在9800 WLC上配置RADIUS & TACACS+ for GUI & CLI身份验证

已更新: 2024 年 3 月 28 日
文档 ID:214490

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何为RADIUS或TACACS+外部身份验证配置Catalyst 9800。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • Catalyst无线9800配置型号
    • AAA、RADIUS和TACACS+概念

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • C9800-CL v17.9.2
    • ISE 3.2.0

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    当用户尝试访问WLC的CLI或GUI时,系统会提示用户输入用户名和密码。默认情况下,这些凭证会与设备本身存在的本地用户数据库进行比较。或者,可以指示WLC将输入凭证与远程AAA服务器进行比较:WLC可以使用RADIUS或TACACS+与服务器通信。

    配置

    在本示例中,AAA服务器(ISE)上分别配置了两种类型的用adminuser,并配helpdeskuser置了和。这些用户分别是和admin-group组的helpdesk-group一部分。 用户adminuser(属于admin-group)应被授予对WLC的完全访问权限。另一方面,helpdeskuser的一部分helpdesk-group,仅被授予WLC的监控器权限。因此,没有配置访问权限。 

    本文先配置WLC和ISE进行RADIUS身份验证,然后对TACACS+执行相同操作。

    只读用户限制

    当TACACS+或RADIUS用于9800 WebUI身份验证时,存在以下限制:

    • 权限级别为0的用户存在,但无权访问GUI

    • 权限级别为1-14的用户只能查看Monitor选项卡(这相当于本地身份验证的只读用户的权限级别)

    • 权限级别为15的用户具有完全访问权限

    • 不支持权限级别为15的用户以及仅允许特定命令的命令集。用户仍然可以通过WebUI执行配置更改

      •

    不能更改或修改这些注意事项。

    为WLC配置RADIUS身份验证

    步骤1:声明RADIUS服务器。

    从GUI:

    首先,在WLC上创建ISE RADIUS服务器。 这可以通过中可访问的GUIServers/Groups > RADIUS > Servers WLC页面中的选项卡完成https://<WLC-IP>/webui/#/aaa,或者如果导航到Configuration > Security > AAA,如本图所示。

    在WLC上添加ISE RADIUS服务器

    要在WLC上添加RADIUS服务器,请点击图像中以红色框框的Add按钮。这将打开屏幕截图中所示的弹出窗口。

    在WLC上创建ISE

    在此弹出窗口中,必须提供:

    • 服务器名称(请注意,它不必与ISE系统名称匹配)
    • 服务器IP地址
    • WLC和RADIUS服务器之间的共享密钥
      •

    可以配置其他参数,例如用于身份验证和记账的端口,但这些不是强制性的,保留为本文档的默认设置。

    从CLI:

    WLC-9800(config)#radius server ISE-lab WLC-9800(config-radius-server)#address ipv4 10.48.39.134 auth-port 1812 acct-port 1813
    WLC-9800(config-radius-server)#key Cisco123


    第二步:将RADIUS服务器映射到服务器组。

    从GUI:

    如果您有多台可用于身份验证的RADIUS服务器,建议将所有这些服务器映射到同一个服务器组。WLC负责对服务器组中的服务器之间的不同身份验证进行负载均衡。RADIUS服务器组从与步骤Servers/Groups > RADIUS > Server Groups1中提到的相同的GUI页面中的选项卡进行配置,如图所示。

    在WLC上添加RADIUS服务器组

    对于服务器创建,当您点击Add按钮(框定在上一个图像中)时,将出现一个弹出窗口,如图所示。

    “添加服务器组”弹出窗口

    在弹出窗口中,为组提供名称,并将所需服务器移至Assigned Servers列表。

    从CLI:

    WLC-9800(config)# aaa group server radius RADIUS-Group
WLC-9800(config-sg-radius)# server name ISE-lab


    第三步:创建指向RADIUS服务器组的AAA身份验证登录方法。

    从GUI:

    仍在GUI页面中https://<WLC-IP>/webui/#/aaa,导航至选项卡AAA Method List > Authentication,然后创建身份验证方法,如此图所示。

    Radius - AAA方法列表 — 身份验证

    通常,当您使用Add按钮创建身份验证方法时,会出现配置弹出窗口,类似于本图中所示的窗口。

    定义AAA身份验证方法

    在此弹出窗口中,提供方法的名称。选择Type“作为登录”,将在上一步中创建的组服务器添加到列表Assigned Server Groups中。对于Group Type字段,可以进行几种配置。

    • 如果选择Group Type作为local,则WLC首先检查用户凭证是否存在于本地,然后回退到服务器组。
    • 如果您选择Group Type作为组,并且不选中Fall back to local选项,则WLC仅针对服务器组检查用户凭证。
    • 如果您选择Group Type作为组并选中Fallback to local选项,则WLC将根据服务器组检查用户凭证,并且仅在服务器未响应时才查询本地数据库。如果服务器发送拒绝消息,则用户将进行身份验证,即使它可能存在于本地数据库中。
      •

    从CLI:

    如果希望只有在首先在本地未找到用户凭证时才能使用服务器组检查用户凭证,请使用:

    WLC-9800(config)#aaa authentication login radius-authe-method local group RADIUS-Group


    如果希望仅对服务器组检查用户凭证,请使用:

    WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group


    如果希望对服务器组检查用户凭证,并且如果最后没有使用本地条目进行响应,请使用:

    WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group local


    在本示例设置中,有些用户仅创建在本地,而有些用户仅创建在ISE服务器上,因此,请使用第一个选项。

    第四步:创建指向RADIUS服务器组的AAA授权exec方法。

    从GUI:

    用户还必须获得授权才能获得访问权限。仍从中GUI Page Configuration > Security > AAA,导航到AAA Method List > Authorization选项卡,然后创建授权方法,如下图所示。

    授权方法创建授权方法创建

    当您使用Add按钮添加新的授权方法时,将会出现与所示的授权方法配置类似的弹出窗口。

    定义AAA授权方法

    在此配置弹出窗口中,提供授权方法的名称,选择Type作为exec,然后使用与步骤3中身份验证方法相同的组类型顺序。

    从CLI:

    对于身份验证方法,首先分配授权以根据本地条目检查用户,然后根据服务器组中的条目检查用户。

    WLC-9800(config)#aaa authorization exec radius-autho-method local group RADIUS-Group


    第五步:将方法分配给HTTP配置以及用于Telnet/SSH的VTY线路。

    从GUI:

    AAA Advanced > AAA Interface 已创建的身份验证和授权方法可用于HTTP和/或Telnet/SSH用户连接,可以从仍可从中的GUI WLC页面(可访问https://<WLC-IP>/webui/#/aaa)选项卡进行配置,如下图所示:

    Radius - AAA高级接口


    用于GUI身份验证的CLI:

    WLC-9800(config)#ip http authentication aaa login-authentication radius-authe-method 
    WLC-9800(config)#ip http authentication aaa exec-authorization radius-autho-method


    Telnet/SSH身份验证的CLI:

    WLC-9800(config)#line vty 0 15 WLC-9800(config-line)#login authentication radius-authe-method
    WLC-9800(config-line)#authorization exec radius-autho-method


    请注意,当对HTTP配置执行更改时,最好重新启动HTTP和HTTPS服务。这可以通过以下命令实现:

    WLC-9800(config)#no ip http server WLC-9800(config)#no ip http secure-server WLC-9800(config)#ip http server WLC-9800(config)#ip http secure-server

    为RADIUS配置ISE

    步骤1:将WLC配置为RADIUS的网络设备。

    从GUI:

    要将上一节中使用的WLC声明为ISE中RADIUS的网络设备,请导航至Administration > Network Ressources > Network Devices,然后打开Network devices选项卡,如下一图所示。

    Radius - ISE — 网络设备列表

    要添加网络设备,请使用Add按钮,该按钮将打开新的网络设备配置表。

    Radius - ISE — 网络设备全部配置

    在新窗口中,提供网络设备的名称,并添加其IP地址。选择RADIUS Authentication Settings并配置与WLC上使用的RADIUS共享密钥相同的RADIUS共享密钥。

    第二步:创建授权结果,以返回权限。

    从GUI:

    要具有管理员访问权限,需要具有15级权限,该权限级别允许访问exec提示外壳adminuser。另一方面helpdeskuser,不需要exec提示符外壳访问,因此可以为其分配低于15的特权级别。为了向用户分配适当的权限级别,可以使用授权配置文件。可以从下一图ISE GUI Page Policy > Policy Elements > Results中所示的选项卡Authorization > Authorization Profiles下方进行配置。

    Radius - ISE — 授权配置文件

    要配置新的授权配置文件,请使用Add按钮,该按钮将打开新的授权配置文件配置表。要配置分配给的配置文件,此表单尤其必须如下所示adminuser。

    Radius - ISE — 策略元素配置

    所示配置向与其关联的任何用户授予权限级别15。如前所述,这是下一步创建adminuser的的预期行为。但是helpdeskuser,必须具有较低的权限级别,因此必须创建第二个策略元素。

    的策略元素类似于上面创建的元素,不同之处在helpdeskuser shell:priv-lvl=15  ,字符串必须更改为shell:priv-lvl=X,并用所需的权限级别替换X。在本例中,使用1。

    第三步:在ISE上创建用户组。

    从 GUI:

    ISE用户组从的选项卡User Identity Groups创建Administration > Identity Management > Groups GUI Page,如屏幕截图所示。

    Radius - ISE — 用户身份组

    要创建新用户,请使用Add按钮,该按钮将打开新的用户身份组配置表单,如下所示。

    Radius - ISE — 新用户身份组

    提供创建的组的名称。创建上述两个用户组,即admin-group 和helpdesk-group。

    第四步:在ISE上创建用户。

    从 GUI:

    ISE用户从的选项卡UsersAdministration > Identity Management > Identities GUI Page创建,如屏幕截图所示。

    Radius - ISE — 网络访问用户

    要创建新用户,请使用Add按钮打开新的网络访问用户配置表,如下所示。

    Radius - ISE — 新网络访问用户

    向用户提供凭证,即他/她的用户名和密码,用于在WLC上进行身份验证。此外,请确保用户状态为Enabled。最后,将用户添加到其相关组(已在步骤4中创建),并在表单的末尾使用User Groups下拉菜单

    创建上述两个用户,即adminuser和helpdeskuser。

    第五步:对用户进行身份验证。

    从GUI:

    在此方案中,ISE的默认策略集的身份验证策略(已预配置)允许默认网络访问。可以从ISE GUI页面的Policy > Policy Sets(如图所示)查看此策略集。因此,没有必要对其进行更改。

    Radius - ISE — 策略设置默认值

    第六步:授权用户。

    从GUI:

    登录尝试通过身份验证策略后,需要授权该策略,ISE需要返回之前创建的授权配置文件(允许接受,以及权限级别)。

    在本示例中,根据设备IP地址(即WLC IP地址)过滤登录尝试,并根据用户所属的组区分要授予的权限级别。另一个有效方法是基于用户用户名过滤用户,因为在本示例中,每个组仅包含一个用户。

    Radius - ISE — 策略设置默认授权

    完成此步骤后,为adminuser  helpdesk and用户配置的凭证可用于通过GUI或Telnet/SSH在WLC中进行身份验证。 

    配置TACACS+ WLC

    步骤1:声明TACACS+服务器。 

    从GUI:

    首先,在WLC上创建Tacacs+服务器ISE。 这可以从可访问的GUIServers/Groups > TACACS+ > Servers WLC页面的选项卡中完成https://<WLC-IP>/webui/#/aaa,或者如果导航到Configuration > Security > AAA,如本图所示。

    TACACS — 服务器_组 — 服务器页面

    要在WLC上添加TACACS服务器,请点击上图中以红色框表示的Add按钮。这将打开所示的弹出窗口。

    TACACS - Add Server弹出窗口

    弹出窗口打开时,请提供服务器名称(它不必与ISE系统名称匹配)、其IP地址、共享密钥、使用的端口和超时。

    在此弹出窗口中,必须提供:

    • 服务器名称(请注意,它不必与ISE系统名称匹配)
    • 服务器IP地址
    • WLC和TACACS+服务器之间的共享密钥
      •


    可以配置其他参数,例如用于身份验证和记账的端口,但这些不是强制性的,保留为本文档的默认设置。

    从CLI:

    WLC-9800(config)#tacacs server ISE-lab WLC-9800(config-server-tacacs)#address ipv4 10.48.39.134 WLC-9800(config-server-tacacs)#key Cisco123

    第二步:将TACACS+服务器映射到服务器组。

    从GUI:

    如果您有多台可用于身份验证的TACACS+服务器,建议将所有这些服务器映射到同一个服务器组。然后,WLC负责对服务器组中的服务器之间的不同身份验证进行负载均衡。TACACS+服务器组是在与步骤1.中提到的GUI页面相同Servers/Groups > TACACS > Server Groups(如图所示)的GUI页面上配置的。

    TACACS — 服务器_组 — 组页面

    对于服务器创建,当您单击先前图像(如图所示)中的Add按钮时,将出现一个弹出窗口。

    分配TACACS组

    在弹出窗口中,为组指定名称,并将所需服务器移至Assigned Servers列表。

    从CLI:

    WLC-9800(config)#aaa group server tacacs+ TACACS-Group WLC-9800(config-sg-tacacs+)#server name ISE-lab


    第三步:创建指向TACACS+服务器组的AAA身份验证登录方法。 

    从GUI:

    仍在GUI页面上https://<WLC-IP>/webui/#/aaa,导航到AAA Method List > Authentication选项卡,然后创建身份验证方法,如图所示。

    TACACS - AAA方法列表 — 身份验证

    通常,当您使用Add按钮创建身份验证方法时,会出现配置弹出窗口,类似于本图中所示的窗口。

    定义TACACS身份验证方法

    在此弹出窗口中,提供方法的名称,选择Type aslogin,并将上一步中创建的组服务器添加到Assigned Server Groups列表。对于Group Type字段,可以进行几种配置。

    • 如果选择Group Type作为local,则WLC首先检查用户凭证是否存在于本地,然后回退到服务器组。
    • 如果您选择Group Type作为组,并且不选中Fall back to local选项,则WLC仅针对服务器组检查用户凭证。
    • 如果您选择Group Type作为组并选中Fallback to local选项,则WLC将根据服务器组检查用户凭证,并且仅在服务器未响应时才查询本地数据库。如果服务器发送拒绝消息,则用户将进行身份验证,即使它可能存在于本地数据库中。
      •

    从CLI:

    如果希望只有在首先在本地未找到用户凭证时才能使用服务器组检查用户凭证,请使用:

    WLC-9800(config)#aaa authentication login tacacs-authe-method local group TACACS-Group 


    如果要仅对服务器组检查用户凭证,请使用:

    WLC-9800(config)#aaa authentication login tacacs-authe-method group TACACS-Group 


    如果希望对服务器组检查用户凭证,并且如果最后没有使用本地条目进行响应,请使用:

    WLC-9800(config)#aaa authentication login tacacs-authe-method group TACACS-Group local


    在本示例设置中,有些用户仅创建在本地,而有些用户仅创建在ISE服务器上,因此使用第一个选项。

    第四步:创建指向TACACS+服务器组的AAA授权exec方法。 

    从GUI:

    用户还必须获得授权才能获得访问权限。 仍在GUI页面中Configuration > Security > AAA,导航到AAA Method List > Authorization选项卡,然后创建授权方法,如图所示。

    TACACS - AAA方法列表 — 授权

    当您使用Add按钮添加新的授权方法时,将会出现与所示的授权方法配置类似的弹出窗口。

    定义TACACS授权方法

    在此配置弹出窗口中,为授权方法提供一个名称,选择Type作为exec,并使用与上一步中身份验证方法所用的Group Type顺序相同的组类型顺序。 

    从CLI:

    WLC-9800(config)#aaa authorization exec tacacs-autho-method local group TACACS-Group


    第五步:将方法分配给HTTP配置以及用于Telnet/SSH的VTY线路。

    从GUI:

    创建的身份验证和授权方法可用于HTTP和/或Telnet/SSH用户连接,该连接可以从选项卡进行配置,该选项卡仍可从中可访问的GUI WLC页AAA Advanced > AAA Interface,如https://<WLC-IP>/webui/#/aaa图所示。

    设置AAA高级方法设置

    从CLI:

    对于GUI身份验证:

    WLC-9800(config)#ip http authentication aaa login-authentication tacacs-authe-method 
WLC-9800(config)#ip http authentication aaa exec-authorization tacacs-autho-method


    对于Telnet/SSH身份验证:

    WLC-9800(config)#line vty 0 15
WLC-9800(config-line)#login authentication tacacs-authe-method  
    WLC-9800(config-line)#authorization exec tacacs-autho-method


    请注意,当对HTTP配置执行更改时,最好重新启动HTTP和HTTPS服务。这可以通过这些命令实现。

    WLC-9800(config)#no ip http server
WLC-9800(config)#no ip http secure-server
WLC-9800(config)#ip http server
WLC-9800(config)#ip http secure-server

    TACACS+ ISE配置

    步骤1:将WLC配置为TACACS+的网络设备。

    从GUI:

    要将上一节中使用的WLC声明为ISE中RADIUS的网络设备,请导航至Administration > Network Resources > Network Devices,然后打开Network devices选项卡,如本图所示。

    TACACS - ISE — 网络设备列表

    在本例中,已为RADIUS身份验证添加了WLC(请参阅配置RADIUS ISE部分的第1步。)。因此,只需修改其配置即可配置TACACS身份验证,当您在网络设备列表中选择WLC并点击Edit按钮时,即可完成此操作。这将打开网络设备配置表,如下图所示。

    TACACS - ISE — 网络设备配置

    打开新窗口后,向下滚动到TACACS身份验证设置(TACACS Authentication Settings)部分,启用这些设置,并添加在配置TACACS+ WLC部分的第1步中输入的共享密钥。

    第二步:为节点启用设备管理功能。

    注释图标

    :要将ISE用作TACACS+服务器,您必须具有设备管理许可证包以及基础许可证或移动许可证。

    从GUI:

    安装设备管理许可证后,您必须启用节点的Device Admin功能,才能将ISE用作TACACS+服务器。Administrator > Deployment 要执行此操作,请编辑使用的ISE部署节点的配置(可在下找到),然后单击其名称或借助按钮执行此操作Edit。

    TACACS - ISE — 管理系统

    打开节点配置窗口后,选中Policy Service部分下的Enable Device Admin Service选项,如本图所示。

    TACACS - ISE — 部署节点配置

    第三步:创建TACACS配置文件,以返回权限。

    从GUI:

    要具有管理员访问权限,需要具有15级权限,该权限级别允许访问exec提示外壳adminuser。另一方面helpdeskuser,不需要exec提示符外壳访问,因此可以为其分配低于15的特权级别。为了向用户分配适当的权限级别,可以使用授权配置文件。可以从ISE GUI页面的Work Centers > Device Administration > Policy Elements选项卡下配置Results > TACACS Profiles,如下图所示。

    TACACS - ISE - TACACS配置文件

    要配置新的TACACS配置文件,请使用Add按钮,该按钮会打开与图片中显示的配置表类似的新配置文件配置表。此表单必须特别像这样才能配置分配给的配置文件adminuser(即外壳权限级别15)。

    TACACS - ISE - TACACS配置文件配置

    对配置文件重复此操作helpdesk。对于最后一个,Default Privilege和Maximum Privilege均设置为1。

    第四步:在ISE上创建用户组。

    这与本文档的配置RADIUS ISE部分的第3步中介绍的相同。

    第五步:在ISE上创建用户。

    这与本文档的配置RADIUS ISE部分的第4步中介绍的相同。

    第六步:创建设备管理策略集。

    从GUI:

    对于RADIUS访问,用户创建后,仍需在ISE上定义其身份验证和授权策略以授予其适当的访问权限。TACACS身份验证使用设备管理策略集来达到此目的,可从进行配置,Work Centers > Device Administration > Device Admin Policy Sets GUI Page如下所示。

    TACACS - ISE — 设备管理策略集

    要创建设备管理策略集,请使用上一映像中以红色框框的add按钮,这会将项目添加到策略集列表。为新创建的集合提供名称、应用该集合所必须满足的条件以及允许的协议/服务器序列(此处,Default Device Admin足够)。使用按Save钮完成策略集的添加,并使用其右侧的箭头访问其配置页面(如图所示)。

    ISE TACACS策略集

    本示例中的特定策略集“WLC TACACS Authentication”过滤IP地址与示例C9800 WLC IP地址相同的请求。

    作为身份验证策略,Default Rule已保留,因为它满足使用需要。已设置两个授权规则:

    • 用户属于定义的组时,会触发第一个命令admin-group。它允许所有命令(通过默认规则Permit_all)并分配权限15(通过定义的TACACS配置IOS_Admin )。
    • 当用户属于定义的组时,触发第二个helpdesk-group。 它允许所有命令(通过默认Permit_all 规则)并分配权限1(通过定义的TACACS配IOS_Helpdesk置文件)。
      •

    完成此步骤后,为adminuser helpdesk and用户配置的凭证可用于通过GUI或Telnet/SSH在WLC中进行身份验证。

    故障排除

    通过WLC CLI排除WLC GUI或CLI RADIUS/TACACS+访问故障

    要对WLC GUI或CLI的TACACS+访问进行故障排除,请发出命令以及终端监控器debug tacacs,并在尝试登录时查看实时输出。

    例如,成功登录后注销用户会生成此输出adminuser。

    WLC-9800#terminal monitor
    WLC-9800#debug tacacs
    TACACS access control debugging is on
    WLC-9800#
    Dec 8 11:38:34.684: TPLUS: Queuing AAA Authentication request 15465 for processing
    Dec 8 11:38:34.684: TPLUS(00003C69) login timer started 1020 sec timeout Dec 8 11:38:34.684: TPLUS: processing authentication start request id 15465 Dec 8 11:38:34.685: TPLUS: Authentication start packet created for 15465(adminuser) Dec 8 11:38:34.685: TPLUS: Using server 10.48.39.134 Dec 8 11:38:34.685: TPLUS(00003C69)/0/NB_WAIT/7FD29013CA68: Started 5 sec timeout Dec 8 11:38:34.687: TPLUS(00003C69)/0/NB_WAIT: socket event 2 Dec 8 11:38:34.688: TPLUS(00003C69)/0/NB_WAIT: wrote entire 45 bytes request Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: Would block while reading Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 15 bytes data) Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 27 bytes response Dec 8 11:38:34.701: TPLUS(00003C69)/0/7FD29013CA68: Processing the reply packet Dec 8 11:38:34.701: TPLUS: Received authen response status GET_PASSWORD (8) Dec 8 11:38:38.156: TPLUS: Queuing AAA Authentication request 15465 for processing Dec 8 11:38:38.156: TPLUS(00003C69) login timer started 1020 sec timeout Dec 8 11:38:38.156: TPLUS: processing authentication continue request id 15465 Dec 8 11:38:38.156: TPLUS: Authentication continue packet generated for 15465 Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE/7FD3796079D8: Started 5 sec timeout Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE: wrote entire 29 bytes request Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 6 bytes data) Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 18 bytes response Dec 8 11:38:38.183: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet Dec 8 11:38:38.183: TPLUS: Received authen response status PASS (2) Dec 8 11:38:38.184: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: adminuser] [Source: 10.61.80.151] [localport: 22] at 12:38:38 CET Thu Dec 8 2022 Dec 8 11:38:38.259: TPLUS: Queuing AAA Authorization request 15465 for processing Dec 8 11:38:38.260: TPLUS(00003C69) login timer started 1020 sec timeout Dec 8 11:38:38.260: TPLUS: processing authorization request id 15465 Dec 8 11:38:38.260: TPLUS: Protocol set to None .....Skipping Dec 8 11:38:38.260: TPLUS: Sending AV service=shell Dec 8 11:38:38.260: TPLUS: Sending AV cmd* Dec 8 11:38:38.260: TPLUS: Authorization request created for 15465(adminuser) Dec 8 11:38:38.260: TPLUS: using previously set server 10.48.39.134 from group TACACS-Group Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT/7FD3796079D8: Started 5 sec timeout Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: socket event 2 Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: wrote entire 64 bytes request Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: Would block while reading Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 18 bytes data) Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 30 bytes response Dec 8 11:38:38.285: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet Dec 8 11:38:38.285: TPLUS: Processed AV priv-lvl=15 Dec 8 11:38:38.285: TPLUS: received authorization response for 15465: PASS Dec 8 11:38:44.225: %SYS-6-LOGOUT: User adminuser has exited tty session 7(10.61.80.151) Dec 8 11:38:44.225:Socket I/O cleanup message sent to TACACS TPLUS Proc:SOCKET IO CLEANUP EVENT Dec 8 11:38:44.226: %HA_EM-6-LOG: catchall: logout  Dec 8 11:39:18.689: %SYS-6-LOGOUT: User admin has exited tty session 5(10.61.80.151) Dec 8 11:39:18.690:Socket I/O cleanup message sent to TACACS TPLUS Proc:SOCKET IO CLEANUP EVENT


    从这些日志中可以看到,TACACS+服务器返回了正确的权限(即AV priv-lvl=15)。

    当您执行RADIUS身份验证时,会显示一个与RADIUS流量相关的类似调试输出。

    相反,debug aaa authenticationdebug aaa authorization 显示当用户尝试登录时WLC选择的方法列表。

    通过ISE GUI排除WLC GUI或CLI TACACS+访问故障

    从第页Operations > TACACS > Live Logs,可以查看通过TACACS+进行的每一次用户身份验证(最多24小时)。要展开TACACS+授权或身份验证的详细信息,请使用与此事件相关的Details按钮。

    TACACS实时日志 — 常规视图

    展开后,的身份验证成功尝试helpdeskuser如下所示:

    TACACS实时日志

    从此,您可以看到,在身份验证策略的帮助下helpdeskuser,已向网络设WLC-9800备成功对用户进行身份验证WLC TACACS Authentication > Default。此外,授权配置IOS Helpdesk文件已分配给此用户,并授予权限级别1。

    修订历史记录

    版本 发布日期 备注
    4.0
    28-Mar-2024
    重新认证
    3.0
    24-Feb-2023
    有关RADIUS和TACACS身份验证(包括CLI)的主要更新。
    2.0
    15-Nov-2021
    添加了有关权限级别和Web UI的说明
    1.0
    04-Jun-2019
    初始版本
    TAC Authored

    由思科工程师提供

    • 保罗·弗斯科尼
      思科TAC工程师
    • 桂莲·德夫兰达
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品