Configurar RADIUS e TACACS+ para autenticação de GUI e CLI em controladores de LAN sem fio 9800

Introduction

Este documento descreve como configurar um Catalyst 9800 para autenticação externa RADIUS ou TACACS+.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Modelo de configuração Catalyst Wireless 9800
• Conceitos AAA, RADIUS e TACACS+

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• C9800-CL v17.9.2
• ISE 3.2.0

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Quando um usuário tenta acessar a CLI ou a GUI da WLC, ele é solicitado a inserir um nome de usuário e uma senha. Por padrão, essas credenciais são comparadas com o banco de dados local de usuários, que está presente no próprio dispositivo. Como alternativa, a WLC pode ser instruída a comparar as credenciais de entrada com um servidor AAA remoto: a WLC pode se comunicar com o servidor com o uso de RADIUS ou TACACS+.

Configurar

Neste exemplo, dois tipos de usuários no servidor AAA (ISE), respectivamente o  adminuser,e o  helpdeskuser estão configurados. Esses usuários fazem parte do  admin-group e o  helpdesk-group grupos. O usuário  adminuser, parte do  admin-group, deve receber acesso total à WLC. Por outro lado, a Comissão  helpdeskuser, parte do  helpdesk-group, deve receber somente privilégios de monitor para a WLC. Portanto, não há acesso à configuração. 

Este artigo primeiro configura a WLC e o ISE para autenticação RADIUS e depois executa o mesmo para TACACS+.

Restrições de Usuário Somente Leitura

Quando TACACS+ ou RADIUS é usado para a autenticação WebUI 9800, estas restrições existem:

• Os usuários com nível de privilégio 0 existem, mas não têm acesso à GUI

• Os usuários com níveis de privilégio de 1 a 14 podem apenas exibir a guia Monitor (isso equivale ao nível de privilégio de um usuário autenticado localmente somente leitura)

• Usuários com nível de privilégio 15 têm acesso total

• Usuários com nível de privilégio 15 e um conjunto de comandos que permite apenas comandos específicos não são suportados. O usuário ainda pode executar alterações de configuração por meio da WebUI

Essas considerações não podem ser alteradas nem modificadas.

Configurar a autenticação RADIUS para a WLC

Etapa 1. Declare o servidor RADIUS.

Da GUI:

Primeiro, crie o servidor ISE RADIUS no WLC. Isso pode ser feito na guia  Servers/Groups > RADIUS > Servers na página da GUI WLC acessível no  https:// /webui/#/aaa , ou se você navegar para  Configuration > Security > AAA , como mostrado nesta imagem.

Para adicionar um servidor RADIUS na WLC, clique no botão Add (Adicionar) emoldurado em vermelho na imagem. Isso abre a janela pop-up descrita na captura de tela.

Nessa janela pop-up, você deve fornecer:

• O nome do servidor (observe que ele não precisa corresponder ao nome do sistema ISE)
• O endereço IP do servidor
• O segredo compartilhado entre a WLC e o servidor RADIUS

Outros parâmetros podem ser configurados, como as portas usadas para autenticação e contabilização, mas eles não são obrigatórios e são deixados como padrão para esta documentação.

Do CLI:

WLC-9800(config)# radius server ISE-lab
WLC-9800(config-radius-server)# address ipv4 10.48.39.134 auth-port 1812 acct-port 1813
WLC-9800(config-radius-server)# key Cisco123

Etapa 2. Mapeie o servidor RADIUS para um grupo de servidores.

Da GUI:

Caso você tenha vários servidores RADIUS que possam ser usados para autenticação, é recomendável mapear todos esses servidores para o mesmo grupo de servidores. A WLC cuida do balanceamento de carga de diferentes autenticações entre os servidores no grupo de servidores. Os grupos de servidores RADIUS são configurados a partir do  Servers/Groups > RADIUS > Server Groups na mesma página da GUI que a mencionada na Etapa 1., como mostrado na imagem.

Quanto à criação do servidor, uma janela pop-up aparece quando você clica no botão Adicionar (enquadrado na imagem anterior), que é descrito aqui.

No pop-up, forneça um nome para o grupo e mova os servidores desejados para a lista Servidores Atribuídos.

Do CLI:

WLC-9800(config)# aaa group server radius RADIUS-Group
WLC-9800(config-sg-radius)# server name ISE-lab

Etapa 3. Crie um método de login de autenticação AAA que aponte para o grupo de servidores RADIUS.

Da GUI:

Ainda na página da GUI  https:// /webui/#/aaa , navegue até a página  AAA Method List > Authentication e crie um método de autenticação como mostrado nesta imagem.

Como de costume, quando você usa o botão Adicionar para criar um método de autenticação, uma janela pop-up de configuração é exibida, semelhante àquela descrita nesta imagem.

Nessa janela pop-up, forneça um nome para o método. Escolher Type como login e adicionar o servidor de grupo criado na etapa anterior à Assigned Server Groups lista. Com relação ao campo Tipo de grupo, várias configurações são possíveis.

• Se você escolher Tipo de grupo como local, a WLC primeiro verifica se as credenciais do usuário existem localmente e depois volta para o grupo de servidores.
• Se você escolher o Tipo de grupo como um grupo e não marcar a opção Fall back to local, a WLC simplesmente verificará as credenciais do usuário em relação ao grupo de servidores.
• Se você escolher o Tipo de grupo como um grupo e marcar a opção Fallback to local, o WLC verificará as credenciais do usuário em relação ao grupo de servidores e consultará o banco de dados local somente se o servidor não responder. Se o servidor enviar uma rejeição, o usuário será autenticado, mesmo que possa existir no banco de dados local.

Do CLI:

Se quiser que as credenciais do usuário sejam verificadas com um grupo de servidores somente se não forem localmente primeiro, use:

WLC-9800(config)#aaa authentication login radius-authe-method local group RADIUS-Group

Se quiser que as credenciais do usuário sejam verificadas apenas com um grupo de servidores, use:

WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group

Se quiser que as credenciais do usuário sejam verificadas com um grupo de servidores e se este último não responder com uma entrada local, use:

WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group local

Neste exemplo de configuração, há alguns usuários que são criados apenas localmente, e alguns usuários somente no servidor ISE, portanto, faça uso da primeira opção.

Etapa 4. Crie um método de execução de autorização AAA que aponte para o grupo de servidores RADIUS.

Da GUI:

O usuário também precisa ser autorizado para receber acesso. Ainda no  GUI Page Configuration > Security > AAA, navegue até a página  AAA Method List > Authorization e crie um método de autorização como mostrado nesta imagem.

Criação de método de autorização

Um pop-up de configuração de método de autorização semelhante ao descrito é exibido quando você adiciona um novo com o botão Adicionar.

Neste pop-up de configuração, forneça um nome para o método de autorização, escolha o Tipo como  exece use a mesma ordem do Tipo de grupo que a usada para o método de autenticação na Etapa 3.

Do CLI:

Quanto ao método de autenticação, a autorização é atribuída primeiro para verificar os usuários em relação às entradas locais e, em seguida, em relação às entradas em um grupo de servidores.

WLC-9800(config)# aaa authorization exec radius-autho-method local group RADIUS-Group

Etapa 5. Atribua os métodos às configurações HTTP e às linhas VTY usadas para Telnet/SSH.

Da GUI:

Os métodos de autenticação e autorização criados podem ser usados para conexão de usuário HTTP e/ou Telnet/SSH, que é configurável a partir do  AAA Advanced > AAA Interface ainda na página da GUI WLC acessível no  https:// /webui/#/aaa , como mostrado nesta imagem:

CLI para autenticação de GUI:

WLC-9800(config)# ip http authentication aaa login-authentication radius-authe-method 
WLC-9800(config)# ip http authentication aaa exec-authorization radius-autho-method

CLI para autenticação Telnet/SSH:

WLC-9800(config)# line vty 0 15
WLC-9800(config-line)# login authentication radius-authe-method
WLC-9800(config-line)# authorization exec radius-autho-method 

Observe que quando são feitas alterações nas configurações HTTP, é melhor reiniciar os serviços HTTP e HTTPS. Isso pode ser obtido com estes comandos:

WLC-9800(config)# no ip http server
WLC-9800(config)# no ip http secure-server
WLC-9800(config)# ip http server
WLC-9800(config)# ip http secure-server

Configurar ISE para RADIUS

Etapa 1. Configure a WLC como um dispositivo de rede para o RADIUS.

Da GUI:

Para declarar a WLC usada na seção anterior como um dispositivo de rede para o RADIUS no ISE, navegue até  Administration > Network Ressources > Network Devices e abra a guia Network devices (Dispositivos de rede), conforme mostrado na imagem a seguir.

Para adicionar um dispositivo de rede, use o botão Add (Adicionar), que abre o formulário de configuração do novo dispositivo de rede.

Na nova janela, forneça um nome para o dispositivo de rede e adicione seu endereço IP. Escolha as Configurações de Autenticação RADIUS e configure o mesmo Segredo Compartilhado RADIUS que o usado no WLC.

Etapa 2. Crie um resultado de autorização para retornar o privilégio.

Da GUI:

Para ter direitos de acesso de administrador, o  adminuser O precisa ter um nível de privilégio de 15, que permite acessar o shell de prompt exec. Por outro lado, a Comissão  helpdeskuser não precisa de acesso ao shell de prompt exec e, portanto, pode ser atribuído com um nível de privilégio inferior a 15. Para atribuir o nível de privilégio adequado aos usuários, os perfis de autorização podem ser usados. Eles podem ser configurados no  ISE GUI Page Policy > Policy Elements > Results, na guia  Authorization > Authorization Profiles  mostrada na imagem seguinte.

Para configurar um novo perfil de autorização, use o botão Adicionar, que abre o formulário de configuração do novo perfil de autorização. Este formulário deve ser especialmente semelhante a este para configurar o perfil atribuído ao  adminuser.

A configuração mostrou que o concede o nível de privilégio 15 a qualquer usuário ao qual ele esteja associado. Como mencionado anteriormente, esse é o comportamento esperado para o  adminuser que é criado durante a próxima etapa. No entanto, o  helpdeskuser deve ter um nível de privilégio inferior e, portanto, um segundo elemento de política deve ser criado.

O elemento de política para o  helpdeskuser é similar ao criado logo acima, exceto que a string  shell:priv-lvl=15  deve ser alterado para  shell:priv-lvl=Xe substitua X pelo nível de privilégio desejado. Neste exemplo, 1 é usado.

Etapa 3. Crie grupos de usuários no ISE.

Na GUI:

Os grupos de usuários do ISE são criados na guia User Identity Groups do  Administration > Identity Management > Groups GUI Page, que é mostrado na captura de tela.

Para criar um novo usuário, use o botão Adicionar, que abre o formulário de configuração de grupo de identidade do novo usuário, conforme mostrado.

Forneça o nome do grupo criado. Crie os dois grupos de usuários discutidos acima, ou seja, o  admin-group  e  helpdesk-group.

Etapa 4. Crie usuários no ISE.

Na GUI:

Os usuários do ISE são criados na guia Usuários do  Administration > Identity Management > Identities GUI Page, que é mostrado na captura de tela.

Para criar um novo usuário, use o botão Add (Adicionar) para abrir o formulário de configuração do novo usuário de acesso à rede, conforme mostrado.

Forneça as credenciais aos usuários, ou seja, seu nome de usuário e senha, que são os usados para autenticação no WLC. Além disso, certifique-se de que o Status do usuário seja  Enabled. Por fim, adicione o usuário ao seu grupo relacionado, que foi criado na Etapa 4., com o menu suspenso User Groups (Grupos de usuários) no final do formulário.

Crie os dois usuários discutidos acima, ou seja, o  adminuser e  helpdeskuser.

Etapa 5. Autentique os usuários.

Da GUI:

Neste cenário, a política de autenticação dos conjuntos de políticas padrão do ISE, que já está pré-configurada, permite o acesso padrão à rede. Esse conjunto de políticas pode ser visto no  Policy > Policy Sets da página da GUI do ISE, como mostrado nesta imagem. Por isso, não há necessidade de alterá-lo.

Etapa 6. Autorize os usuários.

Da GUI:

Depois que a tentativa de login passa pela política de autenticação, ela precisa ser autorizada e o ISE precisa retornar o perfil de autorização criado anteriormente (permitir aceitação, junto com o nível de privilégio).

Neste exemplo, as tentativas de login são filtradas com base no endereço IP do dispositivo (que é o endereço IP da WLC) e distinguem o nível de privilégio a ser concedido com base no grupo ao qual o usuário pertence. Outra abordagem válida é filtrar usuários com base em seus nomes de usuário, já que cada grupo contém apenas um único usuário neste exemplo.

Depois que essa etapa for concluída, as credenciais configuradas para  adminuser  e  helpdesk o usuário pode ser usado para autenticar na WLC através da GUI ou através de Telnet/SSH. 

Configurar TACACS+ WLC

Etapa 1. Declare o servidor TACACS+. 

Da GUI:

Primeiro de tudo, crie o servidor Tacacs+ ISE no WLC. Isso pode ser feito na guia  Servers/Groups > TACACS+ > Servers na página da GUI WLC acessível no  https:// /webui/#/aaa , ou se você navegar para  Configuration > Security > AAA, como mostrado nesta imagem.

Para adicionar um servidor TACACS na WLC, clique no botão Add (Adicionar) emoldurado em vermelho na imagem acima. Isso abre a janela pop-up descrita.

Quando a janela pop-up abrir, forneça o nome do servidor (ele não precisa corresponder ao nome do sistema ISE), seu endereço IP, a chave compartilhada, a porta usada e o tempo limite.

Nessa janela pop-up, você deve fornecer:

• O nome do servidor (observe que ele não precisa corresponder ao nome do sistema ISE)
• O endereço IP do servidor
• O segredo compartilhado entre o WLC e o servidor TACACS+

Outros parâmetros podem ser configurados, como as portas usadas para autenticação e contabilização, mas eles não são obrigatórios e são deixados como padrão para esta documentação.

Do CLI:

WLC-9800(config)# tacacs server ISE-lab
WLC-9800(config-server-tacacs)# address ipv4 10.48.39.134
WLC-9800(config-server-tacacs)# key Cisco123

Etapa 2. Mapeie o servidor TACACS+ para um grupo de servidores.

Da GUI:

Caso você tenha vários servidores TACACS+ que possam ser usados para autenticação, é recomendável mapear todos esses servidores para o mesmo grupo de servidores. A WLC então cuida do balanceamento de carga de diferentes autenticações entre os servidores no grupo de servidores. TACACS+ os grupos de servidores são configurados no  Servers/Groups > TACACS > Server Groups na mesma página da GUI que a mencionada na Etapa 1., que é mostrada na imagem.

Quanto à criação do servidor, uma janela pop-up aparece quando você clica no botão Adicionar enquadrado na imagem anterior, que é representada na imagem.

Na janela pop-up, dê um nome ao grupo e mova os servidores desejados para a lista Servidores atribuídos.

Do CLI:

WLC-9800(config)# aaa group server tacacs+ TACACS-Group
WLC-9800(config-sg-tacacs+)# server name ISE-lab

Etapa 3. Crie um método de login de autenticação AAA que aponte para o grupo de servidores TACACS+. 

Da GUI:

Ainda na página da GUI  https:// /webui/#/aaa , navegue até a página  AAA Method List > Authentication e crie um método de autenticação conforme mostrado na imagem.

Como de costume, quando você usa o botão Adicionar para criar um método de autenticação, uma janela pop-up de configuração é exibida, semelhante àquela descrita nesta imagem.

Nessa janela pop-up, forneça um nome para o método, escolha Digitar como  logine adicione o servidor de grupo criado na etapa anterior à lista Grupos de servidores atribuídos. Com relação ao campo Tipo de grupo, várias configurações são possíveis.

• Se você escolher Tipo de grupo como local, a WLC primeiro verifica se as credenciais do usuário existem localmente e depois volta para o grupo de servidores.
• Se você escolher o Tipo de grupo como um grupo e não marcar a opção Fall back to local, a WLC simplesmente verificará as credenciais do usuário em relação ao grupo de servidores.
• Se você escolher o Tipo de grupo como um grupo e marcar a opção Fallback to local, o WLC verificará as credenciais do usuário em relação ao grupo de servidores e consultará o banco de dados local somente se o servidor não responder. Se o servidor enviar uma rejeição, o usuário será autenticado, mesmo que possa existir no banco de dados local.

Do CLI:

Se quiser que as credenciais do usuário sejam verificadas com um grupo de servidores somente se não forem localmente primeiro, use:

WLC-9800(config)# aaa authentication login tacacs-authe-method local group TACACS-Group 

Se quiser que as credenciais do usuário sejam verificadas apenas com um grupo de servidores, use:

WLC-9800(config)# aaa authentication login tacacs-authe-method group TACACS-Group  

Se quiser que as credenciais do usuário sejam verificadas com um grupo de servidores e se este último não responder com uma entrada local, use:

WLC-9800(config)# aaa authentication login tacacs-authe-method group TACACS-Group local

Neste exemplo de configuração, há alguns usuários que são criados apenas localmente, e alguns usuários apenas no servidor ISE, portanto, faça uso da primeira opção.

Etapa 4. Crie um método exec de autorização AAA que aponte para o TACACS+ grupo de servidores. 

Da GUI:

O usuário também precisa ser autorizado para receber acesso. Ainda na página da GUI,  Configuration > Security > AAA, navegue até a página  AAA Method List > Authorization e crie um método de autorização conforme mostrado na imagem.

Um pop-up de configuração de método de autorização semelhante ao descrito é exibido quando você adiciona um novo com o botão Adicionar.

Nesta janela pop-up de configuração, forneça um nome para o método de autorização, escolha Digitar como  exec e use a mesma ordem de Tipo de grupo que a usada para o método de autenticação na etapa anterior. 

Do CLI:

WLC-9800(config)# aaa authorization exec tacacs-autho-method local group TACACS-Group

Etapa 5. Atribua os métodos às configurações HTTP e às linhas VTY usadas para Telnet/SSH.

Da GUI:

Os métodos de autenticação e autorização criados podem ser usados para conexão de usuário HTTP e/ou Telnet/SSH, que é configurável a partir do  AAA Advanced > AAA Interface ainda na página da GUI WLC acessível no  https:// /webui/#/aaa ,conforme mostrado na imagem.

Do CLI:

Para a autenticação da GUI:

WLC-9800(config)# ip http authentication aaa login-authentication tacacs-authe-method 
WLC-9800(config)# ip http authentication aaa exec-authorization tacacs-autho-method  

Para autenticação Telnet/SSH:

WLC-9800(config)# line vty 0 15
WLC-9800(config-line)# login authentication tacacs-authe-method  
WLC-9800(config-line)# authorization exec tacacs-autho-method 

Observe que quando são feitas alterações nas configurações HTTP, é melhor reiniciar os serviços HTTP e HTTPS. Isso pode ser obtido com esses comandos.

WLC-9800(config)# no ip http server
WLC-9800(config)# no ip http secure-server
WLC-9800(config)# ip http server
WLC-9800(config)# ip http secure-server

Configuração do TACACS+ ISE

Etapa 1. Configure a WLC como um dispositivo de rede para TACACS+.

Da GUI:

Para declarar a WLC usada na seção anterior como um dispositivo de rede para o RADIUS no ISE, navegue até  Administration > Network Resources > Network Devices e abra a guia Network devices (Dispositivos de rede), conforme mostrado nesta imagem.

Neste exemplo, a WLC já foi adicionada para a autenticação RADIUS (consulte a Etapa 1 da seção Configure RADIUS ISE). Portanto, sua configuração simplesmente precisa ser modificada para configurar a autenticação TACACS, que pode ser feita quando você escolhe a WLC na lista de dispositivos de rede e clica no botão Editar. Isso abre o formulário de configuração do dispositivo de rede como mostrado nesta imagem.

Depois que a nova janela for aberta, role para baixo até a seção Configurações de autenticação TACACS, habilite essas configurações e adicione o segredo compartilhado inserido durante a Etapa 1 da seção Configurar TACACS+ WLC.

Etapa 2. Ative o recurso Device Admin para o nó.

Da GUI:

Depois que as licenças de Administração do dispositivo estiverem instaladas, você deve habilitar o recurso Administrador do dispositivo para o nó para poder usar o ISE como o servidor TACACS+. Para fazer isso, edite a configuração do nó de implantação do ISE usado, que pode ser encontrado em  Administrator > Deploymente clique no nome ou faça isso com a ajuda do  Edit botão.

Quando a janela de configuração do nó for aberta, marque a opção Enable Device Admin Service na seção Policy Service, como mostrado nesta imagem.

Etapa 3. Crie perfis TACACS para retornar o privilégio.

Da GUI:

Para ter direitos de acesso de administrador, o  adminuser O precisa ter um nível de privilégio de 15, que permite acessar o shell de prompt exec. Por outro lado, a Comissão  helpdeskuser não precisa de acesso ao shell de prompt exec e, portanto, pode ser atribuído com um nível de privilégio inferior a 15. Para atribuir o nível de privilégio adequado aos usuários, os perfis de autorização podem ser usados. Eles podem ser configurados na página da GUI do ISE  Work Centers > Device Administration > Policy Elements, na guia  Results > TACACS Profiles como mostrado na imagem a seguir.

Para configurar um novo perfil TACACS, use o botão Add (Adicionar), que abre o formulário de configuração do novo perfil semelhante ao mostrado na imagem. Este formulário deve ser especialmente semelhante a este para configurar o perfil atribuído ao  adminuser (ou seja, com privilégios de shell nível 15).

Repita a operação para o comando  helpdesk profile. Para este último, o Privilégio Padrão, assim como o Privilégio Máximo, são definidos como 1.

Etapa 4. Crie grupos de usuários no ISE.

Isso é o mesmo apresentado na Etapa 3 da seção Configure RADIUS ISE deste documento.

Etapa 5. Crie os usuários no ISE.

Isso é o mesmo apresentado na Etapa 4 da seção Configurar ISE RADIUS deste documento.

Etapa 6. Crie um Conjunto de Políticas Administrativas do Dispositivo.

Da GUI:

Quanto ao acesso RADIUS, uma vez que os usuários são criados, suas políticas de autenticação e autorização ainda precisam ser definidas no ISE para conceder a eles os direitos de acesso apropriados. A autenticação TACACS usa os Device Admin Policy Sets para essa finalidade, que podem ser configurados no  Work Centers > Device Administration > Device Admin Policy Sets GUI Page como mostrado.

Para criar um conjunto de políticas de administração de dispositivos, use o botão adicionar com quadros em vermelho na imagem anterior. Isso adiciona um item à lista de conjuntos de políticas. Forneça um nome para o conjunto recém-criado, uma condição sob a qual ele deve ser aplicado e a Sequência de Protocolos/Servidores Permitidos (aqui, a  Default Device Admin suficiente). Use o  Save para finalizar a adição do conjunto de políticas e usar a ponta de seta à sua direita para acessar sua página de configuração, como ela se parece com a descrita.

O conjunto de políticas específico 'WLC TACACS Authentication' neste exemplo filtra solicitações com o endereço IP igual ao endereço IP da WLC C9800 do exemplo.

Como uma política de autenticação, a regra padrão foi deixada, pois atende às necessidades do caso de uso. Foram criadas duas regras de autorização:

• O primeiro é acionado quando o usuário pertence ao grupo definido  admin-group. Ele permite todos os comandos (através do padrão  Permit_all regra) e atribui o privilégio 15 (por meio da regra  IOS_Admin  perfil TACACS).
• O segundo é acionado quando o usuário pertence ao grupo definido  helpdesk-group. Ele permite todos os comandos (através do padrão  Permit_all regra) e atribui o privilégio 1 (por meio da regra  IOS_Helpdesk perfil TACACS).

Depois que essa etapa for concluída, as credenciais configuradas para  adminuser e  helpdesk os usuários podem ser usados para autenticar na WLC através da GUI ou com Telnet/SSH.

Troubleshoot

Solucionar problemas de acesso RADIUS/TACACS+ de GUI ou CLI de WLC via CLI de WLC

Para solucionar problemas de acesso TACACS+ à GUI ou CLI da WLC, execute o comando  debug tacacs juntamente com o terminal monitor um e veja a saída ao vivo quando uma tentativa de login é feita.

Por exemplo, um login bem-sucedido seguido por um logout do  adminuser o usuário gera essa saída.

WLC-9800# terminal monitor
WLC-9800# debug tacacs
TACACS access control debugging is on
WLC-9800#
Dec 8 11:38:34.684: TPLUS: Queuing AAA Authentication request 15465 for processing
Dec 8 11:38:34.684: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:34.684: TPLUS: processing authentication start request id 15465
Dec 8 11:38:34.685: TPLUS: Authentication start packet created for 15465(adminuser)
Dec 8 11:38:34.685: TPLUS: Using server 10.48.39.134
Dec 8 11:38:34.685: TPLUS(00003C69)/0/NB_WAIT/7FD29013CA68: Started 5 sec timeout
Dec 8 11:38:34.687: TPLUS(00003C69)/0/NB_WAIT: socket event 2
Dec 8 11:38:34.688: TPLUS(00003C69)/0/NB_WAIT: wrote entire 45 bytes request
Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: Would block while reading
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 15 bytes data)
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 27 bytes response
Dec 8 11:38:34.701: TPLUS(00003C69)/0/7FD29013CA68: Processing the reply packet
Dec 8 11:38:34.701: TPLUS: Received authen response status GET_PASSWORD (8)
Dec 8 11:38:38.156: TPLUS: Queuing AAA Authentication request 15465 for processing
Dec 8 11:38:38.156: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:38.156: TPLUS: processing authentication continue request id 15465
Dec 8 11:38:38.156: TPLUS: Authentication continue packet generated for 15465
Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE/7FD3796079D8: Started 5 sec timeout
Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE: wrote entire 29 bytes request
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 6 bytes data)
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 18 bytes response
Dec 8 11:38:38.183: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet
Dec 8 11:38:38.183: TPLUS: Received authen response status PASS (2)
Dec 8 11:38:38.184: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: adminuser] [Source: 10.61.80.151] [localport: 22] at 12:38:38 CET Thu Dec 8 2022
Dec 8 11:38:38.259: TPLUS: Queuing AAA Authorization request 15465 for processing
Dec 8 11:38:38.260: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:38.260: TPLUS: processing authorization request id 15465
Dec 8 11:38:38.260: TPLUS: Protocol set to None .....Skipping
Dec 8 11:38:38.260: TPLUS: Sending AV service=shell
Dec 8 11:38:38.260: TPLUS: Sending AV cmd*
Dec 8 11:38:38.260: TPLUS: Authorization request created for 15465(adminuser)
Dec 8 11:38:38.260: TPLUS: using previously set server 10.48.39.134 from group TACACS-Group
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT/7FD3796079D8: Started 5 sec timeout
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: socket event 2
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: wrote entire 64 bytes request
Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: Would block while reading
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 18 bytes data)
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 30 bytes response
Dec 8 11:38:38.285: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet
Dec 8 11:38:38.285: TPLUS: Processed AV priv-lvl=15
Dec 8 11:38:38.285: TPLUS: received authorization response for 15465: PASS
Dec 8 11:38:44.225: %SYS-6-LOGOUT: User adminuser has exited tty session 7(10.61.80.151)
Dec 8 11:38:44.225:Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT
Dec 8 11:38:44.226: %HA_EM-6-LOG: catchall: logout 
Dec 8 11:39:18.689: %SYS-6-LOGOUT: User admin has exited tty session 5(10.61.80.151)
Dec 8 11:39:18.690:Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT

Pode ser visto nesses logs que o servidor TACACS+ retorna o privilégio correto (que é  AV priv-lvl=15).

Quando você faz a autenticação RADIUS, uma saída de depuração semelhante é mostrada, que diz respeito ao tráfego RADIUS.

Os comandos debug aaa authentication e  debug aaa authorization em vez disso, mostre qual lista de métodos é escolhida pela WLC quando o usuário tenta fazer login.

Solucionar problemas de acesso TACACS+ de GUI ou CLI de WLC através da GUI do ISE

Da página  Operations > TACACS > Live Logs, cada autenticação de usuário feita com o TACACS+ até as últimas 24 horas pode ser visualizada. Para expandir os detalhes de uma autorização ou autenticação TACACS+, use o botão Detalhes relacionado a este evento.

Quando expandida, uma tentativa de autenticação bem-sucedida para o  helpdeskuser tem a seguinte aparência:

A partir disso, você pode ver que o usuário  helpdeskuser foi autenticado com êxito no dispositivo de rede  WLC-9800 com a ajuda da política de autenticação  WLC TACACS Authentication > Default. Além disso, o perfil de autorização  IOS Helpdesk foi atribuído a este usuário e recebeu o nível de privilégio 1.