Configurar o RADIUS & TACACS+ para GUI & Autenticação CLI em WLCs 9800

Introdução

Este documento descreve como configurar um Catalyst 9800 para autenticação externa RADIUS ou TACACS+.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Modelo de configuração Catalyst Wireless 9800
• Conceitos AAA, RADIUS e TACACS+

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• C9800-CL v17.9.2
• ISE 3.2.0

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Quando um usuário tenta acessar a CLI ou a GUI da WLC, ele é solicitado a inserir um nome de usuário e uma senha. Por padrão, essas credenciais são comparadas com o banco de dados local de usuários, que está presente no próprio dispositivo. Como alternativa, a WLC pode ser instruída a comparar as credenciais de entrada com um servidor AAA remoto: a WLC pode se comunicar com o servidor com o uso de RADIUS ou TACACS+. Esses são os dois únicos métodos de autenticação externa para usuários administradores (sem LDAP, por exemplo).

Configurar

Neste exemplo, dois tipos de usuários no servidor AAA (ISE), respectivamente oadminusere o são configuradoshelpdeskuser. Esses usuários fazem parte dos gruposadmin-groupehelpdesk-group, respectivamente. Espera-se que o usuárioadminuser, parte doadmin-group, receba acesso total ao WLC. Por outro lado, ohelpdeskuser, parte dohelpdesk-group, deve receber somente privilégios de monitor para o WLC. Portanto, não há acesso à configuração. 

Este artigo primeiro configura a WLC e o ISE para autenticação RADIUS e depois executa o mesmo para TACACS+.

Restrições de Usuário Somente Leitura

Quando TACACS+ ou RADIUS é usado para a autenticação WebUI 9800, estas restrições existem:

• Os usuários com nível de privilégio 0 existem, mas não têm acesso à GUI

• Os usuários com níveis de privilégio de 1 a 14 podem apenas exibir a guia Monitor (isso equivale ao nível de privilégio de um usuário autenticado localmente somente leitura)

• Usuários com nível de privilégio 15 têm acesso total

• Usuários com nível de privilégio 15 e um conjunto de comandos que permite apenas comandos específicos não são suportados. O usuário ainda pode executar alterações de configuração por meio da WebUI

Essas considerações não podem ser alteradas nem modificadas.

Configurar a autenticação RADIUS para a WLC

Etapa 1. Declare o servidor RADIUS.

Da GUI:

Primeiro, crie o servidor ISE RADIUS no WLC. Isso pode ser feito na guia Servers/Groups > RADIUS > Serversda página GUI do WLC acessível emhttps:///webui/#/aaa, ou se você navegar para Configuration > Security > AAA, como mostrado nesta imagem.

Para adicionar um servidor RADIUS na WLC, clique no botão Add (Adicionar) emoldurado em vermelho na imagem. Isso abre a janela pop-up descrita na captura de tela.

Nessa janela pop-up, você deve fornecer:

• O nome do servidor (observe que ele não precisa corresponder ao nome do sistema ISE)
• O endereço IP do servidor
• O segredo compartilhado entre a WLC e o servidor RADIUS

Outros parâmetros podem ser configurados, como as portas usadas para autenticação e contabilização, mas eles não são obrigatórios e são deixados como padrão para esta documentação.

Do CLI:

WLC-9800(config)#radius server ISE-lab
WLC-9800(config-radius-server)#address ipv4 10.48.39.134 auth-port 1812 acct-port 1813
WLC-9800(config-radius-server)#key Cisco123

Etapa 2. Mapear o servidor RADIUS para um Grupo de Servidores.

Da GUI:

Caso você tenha vários servidores RADIUS que possam ser usados para autenticação, é recomendável mapear todos esses servidores para o mesmo grupo de servidores. A WLC cuida do balanceamento de carga de diferentes autenticações entre os servidores no grupo de servidores. Os grupos de servidores RADIUS são configurados na guiaServers/Groups > RADIUS > Server Groupsna mesma página da GUI que a mencionada na Etapa 1, como mostrado na imagem.

Quanto à criação do servidor, uma janela pop-up aparece quando você clica no botão Adicionar (enquadrado na imagem anterior), que é descrito aqui.

No pop-up, forneça um nome para o grupo e mova os servidores desejados para a lista Servidores Atribuídos.

Do CLI:

WLC-9800(config)# aaa group server radius RADIUS-Group
WLC-9800(config-sg-radius)# server name ISE-lab

Etapa 3. Crie um método de login de autenticação AAA que aponte para o grupo de servidores RADIUS.

Da GUI:

Ainda na páginahttps:///webui/#/aaaGUI, navegue até a guiaAAA Method List > Authenticatione crie um método de autenticação como mostrado nesta imagem.

Como de costume, quando você usa o botão Adicionar para criar um método de autenticação, uma janela pop-up de configuração é exibida, semelhante àquela descrita nesta imagem.

Nessa janela pop-up, forneça um nome para o método. EscolhaTypecomo login e adicione o servidor de grupo criado na etapa anterior à listaAssigned Server Groups. Com relação ao campo Tipo de grupo, várias configurações são possíveis.

• Se você escolher Tipo de grupo como local, a WLC primeiro verifica se as credenciais do usuário existem localmente e depois volta para o grupo de servidores.
• Se você escolher o Tipo de grupo como um grupo e não marcar a opção Fall back to local, a WLC simplesmente verificará as credenciais do usuário em relação ao grupo de servidores.
• Se você escolher o Tipo de grupo como um grupo e marcar a opção Fallback to local, o WLC verificará as credenciais do usuário em relação ao grupo de servidores e consultará o banco de dados local somente se o servidor não responder. Se o servidor enviar uma rejeição, o usuário será autenticado, mesmo que possa existir no banco de dados local.

Do CLI:

Se quiser que as credenciais do usuário sejam verificadas com um grupo de servidores somente se não forem localmente primeiro, use:

WLC-9800(config)#aaa authentication login radius-authe-method local group RADIUS-Group

Se quiser que as credenciais do usuário sejam verificadas apenas com um grupo de servidores, use:

WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group

Se quiser que as credenciais do usuário sejam verificadas com um grupo de servidores e se este último não responder com uma entrada local, use:

WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group local

Neste exemplo de configuração, há alguns usuários que são criados apenas localmente, e alguns usuários somente no servidor ISE, portanto, faça uso da primeira opção.

Etapa 4. Crie um método de execução de autorização AAA que aponte para o grupo de servidores RADIUS.

Da GUI:

O usuário também precisa ser autorizado para receber acesso. Ainda noGUI Page Configuration > Security > AAA, navegue até a guiaAAA Method List > Authorizatione crie um método de autorização como mostrado nesta imagem.

Criação de método de autorização

Um pop-up de configuração de método de autorização semelhante ao descrito é exibido quando você adiciona um novo com o botão Adicionar.

Nessa janela pop-up de configuração, forneça um nome para o método de autorização, escolha o Tipo comoexece use a mesma ordem do Tipo de grupo que a usada para o método de autenticação na Etapa 3.

Do CLI:

Quanto ao método de autenticação, a autorização é atribuída primeiro para verificar os usuários em relação às entradas locais e, em seguida, em relação às entradas em um grupo de servidores.

WLC-9800(config)#aaa authorization exec radius-autho-method local group RADIUS-Group

Etapa 5. Atribua os métodos às configurações HTTP e às linhas VTY usadas para Telnet/SSH.

Da GUI:

Os métodos de autenticação e autorização criados podem ser usados para conexão de usuário HTTP e/ou Telnet/SSH, que é configurável a partir daAAA Advanced > AAA Interfaceguia ainda da página da GUI WLC acessível emhttps:///webui/#/aaa, como mostrado nesta imagem:

CLI para autenticação de GUI:

WLC-9800(config)#ip http authentication aaa login-authentication radius-authe-method 
WLC-9800(config)#ip http authentication aaa exec-authorization radius-autho-method

CLI para autenticação Telnet/SSH:

WLC-9800(config)#line vty 0 15
WLC-9800(config-line)#login authentication radius-authe-method
WLC-9800(config-line)#authorization exec radius-autho-method 

Observe que quando são feitas alterações nas configurações HTTP, é melhor reiniciar os serviços HTTP e HTTPS. Isso pode ser obtido com estes comandos:

WLC-9800(config)#no ip http server
WLC-9800(config)#no ip http secure-server
WLC-9800(config)#ip http server
WLC-9800(config)#ip http secure-server

Configurar ISE para RADIUS

Etapa 1. Configurar a WLC como um dispositivo de rede para o RADIUS.

Da GUI:

Para declarar a WLC usada na seção anterior como um dispositivo de rede para o RADIUS no ISE, navegue atéAdministration > Network Ressources > Network Devicese abra a guia Network devices (Dispositivos de rede), conforme mostrado na imagem a seguir.

Para adicionar um dispositivo de rede, use o botão Add (Adicionar), que abre o formulário de configuração do novo dispositivo de rede.

Na nova janela, forneça um nome para o dispositivo de rede e adicione seu endereço IP. Escolha as Configurações de Autenticação RADIUS e configure o mesmo Segredo Compartilhado RADIUS que o usado no WLC.

Etapa 2. Crie um resultado de autorização para retornar o privilégio.

Da GUI:

Para ter direitos de acesso de administrador, oadminuserprecisa ter um nível de privilégio de 15, que permite acessar o shell de prompt exec. Por outro lado, ohelpdeskusernão precisa de acesso ao shell de prompt exec e pode, portanto, ser atribuído com um nível de privilégio inferior a 15. Para atribuir o nível de privilégio adequado aos usuários, os perfis de autorização podem ser usados. Eles podem ser configurados noISE GUI Page Policy > Policy Elements > Results, na guiaAuthorization > Authorization Profilesmostrada na imagem a seguir.

Para configurar um novo perfil de autorização, use o botão Adicionar, que abre o formulário de configuração do novo perfil de autorização. Este formulário deve ser especialmente semelhante a este para configurar o perfil atribuído aoadminuser.

A configuração mostrou que o concede o nível de privilégio 15 a qualquer usuário ao qual ele esteja associado. Como mencionado anteriormente, esse é o comportamento esperado para oadminuserque é criado durante a próxima etapa. No entanto, ohelpdeskuserdeve ter um nível de privilégio inferior e, portanto, um segundo elemento de política deve ser criado.

O elemento de política para ohelpdeskuseré semelhante ao criado logo acima, exceto que a stringshell:priv-lvl=15deve ser alterada parashell:priv-lvl=Xe substituir X pelo nível de privilégio desejado. Neste exemplo, foi usado 1.

Etapa 3. Criar grupos de usuários no ISE.

Na GUI:

Os grupos de usuários do ISE são criados na guia User Identity Groups doAdministration > Identity Management > Groups GUI Page, que é mostrada na captura de tela.

Para criar um novo usuário, use o botão Adicionar, que abre o formulário de configuração de grupo de identidade do novo usuário, conforme mostrado.

Forneça o nome do grupo criado. Crie os dois grupos de usuários discutidos acima, ou seja, oadmin-group ehelpdesk-group.

Etapa 4. Criar usuários no ISE.

Na GUI:

Os usuários do ISE são criados na guia Usuários doAdministration > Identity Management > Identities GUI Page, exibida na captura de tela.

Para criar um novo usuário, use o botão Add (Adicionar) para abrir o formulário de configuração do novo usuário de acesso à rede, conforme mostrado.

Forneça as credenciais aos usuários, ou seja, seu nome de usuário e senha, que são os usados para autenticação no WLC. Além disso, certifique-se de que o Status do usuário sejaEnabled. Por fim, adicione o usuário ao seu grupo relacionado, que foi criado na Etapa 4., com o menu suspenso User Groups (Grupos de usuários) no final do formulário.

Crie os dois usuários discutidos acima, ou seja, oadminuserehelpdeskuser.

Etapa 5. Autentique os usuários.

Da GUI:

Neste cenário, a política de autenticação dos conjuntos de políticas padrão do ISE, que já está pré-configurada, permite o acesso padrão à rede. Esse conjunto de políticas pode ser visto na páginaPolicy > Policy Setsda GUI do ISE, como mostrado nesta imagem. Por isso, não há necessidade de alterá-lo.

Etapa 6. Autorizar os usuários.

Da GUI:

Depois que o log in tenta passar pela política de autenticação, ele precisa ser autorizado e o ISE precisa retornar o perfil de autorização criado anteriormente (permitir aceitação, junto com o nível de privilégio).

Neste exemplo, as tentativas de login são filtradas com base no endereço IP do dispositivo (que é o endereço IP da WLC) e distinguem o nível de privilégio a ser concedido com base no grupo ao qual o usuário pertence. Outra abordagem válida é filtrar usuários com base em seus nomes de usuário, já que cada grupo contém apenas um único usuário neste exemplo.

Depois que essa etapa for concluída, as credenciais configuradas paraadminuser ehelpdeskusuário podem ser usadas para autenticar na WLC através da GUI ou através de Telnet/SSH. 

Configurar TACACS+ WLC

Etapa 1. Declare o servidor TACACS+. 

Da GUI:

Primeiro, crie o ISE do servidor Tacacs+ no WLC. Isso pode ser feito na guiaServers/Groups > TACACS+ > Serversda página do WLC da GUI acessível nohttps:///webui/#/aaa, ou se você navegar paraConfiguration > Security > AAA, como mostrado nesta imagem.

Para adicionar um servidor TACACS na WLC, clique no botão Add (Adicionar) emoldurado em vermelho na imagem acima. Isso abre a janela pop-up descrita.

Quando a janela pop-up abrir, forneça o nome do servidor (ele não precisa corresponder ao nome do sistema ISE), seu endereço IP, a chave compartilhada, a porta usada e o tempo limite.

Nessa janela pop-up, você deve fornecer:

• O nome do servidor (observe que ele não precisa corresponder ao nome do sistema ISE)
• O endereço IP do servidor
• O segredo compartilhado entre o WLC e o servidor TACACS+

Outros parâmetros podem ser configurados, como as portas usadas para autenticação e contabilização, mas eles não são obrigatórios e são deixados como padrão para esta documentação.

Do CLI:

WLC-9800(config)#tacacs server ISE-lab
WLC-9800(config-server-tacacs)#address ipv4 10.48.39.134
WLC-9800(config-server-tacacs)#key Cisco123

Etapa 2. Mapear o servidor TACACS+ para um grupo de servidores.

Da GUI:

Caso você tenha vários servidores TACACS+ que possam ser usados para autenticação, é recomendável mapear todos esses servidores para o mesmo grupo de servidores. A WLC então cuida do balanceamento de carga de diferentes autenticações entre os servidores no grupo de servidores. Os grupos de servidores TACACS+ são configurados na guiaServers/Groups > TACACS > Server Groupsda mesma página da GUI que a mencionada na Etapa 1., que é mostrada na imagem.

Quanto à criação do servidor, uma janela pop-up aparece quando você clica no botão Adicionar enquadrado na imagem anterior, que é representada na imagem.

Na janela pop-up, dê um nome ao grupo e mova os servidores desejados para a lista Servidores atribuídos.

Do CLI:

WLC-9800(config)#aaa group server tacacs+ TACACS-Group
WLC-9800(config-sg-tacacs+)#server name ISE-lab

Etapa 3. Crie um método de login de autenticação AAA que aponte para o grupo de servidores TACACS+. 

Da GUI:

Ainda na páginahttps:///webui/#/aaaGUI, navegue até a guiaAAA Method List > Authenticatione crie um método de autenticação como mostrado na imagem.

Como de costume, quando você usa o botão Adicionar para criar um método de autenticação, uma janela pop-up de configuração é exibida, semelhante àquela descrita nesta imagem.

Nessa janela pop-up, forneça um nome para o método, escolha Digitar comologine adicione o servidor de grupo criado na etapa anterior à lista Grupos de servidores atribuídos. Com relação ao campo Tipo de grupo, várias configurações são possíveis.

• Se você escolher Tipo de grupo como local, a WLC primeiro verifica se as credenciais do usuário existem localmente e depois volta para o grupo de servidores.
• Se você escolher o Tipo de grupo como um grupo e não marcar a opção Fall back to local, a WLC simplesmente verificará as credenciais do usuário em relação ao grupo de servidores.
• Se você escolher o Tipo de grupo como um grupo e marcar a opção Fallback to local, o WLC verificará as credenciais do usuário em relação ao grupo de servidores e consultará o banco de dados local somente se o servidor não responder. Se o servidor enviar uma rejeição, o usuário será autenticado, mesmo que possa existir no banco de dados local.

Do CLI:

Se quiser que as credenciais do usuário sejam verificadas com um grupo de servidores somente se não forem localmente primeiro, use:

WLC-9800(config)#aaa authentication login tacacs-authe-method local group TACACS-Group 

Se quiser que as credenciais do usuário sejam verificadas apenas com um grupo de servidores, use:

WLC-9800(config)#aaa authentication login tacacs-authe-method group TACACS-Group  

Se quiser que as credenciais do usuário sejam verificadas com um grupo de servidores e se este último não responder com uma entrada local, use:

WLC-9800(config)#aaa authentication login tacacs-authe-method group TACACS-Group local

Neste exemplo de configuração, há alguns usuários que são criados apenas localmente, e alguns usuários apenas no servidor ISE, portanto, faça uso da primeira opção.

Etapa 4. Crie um método de execução de autorização AAA que aponte para o grupo de servidores TACACS+. 

Da GUI:

O usuário também precisa ser autorizado para receber acesso. Ainda na página GUI, Configuration > Security > AAA, navegue até aAAA Method List > Authorizationguia e crie um método de autorização como mostrado na imagem.

Um pop-up de configuração de método de autorização semelhante ao descrito é exibido quando você adiciona um novo com o botão Adicionar.

Nessa janela pop-up de configuração, forneça um nome para o método de autorização, escolha Tipo comoexece use a mesma ordem de Tipo de grupo que a usada para o método de autenticação na etapa anterior. 

Do CLI:

WLC-9800(config)#aaa authorization exec tacacs-autho-method local group TACACS-Group

Etapa 5. Atribua os métodos às configurações HTTP e às linhas VTY usadas para Telnet/SSH.

Da GUI:

Os métodos de autenticação e autorização criados podem ser usados para conexão de usuário HTTP e/ou Telnet/SSH, que é configurável a partir daAAA Advanced > AAA Interfaceguia ainda da página WLC da GUI acessível nohttps:///webui/#/aaa, como mostrado na imagem.

Do CLI:

Para a autenticação da GUI:

WLC-9800(config)#ip http authentication aaa login-authentication tacacs-authe-method 
WLC-9800(config)#ip http authentication aaa exec-authorization tacacs-autho-method  

Para autenticação Telnet/SSH:

WLC-9800(config)#line vty 0 15
WLC-9800(config-line)#login authentication tacacs-authe-method  
WLC-9800(config-line)#authorization exec tacacs-autho-method 

Observe que quando são feitas alterações nas configurações HTTP, é melhor reiniciar os serviços HTTP e HTTPS. Isso pode ser obtido com esses comandos.

WLC-9800(config)#no ip http server
WLC-9800(config)#no ip http secure-server
WLC-9800(config)#ip http server
WLC-9800(config)#ip http secure-server

Configuração do TACACS+ ISE

Etapa 1. Configurar a WLC como um dispositivo de rede para TACACS+.

Da GUI:

Para declarar a WLC usada na seção anterior como um dispositivo de rede para o RADIUS no ISE, navegue atéAdministration > Network Resources > Network Devicese abra a guia Network devices (Dispositivos de rede), conforme mostrado nesta imagem.

Neste exemplo, a WLC já foi adicionada para a autenticação RADIUS (consulte a Etapa 1 da seção Configure RADIUS ISE). Portanto, sua configuração simplesmente precisa ser modificada para configurar a autenticação TACACS, que pode ser feita quando você escolhe a WLC na lista de dispositivos de rede e clica no botão Editar. Isso abre o formulário de configuração do dispositivo de rede como mostrado nesta imagem.

Depois que a nova janela for aberta, role para baixo até a seção Configurações de autenticação TACACS, habilite essas configurações e adicione o segredo compartilhado inserido durante a Etapa 1 da seção Configurar TACACS+ WLC.

Etapa 2. Ativar o recurso Device Admin para o nó.

Note: Para usar o ISE como o servidor TACACS+, você deve ter um pacote de licença de Administração de dispositivo e uma licença de Base ou de Mobilidade.

Da GUI:

Depois que as licenças de Administração do dispositivo estiverem instaladas, você deve habilitar o recurso Administrador do dispositivo para o nó para poder usar o ISE como o servidor TACACS+. Para fazer isso, edite a configuração do nó de implantação do ISE usado, que pode ser encontrado emAdministrator > Deployment, e clique em seu nome ou faça isso com a ajuda doEditbotão.

Quando a janela de configuração do nó for aberta, marque a opção Enable Device Admin Service na seção Policy Service, como mostrado nesta imagem.

Etapa 3. Crie perfis TACACS para retornar o privilégio.

Da GUI:

Para ter direitos de acesso de administrador, oadminuserprecisa ter um nível de privilégio de 15, que permite acessar o shell de prompt exec. Por outro lado, ohelpdeskusernão precisa de acesso ao shell de prompt exec e pode, portanto, ser atribuído com um nível de privilégio inferior a 15. Para atribuir o nível de privilégio adequado aos usuários, os perfis de autorização podem ser usados. Eles podem ser configurados na páginaWork Centers > Device Administration > Policy Elementsda GUI do ISE, na guiaResults > TACACS Profiles, como mostrado na imagem a seguir.

Para configurar um novo perfil TACACS, use o botão Add (Adicionar), que abre o formulário de configuração do novo perfil semelhante ao mostrado na imagem. Este formulário deve ser especialmente semelhante a este para configurar o perfil atribuído aoadminuser(ou seja, com privilégios de shell de nível 15).

Repita a operação para o perfilhelpdesk. Para este último, o Privilégio Padrão, assim como o Privilégio Máximo, são definidos como 1.

Etapa 4. Criar grupos de usuários no ISE.

Isso é o mesmo apresentado na Etapa 3 da seção Configure RADIUS ISE deste documento.

Etapa 5. Crie os usuários no ISE.

Isso é o mesmo apresentado na Etapa 4 da seção Configurar ISE RADIUS deste documento.

Etapa 6. Criar um conjunto de políticas de administração do dispositivo.

Da GUI:

Quanto ao acesso RADIUS, uma vez que os usuários são criados, suas políticas de autenticação e autorização ainda precisam ser definidas no ISE para conceder a eles os direitos de acesso apropriados. A autenticação TACACS usa os Device Admin Policy Sets para esse fim, que podem ser configurados a partir doWork Centers > Device Administration > Device Admin Policy Sets GUI Pagecomo mostrado.

Para criar um conjunto de políticas de administração de dispositivos, use o botão adicionar com quadros em vermelho na imagem anterior. Isso adiciona um item à lista de conjuntos de políticas. Forneça um nome para o conjunto recém-criado, uma condição sob a qual ele deve ser aplicado e a Sequência de Protocolos/Servidor Permitidos (aqui, oDefault Device Adminé suficiente). Use o botãoSavepara finalizar a adição do conjunto de políticas e use a ponta de seta à sua direita para acessar sua página de configuração, como ela se parece na ilustrada.

O conjunto de políticas específico 'WLC TACACS Authentication' neste exemplo filtra solicitações com o endereço IP igual ao endereço IP da WLC C9800 do exemplo.

Como uma política de autenticação, a regra padrão foi deixada, pois atende às necessidades do caso de uso. Foram criadas duas regras de autorização:

• O primeiro é acionado quando o usuário pertence ao grupo definidoadmin-group. Ele permite todos os comandos (por meio da regra padrãoPermit_all) e atribui o privilégio 15 (por meio do perfil TACACS definidoIOS_Admin ).
• O segundo é disparado quando o usuário pertence ao grupo definidohelpdesk-group. Ele permite todos os comandos (por meio daPermit_all regra padrão) e atribui o privilégio 1 (por meio do perfil TACACS definidoIOS_Helpdesk).

Após esta etapa ser concluída, as credenciais configuradas paraadminuserehelpdeskusuários podem ser usadas para autenticar na WLC através da GUI ou com Telnet/SSH.

Troubleshooting

Se o servidor RADIUS espera que o atributo service-type RADIUS seja enviado, você pode adicionar na WLC :

radius-server attribute 6 on-for-login-auth

Solucionar problemas de acesso RADIUS/TACACS+ de GUI ou CLI de WLC via CLI de WLC

Para solucionar problemas de acesso TACACS+ à GUI ou CLI da WLC, emita odebug tacacscomando, juntamente com terminal monitor um e veja a saída ao vivo quando uma tentativa de login é feita.

Por exemplo, um login bem-sucedido seguido por um logout doadminuserusuário gera essa saída.

WLC-9800#terminal monitor
WLC-9800#debug tacacs
TACACS access control debugging is on
WLC-9800#
Dec 8 11:38:34.684: TPLUS: Queuing AAA Authentication request 15465 for processing
Dec 8 11:38:34.684: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:34.684: TPLUS: processing authentication start request id 15465
Dec 8 11:38:34.685: TPLUS: Authentication start packet created for 15465(adminuser)
Dec 8 11:38:34.685: TPLUS: Using server 10.48.39.134
Dec 8 11:38:34.685: TPLUS(00003C69)/0/NB_WAIT/7FD29013CA68: Started 5 sec timeout
Dec 8 11:38:34.687: TPLUS(00003C69)/0/NB_WAIT: socket event 2
Dec 8 11:38:34.688: TPLUS(00003C69)/0/NB_WAIT: wrote entire 45 bytes request
Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: Would block while reading
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 15 bytes data)
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 27 bytes response
Dec 8 11:38:34.701: TPLUS(00003C69)/0/7FD29013CA68: Processing the reply packet
Dec 8 11:38:34.701: TPLUS: Received authen response status GET_PASSWORD (8)
Dec 8 11:38:38.156: TPLUS: Queuing AAA Authentication request 15465 for processing
Dec 8 11:38:38.156: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:38.156: TPLUS: processing authentication continue request id 15465
Dec 8 11:38:38.156: TPLUS: Authentication continue packet generated for 15465
Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE/7FD3796079D8: Started 5 sec timeout
Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE: wrote entire 29 bytes request
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 6 bytes data)
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 18 bytes response
Dec 8 11:38:38.183: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet
Dec 8 11:38:38.183: TPLUS: Received authen response status PASS (2)
Dec 8 11:38:38.184: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: adminuser] [Source: 10.61.80.151] [localport: 22] at 12:38:38 CET Thu Dec 8 2022
Dec 8 11:38:38.259: TPLUS: Queuing AAA Authorization request 15465 for processing
Dec 8 11:38:38.260: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:38.260: TPLUS: processing authorization request id 15465
Dec 8 11:38:38.260: TPLUS: Protocol set to None .....Skipping
Dec 8 11:38:38.260: TPLUS: Sending AV service=shell
Dec 8 11:38:38.260: TPLUS: Sending AV cmd*
Dec 8 11:38:38.260: TPLUS: Authorization request created for 15465(adminuser)
Dec 8 11:38:38.260: TPLUS: using previously set server 10.48.39.134 from group TACACS-Group
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT/7FD3796079D8: Started 5 sec timeout
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: socket event 2
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: wrote entire 64 bytes request
Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: Would block while reading
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 18 bytes data)
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 30 bytes response
Dec 8 11:38:38.285: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet
Dec 8 11:38:38.285: TPLUS: Processed AV priv-lvl=15
Dec 8 11:38:38.285: TPLUS: received authorization response for 15465: PASS
Dec 8 11:38:44.225: %SYS-6-LOGOUT: User adminuser has exited tty session 7(10.61.80.151)
Dec 8 11:38:44.225:Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT
Dec 8 11:38:44.226: %HA_EM-6-LOG: catchall: logout 
Dec 8 11:39:18.689: %SYS-6-LOGOUT: User admin has exited tty session 5(10.61.80.151)
Dec 8 11:39:18.690:Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT

Pode ser visto nesses logs que o servidor TACACS+ retorna o privilégio correto (que éAV priv-lvl=15).

Quando você faz a autenticação RADIUS, uma saída de depuração semelhante é mostrada, que diz respeito ao tráfego RADIUS.

Os comandosdebug aaa authenticationedebug aaa authorization, em vez disso, mostram qual lista de métodos é escolhida pela WLC quando o usuário tenta fazer login.

Solucionar problemas de acesso TACACS+ de GUI ou CLI de WLC através da GUI do ISE

Na páginaOperations > TACACS > Live Logs, cada autenticação de usuário feita com o TACACS+ até as últimas 24 horas pode ser visualizada. Para expandir os detalhes de uma autorização ou autenticação TACACS+, use o botão Detalhes relacionado a este evento.

Quando expandida, uma tentativa de autenticação bem-sucedida para ohelpdeskusertem a seguinte aparência:

A partir disso, você pode ver que o usuáriohelpdeskuserfoi autenticado com êxito no dispositivo de redeWLC-9800com a ajuda da política de autenticaçãoWLC TACACS Authentication > Default. Além disso, o perfilIOS Helpdeskde autorização foi atribuído a esse usuário e recebeu o privilégio de nível 1.