Configurar RADIUS para Windows 2008 NPS Server - WAAS AAA

Opções de download

  • PDF     (1.7 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.8 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.4 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:11 de Setembro de 2017
ID do documento:212042

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve o procedimento de configuração do RADIUS (Remote Authentication Dial-In User Service) no Cisco Wide Area Application Services (WAAS) e no NPS (Network Policy Server) do Windows 2008 R2.

    A configuração padrão do WAAS usa autenticação local. O Cisco WAAS suporta RADIUS e Terminal Access Controller Access Control System (TACACS+) também para autenticação, autorização e contabilização (AAA). Este documento aborda a configuração de apenas um dispositivo. No entanto, isso também pode ser feito em grupo de dispositivos. Toda a configuração deve ser aplicada através da GUI do WAAS CM.

    A configuração geral do WAAS AAA é fornecida no Cisco Wide Area Application Services Configuration Guide no capítulo Configuring Administrative Login Authentication, Authorization, and Accounting .

    Contribuído por Hamilan Gnanabaskaran, engenheiro do TAC da Cisco.

    Editado por Sanaz Tayyar, engenheiro do TAC da Cisco.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • WAAS 5.x ou 6.x
    • servidor Windows NPS
    • AAA - RADIUS

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco WAAS - Virtual Central Manager (vCM)
    • WAAS 6.2.3.b
    • Windows 2008 NPS

    The information in this document was created from the devices in a specific lab environment. Todos os dispositivos usados neste documento iniciaram com uma configuração padrão. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Produtos Relacionados 

    Este documento também pode ser aplicado com estas versões de hardware e software:

    • vWAAS, ISR-WAAS e todos os dispositivos WAAS
    • WAAS 5.x ou WAAS 6.x
    • WAAS como Central Manager, Application Accelerator

    Note: APPNAV-XE não suporta esta configuração. O AAA do roteador envia a configuração para APPNAV-XE.  

    Configuration Steps

    Essas configurações precisam ser aplicadas:

    1. gerenciador central WAAS 
       1.1 Configuração de AAA RADIUS
       1.2 Configuração de autenticação AAA

    2. Windows 2008 R2 - configuração do servidor NPS
       2.1 Configuração de clientes RADIUS
       2.2 Configuração da política de rede

    3. Configuração do WAAS CM para contas de usuário RADIUS

    1. Gerenciador central do WAAS

    1.1 No WAAS Central manager, o servidor RADIUS é criado em Configure>Security>AAA>RADIUS.

    1.2 Configure o método de autenticação para refletir RADIUS em Configure>Security>AAA>Authentication Methods.

    O método de autenticação primária é escolhido como RADIUS e o método de autenticação secundária é escolhido como local. Assim, em caso de falha de RADIUS, o cliente pode fazer login via conta local.

    2. Windows 2008 R2 - Configuração do servidor NPS

    2.1 No servidor Windows 2008 R2 - NPS, crie o IP do dispositivo WAAS como um cliente RADIUS.

    2.2 No servidor Windows 2008 R2 - NPS, crie uma política de rede para corresponder aos dispositivos WAAS e permitir a autenticação.

    No LAB, esses parâmetros devem ser selecionados em NPS >Policies>Network Policy.

    A condição pode ser combinada com o Nome amigável do cliente Radius. Outros métodos podem ser usados, como o endereço IP.

    Métodos de autenticação como autenticação não criptografada (PAP, SPAP).

    Tipo de serviço como Administrativo.

    Atributo específico do fornecedor como Cisco-AV-Pair (Shell:priv-lvl=15).

    Permitir Acesso Total à Rede.

     3. Configuração do WAAS CM para contas de usuário RADIUS

    Configurar um usuário no RADIUS com nível de privilégio 15 ou 1 não fornece acesso à GUI do WAAS CM. O banco de dados do CMS mantém uma lista de usuários, funções e domínios separados do servidor AAA externo.

    Após a configuração correta do servidor AAA externo para autenticar um usuário, a GUI do CM deve ser configurada para dar a esse usuário as funções e os domínios necessários para funcionar dentro da GUI do CM.

    Se o usuário RADIUS não estiver no CM sob user, quando iniciar sessão na GUI com esse usuário Sua conta não tem privilégios para acessar nenhuma das páginas do Central Manager. Verifique com seu administrador as funções e domínios provisionados. Esta massagem é exibida.

    Configuração do nome de usuário local em WAAS CM sem senha.

    O nome de usuário deve se associar às funções certas no Gerenciamento de funções para cada usuário.

    Se o usuário precisar ter acesso somente leitura ou acesso limitado, isso pode ser configurado em funções.

    Verificação

    Nos dispositivos WAAS, essa configuração é enviada.

    radius-server key ****
    radius-server host 10.66.86.125 auth-port 1645
    !
    authentication login local enable secondary
    authentication login radius enable primary
    authentication configuration local enable secondary
    authentication configuration radius enable primary
    falha de autenticação por servidor inalcançável

    O Cisco CLI Analyzer (somente clientes registrados) aceita alguns comandos show. Use o Cisco CLI Analyzer para visualizar uma análise da saída do comando show.

    • autenticação - Configurar autenticação   

    Troubleshoot

    Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

    • Verificar os logs de domínio do Windows
    • #debug aaa authorization do WAAS CM CLI

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Hamilan Gnanabaskaran
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco