa authorization exec radius-autho-method local group RADIUS-Group

5단계. HTTP 컨피그레이션 및 텔넷/SSH에 사용되는 VTY 라인에 방법을 할당합니다.

GUI에서:

생성된 인증 및 권한 부여 방법을 HTTP 및/또는 텔넷/SSH 사용자 연결에 사용할 수 있습니다. 이 방법은 이 이미지에 표시된 대로 https://<WLC-IP>/webui/#/aaa에서 액세스할 수 있는 GUI WLC 페이지에서 여전히 AAA Advanced → AAA Interface 탭에서 구성할 수 있습니다.

GUI 인증을 위한 CLI:

WLC-9800(config)# ip http authentication aaa login-authentication radius-authe-method 
WLC-9800(config)# ip http authentication aaa exec-authorization radius-autho-method

텔넷/SSH 인증을 위한 CLI:

WLC-9800(config)# line vty 0 15
WLC-9800(config-line)# login authentication radius-authe-method
WLC-9800(config-line)# authorization exec radius-autho-method 

HTTP 컨피그레이션을 변경할 경우 HTTP 및 HTTPS 서비스를 다시 시작하는 것이 가장 좋습니다. 이 명령은 다음 명령으로 수행할 수 있습니다.

WLC-9800(config)# no ip http server
WLC-9800(config)# no ip http secure-server
WLC-9800(config)# ip http server
WLC-9800(config)# ip http secure-server

RADIUS를 위한 ISE 구성

1단계. WLC를 RADIUS용 네트워크 디바이스로 구성합니다.

GUI에서

이전 섹션에서 사용된 WLC를 ISE의 RADIUS용 네트워크 디바이스로 선언하려면 다음 이미지에 표시된 대로 Administration(관리) → Network Resources(네트워크 리소스) → Network Devices(네트워크 디바이스)로 이동하여 Network devices(네트워크 디바이스) 탭을 엽니다. 

네트워크 디바이스를 추가하려면 Add 버튼을 사용합니다. 그러면 새 네트워크 디바이스 컨피그레이션 양식이 열립니다.

새 창에서 네트워크 디바이스의 이름을 제공하고 해당 IP 주소를 추가합니다. RADIUS Authentication Settings(RADIUS 인증 설정)를 선택하고 WLC에서 사용되는 것과 동일한 RADIUS 공유 암호를 구성합니다.

2단계. 권한 부여 결과를 생성하여 권한을 반환합니다.

GUI에서:

관리자 액세스 권한을 가지려면 adminuser의 권한 수준이 15여야 하며, 이 경우 exec 프롬프트 셸에 액세스할 수 있습니다. 반면 helpdeskuser는 exec 프롬프트 셸 액세스가 필요하지 않으므로 권한 레벨이 15보다 낮은 상태로 할당될 수 있습니다. 사용자에게 적절한 권한 수준을 할당하려면 권한 부여 프로파일을 사용자가 될 수 있습니다. 다음 그림에 표시된 Authorization(권한 부여) → Authorization Profiles(권한 부여 프로파일) 탭 아래에 있는 ISE GUI 페이지 Policy(정책) → Policy Elements(정책 요소) → Results(결과)에서 이러한 프로파일을 구성할 수 있습니다.

새 권한 부여 프로파일을 구성하려면 Add 버튼을 사용합니다. 그러면 새 권한 부여 프로파일 컨피그레이션 양식이 열립니다. 이 양식은 특히 adminuser에 할당된 프로필을 구성하려면 다음과 같이 표시됩니다.

이 컨피그레이션에서는 권한 레벨 15를 연결된 모든 사용자에게 부여했습니다. 앞에서 설명한 대로 이는 다음 단계 중에 생성되는 관리자의 예상 동작입니다. 그러나 helpdeskuser는 더 낮은 권한 레벨을 가져야 하므로 두 번째 정책 요소를 만들어야 합니다.

helpdeskuser의 정책 요소는 shell:priv-lvl=15라는 문자열을 shell:priv-lvl=X로 변경하고 X를 원하는 권한 수준으로 대체해야 한다는 점을 제외하면 위에서 생성한 것과 유사합니다. 이 예에서는 1이 사용됩니다.

3단계. ISE에서 사용자 그룹을 생성합니다.

GUI에서

ISE 사용자 그룹은 스크린샷에 표시된 Administration(관리) → Identity Management(ID 관리) → Groups(그룹) GUI 페이지의 탭 User Identity Groups(사용자 ID 그룹)에서 생성됩니다.

새 사용자를 만들려면 Add(추가) 버튼을 사용합니다. 그러면 표시된 새 사용자 ID 그룹 컨피그레이션 양식이 열립니다.

생성된 그룹의 이름을 제공합니다. 위에서 설명한 두 개의 사용자 그룹, 즉 admin-group과 helpdesk-group을 생성합니다.

4단계. ISE에서 사용자를 생성합니다.

GUI에서

ISE 사용자는 스크린샷에 표시된 Administration(관리) → Identity Management(ID 관리) → Identities(ID) GUI 페이지의 Users(사용자) 탭에서 생성됩니다.

새 사용자를 만들려면 Add(추가) 버튼을 사용합니다. 그러면 표시된 새 네트워크 액세스 사용자 컨피그레이션 양식이 열립니다.

WLC에서 인증하는 데 사용되는 자격 증명, 즉 사용자 이름과 비밀번호를 사용자에게 제공합니다. 또한 사용자의 Status가 Enabled인지 확인합니다. 마지막으로, 양식 끝에 있는 User Groups 드롭다운 메뉴를 사용하여 4단계에서 생성된 관련 그룹에 사용자를 추가합니다.

위에서 설명한 두 사용자, 즉 adminuser와 helpdeskuser를 생성합니다.

5단계. 사용자 인증

GUI에서:

이 시나리오에서 이미 사전 구성된 ISE의 기본 정책 집합의 인증 정책은 기본 네트워크 액세스를 허용합니다. 이 정책 집합은 이 그림에 표시된 대로 Policy → Policy Sets ISE GUI 페이지에서 볼 수 있습니다. 따라서 변경할 필요가 없습니다.

6단계. 사용자에게 권한을 부여합니다.

GUI에서:

로그인 시도는 인증 정책을 통과 한 후, 승인 해야 하고 ISE는 권한 수준과 함께 이전에 생성 된 권한 부여 프로파일을 반환 해야 합니다 (허용).

이 예에서는 디바이스 IP 주소(WLC IP 주소)를 기준으로 로그인 시도를 필터링하고 사용자가 속한 그룹을 기준으로 부여할 권한 레벨을 구별합니다. 또 다른 유효한 방법은 사용자 이름을 기준으로 사용자를 필터링하는 것입니다. 이 예에서는 각 그룹에 단일 사용자만 포함되기 때문입니다.

이 단계를 완료하면 adminuser 및 helpdesk 사용자에 대해 구성된 자격 증명을 사용하여 GUI 또는 텔넷/SSH를 통해 WLC에서 인증할 수 있습니다. 

TACACS+ WLC 구성

1단계. TACACS+ 서버를 선언합니다. 

GUI에서:

먼저 WLC에서 Tacacs+ 서버 ISE를 생성합니다. 이 작업은 https://<WLC-IP>/webui/#/aaa에서 액세스할 수 있는 GUI WLC 페이지의 Servers/Groups → TACACS+ → Servers 탭에서 수행하거나 이 이미지에 표시된 대로 Configuration → Security → AAA로 이동할 경우 수행할 수 있습니다.

WLC에 TACACS 서버를 추가하려면 위의 이미지에서 빨간색으로 표시된 Add(추가) 버튼을 클릭합니다. 그러면 표시된 팝업 창이 열립니다.

팝업 창이 열리면 서버 이름(ISE 시스템 이름과 일치하지 않아도 됨), 해당 IP 주소, 공유 키, 사용되는 포트 및 시간 제한을 제공합니다.

이 팝업 창에서 다음을 제공해야 합니다

• 서버 이름(ISE 시스템 이름과 일치하지 않아도 됨)
• 서버 IP 주소
• WLC와 TACACS+ 서버 간의 공유 암호

인증 및 어카운팅에 사용되는 포트와 같은 다른 매개변수를 구성할 수 있지만, 이러한 매개변수는 필수 사항이 아니며 이 설명서의 기본값으로 남겨둡니다.

CLI에서:

WLC-9800(config)# tacacs server ISE-lab
WLC-9800(config-server-tacacs)# address ipv4 10.48.39.134
WLC-9800(config-server-tacacs)# key Cisco123

2단계. TACACS+ 서버를 서버 그룹에 매핑합니다. 

GUI에서:

인증에 사용할 수 있는 여러 TACACS+ 서버가 있는 경우 이러한 모든 서버를 동일한 서버 그룹에 매핑하는 것이 좋습니다. 그런 다음 WLC는 서버 그룹의 서버 간에 로드 밸런싱을 수행합니다. TACACS+ 서버 그룹은 1단계에서 설명한 것과 동일한 GUI 페이지의 Servers/Groups → TACACS → Server Groups(서버/그룹 및 TACACS 서버 그룹) 탭에서 구성합니다(이미지에 표시됨).

이미지에 표시된 것과 동일한 GUI 탭에서.

서버 생성의 경우 위 이미지에 표시된 Add(추가) 버튼을 클릭하면 팝업 창이 나타납니다.

팝업에서 그룹에 이름을 지정하고 원하는 서버를 Assigned Servers(할당된 서버) 목록으로 이동합니다.

CLI에서:

WLC-9800(config)# aaa group server tacacs+ TACACS-Group
WLC-9800(config-sg-tacacs+)# server name ISE-lab

3단계. TACACS+ 서버 그룹을 가리키는 AAA 인증 로그인 방법을 생성합니다. 

GUI에서:

여전히 GUI 페이지 https:// <WLC-IP>/webui/#/aaa에서 AAA Method List → Authentication 탭으로 이동하여 이미지에 표시된 인증 방법을 생성합니다.

평소처럼 추가 버튼을 사용하여 인증 방법을 생성하면 이 그림에 표시된 것과 유사한 컨피그레이션 팝업 창이 나타납니다.

이 팝업 창에서 메서드의 이름을 제공하고 Type as login(로그인으로 유형)을 선택한 다음 이전 단계에서 생성한 그룹 서버를 Assigned Server Groups(할당된 서버 그룹) 목록에 추가합니다. Group Type(그룹 유형) 필드에서는 여러 컨피그레이션이 가능합니다.

• Group Type(그룹 유형)을 local(로컬)로 선택하면 WLC는 먼저 사용자 자격 증명이 로컬에 있는지 확인한 다음 서버 그룹으로 돌아갑니다.
• Group Type(그룹 유형)을 그룹으로 선택하고 Fall back to local(로컬로 폴백) 옵션을 선택하지 않으면 WLC는 서버 그룹에 대한 사용자 자격 증명만 확인합니다.
• Group Type(그룹 유형)을 그룹으로 선택하고 Fallback to local(로컬로 대체) 옵션을 선택하면 WLC는 서버 그룹에 대해 사용자 자격 증명을 확인하고 서버가 응답하지 않는 경우에만 로컬 데이터베이스를 쿼리합니다. 서버에서 거부를 전송하면 로컬 데이터베이스에 존재할 수 있더라도 사용자가 인증됩니다.

CLI에서:

사용자 자격 증명을 로컬에서 먼저 찾을 수 없는 경우에만 서버 그룹과 함께 확인하도록 하려면

WLC-9800(config)# aaa authentication login tacacs-authe-method local group TACACS-Group 

서버 그룹에서만 사용자 자격 증명을 검사하려면

WLC-9800(config)# aaa authentication login tacacs-authe-method group TACACS-Group  

사용자 자격 증명을 서버 그룹으로 검사하고 이 마지막 항목이 로컬 항목으로 응답하지 않으면 다음을 사용합니다

WLC-9800(config)# aaa authentication login tacacs-authe-method group TACACS-Group local

이 예제 설정에서는 로컬에서만 생성된 일부 사용자와 ISE 서버에서만 생성된 일부 사용자가 있으므로 첫 번째 옵션을 사용합니다.

4단계. TACACS를 가리키는 AAA 권한 부여 exec 방법을 생성합니다+ 서버 그룹. 

GUI에서

사용자에게 액세스 권한을 부여하려면 권한이 있어야 합니다. GUI 페이지 Configuration → Security → AAA에서 AAA Method List → Authorization(AAA 방법 목록 및 권한 부여) 탭으로 이동하여 이미지에 표시된 대로 권한 부여 방법을 생성합니다.

Add(추가) 버튼을 사용하여 새 방법을 추가하는 동안 표시된 것과 유사한 권한 부여 방법 컨피그레이션 팝업이 나타납니다.

이 컨피그레이션 팝업에서 권한 부여 방법의 이름을 제공하고, Type을 exec으로 선택하고 이전 단계에서 인증 방법에 사용되는 것과 동일한 그룹 유형 순서를 사용합니다. 

CLI에서:

WLC-9800(config)# aaa authorization exec tacacs-autho-method local group TACACS-Group

5단계. HTTP 컨피그레이션 및 텔넷/SSH에 사용되는 VTY 라인에 방법을 할당합니다.

GUI에서:

생성된 인증 및 권한 부여 방법은 HTTP 및/또는 텔넷/SSH 사용자 연결에 사용할 수 있습니다. 이 방법은 https://<WLC-IP>/webui/#/aaa에 액세스할 수 있는 GUI WLC 페이지에서 여전히 AAA Advanced → AAA Interface 탭에서 구성할 수 있습니다.

CLI에서:

GUI 인증의 경우

WLC-9800(config)# ip http authentication aaa login-authentication tacacs-authe-method 
WLC-9800(config)# ip http authentication aaa exec-authorization tacacs-autho-method  

텔넷/SSH 인증:

WLC-9800(config)# line vty 0 15
WLC-9800(config-line)# login authentication tacacs-authe-method  
WLC-9800(config-line)# authorization exec tacacs-autho-method 

HTTP 컨피그레이션을 변경할 경우 HTTP 및 HTTPS 서비스를 다시 시작하는 것이 가장 좋습니다. 이 명령은 다음 명령으로 수행할 수 있습니다.

WLC-9800(config)# no ip http server
WLC-9800(config)# no ip http secure-server
WLC-9800(config)# ip http server
WLC-9800(config)# ip http secure-server

TACACS+ ISE 컨피그레이션

1단계. WLC를 TACACS+용 네트워크 디바이스로 구성합니다.

GUI에서

이전 섹션에서 사용된 WLC를 ISE의 RADIUS용 네트워크 디바이스로 선언하려면 이 이미지에 표시된 대로 Administration(관리) → Network Resources(네트워크 리소스) → Network Devices(네트워크 디바이스)로 이동하여 Network devices(네트워크 디바이스) 탭을 엽니다. 

이 예에서는 RADIUS 인증을 위해 WLC가 이미 추가되었습니다(위 RADIUS ISE 구성 섹션의 1단계 참조). 따라서 네트워크 디바이스 목록에서 WLC를 선택하고 Edit(수정) 버튼을 클릭하면 TACACS 인증을 구성하기 위해 컨피그레이션을 수정하기만 하면 됩니다. 그러면 이 이미지에 표시된 네트워크 디바이스 컨피그레이션 양식이 열립니다.

새 창이 열리면 아래로 스크롤하여 TACACS Authentication Settings(TACACS 인증 설정) 섹션으로 이동한 다음, 이러한 설정을 활성화하고 Configure TACACS+ WLC(TACACS+ WLC 구성) 섹션의 1단계에서 입력한 공유 암호를 추가합니다.

2단계. 노드에 대한 장치 관리 기능을 활성화 합니다.

참고: ISE를 TACACS+ 서버로 사용하려면 Device Administration 라이센스 패키지와 Base 또는 Mobility 라이센스가 있어야 합니다.

GUI에서:

디바이스 관리 라이센스가 설치되면 ISE를 TACACS+ 서버로 사용하려면 노드에 대해 디바이스 관리 기능을 활성화해야 합니다. 이렇게 하려면 Administrator → Deployment 아래에서 찾을 수 있는 사용된 ISE 구축 노드의 컨피그레이션을 수정하고 해당 이름을 클릭하거나 Edit(수정) 버튼 도움말을 클릭합니다.

노드 컨피그레이션 창이 열리면 이 이미지에 표시된 대로 정책 서비스 섹션 아래에서 Enable Device Admin Service(디바이스 관리 서비스 활성화) 옵션을 선택하면 됩니다.

3단계. TACACS 프로파일 생성, 권한 반환

GUI에서:

관리자 액세스 권한을 가지려면 adminuser의 권한 수준이 15여야 하며, 이 경우 exec 프롬프트 셸에 액세스할 수 있습니다. 반면 helpdeskuser는 exec 프롬프트 셸 액세스가 필요하지 않으므로 권한 레벨이 15보다 낮은 상태로 할당될 수 있습니다. 사용자에게 적절한 권한 수준을 할당하려면 권한 부여 프로파일을 사용자가 될 수 있습니다. 다음 그림에 나와 있는 TACACS Profiles(TACACS 프로필 결과) 탭 아래에 있는 ISE GUI 페이지 Work Centers(작업 센터) → Device Administration(디바이스 관리) → Policy Elements(정책 요소)→ 구성할 수 있습니다.

새 TACACS 프로파일을 구성하려면 Add 버튼을 사용합니다. 그러면 그림에 표시된 것과 유사한 새 프로파일 컨피그레이션 양식이 열립니다. 이 양식은 특히 adminuser에 할당된 프로파일(즉, 셸 권한 레벨 15)을 구성하려면 이 양식과 비슷해야 합니다.

헬프데스크 프로필에 대한 작업을 반복합니다. 이 마지막 단계에서는 Default Privilege와 Maximum Privilege가 모두 1로 설정됩니다.

4단계. ISE에서 사용자 그룹을 생성합니다.

이는 이 문서의 RADIUS ISE 구성 섹션의 3단계에 나와 있는 것과 동일합니다.

5단계. ISE에서 사용자를 생성합니다.

이는 이 문서의 RADIUS ISE 구성 섹션의 4단계에 나와 있는 것과 동일합니다.

6단계. 디바이스 관리 정책 세트를 생성합니다.

GUI에서:

RADIUS 액세스의 경우, 사용자가 생성되면 적절한 액세스 권한을 부여하기 위해 ISE에서 해당 인증 및 권한 부여 정책을 정의해야 합니다. TACACS 인증에서는 디바이스 관리 정책 집합을 이 끝으로 사용합니다. 이는 표시된 Work Centers → Device Administration(디바이스 관리) → Device Admin Policy Sets(디바이스 관리 정책 집합) GUI 페이지에서 구성할 수 있습니다.

디바이스 관리 정책 세트를 생성하려면 이전 이미지에서 빨간색으로 프레임된 추가 버튼을 사용합니다. 그러면 정책 세트 목록에 항목이 추가됩니다. 새로 생성된 집합의 이름, 해당 집합을 적용해야 하는 조건 및 허용되는 프로토콜/서버 시퀀스(여기서 기본 디바이스 관리만 가능)를 제공합니다. Save(저장) 버튼을 사용하여 정책 집합 추가를 마무리하고 오른쪽에 있는 화살표 헤드를 사용하여 구성 페이지에 액세스합니다(그림에 나와 있는 것처럼).

이 예에서 특정 정책 집합 "WLC TACACS 인증"은 IP 주소가 C9800 WLC IP 주소 예와 동일한 요청을 필터링합니다.

인증 정책으로서 Default Rule(기본 규칙)은 사용상의 요구를 충족하므로 남겨둔 것입니다. 두 개의 권한 부여 규칙이 설정되었습니다.

• 첫 번째는 사용자가 정의된 그룹 admin-group에 속할 때 트리거됩니다. 모든 명령을 허용하고(기본 "Permit_all" 규칙을 통해) 권한 15를 할당합니다(정의된 "IOS_Admin" TACACS 프로파일을 통해).
• 두 번째는 사용자가 정의된 그룹 helpdesk-group에 속할 때 트리거됩니다. 모든 명령을 허용하며(기본 'Permit_all'), 권한 1(정의된 "IOS_Helpdesk" TACACS 프로필을 통해)을 할당합니다.

이 단계를 완료하면 adminuser 및 helpdesk 사용자에 대해 구성된 자격 증명을 사용하여 GUI 또는 텔넷/SSH를 통해 WLC에서 인증할 수 있습니다. 

문제 해결

WLC CLI를 통해 WLC GUI 또는 CLI RADIUS/TACACS+ 액세스 문제 해결

WLC GUI 또는 CLI에 대한 TACACS+ 액세스의 문제를 해결하려면 debug tacacs 명령을 터미널 모니터 1과 함께 실행하고 로그인 시도가 이루어지면 라이브 출력을 확인합니다.

예를 들어, 성공적인 로그인에 이어 adminuser 사용자의 로그아웃이 수행되면 이 출력이 생성됩니다.

WLC-9800# terminal monitor
WLC-9800# debug tacacs
TACACS access control debugging is on
WLC-9800#
Dec 8 11:38:34.684: TPLUS: Queuing AAA Authentication request 15465 for processing
Dec 8 11:38:34.684: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:34.684: TPLUS: processing authentication start request id 15465
Dec 8 11:38:34.685: TPLUS: Authentication start packet created for 15465(adminuser)
Dec 8 11:38:34.685: TPLUS: Using server 10.48.39.134
Dec 8 11:38:34.685: TPLUS(00003C69)/0/NB_WAIT/7FD29013CA68: Started 5 sec timeout
Dec 8 11:38:34.687: TPLUS(00003C69)/0/NB_WAIT: socket event 2
Dec 8 11:38:34.688: TPLUS(00003C69)/0/NB_WAIT: wrote entire 45 bytes request
Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: Would block while reading
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 15 bytes data)
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 27 bytes response
Dec 8 11:38:34.701: TPLUS(00003C69)/0/7FD29013CA68: Processing the reply packet
Dec 8 11:38:34.701: TPLUS: Received authen response status GET_PASSWORD (8)
Dec 8 11:38:38.156: TPLUS: Queuing AAA Authentication request 15465 for processing
Dec 8 11:38:38.156: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:38.156: TPLUS: processing authentication continue request id 15465
Dec 8 11:38:38.156: TPLUS: Authentication continue packet generated for 15465
Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE/7FD3796079D8: Started 5 sec timeout
Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE: wrote entire 29 bytes request
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 6 bytes data)
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 18 bytes response
Dec 8 11:38:38.183: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet
Dec 8 11:38:38.183: TPLUS: Received authen response status PASS (2)
Dec 8 11:38:38.184: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: adminuser] [Source: 10.61.80.151] [localport: 22] at 12:38:38 CET Thu Dec 8 2022
Dec 8 11:38:38.259: TPLUS: Queuing AAA Authorization request 15465 for processing
Dec 8 11:38:38.260: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:38.260: TPLUS: processing authorization request id 15465
Dec 8 11:38:38.260: TPLUS: Protocol set to None .....Skipping
Dec 8 11:38:38.260: TPLUS: Sending AV service=shell
Dec 8 11:38:38.260: TPLUS: Sending AV cmd*
Dec 8 11:38:38.260: TPLUS: Authorization request created for 15465(adminuser)
Dec 8 11:38:38.260: TPLUS: using previously set server 10.48.39.134 from group TACACS-Group
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT/7FD3796079D8: Started 5 sec timeout
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: socket event 2
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: wrote entire 64 bytes request
Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: Would block while reading
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 18 bytes data)
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 30 bytes response
Dec 8 11:38:38.285: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet
Dec 8 11:38:38.285: TPLUS: Processed AV priv-lvl=15
Dec 8 11:38:38.285: TPLUS: received authorization response for 15465: PASS
Dec 8 11:38:44.225: %SYS-6-LOGOUT: User adminuser has exited tty session 7(10.61.80.151)
Dec 8 11:38:44.225:Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT
Dec 8 11:38:44.226: %HA_EM-6-LOG: catchall: logout 
Dec 8 11:39:18.689: %SYS-6-LOGOUT: User admin has exited tty session 5(10.61.80.151)
Dec 8 11:39:18.690:Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT

이러한 로그에서 TACACS+ 서버가 올바른 권한(AV priv-lvl=15)을 반환함을 확인할 수 있습니다.

대신 RADIUS 인증을 수행 할 때, RADIUS 트래픽에 대한 유사 한 디버그 출력이 표시 됩니다.

이 명령은 debug aaa authentication 및 debug aaa authorization 대신 가 로그인을 시도할 때 WLC에서 어떤 메서드 목록을 선택했는지 보여줍니다.

ISE GUI를 통해 WLC GUI 또는 CLI TACACS+ 액세스 문제 해결

페이지 작업 → TACACS → Live Logs에서 지난 24시간까지 TACACS+로 수행한 모든 사용자 인증을 볼 수 있습니다. TACACS+ 권한 부여 또는 인증의 세부사항을 확장하려면 이 이벤트와 관련된 Details(세부사항) 버튼을 사용합니다.

Helpdeskuser를 성공적으로 인증하려는 경우 다음과 같이 표시됩니다.

이를 통해 사용자 helpdeskuser가 인증 정책 WLC TACACS Authentication → Default에 의해 네트워크 디바이스 WLC-9800에 성공적으로 인증되었음을 알 수 있습니다. 또한 권한 부여 프로파일 IOS 헬프데스크가 이 사용자에게 할당되었으며 그에게 권한 레벨 1을 부여했습니다.