Konfigurieren des 9800 WLC Lobby Ambassador mit RADIUS- und TACACS+-Authentifizierung
Inhalt
Einleitung
In diesem Dokument wird die Konfiguration der Catalyst 9800 Wireless Controller für die externe RADIUS- und TACACS+-Authentifizierung von Lobby Ambassador-Benutzern beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Catalyst Wireless 9800-Konfigurationsmodell
- AAA-, RADIUS- und TACACS+-Konzepte
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Catalyst Wireless Controller der Serie 9800 (Catalyst 9800-CL)
- Cisco IOS® XE Gibraltar 16.12.1s
- ISE 2.3.0
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Der Lobby Ambassador-Benutzer wird vom Administrator des Netzwerks erstellt. Ein Lobby Ambassador-Benutzer kann einen Gastbenutzernamen, ein Passwort, eine Beschreibung und eine Lebensdauer erstellen. Darüber hinaus können Sie den Gastbenutzer löschen. Der Gastbenutzer kann über die Benutzeroberfläche oder die CLI erstellt werden.
Konfigurieren
Netzwerkdiagramm
In diesem Beispiel sind die Lobby Ambassadors "lobby" und "lobbyTac" konfiguriert. Der Lobby Ambassador "lobby" soll gegen den RADIUS Server und der Lobby Ambassador "lobbyTac" gegen TACACS+ authentifiziert werden.
Die Konfiguration erfolgt zunächst für den RADIUS Lobby Ambassador und schließlich für den TACACS+ Lobby Ambassador. Die Konfiguration für RADIUS und TACACS+ ISE wird ebenfalls gemeinsam genutzt.
RADIUS authentifizieren
Konfigurieren von RADIUS auf dem Wireless LAN Controller (WLC)
Schritt 1: Deklarieren Sie den RADIUS-Server. Erstellen Sie den ISE RADIUS-Server auf dem WLC.
GUI:
Navigieren Sie zu Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add (Konfiguration > Sicherheit > AAA > Server/Gruppen > RADIUS > Server > + Hinzufügen wie im Bild dargestellt.
Wenn das Konfigurationsfenster geöffnet wird, sind die obligatorischen Konfigurationsparameter der RADIUS-Servername (er muss nicht mit dem ISE/AAA-Systemnamen übereinstimmen), die IP-ADRESSE des RADIUS-Servers und der gemeinsame geheime Schlüssel. Alle anderen Parameter können als Standard beibehalten oder nach Wunsch konfiguriert werden.
CLI:
Tim-eWLC1(config)#radius server RadiusLobby
Tim-eWLC1(config-radius-server)#address ipv4 192.168.166.8 auth-port 1812 acct-port 1813
Tim-eWLC1(config-radius-server)#key 0 Cisco1234
Tim-eWLC1(config)#end
Schritt 2: Hinzufügen des RADIUS-Servers zu einer Servergruppe Definieren Sie eine Servergruppe, und fügen Sie den konfigurierten RADIUS-Server hinzu. Dies ist der RADIUS-Server, der für die Authentifizierung des Lobby Ambassador-Benutzers verwendet wird. Wenn im WLC mehrere RADIUS-Server konfiguriert sind, die für die Authentifizierung verwendet werden können, wird empfohlen, alle RADIUS-Server zur gleichen Servergruppe hinzuzufügen. In diesem Fall können Sie die Authentifizierungen auf den RADIUS-Servern in der Servergruppe vom WLC-Lastenausgleich vornehmen lassen.
GUI:
Navigieren Sie zu Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add (Konfiguration > Sicherheit > AAA > Server/Gruppen > RADIUS > Servergruppen > + Hinzufügen wie im Bild dargestellt.
Wenn das Konfigurationsfenster geöffnet wird, um der Gruppe einen Namen zu geben, verschieben Sie die konfigurierten RADIUS-Server aus der Liste "Verfügbare Server" in die Liste "Zugewiesene Server".
CLI:
Tim-eWLC1(config)#aaa group server radius GroupRadLobby
Tim-eWLC1(config-sg-radius)#server name RadiusLobby
Tim-eWLC1(config-sg-radius)#end
Schritt 3: Erstellen einer Liste von Authentifizierungsmethoden Die Liste der Authentifizierungsmethoden definiert den Authentifizierungstyp, den Sie suchen, und fügt diesen Typ auch der von Ihnen definierten Servergruppe an. Sie wissen, ob die Authentifizierung lokal auf dem WLC oder extern bei einem RADIUS-Server erfolgt.
GUI:
Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authentication > + Add, wie im Bild dargestellt.
Wenn das Konfigurationsfenster geöffnet wird, geben Sie einen Namen ein, wählen Sie die Typoption Anmelden aus, und weisen Sie die zuvor erstellte Servergruppe zu.
Gruppentyp ist lokal.
GUI:
Wenn Sie Group Type (Gruppentyp) als 'local' (lokal) auswählen, prüft der WLC zunächst, ob der Benutzer in der lokalen Datenbank vorhanden ist, und greift dann nur dann auf die Server Group zurück, wenn der Lobby Ambassador-Benutzer nicht in der lokalen Datenbank gefunden wurde.
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end
Gruppentyp als Gruppe.
GUI:
Wenn Sie Gruppentyp als 'Gruppe' auswählen und keine Fallback-to-Local-Option aktiviert ist, prüft der WLC den Benutzer nur mit der Servergruppe und checkt seine lokale Datenbank nicht ein.
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end
Gruppentyp als Gruppe, und die Option Fallback to local ist aktiviert.
GUI:
Wenn Sie Gruppentyp als 'Gruppe' auswählen und die Option Fallback to local aktiviert ist, prüft der WLC den Benutzer anhand der Servergruppe und fragt die lokale Datenbank nur ab, wenn der RADIUS-Server in der Antwort eine Zeitüberschreitung aufweist. Wenn der Server antwortet, löst der WLC keine lokale Authentifizierung aus.
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end
Schritt 4: Erstellen Sie eine Liste mit Autorisierungsmethoden. Die Liste der Autorisierungsmethoden definiert den Autorisierungstyp, den Sie für den Lobby-Botschafter benötigen, der in diesem Fall 'exec' lautet. Er wird außerdem mit derselben definierten Servergruppe verbunden. Außerdem kann ausgewählt werden, ob die Authentifizierung lokal auf dem WLC oder extern bei einem RADIUS-Server erfolgt.
GUI:
Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authorization > + Add (Konfiguration > Sicherheit > AAA > AAA-Methodenliste > Autorisierung > + Hinzufügen), wie in der Abbildung dargestellt.
Wenn das Konfigurationsfenster geöffnet wird, um einen Namen anzugeben, wählen Sie die Typoption als 'exec' aus, und weisen Sie die zuvor erstellte Servergruppe zu.
Beachten Sie, dass der Gruppentyp auf die gleiche Weise angewendet wird, wie er im Abschnitt Liste der Authentifizierungsmethoden beschrieben wurde.
CLI:
Gruppentyp ist lokal.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end
Gruppentyp als Gruppe.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end
Gruppentyp als Gruppe, und die Option Fallback to local ist aktiviert.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end
Schritt 5: Weisen Sie die Methoden zu. Nach der Konfiguration der Methoden müssen diese den Optionen für die Anmeldung beim WLC zugewiesen werden, um den Gastbenutzer wie die VTY-Leitung (SSH/Telnet) oder HTTP (GUI) zu erstellen.
Diese Schritte können nicht über die GUI ausgeführt werden, daher müssen sie über die CLI ausgeführt werden.
HTTP/GUI-Authentifizierung:
Tim-eWLC1(config)#ip http authentication aaa login-authentication AuthenLobbyMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozLobbyMethod
Tim-eWLC1(config)#end
Wenn Sie Änderungen an den HTTP-Konfigurationen vornehmen, ist es am besten, die HTTP- und HTTPS-Dienste neu zu starten:
Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end
Anschluss VTY.
Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AuthenLobbyMethod
Tim-eWLC1(config-line)#authorization exec AuthozLobbyMethod
Tim-eWLC1(config-line)#end
Schritt 6: Dieser Schritt ist nur in Softwareversionen vor 17.5.1 oder 17.3.3 erforderlich und nicht nach den Versionen, in denen CSCvu29748 implementiert 
wurde. Definieren des Remote-Benutzers. Der auf der ISE für den Lobby Ambassador erstellte Benutzername muss auf dem WLC als Remote-Benutzername definiert werden. Wenn der Remote-Benutzername nicht im WLC definiert ist, wird die Authentifizierung korrekt durchgeführt. Der Benutzer erhält jedoch vollen Zugriff auf den WLC, anstatt nur auf die Lobby Ambassador-Berechtigungen zuzugreifen. Diese Konfiguration ist nur über die CLI möglich.
CLI:
Tim-eWLC1(config)#aaa remote username lobby
Konfigurieren von ISE - RADIUS
Schritt 1: Fügen Sie den WLC zur ISE hinzu. Navigieren Sie zu Administration > Network Resources > Network Devices > Add. Der WLC muss zur ISE hinzugefügt werden. Wenn Sie den WLC zur ISE hinzufügen, aktivieren Sie die RADIUS-Authentifizierungseinstellungen, und konfigurieren Sie die erforderlichen Parameter wie im Bild dargestellt.
Wenn das Konfigurationsfenster geöffnet wird, geben Sie einen Namen (IP ADD) ein, aktivieren Sie die RADIUS-Authentifizierungseinstellungen, und geben Sie unter "Protocol Radius" den erforderlichen gemeinsamen geheimen Schlüssel ein.
Schritt 2: Erstellen Sie den Lobby Ambassador-Benutzer auf der ISE. Navigieren Sie zu Administration > Identity Management > Identities > Users > Add.
Fügen Sie der ISE den Benutzernamen und das Passwort hinzu, die dem Lobby Ambassador zugewiesen sind, der die Gastbenutzer erstellt. Dies ist der Benutzername, den der Administrator dem Lobby-Botschafter zuweist.
Wenn das Konfigurationsfenster geöffnet wird, geben Sie den Namen und das Kennwort für den Lobby Ambassador-Benutzer ein. Stellen Sie außerdem sicher, dass der Status Enabled (Aktiviert) lautet.
Schritt 3: Erstellen eines Autorisierungsprofils für Ergebnisse Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile > Hinzufügen. Erstellen Sie ein Ergebnisautorisierungsprofil, um an den WLC zurückzukehren und ein Access-Accept mit den erforderlichen Attributen wie im Bild dargestellt zu erhalten.
Stellen Sie sicher, dass das Profil so konfiguriert ist, dass es eine Access-Accept-Nachricht sendet, wie im Bild gezeigt.
Sie müssen die Attribute unter Erweiterte Attributeinstellungen manuell hinzufügen. Die Attribute werden benötigt, um den Benutzer als Lobby-Botschafter zu definieren und um das Privileg bereitzustellen, damit der Lobby-Botschafter die erforderlichen Änderungen vornehmen kann.
Schritt 4: Erstellen Sie eine Richtlinie, um die Authentifizierung zu verarbeiten. Navigieren Sie zu Richtlinie > Richtliniensätze > Hinzufügen. Die Konfiguration der Richtlinie hängt von der Entscheidung des Administrators ab. Netzwerkzugriff-Benutzernamenbedingung und das Standard-Netzwerkzugriffsprotokoll werden hier verwendet.
Es muss unbedingt sichergestellt werden, dass unter der Autorisierungsrichtlinie das unter der Ergebnisautorisierung konfigurierte Profil ausgewählt ist. Auf diese Weise können Sie die erforderlichen Attribute an den WLC zurückgeben, wie im Bild dargestellt.
Wenn das Konfigurationsfenster geöffnet wird, konfigurieren Sie die Autorisierungsrichtlinie. Die Authentifizierungsrichtlinie kann als Standard beibehalten werden.
TACACS+ authentifizieren
Konfigurieren von TACACS+ auf WLC
Schritt 1: Deklarieren Sie den TACACS+-Server. Erstellen Sie den ISE TACACS-Server im WLC.
GUI:
Navigieren Sie zu Configuration > Security > AAA > Servers/Groups > TACACS+ > Servers > + Add (Konfiguration > Sicherheit > AAA > Server/Gruppen > TACACS+ > Server > + Hinzufügen wie im Bild dargestellt.
Wenn das Konfigurationsfenster geöffnet wird, sind die obligatorischen Konfigurationsparameter der TACACS+-Servername (er muss nicht mit dem ISE/AAA-Systemnamen übereinstimmen), die IP-ADRESSE des TACACS-Servers und der gemeinsame geheime Schlüssel. Alle anderen Parameter können als Standard beibehalten oder nach Bedarf konfiguriert werden.
CLI:
Tim-eWLC1(config)#tacacs server TACACSLobby
Tim-eWLC1(config-server-tacacs)#address ipv4 192.168.166.8
Tim-eWLC1(config-server-tacacs)#key 0 Cisco123
Tim-eWLC1(config-server-tacacs)#end
Schritt 2: Fügen Sie den TACACS+-Server einer Servergruppe hinzu. Definieren Sie eine Servergruppe, und fügen Sie den gewünschten konfigurierten TACACS+-Server hinzu. Dabei handelt es sich um die für die Authentifizierung verwendeten TACACS+-Server.
GUI:
Navigieren Sie zu Configuration > Security > AAA > Servers / Groups > TACACS > Server Groups > + Add (Konfiguration > Sicherheit > AAA > Server/Gruppen > TACACS > Servergruppen > + Hinzufügen wie im Bild dargestellt.
Wenn das Konfigurationsfenster geöffnet wird, geben Sie der Gruppe einen Namen und verschieben die gewünschten TACACS+-Server aus der Liste "Verfügbare Server" in die Liste "Zugewiesene Server".
CLI:
Tim-eWLC1(config)#aaa group server tacacs+ GroupTacLobby
Tim-eWLC1(config-sg-tacacs+)#server name TACACSLobby
Tim-eWLC1(config-sg-tacacs+)#end
Schritt 3: Erstellen einer Liste von Authentifizierungsmethoden Die Liste der Authentifizierungsmethoden definiert den erforderlichen Authentifizierungstyp und fügt ihn der konfigurierten Servergruppe an. Außerdem kann ausgewählt werden, ob die Authentifizierung lokal auf dem WLC oder extern bei einem TACACS+-Server erfolgen kann.
GUI:
Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authentication > + Add, wie im Bild dargestellt.
Wenn das Konfigurationsfenster geöffnet wird, geben Sie einen Namen ein, wählen Sie die Typoption Anmelden aus, und weisen Sie die zuvor erstellte Servergruppe zu.
Gruppentyp ist lokal.
GUI:
Wenn Sie Group Type (Gruppentyp) als 'local' (lokal) auswählen, überprüft der WLC zunächst, ob der Benutzer in der lokalen Datenbank vorhanden ist, und greift dann nur dann auf die Server Group zurück, wenn der Lobby Ambassador-Benutzer nicht in der lokalen Datenbank gefunden wird.
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end
Gruppentyp als Gruppe.
GUI:
Wenn Sie Gruppentyp als Gruppe auswählen und keine Fallback-to-Local-Option aktiviert ist, prüft der WLC den Benutzer nur mit der Servergruppe und checkt seine lokale Datenbank nicht ein.
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby
Tim-eWLC1(config)#end
Gruppentyp als Gruppe, und die Option Fallback to local ist aktiviert.
GUI:
Wenn Sie Gruppentyp als 'Gruppe' auswählen und die Option Fallback an lokal aktiviert ist, prüft der WLC den Benutzer anhand der Servergruppe und fragt die lokale Datenbank nur ab, wenn der TACACS-Server in der Antwort eine Zeitüberschreitung aufweist. Wenn der Server eine Ablehnung sendet, wird der Benutzer nicht authentifiziert, auch wenn er in der lokalen Datenbank vorhanden ist.
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end
Schritt 4: Erstellen Sie eine Liste mit Autorisierungsmethoden.
Die Liste der Autorisierungsmethoden definiert den Autorisierungstyp, der für den Lobby-Botschafter benötigt wird, der in diesem Fall exec. Sie ist außerdem mit derselben konfigurierten Servergruppe verbunden. Sie können auch auswählen, ob die Authentifizierung lokal auf dem WLC oder extern bei einem TACACS+-Server erfolgt.
GUI:
Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authorization > + Add (Konfiguration > Sicherheit > AAA > AAA-Methodenliste > Autorisierung > + Hinzufügen), wie in der Abbildung dargestellt.
Wenn das Konfigurationsfenster geöffnet wird, geben Sie einen Namen an, wählen Sie die Typoption als exec aus, und weisen Sie die zuvor erstellte Servergruppe zu.
Beachten Sie, dass der Gruppentyp auf die gleiche Weise angewendet wird, wie er im Teil Liste der Authentifizierungsmethoden erläutert wird.
CLI:
Gruppentyp ist lokal.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end
Gruppentyp als Gruppe.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby
Tim-eWLC1(config)#end
Gruppentyp als Gruppe, und die Option Fallback to local ist aktiviert.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end
Schritt 5: Weisen Sie die Methoden zu. Nach der Konfiguration der Methoden müssen diese den Optionen zugewiesen werden, um sich beim WLC anzumelden und den Gastbenutzer wie VTY oder HTTP (GUI) zu erstellen. Diese Schritte können nicht über die GUI ausgeführt werden, daher müssen sie über die CLI ausgeführt werden.
HTTP/GUI-Authentifizierung:
Tim-eWLC1(config)#ip http authentication aaa login-authentication AutheTacMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozTacMethod
Tim-eWLC1(config)#end
Wenn Sie Änderungen an den HTTP-Konfigurationen vornehmen, ist es am besten, die HTTP- und HTTPS-Dienste neu zu starten:
Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end
Leitung VTY:
Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AutheTacMethod
Tim-eWLC1(config-line)#authorization exec AuthozTacMethod
Tim-eWLC1(config-line)#end
Schritt 6: Definieren des Remote-Benutzers. Der auf der ISE für den Lobby Ambassador erstellte Benutzername muss auf dem WLC als Remote-Benutzername definiert werden. Wenn der Remote-Benutzername nicht im WLC definiert ist, wird die Authentifizierung korrekt durchgeführt. Der Benutzer erhält jedoch vollen Zugriff auf den WLC, anstatt nur auf die Lobby Ambassador-Berechtigungen zuzugreifen. Diese Konfiguration ist nur über die CLI möglich.
CLI:
Tim-eWLC1(config)#aaa remote username lobbyTac
Konfigurieren von ISE - TACACS+
Schritt 1: Aktivieren Sie Device Admin. Navigieren Sie zu Administration > System > Deployment. Bevor Sie fortfahren, wählen Sie Enable Device Admin Service (Geräte-Admin-Service aktivieren) aus, und stellen Sie sicher, dass ISE wie im Bild dargestellt aktiviert wurde.
Schritt 2: Fügen Sie den WLC zur ISE hinzu. Navigieren Sie zu Administration > Network Resources > Network Devices > Add. Der WLC muss zur ISE hinzugefügt werden. Wenn Sie den WLC zur ISE hinzufügen, aktivieren Sie die TACACS+-Authentifizierungseinstellungen, und konfigurieren Sie die erforderlichen Parameter wie im Bild dargestellt.
Wenn das Konfigurationsfenster geöffnet wird, in dem Sie einen Namen eingeben können, IP ADD, aktivieren Sie die TACACS+-Authentifizierungseinstellungen, und geben Sie den erforderlichen gemeinsamen geheimen Schlüssel ein.
Schritt 3: Erstellen Sie den Lobby Ambassador-Benutzer auf der ISE. Navigieren Sie zu Administration > Identity Management > Identities > Users > Add. Fügen Sie der ISE den Benutzernamen und das Passwort hinzu, die dem Lobby Ambassador zugewiesen wurden, der die Gastbenutzer erstellt. Dies ist der Benutzername, den der Administrator dem Lobby-Botschafter zuweist, wie im Bild gezeigt.
Wenn das Konfigurationsfenster geöffnet wird, geben Sie den Namen und das Kennwort für den Lobby Ambassador-Benutzer ein. Stellen Sie außerdem sicher, dass der Status Enabled (Aktiviert) lautet.
Schritt 4: Erstellen Sie ein Ergebnis-TACACS+-Profil. Navigieren Sie zu Work Centers > Device Administration > Policy Elements > Results > TACACS Profiles, wie im Bild dargestellt. Senden Sie mit diesem Profil die erforderlichen Attribute an den WLC zurück, um den Benutzer als Lobby-Botschafter zu platzieren.
Wenn das Konfigurationsfenster geöffnet wird, geben Sie einen Namen für das Profil ein, konfigurieren Sie auch eine Default Privileged 15 und ein Custom Attribute als Type Obligatory, name als Benutzertyp und value lobby-admin. Lassen Sie den allgemeinen Aufgabentyp auch als Shell (Shell) auswählen, wie im Bild gezeigt.
Schritt 5: Erstellen eines Policy Sets. Navigieren Sie zu Work Centers > Device Administration > Device Admin Policy Sets (Arbeitsbereiche > Geräteverwaltung > Geräte-Admin-Richtliniensätze), wie im Bild dargestellt. Die Konfiguration der Richtlinie hängt von der Entscheidung des Administrators ab. Für dieses Dokument werden die Bedingung "Netzwerkzugriff - Benutzername" und das Standardgeräteverwaltungsprotokoll verwendet. Es ist zwingend erforderlich, dass Sie gemäß der Autorisierungsrichtlinie sicherstellen, dass das unter der Ergebnisautorisierung konfigurierte Profil ausgewählt ist. Auf diese Weise können Sie die erforderlichen Attribute an den WLC zurückgeben.
Wenn das Konfigurationsfenster geöffnet wird, konfigurieren Sie die Autorisierungsrichtlinie. Die Authentifizierungsrichtlinie kann wie im Bild dargestellt als Standard beibehalten werden.
Überprüfung
Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.
show run aaa
show run | sec remote
show run | sec http
show aaa method-lists authentication
show aaa method-lists authorization
show aaa servers
show tacacs
So sieht die Lobby Ambassador GUI nach erfolgreicher Authentifizierung aus.
Fehlerbehebung
In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.
RADIUS authentifizieren
Für die RADIUS-Authentifizierung können die folgenden Debugging-Methoden verwendet werden:
Tim-eWLC1#debug aaa authentication
Tim-eWLC1#debug aaa authorization
Tim-eWLC1#debug aaa attr
Tim-eWLC1#terminal monitor
Stellen Sie sicher, dass die richtige Methodenliste aus dem Debugging ausgewählt ist. Darüber hinaus gibt der ISE-Server die erforderlichen Attribute mit dem richtigen Benutzernamen, Benutzertyp und den entsprechenden Berechtigungen zurück.
Feb 5 02:35:27.659: AAA/AUTHEN/LOGIN (00000000): Pick method list 'AuthenLobbyMethod'
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(0):
7FBA5500C870 0 00000081 username(450) 5 lobby
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(1):
7FBA5500C8B0 0 00000001 user-type(1187) 4 lobby-admin
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(2):
7FBA5500C8F0 0 00000001 priv-lvl(335) 4 15(F)
Feb 5 02:35:27.683: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host
192.168.166.104 by user 'lobby' using crypto cipher 'ECDHE-RSA-AES128-GCM-SHA256'
TACACS+ authentifizieren
Für die TACACS+-Authentifizierung kann dieses Debugging verwendet werden:
Tim-eWLC1#debug tacacs
Tim-eWLC1#terminal monitor
Stellen Sie sicher, dass die Authentifizierung mit dem richtigen Benutzernamen und der richtigen ISE IP ADD durchgeführt wird. Außerdem muss der Status "PASS" angezeigt werden. Im gleichen Debug, gleich nach der Authentifizierungsphase, wird der Autorisierungsprozess vorgestellt. Bei dieser Autorisierung stellt Phase sicher, dass der richtige Benutzername zusammen mit der richtigen ISE IP ADD verwendet wird. In dieser Phase können Sie die auf der ISE konfigurierten Attribute anzeigen, die den WLC als Lobby Ambassador-Benutzer mit den richtigen Berechtigungen angeben.
Beispiel für die Authentifizierungsphase:
Feb 5 02:06:48.245: TPLUS: Queuing AAA Authentication request 0 for processing
Feb 5 02:06:48.245: TPLUS: Authentication start packet created for 0(lobbyTac)
Feb 5 02:06:48.245: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.250: TPLUS: Received authen response status GET_PASSWORD (8)
Feb 5 02:06:48.266: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.266: TPLUS: Received authen response status PASS (2)
Beispiel für Autorisierungsphase:
Feb 5 02:06:48.267: TPLUS: Queuing AAA Authorization request 0 for processing
Feb 5 02:06:48.267: TPLUS: Authorization request created for 0(lobbyTac)
Feb 5 02:06:48.267: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.279: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.279: TPLUS: Processed AV priv-lvl=15
Feb 5 02:06:48.279: TPLUS: Processed AV user-type=lobby-admin
Feb 5 02:06:48.279: TPLUS: received authorization response for 0: PASS
Die oben für RADIUS und TACACS+ genannten Debug-Beispiele enthalten die wichtigsten Schritte für eine erfolgreiche Anmeldung. Die Debug-Programme sind ausführlicher und die Ausgabe größer. Um die Debugs zu deaktivieren, kann der folgende Befehl verwendet werden:
Tim-eWLC1#undebug all
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
18-Jun-2020 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)