Configuración de TACACS+ para la administración de dispositivos de Cisco WLC

Opciones de descarga

  • PDF     (1.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:10 de enero de 2020
ID del documento:215125

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar TACACS+ para la administración de dispositivos de Cisco Wireless LAN Controller (WLC) con Identity Service Engine (ISE).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimientos básicos de Identity Service Engine (ISE)
    • Conocimientos básicos de Cisco Wireless LAN Controller (WLC)

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco Identity Service Engine 2.4
    • Controlador de LAN inalámbrica de Cisco 8.5.135

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configuración

    Paso 1. Marque Device Administration License.

    Vaya a la pestaña Administration > System > Licensing y verifique que la licencia Device Admin esté instalada, como se muestra en la imagen.


    DeviceAdmin

    Nota: se necesita una licencia de administrador de dispositivo para utilizar la función TACACS+ en ISE.

    Paso 2. Habilite Device Administration en los nodos PSN de ISE.

    Vaya a Centros de trabajo > Administración de dispositivos > Descripción general, haga clic en la pestaña Implementación, seleccione el botón de opción Nodo PSN específico. Habilite Device Administration en el nodo ISE seleccionando la casilla de verificación y haga clic en Save, como se muestra en la imagen:



    DeviceAdmin

    Paso 3. Cree un grupo de dispositivos de red.

    Para agregar el WLC como un dispositivo de red en el ISE, navegue hasta Administration > Network Resources > Network Device Groups > All Device Types, cree un nuevo grupo para el WLC, como se muestra en la imagen:

    DOC

    Doc-1

    Paso 4. Agregue el WLC como un dispositivo de red.

    Vaya a Centros de trabajo > Administración de dispositivos > Recursos de red > Dispositivos de red. Haga clic en Agregar, proporcione el nombre, la dirección IP y seleccione el tipo de dispositivo como WLC, seleccione la casilla de verificación Configuración de autenticación TACACS+ y proporcione la clave secreta compartida, como se muestra en la imagen:

    AgregarDispositivoWLCD

    Paso 5. Cree un perfil TACACS para el WLC.

    Vaya a Centros de trabajo > Administración de dispositivos > Elementos de política > Resultados > Perfiles TACACS. Haga clic en Agregar y proporcione un nombre. En la pestaña Task attribute view, seleccione WLC para Common Task Type. Hay perfiles predeterminados presentes desde los cuales seleccione Monitor para permitir el acceso limitado a los usuarios, como se muestra en la imagen.

    MonitorWLM

    Hay otro perfil predeterminado All que permite el acceso completo al usuario como se muestra en la imagen.


    WLC-All

    Paso 6. Cree un conjunto de políticas.


    Vaya a Centros de trabajo > Administración de dispositivos > Conjuntos de políticas de administración de dispositivos. Haga clic en (+) y asigne un nombre al conjunto de políticas. En la condición de política, seleccione Device Type as WLC, Allowed protocols can be Default Device Admin, como se muestra en la imagen.

    PolicySet1

    Paso 7. Crear directivas de autenticación y autorización.

    En este documento, dos grupos de ejemplo Admin-Read-Write y Admin-Read-Only se configuran en el directorio activo y un usuario dentro de cada grupo admin1, admin2 respectivamente. Active Directory se integra con ISE a través de un punto de unión denominado AD-JointName.

    Cree dos políticas de autorización, como se muestra en la imagen:

    DOC-11

    Paso 8. Configure el WLC para la administración del dispositivo.

    Navegue hasta Security > AAA > TACACS+ haga clic en New y agregue Authentication, Accounting server, como se muestra en la imagen.

    WLC1

    WLC2

    Cambie el orden de prioridad y convierta TACACS+ en superior y Local en inferior, como se muestra en la imagen:

    WLC3

    Precaución: No cierre la sesión actual de la GUI del WLC. Se recomienda abrir la GUI de WLC en un navegador web diferente y verificar si el login con credenciales TACACS+ funciona o no. Si no es así, verifique la configuración y la conectividad con el nodo ISE en el puerto TCP 49.

    Verificación


    Navegue hasta Operaciones > TACACS > Registros en vivo y monitoree los Registros en vivo. Abra la GUI del WLC e inicie sesión con las credenciales de usuario de Active Directory, como se muestra en la imagen

    Doc12

    Troubleshoot

    Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    29-Dec-2019
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Pankaj Kumar
      Cisco TAC Engineer
    • Prashant Joshi
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos