使用TACACS+管理Cisco WLC的设备

下载选项

PDF (1.3 MB)
在各种设备上使用 Adobe Reader 查看
ePub (1.2 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (948.6 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2020 年 1 月 10 日

文档 ID:215125

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何使用身份服务引擎(ISE)配置TACACS+，以管理思科无线局域网控制器(WLC)的设备。

先决条件

要求

Cisco 建议您了解以下主题：

身份服务引擎(ISE)的基本知识
思科无线局域网控制器(WLC)的基本知识

使用的组件

本文档中的信息基于以下软件和硬件版本：

思科身份服务引擎2.4
思科无线局域网控制器8.5.135

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

步骤1.检查Device Administration License。

导航至管理>系统>许可选项卡并验证设备管理许可证是否已安装，如图所示。

注意：在ISE上使用TACACS+功能需要设备管理许可证。

步骤2.在ISE PSN节点上启用设备管理。

导航至工作中心>设备管理>概述，单击部署选项卡，选择特定PSN节点单选按钮。通过选中复选框并单击保存，在ISE节点上启用设备管理：

步骤3.创建网络设备组。

要在ISE上将WLC添加为网络设备，请导航到管理>网络资源>网络设备组> 所有设备类型，为WLC创建新组，如图所示：

步骤4.将WLC添加为网络设备。

导航至工作中心(Work Centers)>设备管理(Device Administration)>网络资源(Network Resources)>网络设备(Network Devices)。单击Add，提供名称、IP地址并选择设备类型为WLC，选中TACACS+ Authentication Settings复选框并提供Shared Secret密钥，如图所示：

步骤5.为WLC创建TACACS配置文件。

导航至工作中心(Work Centers)>设备管理(Device Administration)>策略元素(Policy Elements)>结果(Results)> TACACS配置文件(TACACS Profiles)。单击Add并提供Name。在“任务属性视图”选项卡中，为公用任务类型选择WLC。存在默认配置文件，从中选择“监控”以允许对用户进行有限访问，如图所示。

另有一个默认配置文件All，允许对用户进行完全访问，如图所示。

步骤6.创建策略集。

导航至工作中心>设备管理>设备管理策略集。单击(+)并为策略集指定名称。在策略条件中，选择Device Type as WLC，Allowed protocols可以是Default Device Admin，如图所示。

步骤7.创建身份验证和授权策略。

在本文档中，在Active Directory上配置了Admin-Read-Write和Admin-Read-Only两个示例组，每个组内分别配置了一个用户，每个组内分别配置了admin1 和admin2。Active Directory通过名为AD-JointName的加入点与ISE集成。

创建两个授权策略，如图所示：