Konfigurieren von TACACS+ für die Geräteadministration des Cisco WLC

Download-Optionen

  • PDF     (1.4 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.2 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.0 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:10. Januar 2020
Dokument-ID:215125

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Konfiguration von TACACS+ für die Geräteadministration des Cisco Wireless LAN Controllers (WLC) mit Identity Service Engine (ISE) beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Grundkenntnisse der Identity Service Engine (ISE)
    • Grundkenntnisse des Cisco Wireless LAN Controllers (WLC)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Identity Service Engine 2.4
    • Cisco Wireless LAN Controller 8.5.135

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfiguration

    Schritt 1: Überprüfen Sie die Device Administration-Lizenz.

    Navigieren Sie zu Administration > System > Licensing (Verwaltung > System > Lizenzierung), und überprüfen Sie, ob die Device Admin-Lizenz installiert ist, wie im Bild gezeigt.


    Geräte-Admin

    Hinweis: Für die Verwendung der TACACS+-Funktion auf der ISE ist eine Geräteadministratorlizenz erforderlich.

    Schritt 2: Aktivieren Sie die Geräteadministration auf ISE-PSN-Knoten.

    Navigieren Sie zu Work Centers > Device Administration > Overview, klicken Sie auf die Registerkarte Deployment, und wählen Sie das Optionsfeld Specific PSN Node (Spezifischer PSN-Knoten) Aktivieren Sie die Geräteadministration auf dem ISE-Knoten, indem Sie das Kontrollkästchen aktivieren und auf Speichern klicken, wie in der Abbildung dargestellt:



    Geräte-Admin

    Schritt 3: Erstellen einer Netzwerkgerätegruppe

    Um WLC als Netzwerkgerät zur ISE hinzuzufügen, navigieren Sie zu Administration > Network Resources > Network Device Groups > All Device Types, erstellen Sie eine neue Gruppe für WLC, wie im Bild gezeigt:

    DOC

    Dok. 1

    Schritt 4: WLC als Netzwerkgerät hinzufügen.

    Navigieren Sie zu Work Centers > Device Administration > Network Resources > Network Devices. Klicken Sie auf Hinzufügen, geben Sie einen Namen und eine IP-Adresse an, und wählen Sie den Gerätetyp als WLC aus, aktivieren Sie das Kontrollkästchen TACACS+-Authentifizierungseinstellungen, und geben Sie den Schlüssel für den gemeinsamen geheimen Schlüssel an, wie in der Abbildung dargestellt:

    WLCD-Gerät hinzufügen

    Schritt 5: Erstellen Sie ein TACACS-Profil für WLC.

    Navigieren Sie zu Work Centers > Device Administration > Policy Elements > Results > TACACS Profiles. Klicken Sie auf Hinzufügen, und geben Sie einen Namen an. Wählen Sie auf der Registerkarte Aufgabenattribut-Ansicht die Option WLC für den allgemeinen Aufgabentyp aus. Es sind Standardprofile vorhanden, aus denen Überwachen ausgewählt wird, um den Zugriff für Benutzer einzuschränken, wie im Bild gezeigt.

    WLCMonitor

    Es gibt ein weiteres Standardprofil All, das den vollständigen Zugriff auf den Benutzer ermöglicht, wie im Bild dargestellt.


    WLC-Alle

    Schritt 6: Erstellen eines Policy Sets.


    Navigieren Sie zu Work Centers > Device Administration > Device Admin Policy Sets. Klicken Sie auf (+), und geben Sie dem Richtliniensatz einen Namen. Wählen Sie in der Richtlinienbedingung Device Type (Gerätetyp) als WLC aus, und wählen Sie Allowed Protocols (Zulässige Protokolle) als Default Device Admin (Standardgeräteadministrator) aus, wie im Bild dargestellt.

    Richtliniensatz1

    Schritt 7. Erstellen von Authentifizierungs- und Autorisierungsrichtlinien.

    In diesem Dokument werden zwei Beispielgruppen Admin-Read-Write und Admin-Read-Only im Active Directory und ein Benutzer in jeder Gruppe admin1 bzw. admin2 konfiguriert. Active Directory wird über einen Joinpoint mit dem Namen AD-JointName in die ISE integriert.

    Erstellen Sie zwei Autorisierungsrichtlinien, wie im Bild gezeigt:

    DOC-11

    Schritt 8: Konfigurieren Sie den WLC für die Geräteadministration.

    Navigieren Sie zu Security > AAA > TACACS+, klicken Sie auf New, und fügen Sie Authentication, Accounting Server hinzu, wie im Bild dargestellt.

    WLC1

    WLC 2

    Ändern Sie die Prioritätsreihenfolge, und legen Sie TACACS+ oben und Local unten fest, wie in der Abbildung dargestellt:

    WLC 3

    Achtung: Schließen Sie die aktuelle WLC-GUI-Sitzung nicht. Es wird empfohlen, die WLC-Benutzeroberfläche in einem anderen Webbrowser zu öffnen und zu überprüfen, ob die Anmeldung mit TACACS+-Anmeldeinformationen funktioniert. Wenn nicht, überprüfen Sie die Konfiguration und die Verbindung zum ISE-Knoten auf TCP-Port 49.

    Überprüfung


    Navigieren Sie zu Operations > TACACS > Live Logs, und überwachen Sie die Live Logs. Öffnen Sie die grafische Benutzeroberfläche von WLC, und melden Sie sich mit den Active Directory-Benutzeranmeldeinformationen an, wie im Bild dargestellt.

    Dok12

    Fehlerbehebung

    Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    29-Dec-2019
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Pankaj Kumar
      Cisco TAC Engineer
    • Prashant Joshi
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.