9800 Wireless LAN Controller에서 GUI 및 CLI 인증을 위한 RADIUS 및 TACACS+ 구성

소개

이 문서에서는 그래픽 사용자 인터페이스(GUI) 또는 CLI(Command Line Interface)에 액세스할 때 RADIUS 또는 TACACS+ 외부 인증을 위해 9800 WLC(Wireless LAN Controller)를 구성하는 방법에 대해 설명합니다.

배경 정보

사용자가 WLC의 CLI 또는 GUI에 액세스하려고 하면 사용자 이름과 비밀번호를 입력하라는 프롬프트가 표시됩니다. 기본적으로 이러한 자격 증명은 디바이스 자체에 있는 사용자의 로컬 데이터베이스와 비교됩니다. 또는 입력 자격 증명을 원격 AAA 서버와 비교하기 위해 WLC에 지시할 수 있습니다. WLC는 RADIUS 또는 TACACS+를 사용하여 서버와 통신할 수 있습니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Catalyst Wireless 9800 구성 모델
• AAA, RADIUS 및 TACACS+ 개념

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• C9800-CL v16.10
• ISE 2.2.0

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

구성

이 예에서는 AAA 서버(ISE)에서 각각 adminuser 및 helpdeskuser의 두 가지 사용자 유형을 구성합니다. 사용자 관리자는 WLC에 대한 전체 액세스 권한을 부여받아야 하는 반면, 헬프데스크 사용자는 WLC에 대한 모니터 권한만 부여되므로 컨피그레이션 액세스 권한은 부여되지 않습니다.

먼저 RADIUS 인증을 위해 WLC 및 ISE에서 구성한 다음 나중에 TACACS+에 대해 동일하게 수행합니다.

읽기 전용 사용자 제한

9800 WebUI 인증에 TACACS+ 또는 RADIUS를 사용할 경우 다음과 같은 제한 사항이 있습니다.

• 권한 수준 1-10의 사용자는 Monitor 탭만 볼 수 있습니다(읽기 전용 로컬 인증 사용자의 권한 레벨과 동일).

• 권한 수준 15의 사용자는 전체 액세스 권한을 갖습니다.

• 권한 수준 15와 특정 명령만 허용하는 명령 집합을 가진 사용자는 지원되지 않습니다. 사용자는 여전히 webUI를 통해 구성 변경을 실행할 수 있습니다.

이 동작은 변경하거나 수정할 수 없습니다.

RADIUS WLC 구성

1단계. RADIUS 서버를 선언합니다.

먼저 WLC에 RADIUS 서버 ISE를 만듭니다. 이 작업은 GUI WLC 페이지 https://<WLC-IP>/webui/#/aaa에서 수행할 수 있습니다.

그런 다음 팝업 창이 열리고 서버 이름(ISE 시스템 이름과 일치하지 않아도 됨), IP 주소, 공유 비밀, 인증 및 어카운팅에 사용되는 포트를 다른 매개변수와 함께 입력할 수 있습니다.

CLI에서:

paolo-9800(config)#radius server labISE
paolo-9800(config-radius-server)# address ipv4 10.48.71.92 auth-port 1812 acct-port 1813
paolo-9800(config-radius-server)# key Cisco123

2단계. RADIUS 서버를 서버 그룹에 매핑합니다.

인증에 사용할 수 있는 여러 RADIUS 서버가 있는 경우 이러한 모든 서버를 동일한 서버 그룹에 매핑하는 것이 좋습니다. WLC는 서버 그룹의 서버 간에 서로 다른 인증을 로드 밸런싱합니다.

이미지에 표시된 것과 동일한 GUI 탭에서

팝업에서 그룹에 이름을 지정하고 원하는 서버를 Assigned 목록으로 이동합니다.

CLI에서:

paolo-9800(config)#aaa group server radius radGroup
paolo-9800(config-sg-radius)# server name labISE

3단계. RADIUS 서버 그룹을 가리키는 AAA 인증 로그인 방법을 생성합니다.

항상 GUI 페이지 https://<WLC-IP>/webui/#/aaa에서 AAA Method(AAA 방법) 목록 탭으로 이동하여 이미지에 표시된 대로 Authentication(인증) 방법을 생성합니다.

팝업에서 메서드에 이름을 지정하고 로그인으로 유형을 선택하고 이전 단계에서 생성한 그룹 서버를 할당합니다.

Group Type(그룹 유형)을 'local'(로컬)로 선택하면 WLC는 먼저 사용자가 로컬에 있는지 확인한 다음 서버 그룹으로 돌아갑니다.

CLI:

paolo-9800(config)#aaa authentication login radAutheMethod local group radGroup

'그룹 유형'을 '그룹'으로 선택하고 로컬 옵션으로 폴백하지 않는 경우 WLC는 서버 그룹을 기준으로 사용자를 확인합니다.

CLI:

paolo-9800(config)#aaa authentication login radAutheMethod group radGroup

'그룹 유형'을 '그룹'으로 선택하고 로컬 옵션으로 폴백 옵션을 선택하면 WLC는 서버 그룹을 기준으로 사용자를 확인하고 서버가 응답하지 않는 경우에만 로컬 데이터베이스를 쿼리합니다. 서버가 거부를 전송하면 로컬 데이터베이스에 있더라도 사용자를 인증하지 않습니다.

CLI:

paolo-9800(config)#aaa authentication login radAutheMethod group radGroup local

이 예제 설정에서는 로컬에서만 생성되는 일부 사용자가 있으며, 일부 사용자는 ISE 서버에서만 생성되므로 첫 번째 옵션을 사용합니다.

4단계. RADIUS 서버 그룹을 가리키는 AAA 권한 부여 실행 방법을 만듭니다. 사용자에게 액세스 권한을 부여하려면 해당 사용자에게도 권한을 부여해야 합니다. 이미지에 표시된 것과 동일한 탭에서

이전 단계에서 인증 방법에 사용되는 로컬/그룹의 동일한 순서를 사용하고 유형을 'exec'으로 선택합니다.

CLI에서:

paolo-9800(config)#aaa authorization exec radAuthzMethod local group radGroup

5단계. HTTP 컨피그레이션 및 텔넷/SSH에 사용되는 VTY 행에 방법을 할당합니다. 이러한 단계는 GUI에서 수행할 수 없으므로 CLI에서 수행해야 합니다.

GUI 인증의 경우:

paolo-9800(config)#ip http authentication aaa login-authentication radAutheMethod 
paolo-9800(config)#ip http authentication aaa exec-authorization radAuthzMethod

텔넷/SSH 인증의 경우:

paolo-9800(config)#line vty 0 15
paolo-9800(config-line)#login authentication radAutheMethod
paolo-9800(config-line)#authorization exec radAuthzMethod 

HTTP 컨피그레이션을 변경할 때 HTTP 및 HTTPS 서비스를 다시 시작하는 것이 좋습니다.

paolo-9800(config)#no ip http server
paolo-9800(config)#no ip http secure-server
paolo-9800(config)#ip http server
paolo-9800(config)#ip http secure-server

RADIUS ISE 구성

1단계. WLC를 이미지에 표시된 대로 RADIUS에 대한 네트워크 디바이스로 구성합니다.

새 창에서 IP 주소를 추가하고 RADIUS를 선택하고 WLC에 사용된 것과 동일한 공유 암호를 입력합니다.

2단계. 권한 부여 결과를 생성하여 권한을 반환합니다.

구성하려면 관리자의 권한 레벨이 15여야 하며, 이 레벨을 통해 exec 프롬프트 셸에 액세스할 수 있습니다. 대신 다른 사용자는 helpdeskuser에 exec 프롬프트 셸 액세스가 필요하지 않으며 15보다 낮은 권한 레벨을 할당할 수 있습니다. 이렇게 하려면 이미지에 표시된 대로 관리자에 대한 권한 부여 프로필 결과를 만드십시오.

특히, 관리자의 프로파일은 다음과 같아야 합니다.

그런 다음 helpdeskuser에 대해 유사한 셸을 만들고 shell:priv-lvl=15 문자열 shell:priv-lvl=X로 변경하고 X를 원하는 권한 레벨로 바꿉니다. 이 예에서는 1이 사용됩니다.

3단계. 이미지에 표시된 대로 ISE에서 사용자를 생성합니다.

사용자에게 제공되는 자격 증명은 나중에 인증할 때 WLC에 입력하는 자격 증명을 나타냅니다. 

4단계. 사용자를 인증합니다. 이 시나리오에서 사전 구성된 ISE의 기본 인증 정책 규칙은 이미 기본 네트워크 액세스를 허용하므로 변경할 필요가 없습니다.

5단계. 사용자에게 권한을 부여합니다. 로그인 시도가 인증 정책을 통과한 후에는 권한 부여가 필요하며 ISE는 이전에 생성한 권한 부여 프로파일(권한 레벨과 함께 허용)을 반환해야 합니다.

이 예에서는 디바이스 IP 주소(WLC IP 주소)를 기반으로 로그인 시도를 필터링하고 사용자 이름에 따라 부여할 권한 레벨을 구분합니다.

또 다른 유효한 방법은 모든 관리자 사용자를 특정 그룹에 할당하고 해당 그룹에 속한 사용자에게만 권한 레벨 15를 부여하는 것입니다.

Tacacs+ WLC 구성

1단계. Tacacs+ 서버를 선언합니다. 먼저 WLC에 Tacacs+ 서버 ISE를 생성합니다. 이 작업은 GUI WLC 페이지에서 수행할 수 있습니다. https://<WLC-IP>/webui/#/aaa.

ISE 시스템 이름과 일치하지 않아도 되는 서버 이름, IP 주소, 공유 키, 사용된 포트 및 시간 초과를 입력할 수 있는 팝업 창이 열립니다.

CLI에서:

paolo-9800(config)#tacacs server labISE
paolo-9800(config-server-tacacs)# address ipv4 10.48.71.92
paolo-9800(config-server-tacacs)# key Cisco123

2단계. Tacacs+ 서버를 서버 그룹에 매핑합니다. 인증에 사용할 수 있는 여러 Tacacs+ 서버가 있는 경우 이러한 모든 서버를 동일한 서버 그룹에 매핑하는 것이 좋습니다. 그런 다음 WLC는 서버 그룹의 서버 간에 서로 다른 인증을 로드 밸런싱합니다.

이미지에 표시된 것과 동일한 GUI 탭에서

팝업에서 그룹에 이름을 지정하고 원하는 서버를 Assigned 목록으로 이동합니다.

CLI에서:

paolo-9800(config)#aaa group server tacacs+ tacGroup
paolo-9800(config-sg-tacacs+)# server name labISE

3단계. Tacacs+ 서버 그룹을 가리키는 AAA 인증 로그인 방법을 생성합니다. 항상 GUI 페이지에서 https://<WLC-IP>/webui/#/aaa에서 AAA Method(AAA 방법) 목록 탭으로 이동하고 이미지에 표시된 대로 Authentication(인증) 방법을 생성합니다.

팝업에서 메서드에 이름을 지정하고 로그인으로 유형을 선택하고 이전 단계에서 생성한 그룹 서버를 할당합니다.
Group Type(그룹 유형)을 local(로컬)로 선택하면 WLC는 먼저 사용자가 로컬에 있는지 확인한 다음 서버 그룹으로 돌아갑니다.

CLI:

paolo-9800(config)#aaa authentication login tacAutheMethod local group tacGroup 

Group Type(그룹 유형)을 group(그룹)으로 선택하고 로컬 옵션으로 폴백(fallback to local) 옵션을 선택하지 않으면 WLC는 해당 사용자를 서버 그룹에 대해 확인하기만 합니다.

CLI:

paolo-9800(config)#aaa authentication login tacAutheMethod group tacGroup 

Group Type(그룹 유형)을 그룹으로 선택하고 Fallback to local(로컬 그룹으로 돌아가기) 옵션이 선택되어 있으면 WLC는 서버 그룹에 대해 사용자를 확인하고 서버가 응답하지 않는 경우에만 로컬 데이터베이스를 쿼리합니다. 서버가 거부를 전송하면 로컬 데이터베이스에 있더라도 사용자를 인증하지 않습니다.

CLI:

paolo-9800(config)#aaa authentication login tacAutheMethod group tacGroup local

이 설정에서 일부 사용자는 로컬에서만 생성되며 일부 사용자는 ISE 서버에서만 생성되므로 첫 번째 옵션이 사용됩니다.

4단계. Tacacs+ 서버 그룹을 가리키는 AAA 권한 부여 실행 방법을 생성합니다. 사용자에게 액세스 권한을 부여하려면 해당 사용자에게도 권한을 부여해야 합니다. 이미지에 표시된 것과 동일한 탭에서

이전 단계에서 인증 방법에 사용되는 로컬/그룹의 동일한 순서를 사용하고 유형을 'exec'으로 선택합니다.

CLI에서:

paolo-9800(config)#aaa authorization exec tacAuthzMethod local group tacGroup

5단계. HTTP 컨피그레이션 및 텔넷/SSH에 사용되는 VTY 행에 방법을 할당합니다.

이러한 단계는 GUI에서 수행할 수 없으므로 CLI에서 수행해야 합니다.

• GUI 인증의 경우

paolo-9800(config)#ip http authentication aaa login-authentication tacAutheMethod 
paolo-9800(config)#ip http authentication aaa exec-authorization tacAuthzMethod 

• 텔넷/SSH 인증의 경우:

paolo-9800(config)#line vty 0 15
paolo-9800(config-line)#login authentication tacAutheMethod 
paolo-9800(config-line)#authorization exec tacAuthzMethod

참고: HTTP 컨피그레이션을 변경할 때 HTTP 및 HTTPS 서비스를 재시작하는 것이 좋습니다.

paolo-9800(config)#no ip http server
paolo-9800(config)#no ip http secure-server
paolo-9800(config)#ip http server
paolo-9800(config)#ip http secure-server

Tacacs+ ISE 컨피그레이션

1단계. WLC를 Tacacs+ 네트워크 디바이스로 구성합니다.

이 예에서는 RADIUS에 대해 WLC가 이미 추가되어 편집을 클릭한 다음 TACACS Authentication Settings(TACACS 인증 설정)로 아래로 스크롤하여 필요한 암호를 추가합니다.

참고: ISE를 TACACS+ 서버로 사용하려면 Device Administration 라이센스 패키지와 Base 또는 Mobility 라이센스가 있어야 합니다.

또한 라이센스가 설치되면 노드에 대해 디바이스 관리 기능을 활성화해야 합니다. 이렇게 하려면 Administrator(관리자) > Deployment(구축)에서 노드 구축 노드를 편집하고 다음 확인란을 선택합니다.

2단계. TACACS 프로파일을 생성하여 권한을 반환합니다.

컨피그레이션을 수행하려면 'adminuser'에 권한 레벨이 15여야 합니다. 이 권한 수준은 exec 프롬프트 셸에 액세스할 수 있습니다.

대신 'helpdeskuser'는 exec 프롬프트 셸 액세스가 필요하지 않으며 15보다 낮은 권한 수준을 할당할 수 있습니다.

이렇게 하려면 TACACS 프로파일을 생성합니다.

다음과 같이 권한 15를 사용하여 관리 프로필을 구성합니다.

대신 헬프데스크 프로필에서 기본 권한이 1로 설정됩니다.

3단계. ISE에서 사용자를 생성합니다.

이는 RADIUS ISE 컨피그레이션의 3단계와 동일합니다

4단계. 디바이스 관리 정책 세트를 생성합니다.

이 예에서 특정 정책 세트 "IOS-9800"은 IP 주소가 예제 9800 IP와 같은 요청을 필터링합니다.

인증 정책으로서, Default Rule(기본 규칙)을 그대로 두고 두 가지 권한 부여 규칙을 설정했습니다.

• 첫 번째 사용자 이름은 사용자 이름이 'adminuser'일 때 트리거되며, 모든 명령(기본 'Permit_all') 규칙을 허용하고 권한 15를 할당합니다(IOS_Admin 사용).
• 두 번째 사용자 이름은 사용자 이름이 'helpdeskuser'일 때 트리거되며, 모든 명령(기본 'Permit_all') 규칙을 통해 허용하고 권한 15를 할당합니다(IOS_Helpdesk를 통해).

문제 해결

WLC의 GUI 또는 CLI에 대한 TACACS+ 액세스 문제를 해결하려면 'term mon'과 함께 'debug tacacs' 명령을 실행하고 로그인 시도 시 라이브 출력을 확인합니다.

'adminuser' 사용자의 로그인 성공 시도가 표시됩니다.

paolo-9800#terminal monitor
paolo-9800#debug tacacs
TACACS access control debugging is on
paolo-9800#
Apr 17 12:16:55.269: TPLUS: Queuing AAA Authentication request 0 for processing
Apr 17 12:16:55.270: TPLUS(00000000) login timer started 1020 sec timeout
Apr 17 12:16:55.270: TPLUS: processing authentication start request id 0
Apr 17 12:16:55.270: TPLUS: Authentication start packet created for 0(adminuser)
Apr 17 12:16:55.270: TPLUS: Using server 10.48.71.92
Apr 17 12:16:55.270: TPLUS(00000000)/0/NB_WAIT/7FF771A25E18: Started 5 sec timeout
Apr 17 12:16:55.271: TPLUS(00000000)/0/NB_WAIT: socket event 2
Apr 17 12:16:55.271: TPLUS(00000000)/0/NB_WAIT: wrote entire 29 bytes request
Apr 17 12:16:55.271: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.272: TPLUS(00000000)/0/READ: Would block while reading
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 15 bytes data)
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: read entire 27 bytes response
Apr 17 12:16:55.277: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet
Apr 17 12:16:55.278: TPLUS: Received authen response status GET_PASSWORD (8)
Apr 17 12:16:55.278: TPLUS: Queuing AAA Authentication request 0 for processing
Apr 17 12:16:55.278: TPLUS(00000000) login timer started 1020 sec timeout
Apr 17 12:16:55.279: TPLUS: processing authentication continue request id 0
Apr 17 12:16:55.279: TPLUS: Authentication continue packet generated for 0
Apr 17 12:16:55.279: TPLUS(00000000)/0/WRITE/7FF771A25E18: Started 5 sec timeout
Apr 17 12:16:55.279: TPLUS(00000000)/0/WRITE: wrote entire 25 bytes request
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 103 bytes data)
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: read entire 115 bytes response
Apr 17 12:16:55.302: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet
Apr 17 12:16:55.302: TPLUS: Received authen response status PASS (2)
Apr 17 12:16:55.303: TPLUS: Queuing AAA Authorization request 0 for processing
Apr 17 12:16:55.303: TPLUS(00000000) login timer started 1020 sec timeout
Apr 17 12:16:55.303: TPLUS: processing authorization request id 0
Apr 17 12:16:55.304: TPLUS: Inappropriate protocol: 25
Apr 17 12:16:55.304: TPLUS: Sending AV service=shell
Apr 17 12:16:55.304: TPLUS: Sending AV cmd*
Apr 17 12:16:55.304: TPLUS: Authorization request created for 0(adminuser)
Apr 17 12:16:55.304: TPLUS: Using server 10.48.71.92
Apr 17 12:16:55.304: TPLUS(00000000)/0/NB_WAIT/7FF771A25E18: Started 5 sec timeout
Apr 17 12:16:55.305: TPLUS(00000000)/0/NB_WAIT: socket event 2
Apr 17 12:16:55.305: TPLUS(00000000)/0/NB_WAIT: wrote entire 48 bytes request
Apr 17 12:16:55.305: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.305: TPLUS(00000000)/0/READ: Would block while reading
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 18 bytes data)
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: read entire 30 bytes response
Apr 17 12:16:55.335: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet
Apr 17 12:16:55.335: TPLUS: Processed AV priv-lvl=15
Apr 17 12:16:55.335: TPLUS: received authorization response for 0: PASS
Apr 17 12:16:55.335: AAA Proxy: Couldnt get the login info
Apr 17 12:16:55.426:  Socket I/O cleanup message sent to TACACS

Apr 17 12:16:55.426:  Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT
TPLUS Proc:SOCKET IO CLEANUP EVENT

Apr 17 12:16:55.336: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host 10.149.4.75 by user 'adminuser' using crypto cipher 'ECDHE-RSA-AES256-GCM-SHA384'

Tacacs+ 서버에서 올바른 권한 'AV priv-lvl=15'를 반환하는지 확인할 수 있습니다.

대신 RADIUS 인증을 수행할 때 RADIUS 트래픽과 관련된 유사한 디버그 출력이 표시됩니다.

대신 'debug aaa authentication' 및 'debug aaa authorization'은 사용자가 로그인을 시도할 때 WLC에서 어떤 방법 목록을 선택하는지 표시합니다.