Exemplo de configuração de acesso de administrador TACACS para controladores de LAN sem fio de acesso convergido

Opções de download

  • PDF     (1.2 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.3 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (538.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:20 de Maio de 2014
ID do documento:117711

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento fornece um exemplo de configuração do Terminal Access Controller Access Control System Plus (TACACS+) em um Cisco Converged Access Wireless LAN Controller (WLC) 5760/3850/3650 para o CLI e a GUI. Este documento também fornece algumas dicas básicas para solucionar problemas de configuração.

TACACS+ é um protocolo cliente/servidor que fornece segurança centralizada para usuários que tentam obter acesso de gerenciamento a um roteador ou servidor de acesso à rede. O TACACS+ fornece estes serviços de Autenticação, Autorização e Auditoria (AAA - Authentication, Authorization, and Accounting):

  • Autenticação de usuários que tentam fazer login no equipamento de rede

  • Autorização para determinar que nível de acesso os usuários devem ter

  • Contabilização para acompanhar todas as alterações feitas pelo usuário

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Como configurar WLCs e pontos de acesso lightweight (LAPs) para operação básica
  • Lightweight Access Point Protocol (LWAPP) e métodos de segurança sem fio
  • Conhecimento básico de RADIUS e TACACS+
  • Conhecimento básico da configuração do Cisco ACS

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • WLC 5760 que executa o Cisco IOS® XE versão 3.3.3
  • Access Control Server (ACS) 5.2

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurar

Note: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Configurações

Este é um processo de duas etapas:

  • Configuração na WLC
  • Configuração no servidor RADIUS/TACACS

Configuração na WLC

  1. Defina o servidor TACACS na WLC. Certifique-se de configurar exatamente o mesmo segredo compartilhado no TACACS.
    tacacs-server host 10.106.73.71 key Cisco123
    tacacs server ACS
     address ipv4 10.106.102.50
     key Cisco123
     timeout 10
  2. Configure os grupos de servidores e mapeie o servidor configurado na etapa anterior.
    aaa group server tacacs+ ACS
     server name ACS
    !
  3. Configure as políticas de Autenticação e Autorização para o acesso do administrador. Nesse caso, você permite o grupo TACACS seguido por local, que é o fallback.
    aaa authentication login Admin_Access group ACS local

    aaa authorization exec Admin_Access group ACS local
  4. Aplique a política à linha vty e HTTP.
    line vty 0 4
     authorization exec Admin_Access
     login authentication Admin_Access
    line vty 5 15
     exec-timeout 0 0
     authorization exec Admin_Access
     login authentication Admin_Access
  5. Aplique o mesmo ao HTTP.
    ip http server
    ip http authentication aaa login-authentication Admin_Access
    ip http authentication aaa exec-authorization Admin_Access

Configuração no ACS

  1. Escolha Network Resources > Network Devices and AAA Clients para adicionar a WLC como o cliente AAA para TACACS no ACS. Verifique se o segredo compartilhado configurado aqui corresponde ao configurado no WLC.

  2. Escolha Users and Identity Stores > Internal Identity Stores > Users para definir o usuário para acesso de administrador.

  3. Escolha Policy Elements > Authorization and Permissions > Device Administration > Shell Profiles para definir os níveis de privilégio como 15.

  4. Escolha Access Policies > Access Services > Default Device Admin para permitir os protocolos necessários.

  5. Escolha Access Policies > Access Services > Default Device Admin > Identity para criar uma identidade para o administrador do dispositivo que permita aos usuários internos opções de autenticação.

  6. Escolha Access Policies > Access Services > Default Device Admin > Authorization para permitir o perfil de autorização Priv15 criado na Etapa 3. Aqui o cliente com a identidade passada (usuários internos) é colocado no perfil Priv15.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Abra um navegador e digite o endereço IP do switch. O prompt Authentication Required (Autenticação necessária) é exibido. Insira as credenciais do usuário do grupo para fazer login no dispositivo.

Para verificar o acesso Telnet/SSH, execute Telnet/SSH para o endereço IP do switch e insira as credenciais.

Isso é exibido para o registro ACS.

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Note: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Insira o comando debug tacacs para solucionar problemas de sua configuração.

debug tacacs

*May 14 23:11:06.396: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:06.396: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:06.396: TPLUS: processing authentication continue request id 4775
*May 14 23:11:06.396: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
 16 bytes data)
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 28 bytes response
*May 14 23:11:06.398: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:06.398: TPLUS: Received authen response status GET_PASSWORD (8)
*May 14 23:11:08.680: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:08.680: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.680: TPLUS: processing authentication continue request id 4775
*May 14 23:11:08.680: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
 6 bytes data)
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 18 bytes response
*May 14 23:11:08.687: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:08.687: TPLUS: Received authen response status PASS (2)
*May 14 23:11:08.687: TPLUS: Queuing AAA Authorization request 4775 for processing
*May 14 23:11:08.687: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.687: TPLUS: processing authorization request id 4775
*May 14 23:11:08.687: TPLUS: Protocol set to None .....Skipping
*May 14 23:11:08.687: TPLUS: Sending AV service=shell
*May 14 23:11:08.687: TPLUS: Sending AV cmd*
*May 14 23:11:08.687: TPLUS: Authorization request created for 4775(surbg123)
*May 14 23:11:08.687: TPLUS: using previously set server 10.106.102.50 from
 group SURBG_ACS
*May 14 23:11:08.688: TPLUS(000012A7)/0/NB_WAIT/93C63F04: Started 10 sec timeout
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: socket event 2
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: wrote entire 61 bytes request
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: Would block while reading
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
 18 bytes data)
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 30 bytes response
*May 14 23:11:08.696: TPLUS(000012A7)/0/93C63F04: Processing the reply packet
*May 14 23:11:08.696: TPLUS: Processed AV priv-lvl=15
*May 14 23:11:08.696: TPLUS: received authorization response for 4775: PASS

Histórico de revisões

Revisão Data de publicação Comentários
1.0
20-May-2014
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Surendra BG
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos