تكوين صوت بهو WLC 9800 مع مصادقة RADIUS و TACACS+
المقدمة
يصف هذا المستند كيفية تكوين وحدات التحكم اللاسلكية Catalyst 9800 لمصادقة RADIUS و TACACS+ الخارجية لمستخدمي صوت البهو.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- نموذج تكوين Catalyst Wireless 9800
- مفاهيم المصادقة والتفويض والمحاسبة (AAA) و RADIUS و+TACACS
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- سلسلة وحدة التحكم اللاسلكية Catalyst 9800 (Catalyst 9800-CL)
- Cisco IOS® XE Gibraltar، الإصدار 16.12.1s
- ISE 2.3.0
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يتم إنشاء مستخدم "سفير اللوبي" من قبل مسؤول الشبكة. يمكن لمستخدم "سفير بهو" إنشاء اسم مستخدم ضيف وكلمة مرور ووصف وعمر. كما أنه يتضمن إمكانية حذف المستخدم الضيف. يمكن إنشاء المستخدم الضيف عبر واجهة المستخدم الرسومية (GUI) أو واجهة سطر الأوامر (CLI).
التكوين
الرسم التخطيطي للشبكة
في هذا المثال، يتم تكوين "اللوبي" الخاص بسفراء البهو و"لوبي تاك". الغرض من "بهو" سفير البهو هو المصادقة عليه مقابل خادم RADIUS بينما تتم مصادقة "البهوTAC" لسفير البهو مقابل TACACS+.
يتم إجراء التكوين أولا لسفير ردهة RADIUS وأخيرا لسفير ردهة TACACS+. كما تتم مشاركة تكوين RADIUS و+TACACS ISE.
مصادقة RADIUS
تكوين RADIUS على وحدة تحكم الشبكة المحلية اللاسلكية (WLC).
الخطوة 1. إعلان خادم RADIUS. خلقت ال ISE RADIUS نادل على ال WLC.
GUI:
انتقل إلى التكوين > التأمين > AAA > الخوادم/المجموعات > RADIUS > الخوادم > + الإضافة كما هو موضح في الصورة.
عندما يتم فتح نافذة التكوين، تكون معلمات التكوين الإلزامية هي اسم خادم RADIUS (لا يجب أن يطابق اسم نظام ISE/AAA) وعنوان IP لخادم RADIUS والسر المشترك. يمكن ترك أي معلمة أخرى بشكل افتراضي أو يمكن تكوينها كما ترغب.
CLI:
Tim-eWLC1(config)#radius server RadiusLobby
Tim-eWLC1(config-radius-server)#address ipv4 192.168.166.8 auth-port 1812 acct-port 1813
Tim-eWLC1(config-radius-server)#key 0 Cisco1234
Tim-eWLC1(config)#end
الخطوة 2. إضافة خادم RADIUS إلى مجموعة خوادم. قم بتحديد مجموعة خوادم وأضف خادم RADIUS الذي تم تكوينه. هذا هو خادم RADIUS المستخدم لمصادقة مستخدم "سفير البهو". في حالة وجود خوادم RADIUS متعددة تم تكوينها في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) التي يمكن إستخدامها للمصادقة، فالتوصية هي إضافة جميع خوادم RADIUS إلى مجموعة الخوادم نفسها. في حالة القيام بذلك، تتيح موازنة حمل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للمصادقة بين خوادم RADIUS في مجموعة الخوادم.
GUI:
انتقل إلى التكوين > التأمين > AAA > الخوادم / المجموعات > RADIUS > مجموعات الخوادم > + إضافة كما هو موضح في الصورة.
عند فتح نافذة التكوين لإعطاء اسم للمجموعة، انقل خوادم RADIUS التي تم تكوينها من قائمة الخوادم المتاحة إلى قائمة الخوادم المعينة.
CLI:
Tim-eWLC1(config)#aaa group server radius GroupRadLobby
Tim-eWLC1(config-sg-radius)#server name RadiusLobby
Tim-eWLC1(config-sg-radius)#end
الخطوة 3. إنشاء قائمة أساليب المصادقة. تحدد قائمة طرق المصادقة نوع المصادقة الذي تبحث عنه كما ترفق نفس الشيء بمجموعة الخوادم التي تقوم بتعريفها. أنت تعرف إن يتم المصادقة محليا على ال WLC أو خارجي إلى RADIUS نادل.
GUI:
انتقل إلى التكوين > التأمين > AAA > قائمة طرق AAA > المصادقة > + إضافة كما هو موضح في الصورة.
عند فتح نافذة التكوين، قم بتوفير اسم، ثم حدد خيار النوع لتسجيل الدخول ثم قم بتعيين مجموعة الخوادم التي تم إنشاؤها مسبقا.
نوع المجموعة كمحلي.
GUI:
إذا قمت بتحديد "نوع المجموعة" ك "محلي"، يتحقق عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أولا مما إذا كان المستخدم موجودا في قاعدة البيانات المحلية ثم يعود مرة أخرى إلى "مجموعة الخوادم" فقط في حالة عدم العثور على مستخدم "سفير باللوحة" في قاعدة البيانات المحلية.
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end
نوع المجموعة كمجموعة.
GUI:
إذا قمت بتحديد "نوع المجموعة" ك "مجموعة" ولم يتم تحديد أي رد إحتياطي للخيار المحلي، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) سيقوم فقط بالتحقق من المستخدم مقابل "مجموعة الخوادم" ولن يقوم بإيداع قاعدة البيانات المحلية الخاصة به.
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end
تم تحديد نوع المجموعة كمجموعة والخيار الاحتياطي إلى المحلي.
GUI:
إذا قمت بتحديد "نوع المجموعة" ك"مجموعة" وتم تحديد الخيار الاحتياطي للخيار المحلي، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) سيقوم بفحص المستخدم مقابل مجموعة الخوادم وسيقوم باستعلام قاعدة البيانات المحلية فقط إذا كان خادم RADIUS قد خرج في الاستجابة. إذا استجاب الخادم، فلن يقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بتشغيل مصادقة محلية.
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end
الخطوة 4. إنشاء قائمة طرق التخويل. تحدد قائمة طرق التخويل نوع التخويل الذي تحتاج إليه لسفير "اللوبي" والذي سيكون في هذه الحالة "exec". كما سيتم إرفاقه بنفس مجموعة الخوادم المحددة. كما سيسمح بتحديد ما إذا كانت المصادقة ستتم محليا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أو خارج خادم RADIUS.
GUI:
انتقل إلى التكوين > الأمن > AAA > قائمة أساليب AAA > التفويض > + إضافة كما هو موضح في الصورة.
عندما يتم فتح نافذة التكوين لتوفير اسم، حدد خيار النوع ك 'exec' وعينت مجموعة الخوادم التي تم إنشاؤها مسبقا.
كن على علم بأن نوع المجموعة يطبق نفس الطريقة التي تم شرحها بها في قسم قائمة طرق المصادقة.
CLI:
نوع المجموعة كمحلي.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end
نوع المجموعة كمجموعة.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end
تم تحديد نوع المجموعة كمجموعة والخيار الاحتياطي إلى محلي.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end
الخطوة 5. قم بتعيين الأساليب. بمجرد تكوين الطرق، يجب تعيينها إلى خيارات تسجيل الدخول إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لإنشاء المستخدم الضيف مثل خط vty (SSH/Telnet) أو HTTP (GUI).
لا يمكن تنفيذ هذه الخطوات من واجهة المستخدم الرسومية (GUI)، وبالتالي يجب القيام بها من واجهة سطر الأوامر.
مصادقة HTTP/GUI:
Tim-eWLC1(config)#ip http authentication aaa login-authentication AuthenLobbyMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozLobbyMethod
Tim-eWLC1(config)#end
عند إجراء تغييرات على تكوينات HTTP، من الأفضل إعادة تشغيل خدمات HTTP و HTTPS:
Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end
خط vty.
Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AuthenLobbyMethod
Tim-eWLC1(config-line)#authorization exec AuthozLobbyMethod
Tim-eWLC1(config-line)#end
الخطوة 6. هذه الخطوة مطلوبة فقط في إصدارات البرامج قبل 17.5.1 أو 17.3.3 ولا تكون مطلوبة بعد تلك الإصدارات حيث CSCvu29748
تم تنفيذ. قم بتعريف المستخدم البعيد. يجب تعريف اسم المستخدم الذي تم إنشاؤه على ISE ل Lobby Ambassador كاسم مستخدم بعيد على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). إذا لم يتم تعريف اسم المستخدم البعيد في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، فسيتم إجراء المصادقة بشكل صحيح، ومع ذلك، سيتم منح المستخدم حق الوصول الكامل إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بدلا من الوصول فقط إلى امتيازات "سفير باللوحة". يمكن تنفيذ هذا التكوين فقط عبر واجهة سطر الأوامر (CLI).
CLI:
Tim-eWLC1(config)#aaa remote username lobby
تكوين ISE - RADIUS
الخطوة 1. إضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى ISE. انتقل إلى إدارة > موارد الشبكة > أجهزة الشبكة > إضافة. يلزم إضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى ISE. عندما تقوم بإضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى ISE، قم بتمكين إعدادات مصادقة RADIUS وقم بتكوين المعلمات المطلوبة كما هو موضح في الصورة.
عندما يفتح نافذة التكوين، قم بتوفير اسم، وإضافة IP، وتمكين إعدادات مصادقة RADIUS وتحت بروتوكول RADIUS أدخل السر المشترك المطلوب.
الخطوة 2. قم بإنشاء مستخدم "مندوب الضغط" على ISE. انتقل إلى إدارة > إدارة الهوية > هويات > مستخدمين > إضافة.
أضف إلى ISE اسم المستخدم وكلمة المرور المعينين لسفير ساحة الانتظار الذي يقوم بإنشاء المستخدمين الضيوف. هذا هو اسم المستخدم الذي سيقوم المسؤول بتعيينه لسفير البهو.
عند فتح نافذة التكوين، قم بتوفير الاسم وكلمة المرور لمستخدم "سفير لوحة الانتظار". تأكد أيضا من تمكين الحالة.
الخطوة 3. إنشاء ملف تعريف تخويل النتائج. انتقل إلى السياسة > عناصر السياسة > النتائج > التفويض > ملفات تخصيص التفويض > إضافة. قم بإنشاء ملف تعريف تخويل النتيجة للعودة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) وقبول الوصول بالسمات المطلوبة كما هو موضح في الصورة.
تأكد من تكوين التوصيف لإرسال قبول وصول كما هو موضح في الصورة.
ستحتاج إلى إضافة السمات يدويا تحت إعدادات الخصائص المتقدمة. يلزم توفر السمات لتعريف المستخدم كسفير للواجهة ولتوفير الامتياز للسماح لسفير اللوبي بإجراء التغييرات المطلوبة.
الخطوة 4. قم بإنشاء سياسة لمعالجة المصادقة. انتقل إلى السياسة > مجموعات السياسات > إضافة. تعتمد شروط تكوين السياسة على قرار المسؤول. يتم إستخدام الشرط Network Access-username وبروتوكول الوصول إلى الشبكة الافتراضي هنا.
من الضروري التأكد تحت نهج التخويل أن ملف التعريف الذي تم تكوينه بموجب "تخويل النتائج" محدد بهذه الطريقة يمكنك إرجاع السمات المطلوبة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) كما هو موضح في الصورة.
عند فتح نافذة التكوين، قم بتكوين نهج التخويل. يمكن ترك نهج المصادقة كافتراضي.
مصادقة TACACS+
تكوين TACACS+ على WLC
الخطوة 1. إعلان خادم TACACS+. قم بإنشاء خادم ISE TACACS في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
GUI:
انتقل إلى التكوين > التأمين > AAA > الخوادم/المجموعات > TACACS+ > الخوادم > + إضافة كما هو موضح في الصورة.
عند فتح نافذة التكوين، تكون معلمات التكوين الإلزامية هي اسم خادم TACACS+ (ولا يجب أن تطابق اسم نظام ISE/AAA) وعنوان IP لخادم TACACS والسر المشترك. يمكن ترك أي معلمة أخرى افتراضية أو يمكن تكوينها حسب الحاجة.
CLI:
Tim-eWLC1(config)#tacacs server TACACSLobby
Tim-eWLC1(config-server-tacacs)#address ipv4 192.168.166.8
Tim-eWLC1(config-server-tacacs)#key 0 Cisco123
Tim-eWLC1(config-server-tacacs)#end
الخطوة 2. إضافة خادم TACACS+ إلى مجموعة خوادم. قم بتحديد مجموعة خوادم وأضف خادم TACACS+ المطلوب الذي تم تكوينه. ستكون هذه خوادم TACACS+ المستخدمة للمصادقة.
GUI:
انتقل إلى التكوين > التأمين > AAA > الخوادم / المجموعات > TACACS > مجموعات الخوادم > + إضافة كما هو موضح في الصورة.
عند فتح نافذة التكوين، قم بتسمية المجموعة ونقل خوادم TACACS+ المطلوبة من قائمة الخوادم المتاحة إلى قائمة الخوادم المعينة.
CLI:
Tim-eWLC1(config)#aaa group server tacacs+ GroupTacLobby
Tim-eWLC1(config-sg-tacacs+)#server name TACACSLobby
Tim-eWLC1(config-sg-tacacs+)#end
الخطوة 3. إنشاء قائمة أساليب المصادقة. تحدد قائمة طرق المصادقة نوع المصادقة المطلوب وأيضا ستقوم بإرفاقه بمجموعة الخوادم التي تم تكوينها. وهو يسمح أيضا بتحديد ما إذا كان يمكن إجراء المصادقة محليا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أو خارج خادم TACACS+.
GUI:
انتقل إلى التكوين > التأمين > AAA > قائمة طرق AAA > المصادقة > + إضافة كما هو موضح في الصورة.
عند فتح نافذة التكوين، قم بتوفير اسم، ثم حدد خيار النوع لتسجيل الدخول ثم قم بتعيين مجموعة الخوادم التي تم إنشاؤها مسبقا.
نوع المجموعة كمحلي.
GUI:
إذا قمت بتحديد "نوع المجموعة" ك "محلي"، سيقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أولا بالتحقق مما إذا كان المستخدم موجودا في قاعدة البيانات المحلية، ثم سيقوم بالنسخ الاحتياطي إلى "مجموعة الخوادم" فقط في حالة عدم العثور على مستخدم "سفير البهو" في قاعدة البيانات المحلية.
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end
نوع المجموعة كمجموعة.
GUI:
إذا قمت بتحديد "نوع المجموعة" كمجموعة ولم يتم تحديد خيار إحتياطي للخيار المحلي، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) سيقوم فقط بالتحقق من المستخدم مقابل مجموعة الخوادم ولن يقوم بإيداع قاعدة البيانات المحلية الخاصة به.
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby
Tim-eWLC1(config)#end
تم تحديد نوع المجموعة كمجموعة والخيار الاحتياطي إلى محلي.
GUI:
إذا قمت بتحديد "نوع المجموعة" ك"مجموعة" وتم تحديد الخيار "الرجوع إلى المحلي"، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) سيقوم بفحص المستخدم مقابل مجموعة الخوادم وسيقوم باستعلام قاعدة البيانات المحلية فقط في حالة خروج خادم TACACS في الاستجابة. في حالة إرسال الخادم لرفض، لا تتم مصادقة المستخدم، حتى في حالة وجوده على قاعدة البيانات المحلية.
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end
الخطوة 4. إنشاء قائمة طرق التخويل.
ستحدد قائمة طرق التخويل نوع التخويل المطلوب ل "سفير ساحة الانتظار" والذي سيكون في هذه الحالة exec. كما أنها متصلة بنفس مجموعة الخوادم التي تم تكوينها. كما يسمح بتحديد ما إذا كانت المصادقة تتم محليا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أو خارج خادم TACACS+.
GUI:
انتقل إلى التكوين > الأمن > AAA > قائمة أساليب AAA > التفويض > + إضافة كما هو موضح في الصورة.
عند فتح نافذة التكوين، قم بتوفير اسم، وحدد خيار النوع كexec، ثم قم بتعيين مجموعة الخوادم التي تم إنشاؤها مسبقا.
كن على علم بأن "نوع المجموعة" يطبق نفس الطريقة التي يتم شرحها بها في جزء "قائمة طرق المصادقة".
CLI:
نوع المجموعة كمحلي.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end
نوع المجموعة كمجموعة.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby
Tim-eWLC1(config)#end
تم تحديد "نوع المجموعة" كمجموعة و"الخيار البديل إلى محلي".
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end
الخطوة 5. قم بتعيين الأساليب. ما إن شكلت الطرق، هم ينبغي كنت عينت إلى الخيار in order to login إلى ال WLC أن يخلق الضيف مستعمل مثل خط vty أو HTTP (gui). لا يمكن تنفيذ هذه الخطوات من واجهة المستخدم الرسومية (GUI)، وبالتالي يجب القيام بها من واجهة سطر الأوامر.
مصادقة HTTP/GUI:
Tim-eWLC1(config)#ip http authentication aaa login-authentication AutheTacMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozTacMethod
Tim-eWLC1(config)#end
عند إجراء تغييرات على تكوينات HTTP، من الأفضل إعادة تشغيل خدمات HTTP و HTTPS:
Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end
خط vty:
Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AutheTacMethod
Tim-eWLC1(config-line)#authorization exec AuthozTacMethod
Tim-eWLC1(config-line)#end
الخطوة 6. قم بتعريف المستخدم البعيد. يجب تعريف اسم المستخدم الذي تم إنشاؤه على ISE ل Lobby Ambassador كاسم مستخدم بعيد على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). إذا لم يتم تعريف اسم المستخدم البعيد في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، فسيتم إجراء المصادقة بشكل صحيح، ومع ذلك، سيتم منح المستخدم حق الوصول الكامل إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بدلا من الوصول فقط إلى امتيازات "سفير باللوحة". يمكن تنفيذ هذا التكوين فقط عبر واجهة سطر الأوامر (CLI).
CLI:
Tim-eWLC1(config)#aaa remote username lobbyTac
تكوين ISE - TACACS+
الخطوة 1. قم بتمكين مسؤول الجهاز. انتقل إلى الإدارة > النظام > النشر. قبل المتابعة بأي طريقة أخرى، حدد تمكين خدمة إدارة الأجهزة وتأكد من تمكين ISE كما هو موضح في الصورة.
الخطوة 2. إضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى ISE. انتقل إلى إدارة > موارد الشبكة > أجهزة الشبكة > إضافة. يلزم إضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى ISE. عندما تقوم بإضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى ISE، قم بتمكين إعدادات مصادقة TACACS+ وقم بتكوين المعلمات المطلوبة كما هو موضح في الصورة.
عند فتح نافذة التكوين لتوفير اسم، قم بتمكين إعدادات مصادقة TACACS+ وإدخال "السر المشترك" المطلوب.
الخطوة 3. قم بإنشاء مستخدم "مندوب الضغط" على ISE. انتقل إلى إدارة > إدارة الهوية > هويات > مستخدمين > إضافة. قم بإضافة اسم المستخدم وكلمة المرور إلى ISE، اللذين تم تعيينهما إلى "سفير البهو" الذي سيقوم بإنشاء المستخدمين الضيوف. هذا هو اسم المستخدم الذي يعينه المسؤول لسفير البهو كما هو موضح في الصورة.
عند فتح نافذة التكوين، قم بتوفير الاسم وكلمة المرور لمستخدم "سفير لوحة الانتظار". تأكد أيضا من تمكين الحالة.
الخطوة 4. إنشاء ملف تعريف TACACS+ للنتائج. انتقل إلى مراكز العمل > إدارة الأجهزة > عناصر السياسة > النتائج > ملفات تعريف TACACS كما هو موضح في الصورة. مع ملف التعريف هذا، ارجع السمات المطلوبة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لوضع المستخدم كسفير لساحة الانتظار.
عند فتح نافذة التكوين، قم بتوفير اسم لملف التعريف، قم أيضا بتكوين امتياز افتراضي 15 وسمة مخصصة كنوع إلزامي، والاسم كنوع مستخدم والقيمة lobby-admin. أيضا، دع نوع المهمة العامة يكون محددا ك Shell كما هو موضح في الصورة.
الخطوة 5. إنشاء مجموعة نهج. انتقل إلى مراكز العمل > إدارة الأجهزة > مجموعات سياسات إدارة الأجهزة كما هو موضح في الصورة. تعتمد شروط تكوين السياسة على قرار المسؤول. بالنسبة لهذا المستند، يتم إستخدام شرط Network Access-username وبروتوكول إدارة الجهاز الافتراضي. من الضروري التأكد بموجب نهج التخويل من تحديد ملف التعريف الذي تم تكوينه بموجب "تفويض النتائج"، بهذه الطريقة يمكنك إرجاع السمات المطلوبة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
عند فتح نافذة التكوين، قم بتكوين نهج التخويل. يمكن ترك نهج المصادقة كإعداد افتراضي كما هو موضح في الصورة.
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
show run aaa
show run | sec remote
show run | sec http
show aaa method-lists authentication
show aaa method-lists authorization
show aaa servers
show tacacs
هذا ما تبدو عليه واجهة المستخدم الرسومية (GUI) في البهو بعد نجاح المصادقة.
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
مصادقة RADIUS
لمصادقة RADIUS، يمكن إستخدام عمليات تصحيح الأخطاء هذه:
Tim-eWLC1#debug aaa authentication
Tim-eWLC1#debug aaa authorization
Tim-eWLC1#debug aaa attr
Tim-eWLC1#terminal monitor
تأكد من تحديد قائمة الطرق الصحيحة من تصحيح الأخطاء. كما يتم إرجاع السمات المطلوبة بواسطة خادم ISE باسم المستخدم ونوع المستخدم والامتياز المناسب.
Feb 5 02:35:27.659: AAA/AUTHEN/LOGIN (00000000): Pick method list 'AuthenLobbyMethod'
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(0):
7FBA5500C870 0 00000081 username(450) 5 lobby
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(1):
7FBA5500C8B0 0 00000001 user-type(1187) 4 lobby-admin
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(2):
7FBA5500C8F0 0 00000001 priv-lvl(335) 4 15(F)
Feb 5 02:35:27.683: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host
192.168.166.104 by user 'lobby' using crypto cipher 'ECDHE-RSA-AES128-GCM-SHA256'
مصادقة TACACS+
لمصادقة TACACS+، يمكن إستخدام تصحيح الأخطاء هذا:
Tim-eWLC1#debug tacacs
Tim-eWLC1#terminal monitor
تأكد من معالجة المصادقة باستخدام اسم المستخدم الصحيح وإضافة ISE IP. كما يجب ملاحظة الحالة "PASS". في نفس تصحيح الأخطاء، مباشرة بعد مرحلة المصادقة، سيتم عرض عملية التخويل. في هذا التفويض، تضمن المرحلة إستخدام اسم المستخدم الصحيح مع إضافة ISE IP الصحيحة. من هذه المرحلة، يمكنك رؤية السمات التي تم تكوينها على ISE والتي تشير إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) كمستخدم ل "سفير جماعات الضغط" مع الامتيازات المناسبة.
مثال مرحلة المصادقة:
Feb 5 02:06:48.245: TPLUS: Queuing AAA Authentication request 0 for processing
Feb 5 02:06:48.245: TPLUS: Authentication start packet created for 0(lobbyTac)
Feb 5 02:06:48.245: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.250: TPLUS: Received authen response status GET_PASSWORD (8)
Feb 5 02:06:48.266: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.266: TPLUS: Received authen response status PASS (2)
مثال مرحلة التخويل:
Feb 5 02:06:48.267: TPLUS: Queuing AAA Authorization request 0 for processing
Feb 5 02:06:48.267: TPLUS: Authorization request created for 0(lobbyTac)
Feb 5 02:06:48.267: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.279: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.279: TPLUS: Processed AV priv-lvl=15
Feb 5 02:06:48.279: TPLUS: Processed AV user-type=lobby-admin
Feb 5 02:06:48.279: TPLUS: received authorization response for 0: PASS
تحتوي أمثلة تصحيح الأخطاء المذكورة سابقا ل RADIUS و TACACS+ على الخطوات الأساسية لتسجيل الدخول الناجح. التصحيح أكثر تفصيلا والإخراج سيكون أكبر. لتعطيل تصحيح الأخطاء، يمكن إستخدام هذا الأمر:
Tim-eWLC1#undebug all
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
18-Jun-2020 |
الإصدار الأولي |
التعليقات