简介
本文档介绍在思科广域应用服务(WAAS)和Windows 2008 R2网络策略服务器(NPS)上配置远程身份验证拨入用户服务(RADIUS)的过程。
默认WAAS配置使用本地身份验证。Cisco WAAS支持RADIUS和终端访问控制器访问控制系统(TACACS+),也用于身份验证、授权和记帐(AAA)。 本文档仅介绍一台设备的配置。但是,也可以在设备组下执行此操作。所有配置必须通过WAAS CM GUI应用。
Cisco Wide Area Application Services Configuration Guide(Cisco Wide Area Application Services配置指南)中的“Configuring Administrative Login Authentication, Authorization, and Accounting”一章中提供了常规WAAS AAA配置。
作者:思科TAC工程师Hamilan Gnanabaskaran。
由思科TAC工程师Sanaz Tayar编辑。
先决条件
要求
Cisco 建议您了解以下主题:
- WAAS 5.x或6.x
- Windows NPS服务器
- AAA - RADIUS
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Cisco WAAS — 虚拟中央管理器(vCM)
- WAAS 6.2.3.b
- Windows 2008 NPS
本文档中的信息都是基于特定实验室环境中的设备编写的。用于本文的所有设备都始于默认配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
相关产品
本文档也可与以下硬件和软件版本一起应用:
- vWAAS、ISR-WAAS和所有WAAS设备
- WAAS 5.x或WAAS 6.x
- WAAS作为中央管理器、应用加速器
注意:APPNAV-XE不支持此配置。路由器AAA将配置推送到APPNAV-XE。
配置步骤
需要应用以下配置:
1. WAAS中央管理器
1.1 AAA RADIUS配置
1.2 AAA身份验证配置
2. Windows 2008 R2 - NPS服务器配置
2.1 RADIUS客户端配置
2.2网络策略配置
3. RADIUS用户帐户的WAAS CM配置
1. WAAS中央管理器
1.1在WAAS Central manager中,在Configure>Security>AAA>RADIUS下创建RADIUS服务器。

1.2在Configure>Security>AAA>Authentication Methods下配置身份验证方法以反映RADIUS。
主身份验证方法被选为RADIUS,辅助身份验证方法被选为本地。因此,在RADIUS失败时,客户可以通过本地帐户登录。

2. Windows 2008 R2 - NPS服务器配置
2.1在Windows 2008 R2 - NPS服务器中,将WAAS设备IP创建为RADIUS客户端。

2.2在Windows 2008 R2 - NPS服务器中,创建网络策略以匹配WAAS设备并允许身份验证。

在实验室中,必须在NPS >Policies > Network Policy下选择这些参数。

条件可与Radius客户端友好名称匹配。其他方法可以使用,例如IP地址。

身份验证方法,即未加密身份验证(PAP、SPAP)。

Service-Type(服务类型)作为Administrative(管理)。

供应商特定属性,作为Cisco-AV-Pair(Shell:priv-lvl=15)。

允许完全网络访问。

3. RADIUS用户帐户的WAAS CM配置
在RADIUS中配置权限级别为15或1的用户,不提供对WAAS CM GUI的访问。CMS数据库维护与外部AAA服务器分离的用户、角色和域列表。
正确配置外部AAA服务器以验证用户身份后,必须配置CM GUI以为该用户提供在CM GUI内工作所需的角色和域。
如果RADIUS用户不在CM中的用户下,则当使用该用户登录GUI时,您的帐户没有访问任何Central Manager页的权限。请咨询管理员,了解已调配的角色和域。显示此按摩。

在WAAS CM下配置本地用户名(无密码)。

对于每个用户,用户名必须与角色管理下的正确角色绑定。

如果用户需要具有只读访问权限或有限访问权限,可以在角色下配置。

确认
在WAAS设备中,此配置被推送。
radius-server key ****
radius-server host 10.66.86.125 auth-port 1645
!
身份验证登录本地启用辅助
身份验证登录RADIUS启用主
身份验证配置本地启用辅助
身份验证配置radius启用主
authentication fail-over server-unreachable
思科 CLI 分析器(仅适用于注册客户)支持某些 show 命令。要查看对 show 命令输出的分析,请使用思科 CLI 分析器。
故障排除
本部分提供的信息可用于对配置进行故障排除。
- 检查Windows域日志
- #从WAAS CM CLI调试aaa授权
相关信息