为9800无线局域网控制器上的GUI和CLI身份验证配置RADIUS和TACACS+

简介

本文档介绍如何为RADIUS或TACACS+外部身份验证配置Catalyst 9800。

背景信息

当用户尝试访问WLC的CLI或GUI时，系统会提示用户输入用户名和密码。默认情况下，这些凭证会与设备本身存在的本地用户数据库进行比较。或者，可以指示WLC将输入凭证与远程AAA服务器进行比较：WLC可以使用RADIUS或TACACS+与服务器通信。

先决条件

要求

Cisco 建议您了解以下主题：

• Catalyst无线9800配置型号
• AAA、RADIUS和TACACS+概念

使用的组件

本文档中的信息基于以下软件和硬件版本：

• C9800-CL v17.9.2
• ISE 3.2.0

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

在本示例中，在AAA服务器(ISE)上分别配置了adminuser和helpdeskuser两种类型的用户。这些用户是组的一部分，分别为admin-group和helpdesk-group。用户adminuser是admin-group的一部分，应被授予对WLC的完全访问权限。另一方面，helpdeskuser是helpdesk-group的一部分，仅被授予WLC的监控器权限，因此没有配置访问权限。 

本文先配置WLC和ISE进行RADIUS身份验证，然后对TACACS+执行相同操作。

只读用户限制

当TACACS+或RADIUS用于9800 WebUI身份验证时，存在以下限制：

• 权限级别为0的用户存在，但无权访问GUI

• 权限级别为[1, 14]的用户只能查看Monitor选项卡（这相当于本地身份验证的只读用户的权限级别）

• 权限级别为15的用户具有完全访问权限

• 权限级别为15且命令集仅允许特定命令的用户不受支持。用户仍然可以通过WebUI执行配置更改

不能更改或修改这些注意事项。

为WLC配置RADIUS身份验证

步骤1.声明RADIUS服务器。

从GUI:

首先，在WLC上创建ISE RADIUS服务器。 可以在https://<WLC-IP>/webui/#/aaa中访问的GUI WLC页面中的Servers/Groups → RADIUS → Servers选项卡中执行此操作，也可以导航到Configuration → Security → AAA（如本图所示）。

要在WLC上添加RADIUS服务器，请点击图像中以红色框框的Add按钮。这将打开屏幕截图中所示的弹出窗口。

在此弹出窗口中，必须提供：

• 服务器名称（请注意，它不必与ISE系统名称匹配）
• 服务器IP地址
• WLC和RADIUS服务器之间的共享密钥

可以配置其他参数，例如用于身份验证和记账的端口，但这些不是必填项，保留为本文档的默认设置。

从CLI:

WLC-9800(config)# radius server ISE-lab
WLC-9800(config-radius-server)# address ipv4 10.48.39.134 auth-port 1812 acct-port 1813
WLC-9800(config-radius-server)# key Cisco123

第二步：将RADIUS服务器映射到服务器组。

从GUI:

如果您有多台可用于身份验证的RADIUS服务器，建议将所有这些服务器映射到同一服务器组。WLC负责对服务器组中的服务器之间的不同身份验证进行负载均衡。RADIUS服务器组是在与步骤1（如图所示）中所述的GUI页面相同的GUI页面中的Servers / Groups → RADIUS → Server Groups选项卡中进行配置。

对于服务器创建，当您单击上图中的Add按钮（如本图所示）时，将出现一个弹出窗口。

在弹出窗口中，为组提供名称，并将所需的服务器移至Assigned Servers列表。

从CLI:

WLC-9800(config)# aaa group server radius RADIUS-Group
WLC-9800(config-sg-radius)# server name ISE-lab

第三步：创建指向RADIUS服务器组的AAA身份验证登录方法。

从GUI:

仍在GUI页面https://<WLC-IP>/webui/#/aaa中，导航到AAA Method List → Authentication选项卡并创建身份验证方法，如下图所示。

通常，当您使用Add按钮创建身份验证方法时，会出现一个配置弹出窗口，类似于本图中所示的窗口。

在此弹出窗口中，提供方法的名称，选择Type作为login，并将上一步中创建的组服务器添加到Assigned Server Groups列表中。对于Group Type字段，可以进行若干配置。

• 如果选择Group Type作为local，则WLC首先检查用户凭证是否存在于本地，然后回退到服务器组。
• 如果您选择Group Type作为组而不选中Fall back to local选项，则WLC仅针对服务器组检查用户凭证。
• 如果您选择Group Type作为组，并选中Fallback to local选项，则WLC将根据服务器组检查用户凭证，并且仅在服务器没有响应时才查询本地数据库。如果服务器发送拒绝，则用户将获得身份验证，即使它可能存在于本地数据库中。

从CLI:

如果希望只有在首先在本地未找到用户凭证时才能使用服务器组检查用户凭证，请使用

WLC-9800(config)#aaa authentication login radius-authe-method local group RADIUS-Group

如果希望仅对服务器组检查用户凭据，请使用

WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group

如果希望使用服务器组检查用户凭证，并且如果最后没有使用本地条目进行响应，请使用

WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group local

在本示例设置中，有些用户仅创建在本地，而有些用户仅创建在ISE服务器上，因此使用第一个选项。

第四步： 创建指向RADIUS服务器组的AAA授权exec方法。

从GUI:

用户还必须获得授权才能获得访问权限。仍在GUI页面Configuration → Security → AAA中，导航到AAA Method List → Authorization选项卡并创建授权方法，如下图所示。

授权方法创建

当您使用Add按钮添加新的授权方法时，将会出现类似于上述授权方法配置弹出窗口。

在此配置弹出窗口中，提供授权方法的名称，选择Type作为exec，然后使用与步骤3中身份验证方法所用的Group Type的相同顺序。

从CLI:

对于身份验证方法，首先分配授权以根据本地条目检查用户，然后根据服务器组中的条目检查用户。

WLC-9800(config)# aaa authorization exec radius-autho-method local group RADIUS-Group

第五步：将方法分配给HTTP配置以及用于Telnet/SSH的VTY线路。

从GUI:

创建的身份验证和授权方法可用于HTTP和/或Telnet/SSH用户连接，可以从AAA Advanced → AAA Interface选项卡进行配置，该选项卡仍可从https://<WLC-IP>/webui/#/aaa的GUI WLC页面访问，如下图所示：

用于GUI身份验证的CLI:

WLC-9800(config)# ip http authentication aaa login-authentication radius-authe-method 
WLC-9800(config)# ip http authentication aaa exec-authorization radius-autho-method

Telnet/SSH身份验证的CLI:

WLC-9800(config)# line vty 0 15
WLC-9800(config-line)# login authentication radius-authe-method
WLC-9800(config-line)# authorization exec radius-autho-method 

请注意，当对HTTP配置执行更改时，最好重新启动HTTP和HTTPS服务。这可以通过这些命令实现。

WLC-9800(config)# no ip http server
WLC-9800(config)# no ip http secure-server
WLC-9800(config)# ip http server
WLC-9800(config)# ip http secure-server

为RADIUS配置ISE

步骤1:将WLC配置为RADIUS的网络设备。

从GUI

要将上一节中使用的WLC声明为ISE中RADIUS的网络设备，请导航到Administration → Network Resources → Network Devices并打开Network devices选项卡，如下一图所示。 

要添加网络设备，请使用Add按钮，该按钮将打开新的网络设备配置表。

在新窗口中，提供网络设备的名称，添加其IP地址。选择RADIUS Authentication Settings，并配置与WLC上使用的相同RADIUS Shared Secret。

第二步：创建授权结果，以返回权限。

从GUI:

为了具有管理员访问权限，adminuser需要具有15级权限，该权限级别允许访问exec提示外壳。另一方面，helpdeskuser不需要exec提示外壳访问，因此可以分配权限级别低于15。为了向用户分配适当的权限级别，授权配置文件可以是用户。可以通过ISE GUI页面Policy → Policy Elements → Results在下一图中所示的Authorization → Authorization Profiles选项卡进行配置。

要配置新的授权配置文件，请使用Add按钮，该按钮将打开新的授权配置文件配置表。要配置分配给adminuser的配置文件，此表单必须特别像这样。

所示配置向与其关联的任何用户授予权限级别15。如前所述，这是下一步中创建的adminuser的预期行为。但是，helpdeskuser必须具有较低的权限级别，因此必须创建第二个策略元素。

helpdeskuser的策略元素类似于上面创建的元素，不同之处在于字符串shell:priv-lvl=15必须更改为shell:priv-lvl=X，并用所需的权限级别替换X。在本例中，使用1。

第三步：在ISE上创建用户组。

从GUI

ISE用户组通过Administration → Identity Management → Groups GUI页面的User Identity Groups选项卡创建，该选项卡显示在屏幕截图中。

要创建新用户，请使用Add按钮，该按钮将打开显示的新用户身份组配置表单。

提供创建的组的名称。创建上述两个用户组，即admin-group和helpdesk-group。

第四步：在ISE上创建用户。

从GUI

ISE用户通过Administration → Identity Management → Identities GUI页面的Users选项卡创建，该选项卡显示在屏幕截图中。

要创建新用户，请使用Add按钮，该按钮会打开显示的新网络访问用户配置表。

向用户提供凭证，即他/她的用户名和密码，用于在WLC上进行身份验证。另请确保用户的Status为Enabled。最后，将用户添加到其相关组（已在步骤4中创建），并在表单的末尾显示User Groups下拉菜单。

创建上述两个用户，即adminuser和helpdeskuser。

第五步：对用户进行身份验证。

从GUI:

在此场景中，已预配置的ISE的默认策略集的身份验证策略允许默认网络访问。此策略设置可从Policy → Policy Sets ISE GUI页面查看，如下图所示。因此，没有必要对其进行更改。

第六步：授权用户。

从GUI:

登录尝试通过身份验证策略后，需要授权该策略，ISE需要返回之前创建的授权配置文件（允许接受，以及权限级别）。

在本示例中，根据设备IP地址（即WLC IP地址）过滤登录尝试，并根据用户所属的组区分要授予的权限级别。另一种有效方法是基于用户用户名过滤用户，因为在本示例中，每个组仅包含单个用户。

完成此步骤后，为adminuser和helpdesk用户配置的凭据可用于通过GUI或Telnet/SSH在WLC中进行身份验证。 

配置TACACS+ WLC

步骤1.声明TACACS+服务器。 

从GUI:

首先，在WLC上创建Tacacs+服务器ISE。 可以在https://<WLC-IP>/webui/#/aaa中访问的GUI WLC页面的Servers/Groups → TACACS+ → Servers选项卡中执行此操作，也可以导航到Configuration → Security → AAA（配置安全AAA），如下图所示。

要在WLC上添加TACACS服务器，请点击上图中以红色框表示的Add按钮。这将打开所示的弹出窗口。

当弹出窗口打开时，请提供服务器名称（它不必与ISE系统名称匹配）、其IP地址、共享密钥、使用的端口和超时。

在此弹出窗口中，必须提供

• 服务器名称（请注意，它不必与ISE系统名称匹配）
• 服务器IP地址
• WLC和TACACS+服务器之间的共享密钥

可以配置其他参数，例如用于身份验证和记账的端口，但这些不是必填项，保留为本文档的默认设置。

从CLI:

WLC-9800(config)# tacacs server ISE-lab
WLC-9800(config-server-tacacs)# address ipv4 10.48.39.134
WLC-9800(config-server-tacacs)# key Cisco123

第二步：将TACACS+服务器映射到服务器组。 

从GUI:

如果您有多台可用于身份验证的TACACS+服务器，建议将所有这些服务器映射到同一服务器组。然后，WLC负责对服务器组中的服务器之间的不同身份验证进行负载均衡。TACACS+ 从与步骤1中所述的GUI页面相同（如图所示）的Servers / Groups → TACACS → Server Groups选项卡中配置服务器组。

从图中所示的同一GUI选项卡。

对于服务器创建，当您单击上图中的Add按钮（如图所示）时，将出现一个弹出窗口。

在弹出窗口中，为组指定名称，并将所需的服务器移至Assigned Servers列表。

从CLI:

WLC-9800(config)# aaa group server tacacs+ TACACS-Group
WLC-9800(config-sg-tacacs+)# server name ISE-lab

第三步：创建指向TACACS+服务器组的AAA身份验证登录方法。 

从GUI:

仍在GUI页面https://<WLC-IP>/webui/#/aaa中，导航到AAA Method List → Authentication选项卡并创建身份验证方法，如图所示。

通常，当您使用Add按钮创建身份验证方法时，会出现一个配置弹出窗口，类似于本图中所示的窗口。

在此弹出窗口中，提供方法的名称，选择Type作为login，并将上一步中创建的组服务器添加到Assigned Server Groups列表中。对于Group Type字段，可以进行若干配置。

• 如果选择Group Type作为local，则WLC首先检查用户凭证是否存在于本地，然后回退到服务器组。
• 如果您选择Group Type作为组而不选中Fall back to local选项，则WLC仅针对服务器组检查用户凭证。
• 如果您选择Group Type作为组，并选中Fallback to local选项，则WLC将根据服务器组检查用户凭证，并且仅在服务器没有响应时才查询本地数据库。如果服务器发送拒绝，则用户将获得身份验证，即使它可能存在于本地数据库中。

从CLI:

如果希望只有在首先在本地未找到用户凭证时才能使用服务器组检查用户凭证，请使用

WLC-9800(config)# aaa authentication login tacacs-authe-method local group TACACS-Group 

如果希望仅对服务器组检查用户凭据，请使用

WLC-9800(config)# aaa authentication login tacacs-authe-method group TACACS-Group  

如果希望使用服务器组检查用户凭证，并且如果最后没有使用本地条目进行响应，请使用

WLC-9800(config)# aaa authentication login tacacs-authe-method group TACACS-Group local

在本示例设置中，有些用户仅创建在本地，而有些用户仅创建在ISE服务器上，因此使用第一个选项。

第四步：创建指向TACACS的AAA授权执行方法+服务器组。 

从GUI

用户还必须获得授权才能获得访问权限。 仍在GUI页面Configuration → Security → AAA中，导航到AAA Method List → Authorization选项卡并创建授权方法，如图所示。

当您使用Add按钮添加新授权方法时，将会出现与所示授权方法配置类似的弹出窗口。

在此配置弹出窗口中，提供授权方法的名称，选择Type作为exec，然后使用与上一步中身份验证方法所用的Group Type的相同顺序。 

从CLI:

WLC-9800(config)# aaa authorization exec tacacs-autho-method local group TACACS-Group

第五步：将方法分配给HTTP配置以及用于Telnet/SSH的VTY线路。

从GUI:

创建的身份验证和授权方法可用于HTTP和/或Telnet/SSH用户连接，该连接可在AAA Advanced → AAA Interface选项卡中配置，仍可从https://<WLC-IP>/webui/#/aaa的GUI WLC页面访问，如图所示。

从CLI:

对于GUI身份验证：

WLC-9800(config)# ip http authentication aaa login-authentication tacacs-authe-method 
WLC-9800(config)# ip http authentication aaa exec-authorization tacacs-autho-method  

对于Telnet/SSH身份验证：

WLC-9800(config)# line vty 0 15
WLC-9800(config-line)# login authentication tacacs-authe-method  
WLC-9800(config-line)# authorization exec tacacs-autho-method 

请注意，当对HTTP配置执行更改时，最好重新启动HTTP和HTTPS服务。这可以通过这些命令实现。

WLC-9800(config)# no ip http server
WLC-9800(config)# no ip http secure-server
WLC-9800(config)# ip http server
WLC-9800(config)# ip http secure-server

TACACS+ ISE配置

步骤1:将WLC配置为TACACS+的网络设备。

从GUI

要将上一节中使用的WLC声明为ISE中RADIUS的网络设备，请导航到Administration → Network Resources → Network Devices并打开Network devices选项卡，如本图所示。 

请注意，在本示例中，已为RADIUS身份验证添加了WLC(请参阅上述配置RADIUS ISE部分的步骤1)。因此，只需修改其配置即可配置TACACS身份验证，当您在网络设备列表中选择WLC并点击Edit按钮时，即可完成此操作。这将打开此图中所示的网络设备配置表单。

打开新窗口后，向下滚动到TACACS Authentication Settings部分，启用这些设置并添加在Configure TACACS+ WLC部分的第1步中输入的共享密钥。

第二步：为节点启用设备管理功能。

注意：要将ISE用作TACACS+服务器，您必须具有设备管理许可证包以及基础许可证或移动许可证。

从GUI:

安装设备管理许可证后，您必须启用节点的Device Admin功能，才能将ISE用作TACACS+服务器。为此，请编辑使用的ISE部署节点的配置(可在“管理员”(Administrator)→“部署”(Deployment)下找到)，然后点击其名称或使用“编辑”(Edit)按钮帮助。

打开节点配置窗口后，只需选中Policy Service部分下的Enable Device Admin Service选项，如下图所示。

第三步：创建TACACS配置文件，以返回权限

从GUI:

为了具有管理员访问权限，adminuser需要具有15级权限，该权限级别允许访问exec提示外壳。另一方面，helpdeskuser不需要exec提示外壳访问，因此可以分配权限级别低于15。为了向用户分配适当的权限级别，授权配置文件可以是用户。可以从ISE GUI页面Work Centers → Device Administration → Policy Elements下Results → TACACS Profiles（结果为TACACS配置文件）进行配置，如下图所示。

要配置新的TACACS配置文件，请使用Add按钮，该按钮会打开新的配置文件配置表单，类似于图中所示的表单。要配置分配给adminuser（即，外壳权限级别为15）的配置文件，此表单必须特别如下所示。

对帮助台配置文件重复此操作。对于最后一个，Default Privilege和Maximum Privilege均设置为1。

第四步：在ISE上创建用户组。

这与本文档的配置RADIUS ISE部分的第3步中介绍的相同。

第五步：在ISE上创建用户：

这与本文档的配置RADIUS ISE部分的第4步中介绍的相同。

第六步：创建设备管理策略集。

从GUI:

对于RADIUS访问，用户创建后，仍需在ISE上定义其身份验证和授权策略，以便授予他们适当的访问权限。TACACS身份验证使用Device Admin Policy Sets到此端，可以在显示的Work Centers → Device Administration → Device Admin Policy Sets GUI页面上配置该策略。

要创建设备管理策略集，请使用上一映像中以红色框框的add按钮，这会将项目添加到策略集列表。为新创建的集提供名称、必须应用该集的条件以及Allowed Protocols / Server Sequence(此处，Default Device Admin足够)。使用Save按钮完成策略集的添加，并使用其右侧的箭头访问其配置页面（如图所示）。

本示例中的特定策略集“WLC TACACS Authentication”过滤IP地址与示例C9800 WLC IP地址相同的请求。

作为身份验证策略，Default Rule已保留，因为它满足使用需要。已设置两个授权规则，

• 当用户属于定义的组admin-group时，会触发第一个命令。它允许所有命令（通过默认的“Permit_all”规则）并分配权限15（通过定义的“IOS_Admin”TACACS配置文件）。
• 当用户属于定义的组helpdesk-group时，会触发第二个选项。 它允许所有命令（通过默认的“Permit_all”）规则，并分配权限1（通过定义的“IOS_Helpdesk”TACACS配置文件）。

完成此步骤后，为adminuser和helpdesk用户配置的凭据可用于通过GUI或Telnet/SSH在WLC中进行身份验证。 

故障排除

通过WLC CLI排除WLC GUI或CLI RADIUS/TACACS+访问故障

要对WLC GUI或CLI的TACACS+访问进行故障排除，请发出debug tacacs命令和terminal monitor one，并在尝试登录时查看实时输出。

例如，成功登录后注销adminuser用户将生成此输出。

WLC-9800# terminal monitor
WLC-9800# debug tacacs
TACACS access control debugging is on
WLC-9800#
Dec 8 11:38:34.684: TPLUS: Queuing AAA Authentication request 15465 for processing
Dec 8 11:38:34.684: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:34.684: TPLUS: processing authentication start request id 15465
Dec 8 11:38:34.685: TPLUS: Authentication start packet created for 15465(adminuser)
Dec 8 11:38:34.685: TPLUS: Using server 10.48.39.134
Dec 8 11:38:34.685: TPLUS(00003C69)/0/NB_WAIT/7FD29013CA68: Started 5 sec timeout
Dec 8 11:38:34.687: TPLUS(00003C69)/0/NB_WAIT: socket event 2
Dec 8 11:38:34.688: TPLUS(00003C69)/0/NB_WAIT: wrote entire 45 bytes request
Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: Would block while reading
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 15 bytes data)
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 27 bytes response
Dec 8 11:38:34.701: TPLUS(00003C69)/0/7FD29013CA68: Processing the reply packet
Dec 8 11:38:34.701: TPLUS: Received authen response status GET_PASSWORD (8)
Dec 8 11:38:38.156: TPLUS: Queuing AAA Authentication request 15465 for processing
Dec 8 11:38:38.156: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:38.156: TPLUS: processing authentication continue request id 15465
Dec 8 11:38:38.156: TPLUS: Authentication continue packet generated for 15465
Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE/7FD3796079D8: Started 5 sec timeout
Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE: wrote entire 29 bytes request
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 6 bytes data)
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 18 bytes response
Dec 8 11:38:38.183: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet
Dec 8 11:38:38.183: TPLUS: Received authen response status PASS (2)
Dec 8 11:38:38.184: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: adminuser] [Source: 10.61.80.151] [localport: 22] at 12:38:38 CET Thu Dec 8 2022
Dec 8 11:38:38.259: TPLUS: Queuing AAA Authorization request 15465 for processing
Dec 8 11:38:38.260: TPLUS(00003C69) login timer started 1020 sec timeout
Dec 8 11:38:38.260: TPLUS: processing authorization request id 15465
Dec 8 11:38:38.260: TPLUS: Protocol set to None .....Skipping
Dec 8 11:38:38.260: TPLUS: Sending AV service=shell
Dec 8 11:38:38.260: TPLUS: Sending AV cmd*
Dec 8 11:38:38.260: TPLUS: Authorization request created for 15465(adminuser)
Dec 8 11:38:38.260: TPLUS: using previously set server 10.48.39.134 from group TACACS-Group
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT/7FD3796079D8: Started 5 sec timeout
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: socket event 2
Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: wrote entire 64 bytes request
Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: Would block while reading
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 18 bytes data)
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1
Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 30 bytes response
Dec 8 11:38:38.285: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet
Dec 8 11:38:38.285: TPLUS: Processed AV priv-lvl=15
Dec 8 11:38:38.285: TPLUS: received authorization response for 15465: PASS
Dec 8 11:38:44.225: %SYS-6-LOGOUT: User adminuser has exited tty session 7(10.61.80.151)
Dec 8 11:38:44.225:Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT
Dec 8 11:38:44.226: %HA_EM-6-LOG: catchall: logout 
Dec 8 11:39:18.689: %SYS-6-LOGOUT: User admin has exited tty session 5(10.61.80.151)
Dec 8 11:39:18.690:Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT

从这些日志中可以看到，TACACS+服务器返回正确的权限(即AV priv-lvl=15)。

当您执行RADIUS身份验证时，会显示一个与RADIUS流量相关的类似调试输出。

相反，debug aaa authentication和debug aaa authorization命令会显示当用户尝试登录时由WLC选择的方法列表。

通过ISE GUI排除WLC GUI或CLI TACACS+访问故障

从Operations → TACACS → Live Logs页面中，可以查看通过TACACS+进行的直到最近24小时的所有用户身份验证。要显示TACACS+授权或身份验证的详细信息，请使用与此事件相关的Details按钮。

用完时，helpdeskuser的身份验证尝试成功如下所示：

从此，您可以看到，由于身份验证策略WLC TACACS Authentication → Default，用户helpdeskuser已成功通过网络设备WLC-9800进行身份验证。此外，授权配置文件IOS Helpdesk已分配给此用户，并授予他权限级别1。