配置RADIUS和TACACS+ GUI和CLI认证的在9800个无线局域网控制器
简介
本文描述如何配置9800个无线局域网控制器(WLC) RADIUS或TACACS+外部认证的,当访问其图象用户界面(GUI)时或命令行界面(CLI)。
背景信息
当用户设法访问CLI或WLC的GUI,将提示输入用户名和密码。
默认情况下这些证件对用户本地数据库比较,是存在设备。
或者WLC可以被指示对一个远程AAA服务器比较输入证件:使用RADIUS或TACACS+, WLC能与服务器谈。
先决条件
要求
Cisco 建议您了解以下主题:
- Catalyst无线9800配置型号
- AAA、RADIUS和TACACS+概念
使用的组件
本文档中的信息基于以下软件和硬件版本:
- C9800-CL v16.10
- ISE 2.2.0
配置
在本例中我们将配置用户的两种类型AAA服务器(ISE), ‘各自adminuser’和‘helpdeskuser的’。
用户‘adminuser预计被授予全部存取WLC,而‘helpdeskuser’被认为只被授予监控程序priviliges WLC,因此没有配置访问。
首先我们将执行配置在WLC和在RADIUS认证的ISE,并且我们为TACACS+以后将执行同样。
RADIUS WLC配置
步骤1.指定RADIUS服务器
首先我们需要创建在WLC的RADIUS服务器ISE。
这可以从GUI WLC页https:// <WLC-IP>/webui/#/aaa执行:
一个弹出窗口与其他参数一起将打开,其中您能键入服务器名(不必须匹配ISE系统名称),其IP地址、共有的秘密和认证和记帐使用的端口。
从CLI :
paolo-9800(config)#radius server labISE paolo-9800(config-radius-server)# address ipv4 10.48.71.92 auth-port 1812 acct-port 1813 paolo-9800(config-radius-server)# key Cisco123
步骤2.映射RADIUS服务器给服务器组
万一有能使用认证的多个RADIUS服务器, recomanded映射所有这些服务器对同一个服务器组:WLC然后照料在服务器中的负载均衡不同的认证在服务器组中。
从同一个GUI选项:
在弹出式,请给予一个名字组,并且移动所需的服务器向分配的列表。
从CLI :
paolo-9800(config)#aaa group server radius radGroup paolo-9800(config-sg-radius)# server name labISE
步骤3.Create指向RADIUS服务器组的AAA认证登录方法
总是在GUI页https:// <WLC-IP>/webui/#/aaa,移动向AAA方法列表选项,和创建认证方法:
在弹出式,请给予一个名字方法,选择类型作为‘登录’,并且分配在上一步创建的组服务器。
注意:
- 如果选择组类型作为‘本地’ WLC首先将检查,如果用户存在本地,并且然后退路给服务器组
CLI :
paolo-9800(config)#aaa authentication login radAutheMethod local group radGroup
- 如果不选择组类型作为‘组’和退路对被检查的地方选择权, WLC根据服务器组将检查用户
CLI :
paolo-9800(config)#aaa authentication login radAutheMethod group radGroup
- 如果选择组类型作为‘组’,并且对地方选择权的退路被检查, WLC根据服务器组将检查用户和查询本地数据库,只有当服务器不回应:如果服务器发送拒绝,用户不会验证,即使在本地数据库可以存在
CLI :
paolo-9800(config)#aaa authentication login radAutheMethod group radGroup local
在此示例设置、wehave只被创建得本地的一些用户和一些仅用户ISE服务器的,因此我们使用第一个选项。
步骤4.Create指向RADIUS服务器组的AAA认证exec方法
用户必须也被认证为了是授权访问。从同一个选项:
请使用本地/认证方法使用的组同一顺序在上一步,并且选择类型作为‘exec’。
从CLI :
paolo-9800(config)#aaa authorization exec radAuthzMethod local group radGroup
步骤5.分配方法到HTTP配置和到用于Telnet/SSH的VTY线路
这些步骤不可能从GUI被实行,因此他们需要从CLI完成。
- GUI认证:
paolo-9800(config)#ip http authentication aaa login-authentication radAutheMethod paolo-9800(config)#ip http authentication aaa exec-authorization radAuthzMethod
- Telnet/SSH认证:
paolo-9800(config)#line vty 0 15 paolo-9800(config-line)#login authentication radAutheMethod
paolo-9800(config-line)#authorization exec radAuthzMethod
注意:当执行变成HTTP配置时,重新启动HTTP和HTTPS服务是最佳的:
paolo-9800(config)#no ip http server paolo-9800(config)#no ip http secure-server paolo-9800(config)#ip http server paolo-9800(config)#ip http secure-server
RADIUS ISE配置
步骤1.配置WLC作为RADIUS的网络设备:
在新建窗口,请添加IP地址,挑选RADIUS,并且键入在WLC使用的同一个共有的秘密。
步骤2.创建一个授权结果,返回权限
为了执行DID配置, ‘adminuser’需要有权限级别的15,将准许访问exec提示shell。
另一个用户, ‘helpdeskuser’不会需要exec及时shell访问,并且它可以指定权限级别更低比15。
要执行如此,请创建‘adminuser的’一个授权配置文件结果:
特别是, ‘adminuser的’配置文件必须看起来象:
创建然后一相似一个‘helpdeskuser的’,更改仅字符串'shell:priv-lvl=15到‘shell :priv-lvl=X’,和用期望权限级别替换X。
在本例中,我们使用1。
步骤3.Create ISE的用户:
证件产生用户将是您后将输入WLC,当验证时的那个。
步骤4.Authenticate用户:
在此方案中预先配置的ISE默认验证策略规则已经允许默认网络访问,因此没有需要更改它:
步骤5.Authorize用户:
在登录尝试通过认证策略后,需要被核准和ISE需要返回及早被创建的授权配置文件(许可证与权限级别一起接受)。
在本例中,我们过滤根据是WLC IP地址)的设备IP地址的登录尝试(并且区分根据用户名将被授予的权限级别。
另一有效方法将分配所有管理员用户到某一组和仅授予权限级别15属于这样组的用户。
TACACS+ WLC配置
步骤1.指定TACACS+服务器
首先我们需要创建在WLC的TACACS+服务器ISE。
这可以从GUI WLC页https:// <WLC-IP>/webui/#/aaa执行:
一个弹出窗口将打开,其中您能键入服务器名(不必须匹配ISE系统名称),其IP地址、共享密钥和端口使用的和超时。
从CLI :
paolo-9800(config)#tacacs server labISE paolo-9800(config-server-tacacs)# address ipv4 10.48.71.92 paolo-9800(config-server-tacacs)# key Cisco123
步骤2.Map对服务器组的TACACS+服务器
万一有能使用认证的多个TACACS+服务器,推荐映射所有这些服务器对同一个服务器组:WLC然后照料在服务器中的负载均衡不同的认证在服务器组中。
从同一个GUI选项:
在弹出式,请给予一个名字组,并且移动所需的服务器向分配的列表。
从CLI :
paolo-9800(config)#aaa group server tacacs+ tacGroup paolo-9800(config-sg-tacacs+)# server name labISE
步骤3.Create指向TACACS+服务器组的AAA认证登录方法
总是在GUI页https:// <WLC-IP>/webui/#/aaa,移动向AAA方法列表选项,和创建认证方法:
在弹出式,请给予一个名字方法,选择类型作为‘登录’,并且分配在上一步创建的组服务器。
注意:
- 如果选择组类型作为‘本地’ WLC首先将检查,如果用户存在本地,并且然后退路给服务器组
CLI :
paolo-9800(config)#aaa authentication login tacAutheMethod local group tacGroup
- 如果不选择组类型作为‘组’和退路对被检查的地方选择权, WLC根据服务器组将检查用户
CLI :
paolo-9800(config)#aaa authentication login tacAutheMethod group tacGroup
- 如果选择组类型作为‘组’,并且对地方选择权的退路被检查, WLC根据服务器组将检查用户和查询本地数据库,只有当服务器不回应:如果服务器发送拒绝,用户不会验证,即使在本地数据库可以存在
CLI :
paolo-9800(config)#aaa authentication login tacAutheMethod group tacGroup local
在此设置,一些用户只被创建得本地和一些仅用户ISE服务器的,因此我们使用第一个选项。
步骤4.Create指向TACACS+服务器组的AAA认证exec方法
用户必须也被认证为了是授权访问。从同一个选项:
请使用本地/认证方法使用的组同一顺序在上一步,并且选择类型作为‘exec’。
从CLI :
paolo-9800(config)#aaa authorization exec tacAuthzMethod local group tacGroup
步骤5.分配方法到HTTP配置和到用于Telnet/SSH的VTY线路
这些步骤不可能从GUI被实行,因此他们需要从CLI完成。
- GUI认证:
paolo-9800(config)#ip http authentication aaa login-authentication tacAutheMethod paolo-9800(config)#ip http authentication aaa exec-authorization tacAuthzMethod
- Telnet/SSH认证:
paolo-9800(config)#line vty 0 15 paolo-9800(config-line)#login authentication tacAutheMethod
paolo-9800(config-line)#authorization exec tacAuthzMethod
注意:当执行变成HTTP配置时,重新启动HTTP和HTTPS服务是最佳的:
paolo-9800(config)#no ip http server paolo-9800(config)#no ip http secure-server paolo-9800(config)#ip http server paolo-9800(config)#ip http secure-server
TACACS+ ISE配置
步骤1.配置WLC作为TACACS+的网络设备:
注意在本例中, WLC为RADIUS已经被添加,因此点击编辑,并且移下来到TACACS认证设置,并且添加需要的秘密:
注意:为了使用ISE作为TACACS+服务器,您必须有设备管理许可证程序包,和基础或移动性许可证。
并且,一旦安装许可证,您必须enable (event)节点的设备Admin功能。要执行如此,请编辑节点配置节点在管理员>配置下,并且检查机箱:
步骤2.创建TACACS配置文件,返回权限
为了DID配置, ‘adminuser’需要有权限级别的15,将准许访问exec提示shell。
另一个用户, ‘helpdeskuser’不会需要exec及时shell访问,并且它可以指定权限级别更低比15。
要执行如此,请创建TACACS配置文件:
用权限15配置admin配置文件如下:
在支持中心配置文件,默认权限设置作为1。
步骤3.创建ISE的用户:
这是相同的象在RADIUS ISE配置的第3步
步骤4.创建设置的一个设备Admin策略:
特定策略设置"IOS-9800",在本例中,过滤器请求用IP地址相等与示例9800 IP。
作为认证策略,我们留下默认规则和设置两个授权规则:
- 第一个被触发,当用户名是‘adminuser’时,它允许所有命令(通过默认值‘Permit_all’)规则,并且分配权限15 (通过‘IOS_Admin)
- 第二个被触发,当用户名是‘helpdeskuser’时,它允许所有命令(通过默认值‘Permit_all’)规则,并且分配权限15 (通过‘IOS_Helpdesk)
排除故障
为了排除对WLC's GUI或CLI的TACACS+访问故障,与‘term mon一起’发出‘debug tacacs’命令,和看到实际输出,当登录尝试被做。
‘adminuser’用户的一个成功的登录尝试如下所示:
paolo-9800#terminal monitor paolo-9800#debug tacacs TACACS access control debugging is on paolo-9800# Apr 17 12:16:55.269: TPLUS: Queuing AAA Authentication request 0 for processing Apr 17 12:16:55.270: TPLUS(00000000) login timer started 1020 sec timeout Apr 17 12:16:55.270: TPLUS: processing authentication start request id 0 Apr 17 12:16:55.270: TPLUS: Authentication start packet created for 0(adminuser) Apr 17 12:16:55.270: TPLUS: Using server 10.48.71.92 Apr 17 12:16:55.270: TPLUS(00000000)/0/NB_WAIT/7FF771A25E18: Started 5 sec timeout Apr 17 12:16:55.271: TPLUS(00000000)/0/NB_WAIT: socket event 2 Apr 17 12:16:55.271: TPLUS(00000000)/0/NB_WAIT: wrote entire 29 bytes request Apr 17 12:16:55.271: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.272: TPLUS(00000000)/0/READ: Would block while reading Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 15 bytes data) Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: read entire 27 bytes response Apr 17 12:16:55.277: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet Apr 17 12:16:55.278: TPLUS: Received authen response status GET_PASSWORD (8) Apr 17 12:16:55.278: TPLUS: Queuing AAA Authentication request 0 for processing Apr 17 12:16:55.278: TPLUS(00000000) login timer started 1020 sec timeout Apr 17 12:16:55.279: TPLUS: processing authentication continue request id 0 Apr 17 12:16:55.279: TPLUS: Authentication continue packet generated for 0 Apr 17 12:16:55.279: TPLUS(00000000)/0/WRITE/7FF771A25E18: Started 5 sec timeout Apr 17 12:16:55.279: TPLUS(00000000)/0/WRITE: wrote entire 25 bytes request Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 103 bytes data) Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: read entire 115 bytes response Apr 17 12:16:55.302: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet Apr 17 12:16:55.302: TPLUS: Received authen response status PASS (2) Apr 17 12:16:55.303: TPLUS: Queuing AAA Authorization request 0 for processing Apr 17 12:16:55.303: TPLUS(00000000) login timer started 1020 sec timeout Apr 17 12:16:55.303: TPLUS: processing authorization request id 0 Apr 17 12:16:55.304: TPLUS: Inappropriate protocol: 25 Apr 17 12:16:55.304: TPLUS: Sending AV service=shell Apr 17 12:16:55.304: TPLUS: Sending AV cmd* Apr 17 12:16:55.304: TPLUS: Authorization request created for 0(adminuser) Apr 17 12:16:55.304: TPLUS: Using server 10.48.71.92 Apr 17 12:16:55.304: TPLUS(00000000)/0/NB_WAIT/7FF771A25E18: Started 5 sec timeout Apr 17 12:16:55.305: TPLUS(00000000)/0/NB_WAIT: socket event 2 Apr 17 12:16:55.305: TPLUS(00000000)/0/NB_WAIT: wrote entire 48 bytes request Apr 17 12:16:55.305: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.305: TPLUS(00000000)/0/READ: Would block while reading Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 18 bytes data) Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: socket event 1 Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: read entire 30 bytes response Apr 17 12:16:55.335: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet Apr 17 12:16:55.335: TPLUS: Processed AV priv-lvl=15 Apr 17 12:16:55.335: TPLUS: received authorization response for 0: PASS Apr 17 12:16:55.335: AAA Proxy: Couldnt get the login info Apr 17 12:16:55.426: Socket I/O cleanup message sent to TACACS Apr 17 12:16:55.426: Socket I/O cleanup message sent to TACACS TPLUS Proc:SOCKET IO CLEANUP EVENT TPLUS Proc:SOCKET IO CLEANUP EVENT Apr 17 12:16:55.336: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host 10.149.4.75 by user 'adminuser' using crypto cipher 'ECDHE-RSA-AES256-GCM-SHA384'
能被看到TACACS+服务器返回正确的权限‘AV priv-lvl=15
反而时,当执行RADIUS认证我们将有一个相似的调试输出,关于RADIUS数据流。
‘debug aaa authentication’和‘debug aaa authorization’将显示哪张方法列表由WLC选择,当使用设法登陆。
反馈