& & RADIUS-+ configureren voor GUI-CLI-autorisatie op 9800 WLC’s

Bijgewerkt:28 maart 2024
Document-id:214490

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een Catalyst 9800 kunt configureren voor externe verificatie met RADIUS of TACACS+.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Catalyst draadloze 9800 configuratiemodel
    • AAA-, RADIUS- en TACACS+-concepten

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • C980-CL v17.9.2
    • ISE 3.2.0

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Wanneer een gebruiker probeert toegang te krijgen tot de CLI of de GUI van de WLC, wordt hij gevraagd een gebruikersnaam en wachtwoord in te voeren. Standaard worden deze referenties vergeleken met de lokale database van gebruikers, die op het apparaat zelf aanwezig is. De WLC kan ook worden geïnstrueerd om de invoerreferenties te vergelijken met een externe AAA-server: de WLC kan met de server praten met behulp van RADIUS of TACACS+.

    Configureren

    In dit voorbeeld worden twee typen gebruikers op de AAA-server (ISE), respectievelijk de adminuser, en de helpdeskuser, geconfigureerd. Deze gebruikers maken deel uit van respectievelijk de admin-group en dehelpdesk-group groepen. De gebruiker adminuser, een deel van de admin-group, zal naar verwachting volledige toegang tot de WLC krijgen. Aan de andere kant is de helpdeskuser, een deel van de helpdesk-group, bedoeld om alleen monitorrechten te krijgen aan de WLC. Daarom is er geen configuratietoegang. 

    Dit artikel configureert eerst WLC en ISE voor RADIUS-verificatie en werkt later ook voor TACACS+.

    Beperkingen van alleen-lezen gebruikers

    Wanneer TACACS+ of RADIUS wordt gebruikt voor 9800 WebUI-verificatie, bestaan deze beperkingen:

    • Gebruikers met rechten op niveau 0 bestaan maar hebben geen toegang tot de GUI

    • Gebruikers met rechten op niveaus 1-14 kunnen alleen het tabblad Monitor bekijken (dit is gelijk aan het rechten van een lokaal geverifieerde gebruiker die alleen kan lezen)

    • Gebruikers met toegangsrechten niveau 15 hebben volledige toegang

    • Gebruikers met rechten op niveau 15 en een opdrachtset die alleen specifieke opdrachten toestaat, worden niet ondersteund. De gebruiker kan nog steeds configuratiewijzigingen uitvoeren via de WebUI

      •

    Deze overwegingen kunnen niet worden gewijzigd of aangepast.

    RADIUS-verificatie voor de WLC configureren

    Stap 1. Vermeld de RADIUS-server.

    Van GUI:

    Ten eerste: maak de ISE RADIUS-server op de WLC. Dit kan worden gedaan via het tabblad Servers/Groups > RADIUS > Servers van de GUI WLC-pagina die toegankelijk is in https://<WLC-IP>/webui/#/aaa, of als u navigeert naar Configuration > Security > AAA , zoals in deze afbeelding wordt getoond.

    Voeg de ISE RADIUS-server toe aan de WLC

    Als u een RADIUS-server aan de WLC wilt toevoegen, klikt u op de knop Toevoegen die in rood is weergegeven in het beeld. Hierdoor wordt het pop-upvenster geopend dat in de screenshot wordt weergegeven.

    Maak de ISE op de WLC

    In dit pop-upvenster moet u het volgende opgeven:

    • De servernaam (let op dat deze niet hoeft overeen te komen met de ISE-systeemnaam)
    • Het IP-adres van de server
    • Het gedeelde geheim tussen WLC en de RADIUS-server
      •

    Andere parameters kunnen worden geconfigureerd, zoals de poorten die worden gebruikt voor verificatie en accounting, maar deze zijn niet verplicht en blijven standaard voor deze documentatie.

    Van CLI:

    WLC-9800(config)#radius server ISE-lab WLC-9800(config-radius-server)#address ipv4 10.48.39.134 auth-port 1812 acct-port 1813
    WLC-9800(config-radius-server)#key Cisco123


    Stap 2. Breng de RADIUS-server aan een servergroep in kaart.

    Van GUI:

    Als u meerdere RADIUS-servers hebt die kunnen worden gebruikt voor verificatie, wordt aangeraden om al deze servers aan dezelfde servergroep toe te wijzen. De WLC zorgt voor taakverdeling tussen verschillende verificaties van de servers in de servergroep. RADIUS-servergroepen worden geconfigureerd vanuit hetServers/Groups > RADIUS > Server Groups tabblad vanuit dezelfde GUI-pagina als de pagina die in Stap 1 wordt genoemd, zoals in de afbeelding.

    Voeg een RADIUS-servergroep toe aan de WLC

    Wat de serverconversie betreft, wordt er een pop-upvenster weergegeven wanneer u op de knop Toevoegen (in de vorige afbeelding) klikt. Dit wordt hier weergegeven.

    Pop-up van servergroep toevoegen

    Typ in het pop-upvenster een naam voor de groep en verplaats de gewenste servers naar de lijst Toegewezen servers.

    Van CLI:

    WLC-9800(config)# aaa group server radius RADIUS-Group
WLC-9800(config-sg-radius)# server name ISE-lab


    Stap 3. Maak een inlogmethode voor AAA-verificatie die verwijst naar de RADIUS-servergroep.

    Van GUI:

    Navigeer nog steeds vanaf de GUI-pagina https://<WLC-IP>/webui/#/aaa naar het AAA Method List > Authentication tabblad en maak een verificatiemethode zoals in deze afbeelding.

    RADIUS - AAA-methodelijst - verificatie

    Zoals gebruikelijk, wanneer u de knop Add gebruikt om een verificatiemethode te maken, wordt er een pop-upvenster voor configuratie weergegeven, dat lijkt op het venster dat in deze afbeelding wordt weergegeven.

    De AAA-verificatiemethode definiëren

    Typ in dit venster een naam voor de methode. Kies Type als aanmelding en voeg de groepsserver die in de vorige stap is gemaakt, toe aan de lijstAssigned Server Groups. Met betrekking tot het veld Groepstype zijn verschillende configuraties mogelijk.

    • Als u Group Type als lokaal kiest, controleert de WLC eerst of de gebruikersreferenties lokaal bestaan, en valt dan terug naar de servergroep.
    • Als u kiest voor Groepstype als groep en niet de optie Terugvallen op lokale optie controleert, controleert de WLC alleen de gebruikersreferenties op de servergroep.
    • Als u Groepstype als groep kiest en de optie Terugzetten naar lokale optie controleert, controleert WLC de gebruikersreferenties tegen de servergroep en vraagt de lokale database alleen als de server niet reageert. Als de server een weigering verstuurt, moet de gebruiker worden geverifieerd, ook al kan deze in de lokale database voorkomen.
      •

    Van CLI:

    Als u wilt dat de gebruikersreferenties alleen met een servergroep worden gecontroleerd als ze eerst niet lokaal worden gevonden, gebruikt u:

    WLC-9800(config)#aaa authentication login radius-authe-method local group RADIUS-Group


    Als u wilt dat de gebruikersreferenties alleen met een servergroep worden gecontroleerd, gebruikt u:

    WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group


    Als u wilt dat de gebruikersreferenties worden gecontroleerd met een servergroep en als deze laatste niet reageert met de lokale vermelding, gebruikt u:

    WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group local


    In deze voorbeeldinstelling zijn er enkele gebruikers die alleen lokaal worden gemaakt, en sommige gebruikers alleen op de ISE-server, dus gebruik maken van de eerste optie.

    Stap 4. Maak een AAA-autorisatiemethode die verwijst naar de RADIUS-servergroep.

    Van GUI:

    De gebruiker moet ook gemachtigd zijn om toegang te krijgen. Navigeer vanaf het GUI Page Configuration > Security > AAA tabblad naar het AAA Method List > Authorization tabblad en maak een autorisatiemethode zoals in deze afbeelding.

    Creatie van autorisatiemethodeCreatie van autorisatiemethode

    Er verschijnt een pop-up van de configuratie van de autorisatiemethode die vergelijkbaar is met de afbeelding, als u een nieuwe methode toevoegt met de knop Toevoegen.

    Vaststelling van de AAA-autorisatiemethode

    In deze configuratie pop-up, geef een naam voor de autorisatiemethode, kies het Type als exec, en gebruik dezelfde volgorde van Groepstype als die gebruikt voor de verificatiemethode in Stap 3.

    Van CLI:

    Wat de verificatiemethode betreft, wordt de autorisatie eerst toegewezen om gebruikers te controleren op lokale vermeldingen en vervolgens op vermeldingen in een servergroep.

    WLC-9800(config)#aaa authorization exec radius-autho-method local group RADIUS-Group


    Stap 5. Wijs de methoden toe aan de HTTP-configuraties en aan de VTY-lijnen die worden gebruikt voor Telnet/SSH.

    Van GUI:

    De gemaakte verificatie- en autorisatiemethoden kunnen worden gebruikt voor HTTP- en/of Telnet/SSH-gebruikersverbinding, die nog kan worden geconfigureerdAAA Advanced > AAA Interface vanaf de GUI WLC-pagina die toegankelijk is in https://<WLC-IP>/webui/#/aaa, zoals in dit beeld wordt getoond:

    Radius - AAA geavanceerde interface


    CLI voor GUI-verificatie:

    WLC-9800(config)#ip http authentication aaa login-authentication radius-authe-method 
    WLC-9800(config)#ip http authentication aaa exec-authorization radius-autho-method


    CLI voor Telnet/SSH-verificatie:

    WLC-9800(config)#line vty 0 15 WLC-9800(config-line)#login authentication radius-authe-method
    WLC-9800(config-line)#authorization exec radius-autho-method


    Merk op dat wanneer de veranderingen in de configuraties van HTTP worden uitgevoerd, het best is om de diensten HTTP en HTTPS opnieuw te beginnen. Dit kan met deze opdrachten worden bereikt:

    WLC-9800(config)#no ip http server WLC-9800(config)#no ip http secure-server WLC-9800(config)#ip http server WLC-9800(config)#ip http secure-server

    Configureer ISE voor RADIUS

    Stap 1. Configureer de WLC als netwerkapparaat voor RADIUS.

    Van GUI:

    Als u de WLC in de vorige sectie wilt declareren als netwerkapparaat voor RADIUS in ISE, navigeert u naar Administration > Network Ressources > Network Devices het tabblad Netwerkapparaten en opent u dit tabblad, zoals in de volgende afbeelding.

    Radius - ISE - Lijst met netwerkapparaten

    Als u een netwerkapparaat wilt toevoegen, gebruikt u de knop Toevoegen, waarmee het nieuwe configuratieformulier voor netwerkapparaten wordt geopend.

    RADIUS - ISE - netwerkapparaatconfiguratie

    Typ in het nieuwe venster een naam voor het netwerkapparaat en voeg het IP-adres toe. Kies de RADIUS-verificatie-instellingen en configureer hetzelfde RADIUS gedeelde geheim als de RADIUS-verificatie die op de WLC wordt gebruikt.

    Stap 2. Maak een autorisatieresultaat om het recht terug te geven.

    Van GUI:

    Om beheerderstoegangsrechten te hebben, moet hetadminuser een voorrangsniveau van 15 hebben, wat het mogelijk maakt om toegang te krijgen tot de snelle shell. Aan de andere kant heeft dehelpdeskuser geen directe shell toegang nodig en kan daarom worden toegewezen met een voorrangsniveau lager dan 15. Om het juiste voorrangsniveau aan gebruikers toe te wijzen, kunnen autorisatieprofielen worden gebruikt. Deze kunnen vanuit de ISE GUI Page Policy > Policy Elements > Results worden geconfigureerd, onder het tabblad Authorization > Authorization Profiles dat in het volgende beeld wordt weergegeven.

    Radius - ISE - autorisatieprofielen

    Als u een nieuw autorisatieprofiel wilt configureren, gebruikt u de knop Toevoegen om het nieuwe configuratieformulier voor het autorisatieprofiel te openen. Dit formulier moet er met name zo uitzien om het profiel te configureren dat aan het adminuser is toegewezen.

    RADIUS - ISE - Beleidselementconfiguratie

    De configuratie toonde subsidies voorrecht niveau 15 aan om het even welke gebruiker aan wie het wordt geassocieerd. Zoals eerder vermeld, is dit het verwachte gedrag voor het adminuser dat tijdens de volgende stap wordt gecreëerd. Het helpdeskuser moet echter een lager niveau van voorrechten hebben en daarom moet er een tweede beleidselement worden gecreëerd.

    Het beleidselement voor het helpdeskuser is gelijk aan het element dat net boven is gemaakt, behalve dat de string shell:priv-lvl=15  moet worden veranderd in shell:priv-lvl=X, en X moet vervangen met het gewenste prioriteitsniveau. In dit voorbeeld wordt 1 gebruikt.

    Stap 3. Creeer gebruikersgroepen op ISE.

    Via de GUI:

    ISE-gebruikersgroepen worden gemaakt op het tabblad Gebruikersidentiteitsgroepen van het Administration > Identity Management > Groups GUI Page programma, dat in de schermopname wordt weergegeven.

    Radius - ISE - Gebruikersidentiteitsgroepen

    Als u een nieuwe gebruiker wilt maken, gebruikt u de knop Toevoegen, waarmee het configuratieformulier voor de nieuwe gebruikersidentiteitsgroep wordt geopend, zoals aangegeven op de afbeelding.

    Radius - ISE - nieuwe gebruikersgroep

    Geef de naam op van de groep die wordt gemaakt. Maak de twee hierboven besproken gebruikersgroepen aan, namelijk de admin-group  en helpdesk-group.

    Stap 4. Gebruikers maken op ISE.

    Via de GUI:

    ISE-gebruikers worden gemaakt van het tabblad Gebruikers van het Administration > Identity Management > Identities GUI Page, dat in de schermopname wordt weergegeven.

    Radius - ISE - gebruikers van netwerktoegang

    Om een nieuwe gebruiker te maken, gebruikt u de knop Add om het nieuwe gebruikersconfiguratieformulier voor netwerktoegang te openen zoals aangegeven op de afbeelding.

    Radius - ISE - nieuwe gebruiker van netwerktoegang

    Verstrek de referenties aan de gebruikers, namelijk zijn/haar gebruikersnaam en wachtwoord, die worden gebruikt om te authenticeren op de WLC. Controleer ook of de status van de gebruiker is Enabled. Voeg de gebruiker tot slot toe aan de verwante groep die is gemaakt in Stap 4., met het vervolgkeuzemenu Gebruikersgroepen aan het einde van het formulier.

    Creëer de twee gebruikers die hierboven besproken zijn, namelijk de adminuser en helpdeskuser.

    Stap 5. Verifieer de gebruikers.

    Van GUI:

    In dit scenario biedt het verificatiebeleid van de standaard-beleidssets van ISE, dat al vooraf is geconfigureerd, standaard netwerktoegang. Deze beleidsset kan worden bekeken vanuit het Policy > Policy Sets scherm van de ISE GUI-pagina, zoals in deze afbeelding wordt getoond. Daarom hoeft dit niet te worden gewijzigd.

    Straal - ISE - Beleidssets standaard

    Stap 6. Machtigen van de gebruikers.

    Van GUI:

    Nadat de inlogpoging het verificatiebeleid doorgeeft, moet het worden geautoriseerd en moet ISE het eerder gemaakte autorisatieprofiel retourneren (autorisatieacceptatie, samen met het voorrangsniveau).

    In dit voorbeeld worden de inlogpogingen gefilterd op basis van het IP-adres van het apparaat (het WLC IP-adres) en onderscheiden ze het te verlenen voorrecht op basis van de groep waartoe een gebruiker behoort. Een andere geldige benadering is om gebruikers te filteren op basis van hun gebruikersnamen, aangezien elke groep maar één gebruiker in dit voorbeeld bevat.

    Radius - ISE - Policy Sets standaardautorisatie

    Nadat deze stap is voltooid, kunnen de referenties die zijn geconfigureerd voor adminuser  enhelpdesk gebruiker worden gebruikt om te authenticeren in de WLC via de GUI of via Telnet/SSH. 

    TACACS+ WLC configureren

    Stap 1. Vermeld de TACACS+ server. 

    Van GUI:

    Maak eerst de Tacacs+ server ISE op de WLC. Dit kan worden gedaan via het tabblad Servers/Groups > TACACS+ > Servers van de GUI WLC-pagina die toegankelijk is in het https://<WLC-IP>/webui/#/aaa of als u navigeert naar Configuration > Security > AAA, zoals in deze afbeelding wordt getoond.

    Tacacs - servers _ groepen - servers Pagina's

    Als u een TACACS-server aan de WLC wilt toevoegen, klikt u op de knop Toevoegen die in rood is weergegeven in de afbeelding hierboven. Hierdoor wordt het weergegeven venster geopend.

    TACACS - Pop-up voor add-server

    Wanneer het pop-upvenster wordt geopend, typt u de servernaam (de naam van het ISE-systeem hoeft niet overeen te komen), het IP-adres, de gedeelde sleutel, de gebruikte poort en de tijdelijke versie.

    In dit pop-upvenster moet u het volgende opgeven:

    • De servernaam (let op dat deze niet hoeft overeen te komen met de ISE-systeemnaam)
    • Het IP-adres van de server
    • Het gedeelde geheim tussen WLC en de TACACS+ server
      •


    Andere parameters kunnen worden geconfigureerd, zoals de poorten die worden gebruikt voor verificatie en accounting, maar deze zijn niet verplicht en blijven standaard voor deze documentatie.

    Van CLI:

    WLC-9800(config)#tacacs server ISE-lab WLC-9800(config-server-tacacs)#address ipv4 10.48.39.134 WLC-9800(config-server-tacacs)#key Cisco123

    Stap 2. Breng de TACACS+ server aan een servergroep in kaart.

    Van GUI:

    Als u meerdere TACACS+ servers hebt die kunnen worden gebruikt voor verificatie, is het raadzaam om al deze servers toe te wijzen aan dezelfde servergroep. De WLC zorgt dan voor taakverdeling tussen de verschillende verificaties in de servergroep. De groepen TACACS+ servers zijn ingesteld vanuit hetServers/Groups > TACACS > Server Groups tabblad van dezelfde GUI-pagina als de pagina die in Stap 1 wordt genoemd, die in de afbeelding wordt weergegeven.

    Tacacs - servers _ Groepen - Groepen Pagina's

    Wat de serverbewerking betreft, wordt er een pop-upvenster weergegeven wanneer u op de knop Toevoegen klikt die in de eerdere afbeelding is ingesloten en die in de afbeelding wordt weergegeven.

    Toewijzing van de TACACS-groep

    Geef in het pop-upvenster een naam aan de groep en verplaats de gewenste servers naar de lijst Toegewezen servers.

    Van CLI:

    WLC-9800(config)#aaa group server tacacs+ TACACS-Group WLC-9800(config-sg-tacacs+)#server name ISE-lab


    Stap 3. Maak een loginmethode voor AAA-verificatie die verwijst naar de TACACS+-servergroep. 

    Van GUI:

    Navigeer nog steeds vanaf de GUI-pagina https://<WLC-IP>/webui/#/aaa naar het AAA Method List > Authentication tabblad en maak een verificatiemethode zoals in de afbeelding.

    TACACS - AAA methodelijst - verificatie

    Zoals gebruikelijk, wanneer u de knop Add gebruikt om een verificatiemethode te maken, wordt er een pop-upvenster voor configuratie weergegeven, dat lijkt op het venster dat in deze afbeelding wordt weergegeven.

    De TACACS-verificatiemethode definiëren

    Typ in dit pop-upvenster een naam voor de methode, kies Type als login en voeg de groepsserver die in de vorige stap is gemaakt, toe aan de lijst Toegewezen servergroepen. Met betrekking tot het veld Groepstype zijn verschillende configuraties mogelijk.

    • Als u Group Type als lokaal kiest, controleert de WLC eerst of de gebruikersreferenties lokaal bestaan, en valt dan terug naar de servergroep.
    • Als u kiest voor Groepstype als groep en niet de optie Terugvallen op lokale optie controleert, controleert de WLC alleen de gebruikersreferenties op de servergroep.
    • Als u Groepstype als groep kiest en de optie Terugzetten naar lokale optie controleert, controleert WLC de gebruikersreferenties tegen de servergroep en vraagt de lokale database alleen als de server niet reageert. Als de server een weigering verstuurt, moet de gebruiker worden geverifieerd, ook al kan deze in de lokale database voorkomen.
      •

    Van CLI:

    Als u wilt dat de gebruikersreferenties alleen met een servergroep worden gecontroleerd als ze eerst niet lokaal worden gevonden, gebruikt u:

    WLC-9800(config)#aaa authentication login tacacs-authe-method local group TACACS-Group 


    Als u wilt dat de gebruikersreferenties alleen met een servergroep worden gecontroleerd, gebruikt u:

    WLC-9800(config)#aaa authentication login tacacs-authe-method group TACACS-Group 


    Als u wilt dat de gebruikersreferenties worden gecontroleerd met een servergroep en als deze laatste niet reageert met een lokale ingang, gebruik dan:

    WLC-9800(config)#aaa authentication login tacacs-authe-method group TACACS-Group local


    In deze voorbeeldinstelling zijn er enkele gebruikers die alleen lokaal worden gemaakt, en sommige gebruikers alleen op de ISE-server, dus gebruik maken van de eerste optie.

    Stap 4. Maak een AAA-autorisatiemethode die verwijst naar de TACACS+ servergroep. 

    Van GUI:

    De gebruiker moet ook gemachtigd zijn om toegang te krijgen. Ga Configuration > Security > AAA vanaf de GUI-pagina naar het AAA Method List > Authorization tabblad en maak een autorisatiemethode zoals in de afbeelding.

    TACACS - AAA methodelijst - autorisatie

    Er verschijnt een pop-up van de configuratie van de autorisatiemethode die vergelijkbaar is met de afbeelding, als u een nieuwe methode toevoegt met de knop Toevoegen.

    Vaststelling van de TACACS-machtigingsmethode

    In deze configuratie pop-up, geef een naam voor de autorisatiemethode, kies Type als exec en gebruik dezelfde volgorde van Groepstype als die gebruikt voor de verificatiemethode in de vorige stap. 

    Van CLI:

    WLC-9800(config)#aaa authorization exec tacacs-autho-method local group TACACS-Group


    Stap 5. Wijs de methoden toe aan de HTTP-configuraties en aan de VTY-lijnen die worden gebruikt voor Telnet/SSH.

    Van GUI:

    De gecreëerde verificatie- en autorisatiemethoden kunnen worden gebruikt voor HTTP- en/of Telnet/SSH-gebruikersverbinding, die kan worden geconfigureerd vanuit het AAA Advanced > AAA Interface tabblad nog vanuit de GUI WLC-pagina die toegankelijk is in https://<WLC-IP>/webui/#/aaa, zoals in het beeld wordt getoond.

    De instellingen van de AAA geavanceerde methode instellen

    Van CLI:

    Voor de GUI-verificatie:

    WLC-9800(config)#ip http authentication aaa login-authentication tacacs-authe-method 
WLC-9800(config)#ip http authentication aaa exec-authorization tacacs-autho-method


    Voor Telnet/SSH-verificatie:

    WLC-9800(config)#line vty 0 15
WLC-9800(config-line)#login authentication tacacs-authe-method  
    WLC-9800(config-line)#authorization exec tacacs-autho-method


    Merk op dat wanneer de veranderingen in de configuraties van HTTP worden uitgevoerd, het best is om de diensten HTTP en HTTPS opnieuw te beginnen. Dit kan met deze opdrachten worden bereikt.

    WLC-9800(config)#no ip http server
WLC-9800(config)#no ip http secure-server
WLC-9800(config)#ip http server
WLC-9800(config)#ip http secure-server

    Configuratie TACACS+ ISE

    Stap 1. Configureer de WLC als netwerkapparaat voor TACACS+.

    Van GUI:

    Als u de WLC in de vorige sectie wilt declareren als netwerkapparaat voor RADIUS in ISE, navigeert u naar Administration > Network Resources > Network Devices het tabblad Netwerkapparaten en opent u dit tabblad, zoals in deze afbeelding.

    TACACS - ISE - Lijst met netwerkapparaten

    In dit voorbeeld is de WLC al toegevoegd voor RADIUS-verificatie (zie Stap 1. van de sectie RADIUS ISE configureren). Daarom moet de configuratie eenvoudig worden aangepast om TACACS-verificatie te configureren, wat kan worden gedaan wanneer u de WLC kiest in de lijst van netwerkapparaten en op de knop Bewerken klikt. Hiermee opent u het configuratieformulier voor het netwerkapparaat zoals in deze afbeelding wordt weergegeven.

    TACACS - ISE - configuratie van netwerkapparaat

    Nadat het nieuwe venster is geopend, scrolt u omlaag naar de sectie TACACS-verificatie-instellingen, schakelt u deze instellingen in en voegt u het gedeelde geheim toe dat u hebt ingevoerd tijdens Stap 1. van de sectie TACACS+ WLC configureren.

    Stap 2. Schakel de functie Apparaatbeheer in voor de knooppunt.

    pictogram van opmerking

    Opmerking: als u ISE als de TACACS+ server wilt gebruiken, moet u beschikken over een apparaatbeheerlicentiepakket en een Base- of een Mobility-licentie.

    Van GUI:

    Nadat de Apparaatbeheerlicenties zijn geïnstalleerd, moet u de functie Apparaatbeheer voor de knooppunt inschakelen om ISE als de TACACS+-server te kunnen gebruiken. Om dit te doen, moet u de configuratie van het gebruikte ISE-implementatieknooppunt bewerken, dat u kunt vinden onder Administrator > Deployment, en klikt u op de naam of doet u dit met behulp van de knopEdit.

    TACACS - ISE - beheersysteem

    Nadat het venster voor de configuratie van de knooppunt is geopend, controleert u de optie Apparaatbeheer inschakelen onder de sectie Beleidsservice, zoals in deze afbeelding wordt getoond.

    TACACS - ISE - configuratie implementatieknooppunt

    Stap 3. Maak TACACS-profielen, om de privilege terug te geven.

    Van GUI:

    Om beheerderstoegangsrechten te hebben, moet hetadminuser een voorrangsniveau van 15 hebben, wat het mogelijk maakt om toegang te krijgen tot de snelle shell. Aan de andere kant heeft dehelpdeskuser geen directe shell toegang nodig en kan daarom worden toegewezen met een voorrangsniveau lager dan 15. Om het juiste voorrangsniveau aan gebruikers toe te wijzen, kunnen autorisatieprofielen worden gebruikt. Deze kunnen worden geconfigureerd vanaf de ISE GUI-pagina Work Centers > Device Administration > Policy Elements, onder het tabblad Results > TACACS Profiles zoals in het volgende beeld.

    TACACS - ISE - TACACS profielen

    Als u een nieuw TACACS-profiel wilt configureren, gebruikt u de knop Toevoegen. Hierdoor wordt het nieuwe profielconfiguratieformulier geopend, dat lijkt op het formulier dat in het beeld wordt weergegeven. Dit formulier moet er vooral zo uitzien om het profiel te configureren dat is toegewezen aan het adminuser (namelijk met shell-voorrechten op niveau 15).

    TACACS - ISE - TACACS-profielconfiguratie

    Herhaal de bewerking voor het helpdesk profiel. Voor deze laatste zijn de Default Privilege en de Maximum Privilege beide ingesteld op 1.

    Stap 4. Creeer gebruikersgroepen op ISE.

    Dit is hetzelfde als in Stap 3. van het gedeelte RADIUS ISE-instellingen van dit document.

    Stap 5. Creeer de gebruikers op ISE.

    Dit is hetzelfde als in Stap 4. van het gedeelte RADIUS ISE-instellingen van dit document.

    Stap 6. Maak een beleidsset voor apparaatbeheer.

    Van GUI:

    Wat de RADIUS-toegang betreft, moeten, zodra gebruikers zijn gecreëerd, hun authenticatie- en autorisatiebeleid nog worden vastgesteld op ISE om hen de juiste toegangsrechten te verlenen. Voor de TACACS-verificatie wordt gebruikgemaakt van Apparaatbeheer Policy Sets voor dat doel, die kunnen worden geconfigureerd vanuit de Work Centers > Device Administration > Device Admin Policy Sets GUI Page zoals aangegeven op de afbeelding.

    TACACS - ISE - beleidssets voor apparaatbeheer

    Als u een beleidsset voor apparaatbeheer wilt maken, gebruikt u de knop Toevoegen in rood in de vorige afbeelding, waarmee u een item toevoegt aan de lijst met beleidssets. Geef een naam op voor de nieuwe set, een voorwaarde waaronder deze moet worden toegepast en de toegestane protocollen/serverreeks (hier volstaat hetDefault Device Admin). Save Gebruik de knop om de toevoeging van de beleidsset af te ronden en gebruik de pijlpunt rechts ervan om toegang te krijgen tot de configuratiepagina, zoals deze op de afgebeelde pagina ziet.

    ISE-beleidsset voor TACACS

    De specifieke Policy Set 'WLC TACACS-verificatie' in dit voorbeeld filtert aanvragen met het IP-adres gelijk aan het voorbeeld C9800 WLC IP-adres.

    Als authenticatiebeleid is de standaardregel achtergelaten omdat deze voldoet aan de behoefte van de gebruiker. Er zijn twee machtigingsregels opgesteld:

    • De eerste wordt geactiveerd wanneer de gebruiker tot de gedefinieerde groep behoort admin-group. Het staat alle opdrachten toe (via de standaardPermit_all regel) en kent privilege 15 toe (via het gedefinieerde IOS_Admin  TACACS-profiel).
    • De tweede wordt geactiveerd wanneer de gebruiker tot de gedefinieerde groep behoort helpdesk-group. Het staat alle opdrachten toe (via de standaard Permit_all regel) en kent privilege 1 toe (via het gedefinieerde IOS_Helpdesk TACACS-profiel).
      •

    Nadat deze stap is voltooid, kunnen de referenties die zijn geconfigureerd voor adminuser enhelpdesk gebruikers worden gebruikt om te authenticeren in de WLC via de GUI of met Telnet/SSH.

    Problemen oplossen

    Probleemoplossing voor WLC GUI of CLI RADIUS/TACACS+ toegang via WLC CLI

    debug tacacs Om de TACACS+ toegang tot de WLC GUI of CLI probleemoplossing te bieden, geeft u de opdracht, samen met de terminalmonitor, uit en ziet u de live-uitvoer wanneer een inlogpoging wordt gedaan.

    adminuser Bijvoorbeeld, een succesvolle login gevolgd door een logout van de gebruiker genereert deze output.

    WLC-9800#terminal monitor
    WLC-9800#debug tacacs
    TACACS access control debugging is on
    WLC-9800#
    Dec 8 11:38:34.684: TPLUS: Queuing AAA Authentication request 15465 for processing
    Dec 8 11:38:34.684: TPLUS(00003C69) login timer started 1020 sec timeout Dec 8 11:38:34.684: TPLUS: processing authentication start request id 15465 Dec 8 11:38:34.685: TPLUS: Authentication start packet created for 15465(adminuser) Dec 8 11:38:34.685: TPLUS: Using server 10.48.39.134 Dec 8 11:38:34.685: TPLUS(00003C69)/0/NB_WAIT/7FD29013CA68: Started 5 sec timeout Dec 8 11:38:34.687: TPLUS(00003C69)/0/NB_WAIT: socket event 2 Dec 8 11:38:34.688: TPLUS(00003C69)/0/NB_WAIT: wrote entire 45 bytes request Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: Would block while reading Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 15 bytes data) Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 27 bytes response Dec 8 11:38:34.701: TPLUS(00003C69)/0/7FD29013CA68: Processing the reply packet Dec 8 11:38:34.701: TPLUS: Received authen response status GET_PASSWORD (8) Dec 8 11:38:38.156: TPLUS: Queuing AAA Authentication request 15465 for processing Dec 8 11:38:38.156: TPLUS(00003C69) login timer started 1020 sec timeout Dec 8 11:38:38.156: TPLUS: processing authentication continue request id 15465 Dec 8 11:38:38.156: TPLUS: Authentication continue packet generated for 15465 Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE/7FD3796079D8: Started 5 sec timeout Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE: wrote entire 29 bytes request Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 6 bytes data) Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 18 bytes response Dec 8 11:38:38.183: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet Dec 8 11:38:38.183: TPLUS: Received authen response status PASS (2) Dec 8 11:38:38.184: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: adminuser] [Source: 10.61.80.151] [localport: 22] at 12:38:38 CET Thu Dec 8 2022 Dec 8 11:38:38.259: TPLUS: Queuing AAA Authorization request 15465 for processing Dec 8 11:38:38.260: TPLUS(00003C69) login timer started 1020 sec timeout Dec 8 11:38:38.260: TPLUS: processing authorization request id 15465 Dec 8 11:38:38.260: TPLUS: Protocol set to None .....Skipping Dec 8 11:38:38.260: TPLUS: Sending AV service=shell Dec 8 11:38:38.260: TPLUS: Sending AV cmd* Dec 8 11:38:38.260: TPLUS: Authorization request created for 15465(adminuser) Dec 8 11:38:38.260: TPLUS: using previously set server 10.48.39.134 from group TACACS-Group Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT/7FD3796079D8: Started 5 sec timeout Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: socket event 2 Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: wrote entire 64 bytes request Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: Would block while reading Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 18 bytes data) Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 30 bytes response Dec 8 11:38:38.285: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet Dec 8 11:38:38.285: TPLUS: Processed AV priv-lvl=15 Dec 8 11:38:38.285: TPLUS: received authorization response for 15465: PASS Dec 8 11:38:44.225: %SYS-6-LOGOUT: User adminuser has exited tty session 7(10.61.80.151) Dec 8 11:38:44.225:Socket I/O cleanup message sent to TACACS TPLUS Proc:SOCKET IO CLEANUP EVENT Dec 8 11:38:44.226: %HA_EM-6-LOG: catchall: logout  Dec 8 11:39:18.689: %SYS-6-LOGOUT: User admin has exited tty session 5(10.61.80.151) Dec 8 11:39:18.690:Socket I/O cleanup message sent to TACACS TPLUS Proc:SOCKET IO CLEANUP EVENT


    Uit deze logbestanden kan worden opgemaakt dat de TACACS+ server het juiste voorrecht (dat AV priv-lvl=15 is) teruggeeft.

    Wanneer u RADIUS-verificatie uitvoert, wordt een soortgelijke debug-uitvoer weergegeven die betrekking heeft op het RADIUS-verkeer.

    De opdrachten debug aaa authentication en debug aaa authorization in plaats daarvan tonen welke methodelijst wordt gekozen door de WLC wanneer de gebruiker probeert in te loggen.

    Probleemoplossing voor WLC GUI of CLI TACACS+ toegang via ISE GUI

    Vanaf pagina Operations > TACACS > Live Logs, kan elke gebruikersverificatie gemaakt met de TACACS+ tot de laatste 24 uur worden bekeken. Om de details van een TACACS+-autorisatie of verificatie uit te breiden, gebruikt u de knop Details met betrekking tot deze gebeurtenis.

    Tacacs Live Logs - Algemeen

    Als deze optie wordt uitgebreid, ziet een succesvolle verificatiepoging voorhelpdeskuser de computer er als volgt uit:

    Levende Logs TACACS

    Hieruit kunt u opmaken dat de gebruiker helpdeskuser met succes is geverifieerd op het netwerkapparaat WLC-9800 met behulp van het verificatiebeleid WLC TACACS Authentication > Default. Bovendien is het autorisatieprofielIOS Helpdesk aan deze gebruiker toegewezen en krijgt deze het voorrangsniveau 1.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    4.0
    28-Mar-2024
    Hercertificering
    3.0
    24-Feb-2023
    Belangrijkste update betreffende RADIUS- en TACACS-verificatie, inclusief CLI.
    2.0
    15-Nov-2021
    Toegevoegd een notitie over voorrechten niveaus en web UI
    1.0
    04-Jun-2019
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Paolo Fusconi
      Cisco TAC Engineer
    • Guilian Deflandre
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten