Verificatie van de Lobby-beheerder van draadloze LAN-controllers via RADIUS-server

Downloadopties

  • PDF     (449.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (434.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (563.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:30 augustus 2011
Document-id:97073

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document verklaart de betrokken configuratiestappen om een lobbybeheerder van de draadloze LAN-controller (WLC) met een RADIUS-server te authentiseren.

Voorwaarden

Vereisten

Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:

  • Kennis van het configureren van fundamentele parameters op WLC's

  • Kennis van de manier waarop u een RADIUS-server kunt configureren, zoals Cisco Secure ACS

  • Kennis van gastgebruikers in de WLC

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco 4400 draadloze LAN-controller op versie 7.0.216.0

  • Een Cisco Secure ACS dat softwareversie 4.1 draait en in deze configuratie wordt gebruikt als een RADIUS-server.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Een lobby-beheerder, ook bekend als een lobby-ambassadeur van een WLC, kan gastgebruikersaccounts maken en beheren op de draadloze LAN-controller (WLC). De lobbyambassadeur heeft beperkte configuratierechten en kan alleen toegang krijgen tot de webpagina's die gebruikt worden om de gastenrekeningen te beheren. De lobbyambassadeur kan de tijdsduur specificeren waarop de rekeningen van de gastgebruikers actief blijven. Nadat de opgegeven tijdslimiet is verstreken, worden de rekeningen van de gastgebruiker automatisch verlopen.

Raadpleeg de implementatiegids: Cisco Guest Access Network dat de Cisco draadloze LAN-controller gebruikt voor meer informatie over gastgebruikers.

Om een gastgebruikersaccount op de WLC te maken, moet u inloggen bij de controller als lobbybeheerder. Dit document verklaart hoe een gebruiker in WLC als een lobbybeheerder geauthentiseerd is op basis van de eigenschappen die door de RADIUS-server zijn geretourneerd.

Opmerking: Ook de 'Lobby'-verificatie kan worden uitgevoerd op basis van de lobbybeheerder-account die lokaal is ingesteld op de WLC. Raadpleeg Een Lobby Ambassador-account maken voor informatie over het maken van een lobby-beheeraccount op een controller.

Configureren

In deze sectie, wordt u voorgesteld van de informatie over hoe u de WLC en de Cisco Secure ACS voor het doel vormt dat in dit document wordt beschreven.

Configuraties

Dit document gebruikt deze configuraties:

  • Het IP-adres van de Management Interface van WLC is 10.77.244.212/27.

  • Het IP-adres van de RADIUS-server is 10.77.244.197/27.

  • De gedeelde geheime sleutel die op het access point (AP) en de RADIUS server wordt gebruikt is cisco123.

  • De gebruikersnaam en het wachtwoord van de lobbybeheerder in de RADIUS-server zijn beide lobbyadmin.

In het configuratievoorbeeld in dit document wordt elke gebruiker die in de controller met gebruikersnaam en wachtwoord logt als lobbybeheerder, toegewezen aan een lobbybeheerder.

WLC-configuratie

Zorg er voordat u de gewenste WLC-configuratie start voor dat de controller versie 4.0.206.0 of hoger uitvoert. Dit is te wijten aan Cisco bug-ID CSCsg89868 (alleen geregistreerde klanten) waarin de webinterface van de controller verkeerde webpagina's voor de LobbyAdmin-gebruiker weergeeft wanneer de gebruikersnaam is opgeslagen in een RADIUS-database. LobbyAdmin wordt met de alleen-interface gelezen in plaats van de LobbyAdmin-interface gepresenteerd.

Dit probleem is opgelost in WLC versie 4.0.206.0. Zorg er daarom voor dat de versie van uw controller 4.0.206.0 of hoger is. Raadpleeg de software-upgrade voor draadloze LAN-controller (WLC) voor informatie over het upgraden van de controller naar de juiste versie.

Om controllerbeheer-verificatie met de RADIUS-server uit te voeren, moet u ervoor zorgen dat de Admin-auth-via-RADIUS-vlag op de controller is ingeschakeld. Dit kan worden geverifieerd vanuit de opdrachtoutput van de show Straal.

De eerste stap is het configureren van RADIUS-serverinformatie op de controller en het instellen van Layer 3-bereikbaarheid tussen de controller en RADIUS-server.

RADIUS-serverinformatie over de controller configureren

Voltooi deze stappen om de WLC te configureren met informatie over het ACS:

  1. Kies het tabblad Beveiliging vanuit de WLC GUI en stel het IP-adres en het gedeelde geheim van de ACS-server in.

    Dit gedeelde geheim moet op de ACS hetzelfde zijn zodat de WLC met de ACS kan communiceren.

    Opmerking:  Het ACS gedeelde geheim is hoofdlettergevoelig. Zorg er daarom voor dat u de gedeelde geheime informatie correct invoert.

    Dit getal laat een voorbeeld zien:

    auth-lobbyadmin-radius-01.gif

  2. Controleer het aankruisvakje Management om ACS toe te staan om de WLC-gebruikers te beheren zoals in de afbeelding in stap 1. Klik vervolgens op Toepassen.

  3. Controleer Layer 3 bereikbaarheid tussen de controller en de geconfigureerde RADIUS-server met de hulp van de ping-opdracht. Deze ping-optie is ook beschikbaar op de geconfigureerde RADIUS-serverpagina in de WLC GUI in het tabblad Security>RADIUS-verificatie.

    In dit diagram wordt een succesvol ping-antwoord van de RADIUS-server weergegeven. Layer 3 bereikbaarheid is daarom beschikbaar tussen de controller en RADIUS-server.

    auth-lobbyadmin-radius-02.gif

Configuratie van RADIUS-servers

Volg de stappen in deze secties om de RADIUS-server te configureren:

  1. Voeg WLC als een AAA-client toe aan de RADIUS-server

  2. Configureer de juiste RADIUS IETF-servicetype voor een lobbybeheerder

Voeg WLC als een AAA-client toe aan de RADIUS-server

Voltooi deze stappen om de WLC als een AAA-client aan de RADIUS-server toe te voegen. Zoals eerder vermeld, gebruikt dit document ACS als de RADIUS-server. U kunt een RADIUS-server voor deze configuratie gebruiken.

Voltooi deze stappen om de WLC als een AAA-client in het ACS toe te voegen:

  1. Kies in de ACS GUI het tabblad Netwerkconfiguratie.

  2. Klik onder AAA-clients op Toevoegen.

  3. Voer in het venster Add AAA Client de WLC host-naam, het IP-adres van de WLC en een gedeelde geheime sleutel in. Zie het voorbeeldschema onder stap 5.

  4. Kies in het vervolgkeuzemenu Verifiëren met behulp van RADIUS (Cisco Aironet).

  5. Klik op Indienen + Herstart om de configuratie op te slaan.

    auth-lobbyadmin-radius-03.gif

Configureer de juiste RADIUS IETF-servicetype voor een lobbybeheerder

Om een beheergebruiker van een controller als lobby-beheerder via de RADIUS-server te authentiseren, moet u de gebruiker aan de RADIUS-database toevoegen met de IETF RADIUS-servicetype die aan Callback Administration is ingesteld. Deze eigenschap wijst de specifieke gebruiker de rol toe van een lobbybeheerder op een controller.

Dit document toont de voorbeeldgebruiker lobbyadmin als lobbybeheerder. Voltooi de volgende stappen op de ACS om deze gebruiker te configureren:

  1. Kies in de ACS GUI het tabblad Gebruikersinstelling.

  2. Voer de gebruikersnaam in die aan de ACS moet worden toegevoegd zoals in dit voorbeeldvenster wordt weergegeven:

    auth-lobbyadmin-radius-04.gif

  3. Klik op Toevoegen/bewerken om naar de pagina met gebruikersbewerking te gaan.

  4. Typ in de pagina Bewerken door gebruiker de gegevens Naam, Beschrijving en wachtwoord van deze gebruiker.

    In dit voorbeeld zijn de gebruikersnaam en het wachtwoord beide lobbyadmin.

    auth-lobbyadmin-radius-05.gif

  5. Scrolt naar de instelling RADIUS-kenmerken van IETF en controleer het aankruisvakje Service-Type Kenmerk.

  6. Kies Terugbellen administratief in het keuzemenu Service-Type en klik op Indienen.

    Dit is de eigenschap die deze gebruiker de rol van een lobbybeheerder toekent.

    auth-lobbyadmin-radius-06.gif

    Soms is deze eigenschap Service-Type niet zichtbaar onder de gebruikersinstellingen. In dat geval moeten deze stappen worden voltooid om het zichtbaar te maken:

    1. Selecteer in de ACS GUI de optie Interface Configuration > RADIUS (IETF) om de IETF-eigenschappen in het User Configuration-venster in te schakelen.

      Dit brengt u naar de pagina met RADIUS-instellingen (IETF).

    2. Via de pagina RADIUS (IETF)-instellingen kunt u de IETF-eigenschap inschakelen die bij gebruikers- of groepsinstellingen zichtbaar moet zijn. Voor deze configuratie, controleer het servicetype voor de gebruikerskolom en klik op Indienen.

      Dit venster toont een voorbeeld:

      auth-lobbyadmin-radius-07.gif

      Opmerking: Dit voorbeeld specificeert authenticatie per gebruiker. U kunt ook verificatie uitvoeren op basis van de groep waartoe een bepaalde gebruiker behoort. In dergelijke gevallen controleert u het aanvinkvakje Group zodat deze eigenschap onder Groepsinstellingen zichtbaar is.

      Opmerking: Als de authenticatie op groepsbasis plaatsvindt, moet u gebruikers toewijzen aan een bepaalde groep en de IETF-eigenschappen groepsinstelling configureren om toegangsrechten te geven aan gebruikers van die groep. Raadpleeg Gebruikersgroepsbeheer voor uitgebreide informatie over de manier waarop u groepen kunt configureren en beheren.

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Om te verifiëren dat uw configuratie naar behoren werkt, heeft u toegang tot de WLC via de GUI (HTTP/HTTPS) modus.

Opmerking: Een lobbyambassadeur kan geen toegang hebben tot de CLI-interface van de controller en kan daarom alleen gastgebruikersrekeningen maken vanuit de GUI van de controller.

Wanneer de loginmelding wordt weergegeven, typt u de gebruikersnaam en het wachtwoord zoals ingesteld in het ACS. Als de configuraties correct zijn, wordt u als lobbybeheerder geauthentiseerd in de WLC. Dit voorbeeld laat zien hoe de GUI van een lobbybeheerder voor succesvolle authenticatie zorgt:

auth-lobbyadmin-radius-08.gif

Opmerking: U kunt zien dat een lobbybeheerder geen andere optie heeft dan het beheer van de gastgebruiker.

Om het vanuit de CLI-modus te controleren, heeft telnet in de controller als een gelezen-schrijfbeheerder plaatsgevonden. Geef de debug aaa uit om opdracht te geven bij de controller CLI. 

(Cisco Controller) >debug aaa all enable

(Cisco Controller) >
*aaaQueueReader: Aug 26 18:07:35.072: ReProcessAuthentication previous proto 28,
 next proto 20001
*aaaQueueReader: Aug 26 18:07:35.072: AuthenticationRequest: 0x3081f7dc
*aaaQueueReader: Aug 26 18:07:35.072:   Callback.....................................0x10756dd0
*aaaQueueReader: Aug 26 18:07:35.072:   protocolType.................................0x00020001
*aaaQueueReader: Aug 26 18:07:35.072:   proxyState...................................00:00:00:40:
00:00-00:00
*aaaQueueReader: Aug 26 18:07:35.072:   Packet contains 5 AVPs (not shown)
*aaaQueueReader: Aug 26 18:07:35.072: apfVapRadiusInfoGet: WLAN(0) dynamic int attributes srcAddr:
0x0, gw:0x0, mask:0x0, vlan:0, dpPort:0, srcPort:0
*aaaQueueReader: Aug 26 18:07:35.073: 00:00:00:40:00:00 Successful transmission of Authentication 
Packet (id 39) to 10.77.244.212:1812, proxy state 00:00:00:40:00:00-00:01
*aaaQueueReader: Aug 26 18:07:35.073: 00000000: 01 27 00 47 00 00 00 00  00 00 00 00 00 00 00 00  
.'.G............
*aaaQueueReader: Aug 26 18:07:35.073: 00000010: 00 00 00 00 01 0c 6c 6f  62 62 79 61 64 6d 69 6e  
......lobbyadmin
*aaaQueueReader: Aug 26 18:07:35.073: 00000020: 02 12 5f 5b 5c 12 c5 c8  52 d3 3f 4f 4f 8e 9d 38 
 .._[\...R.?OO..8
*aaaQueueReader: Aug 26 18:07:35.073: 00000030: 42 91 06 06 00 00 00 07  04 06 0a 4e b1 1a 20 09  
B..........N....
*aaaQueueReader: Aug 26 18:07:35.073: 00000040: 57 4c 43 34 34 30 30 WLC4400
*radiusTransportThread: Aug 26 18:07:35.080: 00000000: 02 27 00 40 7e 04 6d 533d ed 79 9c b6 99 d1 
f8  .'.@~.mS=.y.....
*radiusTransportThread: Aug 26 18:07:35.080: 00000010: d0 5a 8f 4f 08 06 ff ffff ff 06 06 00 00 00 
0b  .Z.O............
*radiusTransportThread: Aug 26 18:07:35.080: 00000020: 19 20 43 41 43 53 3a 302f 61 65 32 36 2f 61 
34  ..CACS:0/ae26/a4
*radiusTransportThread: Aug 26 18:07:35.080: 00000030: 65 62 31 31 61 2f 6c 6f62 62 79 61 64 6d 69 
6e  eb11a/lobbyadmin
*radiusTransportThread: Aug 26 18:07:35.080: ****Enter processIncomingMessages: response code=2
*radiusTransportThread: Aug 26 18:07:35.080: ****Enter processRadiusResponse: response code=2
*radiusTransportThread: Aug 26 18:07:35.080: 00:00:00:40:00:00 Access-Accept received from RADIUS 
server 10.77.244.212 for mobile 00:00:00:40:00:00 receiveId = 0
*radiusTransportThread: Aug 26 18:07:35.080: AuthorizationResponse: 0x13c73d50
*radiusTransportThread: Aug 26 18:07:35.080:    structureSize................................118
*radiusTransportThread: Aug 26 18:07:35.080:    resultCode...................................0
*radiusTransportThread: Aug 26 18:07:35.080:    protocolUsed.................................0x00000001
*radiusTransportThread: Aug 26 18:07:35.080:    proxyState...................................00:00:00:40:00:00-00:00
*radiusTransportThread: Aug 26 18:07:35.080:    Packet contains 3 AVPs:
*radiusTransportThread: Aug 26 18:07:35.080:        AVP[01] Framed-IP-Address........................0xffffffff (-1) (4 bytes)
*radiusTransportThread: Aug 26 18:07:35.080:        AVP[02] Service-Type.............................0x0000000b (11) (4 bytes)
*radiusTransportThread: Aug 26 18:07:35.080:        AVP[03] Class....................................
CACS:0/ae26/a4eb11a/lobbyadmin (30 bytes)
*emWeb: Aug 26 18:07:35.084: Authentication succeeded for lobbyadmin

In de gemarkeerde informatie in deze uitvoer kunt u zien dat het servicetype attribuut 11 (Callback Administration) wordt doorgegeven aan de controller op de ACS-server en dat de gebruiker wordt inlogd als lobbybeheerder.

Deze opdrachten kunnen extra hulp opleveren:

  • automatisch foutherstel uitvoeren

  • debug aaaaaathedingen activeren

  • debug a-pakketten

Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.

Problemen oplossen

Als u inlogt bij een controller met de rechten van de lobbyambassadeur, kunt u geen gastgebruikersaccount met een levenslange waarde van "0" maken, een account die nooit vervalt. In deze situaties kan de levenswaarde niet de 0-foutmelding zijn.

Dit is te wijten aan Cisco bug-ID CSCsf32392 (alleen geregistreerde klanten), die voornamelijk voorkomt bij WLC versie 4.0. Dit probleem is opgelost in WLC versie 4.1.

Gerelateerde informatie

Was dit document nuttig?

FeedbackFeedback

Contact Cisco