已有帐户?

  •   个性化内容
  •   您的产品和支持

需要帐户?

创建帐户

在9800无线LAN控制器上配置RADIUS和TACACS+,以进行GUI和CLI身份验证

下载选项

  • PDF     (1.8 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.6 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.3 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2021 年 11 月 15 日
文档 ID:214490
关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在访问其图形用户界面(GUI)或命令行界面(CLI)时如何配置9800无线LAN控制器(WLC)以进行RADIUS或TACACS+外部身份验证。

    背景信息

    当用户尝试访问WLC的CLI或GUI时,系统会提示用户输入用户名和密码。默认情况下,这些凭证与设备本身上存在的本地用户数据库进行比较。或者,可以指示WLC将输入凭证与远程AAA服务器进行比较:WLC可以使用RADIUS或TACACS+与服务器通信。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • Catalyst无线9800配置型号
    • AAA、RADIUS和TACACS+概念

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • C9800-CL v16.10
    • ISE 2.2.0

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    在本示例中,在AAA服务器(ISE)上分别配置两种类型的用户,分别为adminuser和helpdeskuser。用户adminuser应被授予对WLC的完全访问权限,而helpdeskuser 应仅被授予对WLC的监控权限,因此无配置访问权限。

    首先,在WLC和ISE上配置RADIUS身份验证,然后对TACACS+执行相同的配置。

    只读用户限制

    当TACACS+或RADIUS用于9800 WebUI身份验证时,存在以下限制:

    • 权限级别为1-10的用户只能查看Monitor选项卡(这等同于只读本地身份验证用户的权限级别)

    • 权限级别为15的用户拥有完全访问权限

    • 不支持权限级别为15且命令集仅允许特定命令的用户。用户仍可通过webUI执行配置更改

    无法更改或修改此行为。

    配置RADIUS WLC

    步骤1.声明RADIUS服务器。

    首先,在WLC上创建RADIUS服务器ISE。这可以从GUI WLC页面https://<WLC-IP>/webui/#/aaa完成,如图所示。

    Create a AAA RADIUS server

    然后打开一个弹出窗口,您可以在其中键入服务器名称(它不必与ISE系统名称匹配)、其IP地址、共享密钥、用于身份验证和记帐的端口以及其他参数。

    从CLI:

    paolo-9800(config)#radius server labISE
paolo-9800(config-radius-server)# address ipv4 10.48.71.92 auth-port 1812 acct-port 1813
paolo-9800(config-radius-server)# key Cisco123

    步骤2.将RADIUS服务器映射到服务器组。

    如果您有多个RADIUS服务器可用于身份验证,建议将所有这些服务器映射到同一服务器组。WLC负责在服务器组中的服务器之间平衡不同身份验证的负载。

    从图中所示的同一GUI选项卡。

    Create a AAA RADIUS server group

    在弹出窗口中,为组指定名称,然后将所需的服务器移至Assigned列表。

    从CLI:

    paolo-9800(config)#aaa group server radius radGroup
paolo-9800(config-sg-radius)# server name labISE

    步骤3.创建指向RADIUS服务器组的AAA身份验证登录方法。

    始终在GUI页https://<WLC-IP>/webui/#/aaa中,移至AAA Method列表选项卡并创建Authentication方法,如图所示。

    Create a radius authentication method

    在弹出窗口中,为方法指定名称,选择类型作为登录,并分配在上一步中创建的组服务器。

    如果选择Group Type(组类型)为“local”,WLC首先检查用户是否在本地存在,然后回退到服务器组。

    CLI:

    paolo-9800(config)#aaa authentication login radAutheMethod local group radGroup

    如果选择Group Type作为“group”,且未选中“回退到本地”选项,则WLC仅根据服务器组检查用户。

    CLI:

    paolo-9800(config)#aaa authentication login radAutheMethod group radGroup

    如果选择Group Type(组类型)作为“group”,并且选中了回退到本地选项,则WLC会根据服务器组检查用户,并仅在服务器未响应时查询本地数据库。如果服务器发送拒绝,则用户将不会通过身份验证,即使它可能存在于本地数据库中。

    CLI:

    paolo-9800(config)#aaa authentication login radAutheMethod group radGroup local

    在本示例设置中,有些用户仅在本地创建,有些用户仅在ISE服务器上创建,因此使用第一个选项。

    步骤4.创建指向RADIUS服务器组的AAA授权执行方法。用户还必须获得授权才能获得访问权限。从图中所示的同一选项卡。

    Create a RADIUS authorization method

    使用上一步中用于身份验证方法的本地/组的相同顺序,并选择type作为“exec”。

    从CLI:

    paolo-9800(config)#aaa authorization exec radAuthzMethod local group radGroup

    步骤5.将方法分配给HTTP配置和用于Telnet/SSH的VTY线路。这些步骤不能从GUI执行,因此需要从CLI执行。

    对于GUI身份验证:

    paolo-9800(config)#ip http authentication aaa login-authentication radAutheMethod 
    paolo-9800(config)#ip http authentication aaa exec-authorization radAuthzMethod

    对于Telnet/SSH身份验证:

    paolo-9800(config)#line vty 0 15
paolo-9800(config-line)#login authentication radAutheMethod
    paolo-9800(config-line)#authorization exec radAuthzMethod

    更改HTTP配置时,最好重新启动HTTP和HTTPS服务:

    paolo-9800(config)#no ip http server
paolo-9800(config)#no ip http secure-server
paolo-9800(config)#ip http server
paolo-9800(config)#ip http secure-server

    配置RADIUS ISE

    步骤1.将WLC配置为RADIUS的网络设备,如图所示。

    ISE RADIUS network devices

    在新窗口中,添加IP地址,选择RADIUS,然后键入WLC上使用的共享密钥。

    步骤2.创建授权结果,以返回权限。

    要进行配置,adminuser需要具有15的权限级别,以便访问exec提示外壳。而另一用户helpdeskuser则不需要执行提示外壳访问,并且可以为其分配低于15的权限级别。为此,请为adminuser创建授权配置文件结果,如所示。

    ISE RADIUS authorization result

    特别是,adminuser的配文件必须如下所示:

    ISE new authorization profile


    然后为helpdeskuser创建类似的字符串,仅将字符串shell:priv-lvl=15更改为shell:priv-lvl=X,并将X替换为所需的权限级别。在本例中,使用1。

    步骤3.在ISE上创建用户,如图所示。

    ISE Network access user page

    提供给用户的凭证将采用您稍后在WLC中键入的凭证进行身份验证。 

    步骤4.对用户进行身份验证:在此场景中,预配置的ISE默认身份验证策略规则已允许默认网络访问,因此无需更改:

    ISE default authentication policy

    步骤5.授权用户:登录尝试通过身份验证策略后,需要对其进行授权,ISE需要返回之前创建的授权配置文件(允许接受,以及权限级别)。

    在本示例中,根据设备IP地址(即WLC IP地址)过滤登录尝试,并根据用户名区分要授予的权限级别。

    另一种有效方法是将所有管理员用户分配给特定组,并仅将权限级别15授予属于此组的用户。

    ISE authorization policies

    配置Tacacs+ WLC

    步骤1.声明Tacacs+服务器。 首先,在WLC上创建Tacacs+服务器ISE。 这可以从GUI WLC页面完成 https://<WLC-IP>/webui/#/aaa。

    AAA TACACS servers page

    系统将打开一个弹出窗口,您可以在其中键入服务器名称(它不必与ISE系统名称匹配)、其IP地址、共享密钥以及使用的端口和超时。

    从CLI:

    paolo-9800(config)#tacacs server labISE
paolo-9800(config-server-tacacs)# address ipv4 10.48.71.92
paolo-9800(config-server-tacacs)# key Cisco123

    步骤2.将Tacacs+服务器映射到服务器组。 如果您有多个可用于身份验证的Tacacs+服务器,建议将所有这些服务器映射到同一服务器组。然后,WLC负责在服务器组中的服务器之间平衡不同身份验证的负载。

    从图中所示的同一GUI选项卡。

    AAA TACACS server groups

    在弹出窗口中,为组指定名称,然后将所需的服务器移至Assigned列表。

    从CLI:

    paolo-9800(config)#aaa group server tacacs+ tacGroup
paolo-9800(config-sg-tacacs+)# server name labISE


    步骤3.创建指向Tacacs+服务器组的AAA身份验证登录方法。     始终在GUI页面中, https://<WLC-IP>/webui/#/aaa,移到AAA方法列表选项卡,然后创建如图所示的身份验证方法。

    AAA authorization method

    在弹出窗口中,为方法指定名称,选择类型作为登录,并分配在上一步中创建的组服务器。
    如果选择Group Type作为local,WLC将首先检查用户是否在本地存在,然后回退到服务器组。

    CLI:

    paolo-9800(config)#aaa authentication login tacAutheMethod local group tacGroup 

    如果选择Group Type作为组,并且未选中“回退到本地”选项,则WLC仅根据服务器组检查用户。

    CLI:

    paolo-9800(config)#aaa authentication login tacAutheMethod group tacGroup 

    如果选择Group Type作为组,并且选中了“回退到本地”选项,则WLC会根据服务器组检查用户,并仅在服务器未响应时查询本地数据库。如果服务器发送拒绝,则用户将不会通过身份验证,即使它可能存在于本地数据库中。

    CLI:

    paolo-9800(config)#aaa authentication login tacAutheMethod group tacGroup local

    在此设置中,某些用户仅在本地创建,而某些用户仅在ISE服务器上创建,因此使用第一个选项。

    步骤4.创建指向Tacacs+服务器组的AAA授权执行方法。 用户还必须获得授权才能获得访问权限。从图中所示的同一选项卡。

    AAA authorization method list

    使用上一步中用于身份验证方法的本地/组的相同顺序,并选择type作为“exec”。

    从CLI:

    paolo-9800(config)#aaa authorization exec tacAuthzMethod local group tacGroup

    步骤5.将方法分配给HTTP配置和用于Telnet/SSH的VTY线路

    这些步骤无法从GUI完成,因此需要从CLI完成。

    • 对于GUI身份验证:
    paolo-9800(config)#ip http authentication aaa login-authentication tacAutheMethod 
paolo-9800(config)#ip http authentication aaa exec-authorization tacAuthzMethod
    • 对于Telnet/SSH身份验证:
    paolo-9800(config)#line vty 0 15
paolo-9800(config-line)#login authentication tacAutheMethod 
    paolo-9800(config-line)#authorization exec tacAuthzMethod

    Note:当更改HTTP配置时,最好重新启动HTTP和HTTPS服务:

    paolo-9800(config)#no ip http server
paolo-9800(config)#no ip http secure-server
paolo-9800(config)#ip http server
paolo-9800(config)#ip http secure-server

    Tacacs+ ISE配置

    步骤1.将WLC配置为Tacacs+的网络设备:

    ISE network devices

    请注意,在本示例中,WLC已为RADIUS添加,因此点击编辑,向下滚动到TACACS身份验证设置,并添加所需的密钥:

    TACACS authentication settings of network device

    Note:要将ISE用作TACACS+服务器,您必须拥有设备管理许可证包,以及基础或移动许可证。

    此外,安装许可证后,必须为节点启用设备管理功能。为此,请在Administrator > Deployment下编辑节点部署节点,并选中此框:

    ISE system deployment page

    步骤2.创建TACACS配置文件,以返回权限

    要执行配置,“adminuser”的权限级别需要为15,这允许访问exec提示符外壳。

    而另一个用户“helpdeskuser”则不需要执行提示外壳访问,并且可以为其分配低于15的权限级别。

    为此,请创建TACACS配置文件:

    TACACS profile on ISE

    按如下方式配置权限为15的管理员配置文件:

    Define privilege level in ISE profile

    相反,在帮助台配置文件中,默认权限设置为1。

    步骤3.在ISE上创建用户:

    这与RADIUS ISE配置的第3步相同

    步骤4.创建设备管理策略集:

    ISE TACACS work centers

    在本例中,特定策略集“IOS-9800”过滤IP地址等于示例9800 IP的请求。

    作为身份验证策略,我们保留默认规则,并设置了两个授权规则:

    • 当用户名为“adminuser”时,会触发第一个命令,它允许所有命令(通过默认的“Permit_all”)规则,并分配权限15(通过“IOS_Admin)
    • 当用户名为“helpdeskuser”时,系统会触发第二个命令,它允许所有命令(通过默认的“Permit_all”)规则,并分配权限15(通过“IOS_Helpdesk”)

    故障排除

    要排除对WLC GUI或CLI的TACACS+访问故障,请发出“debug tacacs”命令以及“term mon”,并在尝试登录时查看实时输出。

    显示了“adminuser”用户成功登录的尝试:

    paolo-9800#terminal monitor
paolo-9800#debug tacacs
TACACS access control debugging is on
paolo-9800#
Apr 17 12:16:55.269: TPLUS: Queuing AAA Authentication request 0 for processing
Apr 17 12:16:55.270: TPLUS(00000000) login timer started 1020 sec timeout
Apr 17 12:16:55.270: TPLUS: processing authentication start request id 0
Apr 17 12:16:55.270: TPLUS: Authentication start packet created for 0(adminuser)
Apr 17 12:16:55.270: TPLUS: Using server 10.48.71.92
Apr 17 12:16:55.270: TPLUS(00000000)/0/NB_WAIT/7FF771A25E18: Started 5 sec timeout
Apr 17 12:16:55.271: TPLUS(00000000)/0/NB_WAIT: socket event 2
Apr 17 12:16:55.271: TPLUS(00000000)/0/NB_WAIT: wrote entire 29 bytes request
Apr 17 12:16:55.271: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.272: TPLUS(00000000)/0/READ: Would block while reading
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 15 bytes data)
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: read entire 27 bytes response
Apr 17 12:16:55.277: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet
Apr 17 12:16:55.278: TPLUS: Received authen response status GET_PASSWORD (8)
Apr 17 12:16:55.278: TPLUS: Queuing AAA Authentication request 0 for processing
Apr 17 12:16:55.278: TPLUS(00000000) login timer started 1020 sec timeout
Apr 17 12:16:55.279: TPLUS: processing authentication continue request id 0
Apr 17 12:16:55.279: TPLUS: Authentication continue packet generated for 0
Apr 17 12:16:55.279: TPLUS(00000000)/0/WRITE/7FF771A25E18: Started 5 sec timeout
Apr 17 12:16:55.279: TPLUS(00000000)/0/WRITE: wrote entire 25 bytes request
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 103 bytes data)
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: read entire 115 bytes response
Apr 17 12:16:55.302: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet
Apr 17 12:16:55.302: TPLUS: Received authen response status PASS (2)
Apr 17 12:16:55.303: TPLUS: Queuing AAA Authorization request 0 for processing
Apr 17 12:16:55.303: TPLUS(00000000) login timer started 1020 sec timeout
Apr 17 12:16:55.303: TPLUS: processing authorization request id 0
Apr 17 12:16:55.304: TPLUS: Inappropriate protocol: 25
Apr 17 12:16:55.304: TPLUS: Sending AV service=shell
Apr 17 12:16:55.304: TPLUS: Sending AV cmd*
Apr 17 12:16:55.304: TPLUS: Authorization request created for 0(adminuser)
Apr 17 12:16:55.304: TPLUS: Using server 10.48.71.92
Apr 17 12:16:55.304: TPLUS(00000000)/0/NB_WAIT/7FF771A25E18: Started 5 sec timeout
Apr 17 12:16:55.305: TPLUS(00000000)/0/NB_WAIT: socket event 2
Apr 17 12:16:55.305: TPLUS(00000000)/0/NB_WAIT: wrote entire 48 bytes request
Apr 17 12:16:55.305: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.305: TPLUS(00000000)/0/READ: Would block while reading
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 18 bytes data)
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: read entire 30 bytes response
Apr 17 12:16:55.335: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet
Apr 17 12:16:55.335: TPLUS: Processed AV priv-lvl=15
Apr 17 12:16:55.335: TPLUS: received authorization response for 0: PASS
Apr 17 12:16:55.335: AAA Proxy: Couldnt get the login info
Apr 17 12:16:55.426:  Socket I/O cleanup message sent to TACACS

Apr 17 12:16:55.426:  Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT
TPLUS Proc:SOCKET IO CLEANUP EVENT

Apr 17 12:16:55.336: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host 10.149.4.75 by user 'adminuser' using crypto cipher 'ECDHE-RSA-AES256-GCM-SHA384'

    可以看到,Tacacs+服务器返回正确的权限“AV priv-lvl=15”

    相反,当执行RADIUS身份验证时,会显示与RADIUS流量相关的类似调试输出。

    “debug aaa authentication”和“debug aaa authorization”,而是显示当使用尝试登录时WLC正在选择哪个方法列表。

    Revision History

    Revision Publish Date Comments
    2.0
    15-Nov-2021
    添加了有关权限级别和Web UI的注释
    1.0
    04-Jun-2019
    Initial Release
    TAC Authored

    由思科工程师提供

    • Paolo Fusconi
      思科TAC

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品