为Windows 2008 NPS服务器配置RADIUS - WAAS AAA

下载选项

  • PDF     (1.7 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.8 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.4 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2017 年 9 月 11 日
文档 ID:212042

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在思科广域应用服务(WAAS)和Windows 2008 R2网络策略服务器(NPS)上配置远程身份验证拨入用户服务(RADIUS)的过程。

    默认WAAS配置使用本地身份验证。Cisco WAAS支持RADIUS和终端访问控制器访问控制系统(TACACS+),也用于身份验证、授权和记帐(AAA)。 本文档仅介绍一台设备的配置。但是,也可以在设备组下执行此操作。所有配置必须通过WAAS CM GUI应用。

    Cisco Wide Area Application Services Configuration Guide(Cisco Wide Area Application Services配置指南)中的“Configuring Administrative Login Authentication, Authorization, and Accounting”一章中提供了常规WAAS AAA配置。

    作者:思科TAC工程师Hamilan Gnanabaskaran。

    由思科TAC工程师Sanaz Tayar编辑。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • WAAS 5.x或6.x
    • Windows NPS服务器
    • AAA - RADIUS

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • Cisco WAAS — 虚拟中央管理器(vCM)
    • WAAS 6.2.3.b
    • Windows 2008 NPS

    本文档中的信息都是基于特定实验室环境中的设备编写的。用于本文的所有设备都始于默认配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    相关产品 

    本文档也可与以下硬件和软件版本一起应用:

    • vWAAS、ISR-WAAS和所有WAAS设备
    • WAAS 5.x或WAAS 6.x
    • WAAS作为中央管理器、应用加速器

    注意:APPNAV-XE不支持此配置。路由器AAA将配置推送到APPNAV-XE。  

    配置步骤

    需要应用以下配置:

    1. WAAS中央管理器 
       1.1 AAA RADIUS配置
       1.2 AAA身份验证配置

    2. Windows 2008 R2 - NPS服务器配置
       2.1 RADIUS客户端配置
       2.2网络策略配置

    3. RADIUS用户帐户的WAAS CM配置

    1. WAAS中央管理器

    1.1在WAAS Central manager中,在Configure>Security>AAA>RADIUS下创建RADIUS服务器

    1.2在Configure>Security>AAA>Authentication Methods下配置身份验证方法以反映RADIUS。

    主身份验证方法被选为RADIUS,辅助身份验证方法被选为本地。因此,在RADIUS失败时,客户可以通过本地帐户登录。

    2. Windows 2008 R2 - NPS服务器配置

    2.1在Windows 2008 R2 - NPS服务器中,将WAAS设备IP创建为RADIUS客户端。

    2.2在Windows 2008 R2 - NPS服务器中,创建网络策略以匹配WAAS设备并允许身份验证。

    在实验室中,必须在NPS >Policies > Network Policy下选择这些参数

    条件可与Radius客户端友好名称匹配。其他方法可以使用,例如IP地址。

    身份验证方法,即未加密身份验证(PAP、SPAP)。

    Service-Type(服务类型)作为Administrative(管理)。

    供应商特定属性,作为Cisco-AV-Pair(Shell:priv-lvl=15)。

    允许完全网络访问。

     3. RADIUS用户帐户的WAAS CM配置

    在RADIUS中配置权限级别为15或1的用户,不提供对WAAS CM GUI的访问。CMS数据库维护与外部AAA服务器分离的用户、角色和域列表。

    正确配置外部AAA服务器以验证用户身份后,必须配置CM GUI以为该用户提供在CM GUI内工作所需的角色和域。

    如果RADIUS用户不在CM中的用户下,则当使用该用户登录GUI时,您的帐户没有访问任何Central Manager页的权限。请咨询管理员,了解已调配的角色和域。显示此按摩。

    在WAAS CM下配置本地用户名(无密码)。

    对于每个用户,用户名必须与角色管理下的正确角色绑定。

    如果用户需要具有只读访问权限或有限访问权限,可以在角色下配置。

    确认

    在WAAS设备中,此配置被推送。

    radius-server key ****
    radius-server host 10.66.86.125 auth-port 1645
    !
    身份验证登录本地启用辅助
    身份验证登录RADIUS启用主
    身份验证配置本地启用辅助
    身份验证配置radius启用主
    authentication fail-over server-unreachable

    思科 CLI 分析器(仅适用于注册客户)支持某些 show 命令。要查看对 show 命令输出的分析,请使用思科 CLI 分析器。

    • authentication — 配置身份验证   

    故障排除

    本部分提供的信息可用于对配置进行故障排除。

    • 检查Windows域日志
    • #从WAAS CM CLI调试aaa授权

    相关信息

    TAC Authored

    由思科工程师提供

    • Hamilan Gnanabaskaran
      Cisco TAC Engineer

    此文档是否有帮助?

    Feedback反馈

    联系我们