Introduction
Este documento descreve o procedimento de configuração do RADIUS (Remote Authentication Dial-In User Service) no Cisco Wide Area Application Services (WAAS) e no NPS (Network Policy Server) do Windows 2008 R2.
A configuração padrão do WAAS usa autenticação local. O Cisco WAAS suporta RADIUS e Terminal Access Controller Access Control System (TACACS+) também para autenticação, autorização e contabilização (AAA). Este documento aborda a configuração de apenas um dispositivo. No entanto, isso também pode ser feito em grupo de dispositivos. Toda a configuração deve ser aplicada através da GUI do WAAS CM.
A configuração geral do WAAS AAA é fornecida no Cisco Wide Area Application Services Configuration Guide no capítulo Configuring Administrative Login Authentication, Authorization, and Accounting .
Contribuído por Hamilan Gnanabaskaran, engenheiro do TAC da Cisco.
Editado por Sanaz Tayyar, engenheiro do TAC da Cisco.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- WAAS 5.x ou 6.x
- servidor Windows NPS
- AAA - RADIUS
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Cisco WAAS - Virtual Central Manager (vCM)
- WAAS 6.2.3.b
- Windows 2008 NPS
The information in this document was created from the devices in a specific lab environment. Todos os dispositivos usados neste documento iniciaram com uma configuração padrão. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Produtos Relacionados
Este documento também pode ser aplicado com estas versões de hardware e software:
- vWAAS, ISR-WAAS e todos os dispositivos WAAS
- WAAS 5.x ou WAAS 6.x
- WAAS como Central Manager, Application Accelerator
Note: APPNAV-XE não suporta esta configuração. O AAA do roteador envia a configuração para APPNAV-XE.
Configuration Steps
Essas configurações precisam ser aplicadas:
1. gerenciador central WAAS
1.1 Configuração de AAA RADIUS
1.2 Configuração de autenticação AAA
2. Windows 2008 R2 - configuração do servidor NPS
2.1 Configuração de clientes RADIUS
2.2 Configuração da política de rede
3. Configuração do WAAS CM para contas de usuário RADIUS
1. Gerenciador central do WAAS
1.1 No WAAS Central manager, o servidor RADIUS é criado em Configure>Security>AAA>RADIUS.

1.2 Configure o método de autenticação para refletir RADIUS em Configure>Security>AAA>Authentication Methods.
O método de autenticação primária é escolhido como RADIUS e o método de autenticação secundária é escolhido como local. Assim, em caso de falha de RADIUS, o cliente pode fazer login via conta local.

2. Windows 2008 R2 - Configuração do servidor NPS
2.1 No servidor Windows 2008 R2 - NPS, crie o IP do dispositivo WAAS como um cliente RADIUS.

2.2 No servidor Windows 2008 R2 - NPS, crie uma política de rede para corresponder aos dispositivos WAAS e permitir a autenticação.

No LAB, esses parâmetros devem ser selecionados em NPS >Policies>Network Policy.

A condição pode ser combinada com o Nome amigável do cliente Radius. Outros métodos podem ser usados, como o endereço IP.

Métodos de autenticação como autenticação não criptografada (PAP, SPAP).

Tipo de serviço como Administrativo.

Atributo específico do fornecedor como Cisco-AV-Pair (Shell:priv-lvl=15).

Permitir Acesso Total à Rede.

3. Configuração do WAAS CM para contas de usuário RADIUS
Configurar um usuário no RADIUS com nível de privilégio 15 ou 1 não fornece acesso à GUI do WAAS CM. O banco de dados do CMS mantém uma lista de usuários, funções e domínios separados do servidor AAA externo.
Após a configuração correta do servidor AAA externo para autenticar um usuário, a GUI do CM deve ser configurada para dar a esse usuário as funções e os domínios necessários para funcionar dentro da GUI do CM.
Se o usuário RADIUS não estiver no CM sob user, quando iniciar sessão na GUI com esse usuário Sua conta não tem privilégios para acessar nenhuma das páginas do Central Manager. Verifique com seu administrador as funções e domínios provisionados. Esta massagem é exibida.

Configuração do nome de usuário local em WAAS CM sem senha.

O nome de usuário deve se associar às funções certas no Gerenciamento de funções para cada usuário.

Se o usuário precisar ter acesso somente leitura ou acesso limitado, isso pode ser configurado em funções.

Verificação
Nos dispositivos WAAS, essa configuração é enviada.
radius-server key ****
radius-server host 10.66.86.125 auth-port 1645
!
authentication login local enable secondary
authentication login radius enable primary
authentication configuration local enable secondary
authentication configuration radius enable primary
falha de autenticação por servidor inalcançável
O Cisco CLI Analyzer (somente clientes registrados) aceita alguns comandos show. Use o Cisco CLI Analyzer para visualizar uma análise da saída do comando show.
- autenticação - Configurar autenticação
Troubleshoot
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
- Verificar os logs de domínio do Windows
- #debug aaa authorization do WAAS CM CLI
Informações Relacionadas