配置RADIUS和TACACS+ GUI和CLI验证的在9800个无线局域网控制器
简介
本文描述如何配置9800个无线局域网控制器(WLC) RADIUS或TACACS+外部验证的,当您访问其图形用户界面(GUI)时或命令行界面(CLI)。
背景信息
当用户设法访问CLI或WLC的GUI,将提示输入用户名和密码。默认情况下,这些凭证对用户本地数据库比较,是存在设备。或者, WLC可以被指示为了对一个远程AAA服务器比较输入凭证:WLC能与有使用的服务器谈RADIUS或TACACS+。
先决条件
要求
Cisco 建议您了解以下主题:
- Catalyst无线9800配置型号
- AAA、RADIUS和TACACS+概念
使用的组件
本文档中的信息基于以下软件和硬件版本:
- C9800-CL v16.10
- ISE 2.2.0
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
在本例中,请配置用户的两种类型AAA服务器(ISE),各自adminuser和helpdeskuser的。用户adminuser预计授权对WLC的完全权限,而helpdeskuser被认为只授权监视器权限到WLC,因此没有配置访问。
首先,请配置在WLC和在RADIUS验证的ISE,并且以后为TACACS+请执行同样。
配置RADIUS WLC
步骤1.指定RADIUS服务器。
首先,请创建在WLC的RADIUS服务器ISE。 如镜像所显示,这可以从GUI WLC页https:// <WLC-IP>/webui/#/aaa执行。
弹出窗口与其他参数一起将打开,其中您能键入服务器名(不必须匹配ISE系统名称),其IP地址、共享机密和使用验证和核算的端口。
从CLI :
paolo-9800(config)#radius server labISE paolo-9800(config-radius-server)# address ipv4 10.48.71.92 auth-port 1812 acct-port 1813 paolo-9800(config-radius-server)# key Cisco123
步骤2.映射RADIUS服务器给服务器组。
万一有能使用验证的多个RADIUS服务器,推荐映射所有这些服务器对同一个服务器组。WLC然后照料在服务器中的负载均衡不同的认证在服务器组中。
从如镜像所显示的同一GUI选项卡。
在弹出式,请给予名称给组,并且移动所需的服务器向已分配列表。
从CLI :
paolo-9800(config)#aaa group server radius radGroup paolo-9800(config-sg-radius)# server name labISE
步骤3.创建指向RADIUS服务器组的AAA认证登录方法。
如镜像所显示,总是在GUI页https:// <WLC-IP>/webui/#/aaa,移动向AAA方法列表选项卡和创建认证方法。
在弹出式,请给予名称对方法,挑选类型作为登录,并且分配在上一步创建的组服务器。
如果选择组类型作为‘本地’, WLC首先检查用户是否存在本地和然后下跌回到服务器组。
CLI :
paolo-9800(config)#aaa authentication login radAutheMethod local group radGroup
如果选择组类型作为‘组’,并且没有下跌回到被检查的地方选择权, WLC根据服务器组将检查用户。
CLI :
paolo-9800(config)#aaa authentication login radAutheMethod group radGroup
如果选择组类型作为‘组’,并且回到地方选择权的划分为被检查, WLC根据服务器组将检查用户并且查询本地数据库,只有当服务器不回应。如果服务器发送拒绝,用户不会验证,即使在本地数据库也许存在。
CLI :
paolo-9800(config)#aaa authentication login radAutheMethod group radGroup local
在此示例设置,有只创建本地的一些用户和一些仅用户ISE服务器的,因此利用第一个选项。
步骤4.Create指向RADIUS服务器组的AAA认证exec方法。用户必须也授权为了是授权访问。从如镜像所显示的同一选项卡。
请使用使用认证方法在上一步本地/组的同一顺序,并且选择类型作为‘exec’。
从CLI :
paolo-9800(config)#aaa authorization exec radAuthzMethod local group radGroup
步骤5.分配方法到HTTP配置和到用于Telnet/SSH的VTY线路。这些步骤不能从GUI发生,因此他们需要从CLI完成。
GUI验证:
paolo-9800(config)#ip http authentication aaa login-authentication radAutheMethod
paolo-9800(config)#ip http authentication aaa exec-authorization radAuthzMethod
Telnet/SSH验证:
paolo-9800(config)#line vty 0 15 paolo-9800(config-line)#login authentication radAutheMethod
paolo-9800(config-line)#authorization exec radAuthzMethod
当您做对HTTP配置时的变动,重新启动HTTP和HTTPS服务是最佳的:
paolo-9800(config)#no ip http server paolo-9800(config)#no ip http secure-server paolo-9800(config)#ip http server paolo-9800(config)#ip http secure-server
配置RADIUS ISE
步骤1.如镜像所显示,配置WLC作为RADIUS的一个网络设备。
在新窗口,请添加IP地址,挑选RADIUS,并且键入同样在WLC使用的共享的机密。
步骤2.创建授权结果,返回权限。
为了配置, adminuser需要有权限级别15,将准许访问EXEC提示shell。另一个用户, helpdeskuser不需要EXEC提示shell访问,并且比15可以分配权限级别低。如镜像所显示,为了执行如此,请创建adminuser的一种授权配置文件结果。
特别是, adminuser的配置文件必须如下所示:
然后请创建一相似一个helpdeskuser的,更改仅字符串shell:priv-lvl=15对shell :priv-lvl=X,和用希望的权限级别替换X。在本例中,使用1。
步骤3.如镜像所显示,创建ISE的用户。
凭证给对用户将是您将输入后的WLC的那个,当您验证。
步骤4.验证用户:在此方案中,已经预先配置的ISE默认验证策略规则允许默认网络网络访问,因此没有需要更改它:
步骤5.认证用户:在登录尝试通过验证策略后,需要授权和ISE需要返回及早创建的授权配置文件(permit与权限级别一起接受)。
在本例中,请过滤根据是WLC IP地址)的设备IP地址的登录尝试(并且区分根据用户名将授权的权限级别。
另一有效方法将是分配所有管理员用户给某一组和仅授权权限级别15给属于这样组的用户。
配置TACACS+ WLC
步骤1.指定TACACS+服务器。 首先,请创建在WLC的TACACS+服务器ISE。 这可以从GUI WLC页https:// <WLC-IP>/webui/#/aaa执行。
弹出窗口打开,其中您能键入服务器名(不必须匹配ISE系统名称),其IP地址、共享密钥和使用的端口和超时。
从CLI :
paolo-9800(config)#tacacs server labISE paolo-9800(config-server-tacacs)# address ipv4 10.48.71.92 paolo-9800(config-server-tacacs)# key Cisco123
步骤2.映射TACACS+服务器给服务器组。 万一有能使用验证的多个TACACS+服务器,推荐映射所有这些服务器对同一个服务器组。WLC然后照料在服务器中的负载均衡不同的认证在服务器组中。
从如镜像所显示的同一GUI选项卡。
在弹出式,请给予名称给组,并且移动所需的服务器向已分配列表。
从CLI :
paolo-9800(config)#aaa group server tacacs+ tacGroup paolo-9800(config-sg-tacacs+)# server name labISE
步骤3.创建AAA认证登录方法对TACACS+服务器组的该点。 如镜像所显示,总是在GUI页, https:// <WLC-IP>/webui/#/aaa,移动向AAA方法列表选项卡,和创建认证方法。
在弹出式,请给予名称对方法,挑选类型作为登录,并且分配在上一步创建的组服务器。
如果选择组类型作为本地, WLC首先检查用户是否存在本地和然后下跌回到服务器组。
CLI :
paolo-9800(config)#aaa authentication login tacAutheMethod local group tacGroup
如果选择组类型作为组,并且没有下跌回到被检查的地方选择权, WLC根据服务器组检查用户。
CLI :
paolo-9800(config)#aaa authentication login tacAutheMethod group tacGroup
如果选择组类型作为组,并且回到地方选择权的划分为被检查, WLC根据服务器组将检查用户并且查询本地数据库,只有当服务器不回应。如果服务器发送拒绝,用户不会验证,即使在本地数据库也许存在。
CLI :
paolo-9800(config)#aaa authentication login tacAutheMethod group tacGroup local
在此设置,一些用户只创建本地和一些仅用户ISE服务器的,因此使用第一个选项。
步骤4.创建AAA认证exec方法对TACACS+服务器组的该点。 用户必须也授权为了是授权访问。从如镜像所显示的同一选项卡。
请使用使用认证方法在上一步本地/组的同一顺序,并且选择类型作为‘exec’。
从CLI :
paolo-9800(config)#aaa authorization exec tacAuthzMethod local group tacGroup
步骤5.分配方法到HTTP配置和到用于Telnet/SSH的VTY线路
这些步骤不可能从GUI被实行,因此他们需要从CLI完成。
- GUI验证:
paolo-9800(config)#ip http authentication aaa login-authentication tacAutheMethod paolo-9800(config)#ip http authentication aaa exec-authorization tacAuthzMethod
- Telnet/SSH验证:
paolo-9800(config)#line vty 0 15 paolo-9800(config-line)#login authentication tacAutheMethod
paolo-9800(config-line)#authorization exec tacAuthzMethod
注意:当执行变成HTTP配置时,重新启动HTTP和HTTPS服务是最佳的:
paolo-9800(config)#no ip http server paolo-9800(config)#no ip http secure-server paolo-9800(config)#ip http server paolo-9800(config)#ip http secure-server
TACACS+ ISE配置
步骤1.配置WLC作为TACACS+的网络设备:
注意在本例中, WLC为RADIUS已经被添加,因此单击编辑,并且移下来对TACACS认证设置,并且添加需要的机密:
注意:为了使用ISE作为TACACS+服务器,您必须有设备管理许可证包,和基础或移动性许可证。
并且,一旦许可证安装,您必须启用节点的设备Admin功能。要执行如此,请编辑节点部署节点在管理员>部署下,并且检查方框:
步骤2.创建TACACS配置文件,返回权限
为了DID配置, ‘adminuser’需要有权限级别15,将准许访问EXEC提示shell。
另一个用户, ‘helpdeskuser’不会需要EXEC提示shell访问,并且比15可以分配权限级别低。
要执行如此,请创建TACACS配置文件:
配置admin配置文件有权限15如下:
在Helpdesk配置文件,默认权限设置作为1。
步骤3.创建ISE的用户:
这是相同的象在RADIUS ISE配置的步骤3
步骤4.创建设置的设备Admin策略:
特定策略设置"IOS-9800",在本例中,过滤器请求用IP地址相等与示例9800 IP。
作为验证策略,我们留下默认规则和设置两个授权规则:
- 第一个被触发,当用户名是‘adminuser’时,它允许所有命令(通过默认‘Permit_all’)规则,并且分配权限15 (通过‘IOS_Admin)
- 第二个被触发,当用户名是‘helpdeskuser’时,它允许所有命令(通过默认‘Permit_all’)规则,并且分配权限15 (通过‘IOS_Helpdesk)
排除故障
为了排除故障对WLC's GUI或CLI的TACACS+访问,与‘term mon一起’发出‘debug tacacs’命令,和看到实际输出,当登录尝试被做。
‘adminuser’用户的成功登录尝试如下所示:
paolo-9800#terminal monitor paolo-9800#debug tacacs TACACS access control debugging is on paolo-9800# Apr 17 12:16:55.269: TPLUS: Queuing AAA Authentication request 0 for processing Apr 17 12:16:55.270: TPLUS(00000000) login timer started 1020 sec timeout Apr 17 12:16:55.270: TPLUS: processing authentication start request id 0 Apr 17 12:16:55.270: TPLUS: Authentication start packet created for 0(adminuser) Apr 17 12:16:55.270: TPLUS: Using server 10.48.71.92 Apr 17 12:16:55.270: TPLUS(00000000)/0/NB_WAIT/7FF771A25E18: Started 5 sec timeout Apr 17 12:16:55.271: TPLUS(00000000)/0/NB_WAIT: socket event 2 Apr 17 12:16:55.271: TPLUS(00000000)/0/NB_WAIT: wrote entire 29 bytes request Apr 17 12:16:55.271: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.272: TPLUS(00000000)/0/READ: Would block while reading Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 15 bytes data) Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: read entire 27 bytes response Apr 17 12:16:55.277: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet Apr 17 12:16:55.278: TPLUS: Received authen response status GET_PASSWORD (8) Apr 17 12:16:55.278: TPLUS: Queuing AAA Authentication request 0 for processing Apr 17 12:16:55.278: TPLUS(00000000) login timer started 1020 sec timeout Apr 17 12:16:55.279: TPLUS: processing authentication continue request id 0 Apr 17 12:16:55.279: TPLUS: Authentication continue packet generated for 0 Apr 17 12:16:55.279: TPLUS(00000000)/0/WRITE/7FF771A25E18: Started 5 sec timeout Apr 17 12:16:55.279: TPLUS(00000000)/0/WRITE: wrote entire 25 bytes request Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 103 bytes data) Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: read entire 115 bytes response Apr 17 12:16:55.302: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet Apr 17 12:16:55.302: TPLUS: Received authen response status PASS (2) Apr 17 12:16:55.303: TPLUS: Queuing AAA Authorization request 0 for processing Apr 17 12:16:55.303: TPLUS(00000000) login timer started 1020 sec timeout Apr 17 12:16:55.303: TPLUS: processing authorization request id 0 Apr 17 12:16:55.304: TPLUS: Inappropriate protocol: 25 Apr 17 12:16:55.304: TPLUS: Sending AV service=shell Apr 17 12:16:55.304: TPLUS: Sending AV cmd* Apr 17 12:16:55.304: TPLUS: Authorization request created for 0(adminuser) Apr 17 12:16:55.304: TPLUS: Using server 10.48.71.92 Apr 17 12:16:55.304: TPLUS(00000000)/0/NB_WAIT/7FF771A25E18: Started 5 sec timeout Apr 17 12:16:55.305: TPLUS(00000000)/0/NB_WAIT: socket event 2 Apr 17 12:16:55.305: TPLUS(00000000)/0/NB_WAIT: wrote entire 48 bytes request Apr 17 12:16:55.305: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.305: TPLUS(00000000)/0/READ: Would block while reading Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 18 bytes data) Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: read entire 30 bytes response Apr 17 12:16:55.335: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet Apr 17 12:16:55.335: TPLUS: Processed AV priv-lvl=15 Apr 17 12:16:55.335: TPLUS: received authorization response for 0: PASS Apr 17 12:16:55.335: AAA Proxy: Couldnt get the login info Apr 17 12:16:55.426: Socket I/O cleanup message sent to TACACS Apr 17 12:16:55.426: Socket I/O cleanup message sent to TACACS TPLUS Proc:SOCKET IO CLEANUP EVENT TPLUS Proc:SOCKET IO CLEANUP EVENT Apr 17 12:16:55.336: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host 10.149.4.75 by user 'adminuser' using crypto cipher 'ECDHE-RSA-AES256-GCM-SHA384'
能被看到TACACS+服务器返回正确权限‘AV priv-lvl=15
反而时,当执行RADIUS验证我们将有一相似的debug输出,关于RADIUS流量。
‘debug aaa authentication’和‘debug aaa authorization’将显示哪张方法列表由WLC选择,当使用设法登陆。
反馈