对聚合的访问无线局域网控制器配置示例的TACACS管理员访问
简介
本文为CLI和GUI提供终端访问控制器访问控制系统配置示例加上(TACACS+)在思科聚合的访问无线局域网控制器(WLC) 5760/3850/3650。本文也提供一些基本提示排除故障配置。
TACACS+是为用户提供集中化安全尝试获得对路由器或网络接入服务器的管理访问的客户端/服务器协议。TACACS+提供这些验证、授权和统计(AAA)服务:
尝试登陆到网络设备用户的验证
对确定用户应具有的访问级别进行授权
对记录用户进行的所有更改进行记帐
先决条件
要求
Cisco 建议您了解以下主题:
- 如何配置WLCs和轻量级接入点(拉普)基本操作的
- 轻量接入点协议 (LWAPP) 和无线安全方法
- RADIUS和TACACS+基础知识
- Cisco ACS 配置的基本知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
- WLC运行Cisco IOS XE版本3.3.3的5760
- 访问控制服务器(ACS) 5.2
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置
网络图
配置
这是两步过程:
- 在WLC的配置
- 在RADIUS/TACACS服务器的配置
在WLC的配置
- 定义在WLC的TACACS服务器。保证您配置确切同样在TACACS的共享的机密。
tacacs-server host 10.106.73.71 key Cisco123
tacacs server ACS
address ipv4 10.106.102.50
key Cisco123
timeout 10 - 配置服务器组并且映射在上一步配置的服务器。
aaa group server tacacs+ ACS
server name ACS
! - 配置验证和授权策略管理员访问的。在这中,您准许是fallback本地跟随的TACACS组。
aaa authentication login Admin_Access group ACS local
aaa authorization exec Admin_Access group ACS local - 适用于策略线路VTY和HTTP。
line vty 0 4
authorization exec Admin_Access
login authentication Admin_Access
line vty 5 15
exec-timeout 0 0
authorization exec Admin_Access
login authentication Admin_Access - 应用同样对HTTP。
ip http server
ip http authentication aaa login-authentication Admin_Access
ip http authentication aaa exec-authorization Admin_Access
在ACS的配置
- 选择网络资源>网络设备和AAA客户端为了添加WLC作为TACACS的AAA客户端在ACS。保证共享塞克雷配置此处匹配在WLC配置的那个。
- 选择用户,并且标识存储>内部标识存储> Users为了定义管理员访问的用户。
- 选择策略元素>授权和权限>设备Administration > Shell配置文件为了设置权限级别到15。
- 选择访问策略>Access Services>默认设备Admin为了允许需要的协议。
- 选择访问策略>Access Services>默认设备Admin >标识为了创建允许有认证选项的内部用户的设备管理员的一标识。
- 选择访问策略>Access Services>默认设备Admin >授权为了允许在步骤创建的Priv15授权配置文件3。此处客户端以合格标识(内部用户)在Priv15配置文件放置。
验证
使用本部分可确认配置能否正常运行。
打开浏览器并且输入交换机IP地址。验证要求的提示符显示。输入组用户凭证为了登陆到设备。
为了检查Telnet/SSH访问, Telnet/SSH对交换机IP地址和输入凭证。
这为ACS记录显示。
故障排除
本部分提供的信息可用于对配置进行故障排除。
输入debug tacacs命令为了排除故障您的配置。
debug tacacs
*May 14 23:11:06.396: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:06.396: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:06.396: TPLUS: processing authentication continue request id 4775
*May 14 23:11:06.396: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:06.396: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
16 bytes data)
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:06.398: TPLUS(000012A7)/0/READ: read entire 28 bytes response
*May 14 23:11:06.398: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:06.398: TPLUS: Received authen response status GET_PASSWORD (8)
*May 14 23:11:08.680: TPLUS: Queuing AAA Authentication request 4775 for processing
*May 14 23:11:08.680: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.680: TPLUS: processing authentication continue request id 4775
*May 14 23:11:08.680: TPLUS: Authentication continue packet generated for 4775
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE/962571D4: Started 10 sec timeout
*May 14 23:11:08.680: TPLUS(000012A7)/0/WRITE: wrote entire 25 bytes request
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
6 bytes data)
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.687: TPLUS(000012A7)/0/READ: read entire 18 bytes response
*May 14 23:11:08.687: TPLUS(000012A7)/0/962571D4: Processing the reply packet
*May 14 23:11:08.687: TPLUS: Received authen response status PASS (2)
*May 14 23:11:08.687: TPLUS: Queuing AAA Authorization request 4775 for processing
*May 14 23:11:08.687: TPLUS(000012A7) login timer started 1020 sec timeout
*May 14 23:11:08.687: TPLUS: processing authorization request id 4775
*May 14 23:11:08.687: TPLUS: Protocol set to None .....Skipping
*May 14 23:11:08.687: TPLUS: Sending AV service=shell
*May 14 23:11:08.687: TPLUS: Sending AV cmd*
*May 14 23:11:08.687: TPLUS: Authorization request created for 4775(surbg123)
*May 14 23:11:08.687: TPLUS: using previously set server 10.106.102.50 from
group SURBG_ACS
*May 14 23:11:08.688: TPLUS(000012A7)/0/NB_WAIT/93C63F04: Started 10 sec timeout
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: socket event 2
*May 14 23:11:08.690: TPLUS(000012A7)/0/NB_WAIT: wrote entire 61 bytes request
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.690: TPLUS(000012A7)/0/READ: Would block while reading
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 12 header bytes (expect
18 bytes data)
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: socket event 1
*May 14 23:11:08.696: TPLUS(000012A7)/0/READ: read entire 30 bytes response
*May 14 23:11:08.696: TPLUS(000012A7)/0/93C63F04: Processing the reply packet
*May 14 23:11:08.696: TPLUS: Processed AV priv-lvl=15
*May 14 23:11:08.696: TPLUS: received authorization response for 4775: PASS
反馈