Ejemplo de Configuración de TACACS+ en un Punto de Acceso Aironet para la Autenticación de Login con Uso de la GUI

Introducción

Este documento explica cómo habilitar los servicios TACACS Plus (TACACS+) en un punto de acceso Cisco Aironet (AP) para realizar la autenticación de inicio de sesión con el uso de un servidor TACACS+.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

• Conocimiento de cómo configurar parámetros básicos en AP Aironet

• Conocimiento de cómo configurar un servidor TACACS+ como Cisco Secure Access Control Server (ACS)

• Conocimiento de los conceptos de TACACS+

Para obtener información sobre cómo funciona TACACS+, refiérase a la sección Introducción a TACACS+ de Configuración de Servidores RADIUS y TACACS+.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Puntos de acceso Aironet Cisco Aironet serie 1240/1140

• ACS que ejecuta la versión de software 4.1

• ACS que ejecuta la versión de software 5.2

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configurar

Esta sección explica cómo configurar Aironet AP y el servidor TACACS+ (ACS) para la autenticación de inicio de sesión basada en TACACS+.

Este ejemplo de configuración utiliza estos parámetros:

• Dirección IP del ACS: 172.16.1.1/255.255.0.0

• Dirección IP del AP—172.16.1.30/255.255.0.0

• Clave secreta compartida que se utiliza en el AP y el servidor TACACS+: Ejemplo

Estas son las credenciales del usuario que este ejemplo configura en el ACS:

• Nombre de usuario: Usuario1

• Contraseña: Cisco

• Grupo: AdminUsers

Debe configurar las funciones TACACS+ para validar los usuarios que intentan conectarse al AP ya sea a través de la interfaz web o a través de la interfaz de línea de comandos (CLI). Para realizar esta configuración, debe realizar estas tareas:

1. Configure el servidor TACACS+ para la autenticación de login.

2. Configure el AP Aironet para la autenticación TACACS+.

Nota: Use la Command Lookup Tool (sólo clientes registrados) para obtener más información sobre los comandos utilizados en este documento.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuración del Servidor TACACS+ para la Autenticación de Login - Uso de ACS 4.1

El primer paso es configurar un daemon TACACS+ para validar los usuarios que intentan acceder al AP. Debe configurar el ACS para la autenticación TACACS+ y crear una base de datos de usuarios. Puede utilizar cualquier servidor TACACS+. Este ejemplo utiliza el ACS como el servidor TACACS+. Complete estos pasos:

1. Complete estos pasos para agregar el AP como cliente de autenticación, autorización y contabilidad (AAA):

   1. Desde la GUI de ACS, haga clic en la pestaña Configuración de red.

   2. En los clientes AAA, haga clic en Add Entry (Agregar entrada).

   3. En la ventana Add AAA Client, ingrese el nombre de host AP, la dirección IP del AP y una clave secreta compartida.

      Esta clave secreta compartida debe ser la misma que la clave secreta compartida que configure en el AP.

   4. En el menú desplegable Authenticate Using, seleccione TACACS+ (Cisco IOS).

   5. Haga clic en Submit + Restart para guardar la configuración.

   Aquí tiene un ejemplo:

   

   Este ejemplo utiliza:

   • El punto de acceso de nombre de host del cliente AAA

   • La dirección 172.16.1.30/16 como la dirección IP del cliente AAA

   • Ejemplo de clave secreta compartida

2. Complete estos pasos para crear un grupo que contenga todos los usuarios administrativos:

   1. Haga clic en Group Setup en el menú de la izquierda.

      Aparece una nueva ventana.

   2. En la ventana Group Setup (Configuración de grupo), seleccione un grupo para configurarlo en el menú desplegable y haga clic en Rename Group (Cambiar nombre de grupo).

      En este ejemplo se selecciona el Grupo 6 en el menú desplegable y se cambia el nombre del grupo AdminUsers.

   3. Haga clic en Submit (Enviar).

   Aquí tiene un ejemplo:

   

3. Complete estos pasos para agregar los usuarios a la base de datos TACACS+:

   1. Haga clic en la ficha User Setup.

   2. Para crear un nuevo usuario, ingrese el nombre de usuario en el campo Usuario y haga clic en Agregar/Editar.

      Este es un ejemplo, que crea User1:

      

      Después de hacer clic en Add/Edit (Agregar/editar), aparecerá la ventana Add/Edit (Agregar/editar) para este usuario.

4. Ingrese las credenciales específicas para este usuario y haga clic en Enviar para guardar la configuración.

   Las credenciales que puede introducir incluyen:

   • Información complementaria del usuario

   • Configuración del usuario

   • El grupo al que se asigna el usuario

   Aquí tiene un ejemplo:

   

   Puede ver que este ejemplo agrega el usuario User1 al grupo AdminUsers.

   

   Nota: Si no crea un grupo específico, los usuarios se asignan al grupo predeterminado.

5. Complete estos pasos para definir el nivel de privilegio:

   1. Haga clic en la ficha Group Setup.

   2. Seleccione el grupo que asignó anteriormente a este usuario y haga clic en Editar configuración.

      Este ejemplo utiliza el grupo AdminUsers.

   3. En TACACS+ Settings, marque la casilla de verificación Shell (exec) y marque la casilla de verificación Nivel de privilegio que tiene un valor de 15.

   4. Haga clic en Enviar + Reiniciar.

   

   Nota: El nivel de privilegio 15 se debe definir para la GUI y Telnet para poder acceder a él como nivel 15. De lo contrario, de forma predeterminada, el usuario sólo puede acceder como nivel 1. Si el nivel de privilegio no está definido y el usuario intenta ingresar al modo habilitar en la CLI (con el uso de Telnet), el AP muestra este mensaje de error:

   AccessPoint>enable
   % Error in authentication
   

Repita los pasos 2 a 4 de este procedimiento si desea agregar más usuarios a la base de datos TACACS+. Después de completar estos pasos, el servidor TACACS+ está listo para validar los usuarios que intentan iniciar sesión en el AP. Ahora, debe configurar el AP para la autenticación TACACS+.

Configuración del Servidor TACACS+ para la Autenticación de Login - Uso de ACS 5.2

El primer paso es agregar el AP como un cliente AAA en el ACS y crear una política TACACS para el login.

1. Complete estos pasos para agregar AP como cliente AAA:

   1. Desde la GUI de ACS, haga clic en Recursos de Red y luego haga clic en Dispositivos de Red y Clientes AAA.

   2. En Network Devices (Dispositivos de red), haga clic en Create (Crear).

   3. Ingrese el nombre de host del AP en Name, y proporcione una descripción acerca del AP.

   4. Seleccione la Ubicación y Tipo de dispositivo si se definen estas categorías.

   5. Debido a que sólo se está configurando un solo AP, haga clic en Single IP Address. Puede agregar el rango de direcciones IP para varios AP haciendo clic en IP Range(s). A continuación, introduzca la dirección IP del AP.

   6. En Opciones de autenticación, marque la casilla TACACS+ e ingrese el secreto compartido.

   Aquí tiene un ejemplo:

   

2. El siguiente paso es crear un nombre de usuario y una contraseña de inicio de sesión:

   1. Haga clic en Users and Identity Stores y luego haga clic en Users.

   2. Haga clic en Crear.

   3. Introduzca el nombre de usuario bajo Nombre y proporcione una descripción.

   4. Seleccione el grupo de identidad, si lo hubiera.

   5. Ingrese la contraseña bajo el cuadro de texto Password y vuelva a introducirla en Confirm Password.

   6. Puede modificar la contraseña de activación introduciendo una contraseña en Enable Password. Vuelva a introducirlo para confirmar.

   Aquí tiene un ejemplo:

   

3. Complete estos pasos para definir el nivel de privilegio:

   1. Haga clic en Elementos de Política > Autorizaciones y Permisos > Administración de Dispositivos > Perfiles de Shell.

   2. Marque la casilla de verificación Permit Access y haga clic en Duplicate.

      

   3. Introduzca el nombre y la descripción.

      

   4. Seleccione la ficha Tareas comunes y elija 15 para el Privilegio máximo.

      

   5. Haga clic en Submit (Enviar).

4. Complete estos pasos para crear una política de autorización:

   1. Haga clic en Access Policies > Access Services > Default Device Admin > Authorization.

   2. Haga clic en Crear para crear una nueva política de autorización.

      Aparece una nueva ventana emergente para crear las reglas para la directiva de autorización.

   3. Seleccione el grupo de identidad, ubicación, etc. para el nombre de usuario específico y el cliente AAA (AP), si lo hubiera.

   4. Haga clic en Seleccionar para el Perfil del Shell para elegir el perfil creado AP autónomo.

      

   5. Una vez hecho esto, haga clic en Guardar cambios.

   6. Haga clic en Default Device Admin y luego haga clic en Allowed Protocols.

   7. Marque Allow PAP/ASCII y luego haga clic en Submit.

   8. Haga clic en Service Selection Rules para asegurarse de que haya una regla que coincida con TACACS y apunte a Default Device Admin.

      

      

Configuración del AP Aironet para la Autenticación TACACS+

Puede utilizar CLI o GUI para habilitar las funciones TACACS+ en el Aironet AP. Esta sección explica cómo configurar el AP para la autenticación de login TACACS+ con el uso de la GUI.

Complete estos pasos para configurar TACACS+ en el AP con el uso de la GUI:

1. Complete estos pasos para definir los parámetros del servidor TACACS+:

   1. Desde la GUI de AP, elija Security > Server Manager.

      La seguridad: Aparecerá la ventana Administrador de servidores.

   2. En el área Servidores Corporativos, seleccione TACACS+ en el menú desplegable Lista de servidores actuales.

   3. En esta misma área, introduzca la dirección IP, el secreto compartido y el número de puerto de autenticación del servidor TACACS+.

   4. Haga clic en Apply (Aplicar).

   Aquí tiene un ejemplo:

   

   Nota: De forma predeterminada, TACACS+ utiliza el puerto TCP 49.

   Nota: La clave secreta compartida que configura en el ACS y el AP debe coincidir.

2. Elija Default Server Priorities > Admin Authentication (TACACS+), seleccione en el menú desplegable Priority 1 la dirección IP del servidor TACACS+ que ha configurado y haga clic en Apply.

   Aquí tiene un ejemplo:

   

3. Elija Security > Admin Access y, para Administrator Authenticated by:, elija Authentication Server Only y haga clic en Apply.

   Esta selección asegura que los usuarios que intentan iniciar sesión en el AP sean autenticados por un servidor de autenticación.

   Aquí tiene un ejemplo:

   

Esta es la configuración CLI para el ejemplo de configuración:

AccessPoint#show running-config

Current configuration : 2535 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname AccessPoint
!
!
ip subnet-zero
!
!
aaa new-model

!--- Enable AAA.

!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
 cache expiry 1
 cache authorization profile admin_cache
 cache authentication profile admin_cache
!
aaa group server tacacs+ tac_admin

!--- Configure the server group tac_admin.

 server 172.16.1.1

!--- Add the TACACS+ server 172.16.1.1 to the server group.

 cache expiry 1

!--- Set the expiration time for the local cache as 24 hours.

 cache authorization profile admin_cache
 cache authentication profile admin_cache
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login default group tac_admin

!--- Define the AAA login authentication method list to use the TACACS+ server.

aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default group tac_admin

!--- Use TACACS+ for privileged EXEC access authorization !--- if authentication was performed with use of TACACS+.

aaa accounting network acct_methods start-stop group rad_acct
aaa cache profile admin_cache
 all
!
aaa session-id common
!
!
username Cisco password 7 00271A150754
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 shutdown
 speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 shutdown
 speed
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address 172.16.1.30 255.255.0.0
 no ip route-cache
!
ip http server
ip http authentication aaa

!--- Specify the authentication method of HTTP users as AAA.

no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/ea
ip radius source-interface BVI1
!
tacacs-server host 172.16.1.1 port 49 key 7 13200F13061C082F
tacacs-server directed-request
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
 transport preferred all
 transport output all
line vty 0 4
 transport preferred all
 transport input all
 transport output all
line vty 5 15
 transport preferred all
 transport input all
 transport output all
!
end

Nota: Debe tener Cisco IOS Software Release 12.3(7)JA o posterior para que todos los comandos en esta configuración funcionen correctamente. Es posible que una versión anterior del software Cisco IOS no tenga todos estos comandos disponibles.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Para verificar la configuración, intente iniciar sesión en el AP con el uso de la GUI o la CLI. Cuando intenta acceder al AP, el AP le solicita un nombre de usuario y una contraseña.

Cuando se proporcionan las credenciales del usuario, el AP reenvía las credenciales al servidor TACACS+. El servidor TACACS+ valida las credenciales en base a la información disponible en su base de datos y proporciona acceso al AP tras una autenticación exitosa. Puede elegir Informes y Actividad > Autenticación Pasada en el ACS y utilizar el informe Autenticación Pasada para verificar la autenticación exitosa para este usuario. Aquí tiene un ejemplo:

También puede utilizar el comando show tacacs para verificar la configuración correcta del servidor TACACS+. Aquí tiene un ejemplo:

AccessPoint#show tacacs

Tacacs+ Server            : 172.16.1.1/49
              Socket opens:        348
             Socket closes:        348
             Socket aborts:          0
             Socket errors:          0
           Socket Timeouts:          0
   Failed Connect Attempts:          0
        Total Packets Sent:        525
        Total Packets Recv:        525

Verificación de ACS 5.2

Puede verificar los intentos fallidos/pasados para las credenciales de inicio de sesión desde ACS 5.2:

1. Haga clic en Supervisión e informes > Iniciar supervisión y Visor de informes.

   Se abrirá una nueva ventana emergente con el Panel.

2. Haga clic en Authentications-TACACS-Today. Muestra los detalles de los intentos fallidos o pasados.

Troubleshoot

Puede utilizar estos comandos debug en el AP para resolver problemas de su configuración:

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

• debug tacacs events: Este comando muestra la secuencia de eventos que ocurren durante la autenticación TACACS. Este es un ejemplo del resultado de este comando:

  *Mar  1 00:51:21.113: TPLUS: Queuing AAA Authentication request 0 for 
  processing
  *Mar  1 00:51:21.113: TPLUS: processing authentication start request id 0
  *Mar  1 00:51:21.113: TPLUS: Authentication start packet created for 0(User1)
  *Mar  1 00:51:21.114: TPLUS: Using server 172.16.1.1
  *Mar  1 00:51:21.115: TPLUS(00000000)/0/NB_WAIT/C6DC40: Started 5 sec timeout
  *Mar  1 00:51:21.116: TPLUS(00000000)/0/NB_WAIT: socket event 2
  *Mar  1 00:51:21.116: TPLUS(00000000)/0/NB_WAIT: wrote entire 25 bytes request
  *Mar  1 00:51:21.116: TPLUS(00000000)/0/READ: socket event 1
  *Mar  1 00:51:21.117: TPLUS(00000000)/0/READ: Would block while reading
  *Mar  1 00:51:21.120: TPLUS(00000000)/0/READ: socket event 1
  *Mar  1 00:51:21.120: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 
  16 bytes data)
  *Mar  1 00:51:21.120: TPLUS(00000000)/0/READ: socket event 1
  *Mar  1 00:51:21.120: TPLUS(00000000)/0/READ: read entire 28 bytes response
  *Mar  1 00:51:21.121: TPLUS(00000000)/0/C6DC40: Processing the reply packet
  *Mar  1 00:51:21.121: TPLUS: Received authen response status GET_PASSWORD (8)
  *Mar  1 00:51:21.121: TPLUS: Queuing AAA Authentication request 0 for processing
  *Mar  1 00:51:21.121: TPLUS: processing authentication continue request id 0
  *Mar  1 00:51:21.122: TPLUS: Authentication continue packet generated for 0
  *Mar  1 00:51:21.122: TPLUS(00000000)/0/WRITE/C6DC40: Started 5 sec timeout
  *Mar  1 00:51:21.122: TPLUS(00000000)/0/WRITE: wrote entire 22 bytes request
  *Mar  1 00:51:21.178: TPLUS(00000000)/0/READ: socket event 1
  *Mar  1 00:51:21.178: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 
  6 bytes data)
  *Mar  1 00:51:21.178: TPLUS(00000000)/0/READ: socket event 1
  *Mar  1 00:51:21.178: TPLUS(00000000)/0/READ: read entire 18 bytes response
  *Mar  1 00:51:21.179: TPLUS(00000000)/0/C6DC40: Processing the reply packet
  *Mar  1 00:51:21.179: TPLUS: Received authen response status PASS (2)
  

• debug ip http authentication: utilice este comando para resolver problemas de autenticación HTTP. El comando muestra el método de autenticación que el router intentó y los mensajes de estado específicos de la autenticación.

• debug aaa authentication: Este comando muestra información sobre la autenticación AAA TACACS+.

Si el usuario ingresa un nombre de usuario que no existe en el servidor TACACS+, la autenticación falla. Aquí está el resultado del comando debug tacacs authentication para una autenticación fallida:

*Mar  1 00:07:26.624: TPLUS: Queuing AAA Authentication request 0 for processing
*Mar  1 00:07:26.624: TPLUS: processing authentication start request id 0
*Mar  1 00:07:26.624: TPLUS: Authentication start packet created for 0(User3)
*Mar  1 00:07:26.624: TPLUS: Using server 172.16.1.1
*Mar  1 00:07:26.625: TPLUS(00000000)/0/NB_WAIT/A88784: Started 5 sec timeout
*Mar  1 00:07:26.626: TPLUS(00000000)/0/NB_WAIT: socket event 2
*Mar  1 00:07:26.626: TPLUS(00000000)/0/NB_WAIT: wrote entire 25 bytes request
*Mar  1 00:07:26.627: TPLUS(00000000)/0/READ: socket event 1
*Mar  1 00:07:26.627: TPLUS(00000000)/0/READ: Would block while reading
*Mar  1 00:07:26.631: TPLUS(00000000)/0/READ: socket event 1
*Mar  1 00:07:26.632: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 16 
bytes data)
*Mar  1 00:07:26.632: TPLUS(00000000)/0/READ: socket event 1
*Mar  1 00:07:26.632: TPLUS(00000000)/0/READ: read entire 28 bytes response
*Mar  1 00:07:26.632: TPLUS(00000000)/0/A88784: Processing the reply packet
*Mar  1 00:07:26.632: TPLUS: Received authen response status GET_PASSWORD (8)
*Mar  1 00:07:26.632: TPLUS: Queuing AAA Authentication request 0 for processing
*Mar  1 00:07:26.633: TPLUS: processing authentication continue request id 0
*Mar  1 00:07:26.633: TPLUS: Authentication continue packet generated for 0
*Mar  1 00:07:26.634: TPLUS(00000000)/0/WRITE/A88784: Started 5 sec timeout
*Mar  1 00:07:26.634: TPLUS(00000000)/0/WRITE: wrote entire 22 bytes request
*Mar  1 00:07:26.688: TPLUS(00000000)/0/READ: socket event 1
*Mar  1 00:07:26.688: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 6 
bytes data)
*Mar  1 00:07:26.689: TPLUS(00000000)/0/READ: socket event 1
*Mar  1 00:07:26.689: TPLUS(00000000)/0/READ: read entire 18 bytes response
*Mar  1 00:07:26.689: TPLUS(00000000)/0/A88784: Processing the reply packet
*Mar  1 00:07:26.689: TPLUS: Received authen response status FAIL (3)

Puede elegir Informes y Actividad > Autenticación Fallida para ver el intento de autenticación fallido en el ACS. Aquí tiene un ejemplo:

Si utiliza una versión del software del IOS de Cisco en el AP anterior a la versión 12.3(7)JA del software del IOS de Cisco, puede encontrar un error cada vez que intente iniciar sesión en el AP con el uso de HTTP. El Id. de error de Cisco es CSCeb52431 (sólo clientes registrados) .

La implementación HTTP/AAA del software Cisco IOS requiere la autenticación independiente de cada conexión HTTP independiente. La GUI inalámbrica del software Cisco IOS implica la referencia de muchas docenas de archivos independientes en una sola página web (por ejemplo, Javascript y GIF). Por lo tanto, si carga una sola página en la GUI del software del IOS de Cisco inalámbrico, docenas y docenas de solicitudes de autenticación/autorización independientes pueden llegar al servidor AAA.

Para la autenticación HTTP, utilice RADIUS o la autenticación local. El servidor RADIUS todavía está sujeto a las múltiples solicitudes de autenticación. Sin embargo, RADIUS es más escalable que TACACS+, por lo que es probable que proporcione un impacto de rendimiento menos adverso.

Si debe utilizar TACACS+ y tiene un Cisco ACS, utilice la palabra clave single-connection con el comando tacacs-server. El uso de esta palabra clave con el comando evita al ACS la mayor parte de la sobrecarga de configuración/desconexión TCP y es probable que reduzca la carga en el servidor en cierta medida.

Para Cisco IOS Software Releases 12.3(7) JA y posteriores en el AP, el software incluye una corrección. El resto de esta sección describe la corrección.

Utilice la función de caché de autenticación AAA para almacenar en caché la información que devuelve el servidor TACACS+. La función de caché y perfil de autenticación permite que el AP almacene en caché las respuestas de autenticación/autorización para un usuario de modo que las solicitudes de autenticación/autorización subsiguientes no necesiten enviarse al servidor AAA. Para habilitar esta función con la CLI, utilice estos comandos:

cache expiry
cache authorization profile
cache authentication profile
aaa cache profile

Para obtener más información sobre esta función y los comandos, consulte la sección Configuración de la Memoria Caché de Autenticación y el Perfil de Administración del Punto de Acceso.

Para habilitar esta función en la GUI, elija Security > Admin Access y marque la casilla de verificación Enable Authentication Server Caching . Debido a que este documento utiliza Cisco IOS Software Release 12.3(7)JA, el documento utiliza la corrección, como lo ilustran las configuraciones.

Información Relacionada

• Configuración de los servidores RADIUS y TACACS+
• Aviso de problemas El punto de acceso IOS bombardea el servidor TACACS+ con solicitudes
• Autenticación del EAP con servidor RADIUS
• Soporte de Productos de Red Inalámbrica
• Soporte Técnico y Documentación - Cisco Systems