Configuration de l'ambassadeur du lobby WLC 9800 avec authentification RADIUS et TACACS+

Options de téléchargement

  • PDF     (2.4 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (2.4 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:7 juin 2021
ID du document:215552

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer les contrôleurs sans fil Catalyst 9800 pour l'authentification externe RADIUS et TACACS+ des utilisateurs Lobby Ambassador.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Modèle de configuration Catalyst Wireless 9800
    • Concepts AAA, RADIUS et TACACS+

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Gamme de contrôleurs sans fil Catalyst 9800 (Catalyst 9800-CL)
    • Cisco IOS® XE Gibraltar 16.12.1s
    • ISE 2.3.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    L'utilisateur Lobby Ambassador est créé par l'administrateur du réseau. Un utilisateur Lobby Ambassador est capable de créer un nom d'utilisateur, un mot de passe, une description et une durée de vie d'utilisateur invité. Il permet également de supprimer l'utilisateur invité. L'utilisateur invité peut être créé via une interface utilisateur graphique ou une interface de ligne de commande.

    Configurer

    Diagramme du réseau

    Diagramme du réseau

    Dans cet exemple, Lobby Ambassadors "lobby" et "lobbyTac" sont configurés. Le « lobby » Lobby Ambassador est destiné à être authentifié par rapport au serveur RADIUS et le « lobbyTac » Lobby Ambassador est authentifié par rapport à TACACS+.

    La configuration se fait d'abord pour l'ambassadeur du hall RADIUS et finalement pour l'ambassadeur du hall TACACS+. La configuration RADIUS et TACACS+ ISE est également partagée.

    Authentifier RADIUS

    Configurez RADIUS sur le contrôleur LAN sans fil (WLC).

    Étape 1. Déclarez le serveur RADIUS. Créez le serveur RADIUS ISE sur le WLC.

    IUG: 

    Accédez à Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add comme indiqué dans l'image.

    Configuration du serveur WLC Radius

    Lorsque la fenêtre de configuration s'ouvre, les paramètres de configuration obligatoires sont le nom du serveur RADIUS (il ne doit pas nécessairement correspondre au nom système ISE/AAA), l'ADRESSE IP du serveur RADIUS et le secret partagé. Tout autre paramètre peut être laissé par défaut ou peut être configuré comme vous le souhaitez.

    CLI :

    Tim-eWLC1(config)#radius server RadiusLobby
    Tim-eWLC1(config-radius-server)#address ipv4 192.168.166.8 auth-port 1812 acct-port 1813
    Tim-eWLC1(config-radius-server)#key 0 Cisco1234
    Tim-eWLC1(config)#end

    Étape 2. Ajoutez le serveur RADIUS à un groupe de serveurs. Définissez un groupe de serveurs et ajoutez le serveur RADIUS configuré. Il s'agit du serveur RADIUS utilisé pour l'authentification de l'utilisateur Lobby Ambassador. Si plusieurs serveurs RADIUS configurés dans le WLC peuvent être utilisés pour l'authentification, la recommandation est d'ajouter tous les serveurs RADIUS au même groupe de serveurs. Si vous le faites, vous laissez le WLC équilibrer la charge des authentifications parmi les serveurs RADIUS dans le groupe de serveurs.

    IUG:

    Accédez à Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add comme indiqué dans l'image.

    Configuration du groupe WLC Radius

    Lorsque la fenêtre de configuration s'ouvre afin de donner un nom au groupe, déplacez les serveurs RADIUS configurés de la liste Serveurs disponibles vers la liste Serveurs affectés.

    CLI :

    Tim-eWLC1(config)#aaa group server radius GroupRadLobby
    Tim-eWLC1(config-sg-radius)#server name RadiusLobby
    Tim-eWLC1(config-sg-radius)#end

    Étape 3. Créez une liste de méthodes d'authentification. La liste des méthodes d'authentification définit le type d'authentification que vous recherchez et l'associe également au groupe de serveurs que vous définissez. Vous savez si l'authentification est effectuée localement sur le WLC ou en externe à un serveur RADIUS.

    IUG:

    Accédez à Configuration > Security > AAA > AAA Method List > Authentication > + Add comme indiqué dans l'image.

    Configuration de la liste des méthodes AAA sur le WLC

    Lorsque la fenêtre de configuration s'ouvre, indiquez un nom, sélectionnez l'option de type Login et attribuez le groupe de serveurs créé précédemment.

    Type de groupe local.

    IUG:

    Si vous sélectionnez Group Type comme 'local', le WLC vérifie d'abord si l'utilisateur existe dans la base de données locale, puis revient au groupe de serveurs uniquement si l'utilisateur Lobby Ambassador est introuvable dans la base de données locale.

    CLI :

    Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod local group GroupRadLobby
    Tim-eWLC1(config)#end

    Remarque : soyez conscient du bogue CSCvs87163 lorsque vous utilisez local en premier. Ce problème est résolu dans la section 17.3.

    Group Type as group.

    IUG:

    Si vous sélectionnez Group Type comme 'group' et qu'aucune option de secours vers local n'est cochée, le WLC vérifiera simplement l'utilisateur par rapport au groupe de serveurs et n'enregistrera pas sa base de données locale.

    CLI :

    Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby
    Tim-eWLC1(config)#end

    Type de groupe en tant que groupe et l'option de secours vers local est cochée.

    IUG:

    Si vous sélectionnez Group Type comme 'group' et que l'option fallback to local est cochée, le WLC vérifiera l'utilisateur par rapport au groupe de serveurs et interrogera la base de données locale uniquement si le serveur RADIUS expire dans la réponse. Si le serveur répond, le WLC ne déclenchera pas d'authentification locale.

    CLI :

    Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby local
    Tim-eWLC1(config)#end

    Étape 4. Créez une liste de méthodes d’autorisation. La liste des méthodes d'autorisation définit le type d'autorisation dont vous avez besoin pour l'ambassadeur du hall qui, dans ce cas, sera « exec ». Il sera également attaché au même groupe de serveurs que celui défini. Il permet également de sélectionner si l'authentification sera effectuée localement sur le WLC ou en externe à un serveur RADIUS.

    IUG:

    Allez à Configuration > Security > AAA > AAA Method List > Authorization > +Add (configuration > sécurité > AAA > liste de méthodes AAA > autorisation > +ajouter) selon les indications de l’image.

    Rayon_Autoriser

    Lorsque la fenêtre de configuration s'ouvre pour fournir un nom, sélectionnez l'option de type « exec » et attribuez le groupe de serveurs créé précédemment.

    N'oubliez pas que le type de groupe s'applique de la même manière qu'il a été expliqué dans la section Liste des méthodes d'authentification.

    CLI :

    Type de groupe local.

    Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod local group GroupRadLobby
    Tim-eWLC1(config)#end

    Group Type as group.

    Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby
    Tim-eWLC1(config)#end

    Group Type as group et l'option fallback to local est cochée.

    Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby local
    Tim-eWLC1(config)#end

    Étape 5. Attribuez les méthodes. Une fois que les méthodes sont configurées, elles doivent être affectées aux options de connexion au WLC afin de créer l'utilisateur invité tel que la ligne VTY (SSH/Telnet) ou HTTP (GUI).

    Ces étapes ne peuvent pas être effectuées à partir de l'interface utilisateur graphique. Elles doivent donc l'être à partir de l'interface de ligne de commande.

    Authentification HTTP/GUI :

    Tim-eWLC1(config)#ip http authentication aaa login-authentication AuthenLobbyMethod
    Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozLobbyMethod
    Tim-eWLC1(config)#end

    Lorsque vous apportez des modifications aux configurations HTTP, il est préférable de redémarrer les services HTTP et HTTPS :

    Tim-eWLC1(config)#no ip http server
    Tim-eWLC1(config)#no ip http secure-server
    Tim-eWLC1(config)#ip http server
    Tim-eWLC1(config)#ip http secure-server
    Tim-eWLC1(config)#end

    Ligne VTY.

    Tim-eWLC1(config)#line vty 0 15
    Tim-eWLC1(config-line)#login authentication AuthenLobbyMethod
    Tim-eWLC1(config-line)#authorization exec AuthozLobbyMethod
    Tim-eWLC1(config-line)#end

    Étape 6. Cette étape n'est requise que dans les versions du logiciel antérieures à 17.5.1 ou 17.3.3 et n'est pas requise après les versions où CSCvu29748 a été implémenté. Définissez l'utilisateur distant. Le nom d'utilisateur créé sur ISE pour Lobby Ambassador doit être défini comme un nom d'utilisateur distant sur le WLC. Si le nom d'utilisateur distant n'est pas défini dans le WLC, l'authentification passera correctement, cependant, l'utilisateur se verra accorder un accès complet au WLC au lieu d'un accès uniquement aux privilèges Lobby Ambassador. Cette configuration peut être effectuée uniquement via l'interface de ligne de commande.

    CLI :

    Tim-eWLC1(config)#aaa remote username lobby

    Configuration d'ISE - RADIUS

    Étape 1. Ajoutez le WLC à ISE. Accédez à Administration > Network Resources > Network Devices > Add. Le WLC doit être ajouté à ISE. Lorsque vous ajoutez le WLC à ISE, activez les paramètres d'authentification RADIUS et configurez les paramètres nécessaires comme indiqué dans l'image.

    Rayon_ISE

    Lorsque la fenêtre de configuration s'ouvre, indiquez un nom, IP ADD, activez les paramètres d'authentification RADIUS et, sous Protocol Radius, saisissez le secret partagé requis.

    Étape 2. Créez l'utilisateur Lobby Ambassador sur ISE. Accédez à Administration > Identity Management > Identities > Users > Add.

    Ajoutez à ISE le nom d'utilisateur et le mot de passe attribués à l'ambassadeur du hall qui crée les utilisateurs invités. Il s'agit du nom d'utilisateur que l'administrateur attribuera à l'ambassadeur du hall.

    Identité_Rayon

    Lorsque la fenêtre de configuration s'ouvre, indiquez le nom et le mot de passe de l'utilisateur Lobby Ambassador. Assurez-vous également que l'état est Activé.

    Étape 3. Créer un profil d'autorisation des résultats. Accédez à Policy > Policy Elements > Results > Authorization > Authorization Profiles > Add. Créez un profil d'autorisation de résultat afin de retourner au WLC un Access-Accept avec les attributs nécessaires comme indiqué dans l'image.

    Autorisation_Rayon

    Assurez-vous que le profil est configuré pour envoyer un message d'acceptation d'accès, comme illustré dans l'image.

    Attributs_Auteur_Rayon

    Vous devrez ajouter les attributs manuellement sous Paramètres d'attributs avancés. Les attributs sont nécessaires afin de définir l'utilisateur comme Lobby Ambassador et de fournir le privilège afin de permettre à Lobby Ambassador d'effectuer les changements nécessaires.

    Attributs_Rayon

    Étape 4. Créez une stratégie afin de traiter l'authentification. Accédez à Policy > Policy Sets > Add. Les conditions de configuration de la stratégie dépendent de la décision de l'administrateur. La condition Network Access-Username et le protocole Default Network Access sont utilisés ici.

    Il est obligatoire de s'assurer que sous la politique d'autorisation le profil configuré sous l'autorisation de résultats est sélectionné, de cette façon vous pouvez retourner les attributs nécessaires au WLC comme montré dans l'image.

    Politique_Rayon

    Lorsque la fenêtre de configuration s’ouvre, configurez la stratégie d’autorisation. La stratégie d'authentification peut être conservée par défaut.

    Profil_Auteur_Rayon

    Authentifier TACACS+ 

    Configurer TACACS+ sur WLC

    Étape 1. Déclarez le serveur TACACS+. Créez le serveur ISE TACACS dans le WLC.

    IUG:

    Accédez à Configuration > Security > AAA > Servers/Groups > TACACS+ > Servers > + Add comme indiqué dans l'image.

    TACACS_Add_WLC

    Lorsque la fenêtre de configuration s'ouvre, les paramètres de configuration obligatoires sont le nom du serveur TACACS+ (il ne doit pas nécessairement correspondre au nom du système ISE/AAA), l'ADRESSE IP du serveur TACACS et le secret partagé. Tout autre paramètre peut être laissé par défaut ou peut être configuré selon les besoins.

    CLI :

    Tim-eWLC1(config)#tacacs server TACACSLobby
    Tim-eWLC1(config-server-tacacs)#address ipv4 192.168.166.8
    Tim-eWLC1(config-server-tacacs)#key 0 Cisco123
    Tim-eWLC1(config-server-tacacs)#end

    Étape 2. Ajoutez le serveur TACACS+ à un groupe de serveurs. Définissez un groupe de serveurs et ajoutez le serveur TACACS+ souhaité configuré. Il s'agit des serveurs TACACS+ utilisés pour l'authentification.

    IUG:

    Accédez à Configuration > Security > AAA > Servers / Groups > TACACS > Server Groups > + Add comme indiqué dans l'image.

    Groupes_TACACS

    Lorsque la fenêtre de configuration s'ouvre, attribuez un nom au groupe et déplacez les serveurs TACACS+ souhaités de la liste Serveurs disponibles vers la liste Serveurs affectés.

    CLI :

    Tim-eWLC1(config)#aaa group server tacacs+ GroupTacLobby
    Tim-eWLC1(config-sg-tacacs+)#server name TACACSLobby
    Tim-eWLC1(config-sg-tacacs+)#end

    Étape 3. Créez une liste de méthodes d'authentification. La liste des méthodes d'authentification définit le type d'authentification nécessaire et l'associe également au groupe de serveurs configuré. Il permet également de sélectionner si l'authentification peut être effectuée localement sur le WLC ou externe à un serveur TACACS+.

    IUG:

    Accédez à Configuration > Security > AAA > AAA Method List > Authentication > + Add comme indiqué dans l'image.

    Méthode_TACACS

    Lorsque la fenêtre de configuration s'ouvre, indiquez un nom, sélectionnez l'option de type Login et attribuez le groupe de serveurs créé précédemment.

    Type de groupe local.

    IUG:

    Si vous sélectionnez le type de groupe 'local', le WLC vérifiera d'abord si l'utilisateur existe dans la base de données locale et reviendra ensuite au groupe de serveurs uniquement si l'utilisateur Lobby Ambassador n'est pas trouvé dans la base de données locale.

    Note : S'il vous plaît être conscient de ce bogue CSCvs87163 qui est corrigé dans 17.3.

    CLI :

    Tim-eWLC1(config)#aaa authentication login AutheTacMethod local group GroupTacLobby
    Tim-eWLC1(config)#end

    Group Type as group.

    IUG:

    Si vous sélectionnez le type de groupe comme groupe et qu'aucune option de secours vers local n'est cochée, le WLC vérifiera simplement l'utilisateur par rapport au groupe de serveurs et n'enregistrera pas sa base de données locale.

    CLI :

    Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby
    Tim-eWLC1(config)#end

    Group Type as group et l'option fallback to local est cochée.

    IUG:

    Si vous sélectionnez Group Type comme 'group' et que l'option Fallback to local est cochée, le WLC vérifiera l'utilisateur par rapport au groupe de serveurs et interrogera la base de données locale uniquement si le serveur TACACS expire dans la réponse. Si le serveur envoie un refus, l'utilisateur n'est pas authentifié, même s'il existe dans la base de données locale.

    CLI :

    Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby local
    Tim-eWLC1(config)#end

    Étape 4. Créez une liste de méthodes d’autorisation.

    La liste des méthodes d'autorisation définira le type d'autorisation nécessaire pour l'ambassadeur du hall qui, dans ce cas, sera exec. Il est également attaché au même groupe de serveurs que celui qui est configuré. Il est également autorisé à sélectionner si l'authentification est effectuée localement sur le WLC ou externe à un serveur TACACS+.

    IUG:

    Allez à Configuration > Security > AAA > AAA Method List > Authorization > +Add (configuration > sécurité > AAA > liste de méthodes AAA > autorisation > +ajouter) selon les indications de l’image.

    Méthode_Auteur_TACACS

    Lorsque la fenêtre de configuration s'ouvre, indiquez un nom, sélectionnez l'option type en tant qu'exec et attribuez le groupe de serveurs créé précédemment.

    N'oubliez pas que le type de groupe s'applique de la même manière qu'il est expliqué dans la partie Liste des méthodes d'authentification.

    CLI :

    Type de groupe local.

    Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod local group GroupTacLobby
    Tim-eWLC1(config)#end

    Group Type as group.

    Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby
    Tim-eWLC1(config)#end

    Group Type as group et l'option Fallback to local est cochée.

    Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby local
    Tim-eWLC1(config)#end

    Étape 5. Attribuez les méthodes. Une fois les méthodes configurées, elles doivent être affectées aux options afin de se connecter au WLC pour créer l'utilisateur invité tel que la ligne VTY ou HTTP (GUI). Ces étapes ne peuvent pas être effectuées à partir de l'interface utilisateur graphique. Elles doivent donc l'être à partir de l'interface de ligne de commande.

    Authentification HTTP/GUI :

    Tim-eWLC1(config)#ip http authentication aaa login-authentication AutheTacMethod
    Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozTacMethod
    Tim-eWLC1(config)#end

    Lorsque vous apportez des modifications aux configurations HTTP, il est préférable de redémarrer les services HTTP et HTTPS :

    Tim-eWLC1(config)#no ip http server
    Tim-eWLC1(config)#no ip http secure-server
    Tim-eWLC1(config)#ip http server
    Tim-eWLC1(config)#ip http secure-server
    Tim-eWLC1(config)#end

    Ligne VTY :

    Tim-eWLC1(config)#line vty 0 15
    Tim-eWLC1(config-line)#login authentication AutheTacMethod
    Tim-eWLC1(config-line)#authorization exec AuthozTacMethod
    Tim-eWLC1(config-line)#end

    Étape 6. Définissez l'utilisateur distant. Le nom d'utilisateur créé sur ISE pour Lobby Ambassador doit être défini comme un nom d'utilisateur distant sur le WLC. Si le nom d'utilisateur distant n'est pas défini dans le WLC, l'authentification passera correctement, cependant, l'utilisateur se verra accorder un accès complet au WLC au lieu d'un accès uniquement aux privilèges Lobby Ambassador. Cette configuration peut être effectuée uniquement via l'interface de ligne de commande.

    CLI :

    Tim-eWLC1(config)#aaa remote username lobbyTac

    Configuration d'ISE - TACACS+

    Étape 1. Activer l'administration des périphériques Accédez à Administration > System > Deployment. Avant de continuer, sélectionnez Enable Device Admin Service et assurez-vous que ISE a été activé comme indiqué dans l'image. 

    TACACS_Enable_ISE

    Étape 2. Ajoutez le WLC à ISE. Accédez à Administration > Network Resources > Network Devices > Add. Le WLC doit être ajouté à ISE. Lorsque vous ajoutez le WLC à ISE, activez les paramètres d'authentification TACACS+ et configurez les paramètres nécessaires comme indiqué dans l'image.

    Rayon_ISE

    Lorsque la fenêtre de configuration s'ouvre, indiquez un nom, IP ADD, activez les paramètres d'authentification TACACS+ et saisissez le secret partagé requis.

    Étape 3. Créez l'utilisateur Lobby Ambassador sur ISE. Accédez à Administration > Identity Management > Identities > Users > Add. Ajoutez à ISE le nom d'utilisateur et le mot de passe attribués à l'ambassadeur du hall qui créera les utilisateurs invités. Il s'agit du nom d'utilisateur que l'administrateur attribue à l'ambassadeur du hall d'accueil, comme illustré dans l'image.

    Identité_TACACS

    Lorsque la fenêtre de configuration s'ouvre, indiquez le nom et le mot de passe de l'utilisateur Lobby Ambassador. Assurez-vous également que l'état est Activé.

    Étape 4. Créez un profil Résultats TACACS+. Accédez à Work Centers > Device Administration > Policy Elements > Results > TACACS Profiles comme indiqué dans l'image. Avec ce profil, retournez les attributs nécessaires au WLC afin de placer l'utilisateur en tant qu'ambassadeur du lobby.

    Politique_TACACS

    Lorsque la fenêtre de configuration s'ouvre, attribuez un nom au profil, configurez également un Privilégié par défaut 15 et un Attribut personnalisé comme Type Obligatoire, un nom comme type d'utilisateur et une valeur lobby-admin. En outre, laissez le type de tâche commun être sélectionné en tant que shell, comme illustré dans l'image.

    Attributs_TACACS

    Étape 5. Créer un ensemble de stratégies. Accédez à Work Centers > Device Administration > Device Admin Policy Sets comme indiqué dans l'image. Les conditions de configuration de la stratégie dépendent de la décision de l'administrateur. Pour ce document, la condition Network Access-Username et le protocole Default Device Admin sont utilisés. Il est obligatoire de s'assurer, dans la Politique d'autorisation, que le profil configuré dans l'Autorisation des résultats est sélectionné, de cette façon vous pouvez retourner les attributs nécessaires au WLC.

    Jeu_Politiques_TACACS

    Lorsque la fenêtre de configuration s’ouvre, configurez la stratégie d’autorisation. La stratégie d'authentification peut être conservée par défaut, comme indiqué dans l'image.

    authentification

    Vérifier

    Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

    show run aaa
    show run | sec remote
    show run | sec http
    show aaa method-lists authentication
    show aaa method-lists authorization
    show aaa servers
    show tacacs

    Voici à quoi ressemble l'interface utilisateur graphique de Lobby Ambassador après une authentification réussie.

    final

    Dépannage

    Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

    Authentifier RADIUS

    Pour l'authentification RADIUS, ces débogages peuvent être utilisés :

    Tim-eWLC1#debug aaa authentication
    Tim-eWLC1#debug aaa authorization
    Tim-eWLC1#debug aaa attr
    Tim-eWLC1#terminal monitor

    Assurez-vous que la bonne liste de méthodes est sélectionnée dans le débogage. En outre, les attributs requis sont renvoyés par le serveur ISE avec le nom d'utilisateur, le type d'utilisateur et le privilège appropriés.

    Feb 5 02:35:27.659: AAA/AUTHEN/LOGIN (00000000): Pick method list 'AuthenLobbyMethod'
    Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(0):
     7FBA5500C870 0 00000081 username(450) 5 lobby
    Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(1):
     7FBA5500C8B0 0 00000001 user-type(1187) 4 lobby-admin
    Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(2):
     7FBA5500C8F0 0 00000001 priv-lvl(335) 4 15(F)
    Feb 5 02:35:27.683: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host 
    192.168.166.104 by user 'lobby' using crypto cipher 'ECDHE-RSA-AES128-GCM-SHA256'

    Authentifier TACACS+

    Pour l'authentification TACACS+, ce débogage peut être utilisé :

    Tim-eWLC1#debug tacacs
    Tim-eWLC1#terminal monitor

    Assurez-vous que l'authentification est traitée avec le bon nom d'utilisateur et ISE IP ADD. En outre, l'état « PASS » doit être affiché. Dans le même débogage, juste après la phase d'authentification, le processus d'autorisation sera présenté. Dans cette autorisation, la phase garantit que le bon nom d'utilisateur est utilisé avec le bon ID IP ISE. À partir de cette phase, vous pouvez voir les attributs qui sont configurés sur ISE qui indiquent le WLC en tant qu'utilisateur Lobby Ambassador avec le privilège approprié.

    Exemple de phase d'authentification :

    Feb 5 02:06:48.245: TPLUS: Queuing AAA Authentication request 0 for processing
    Feb 5 02:06:48.245: TPLUS: Authentication start packet created for 0(lobbyTac)
    Feb 5 02:06:48.245: TPLUS: Using server 192.168.166.8
    Feb 5 02:06:48.250: TPLUS: Received authen response status GET_PASSWORD (8)
    Feb 5 02:06:48.266: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
    Feb 5 02:06:48.266: TPLUS: Received authen response status PASS (2)

    Exemple de phase d'autorisation :

    Feb 5 02:06:48.267: TPLUS: Queuing AAA Authorization request 0 for processing
    Feb 5 02:06:48.267: TPLUS: Authorization request created for 0(lobbyTac)
    Feb 5 02:06:48.267: TPLUS: Using server 192.168.166.8
    Feb 5 02:06:48.279: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
    Feb 5 02:06:48.279: TPLUS: Processed AV priv-lvl=15
    Feb 5 02:06:48.279: TPLUS: Processed AV user-type=lobby-admin
    Feb 5 02:06:48.279: TPLUS: received authorization response for 0: PASS

    Les exemples de débogage mentionnés précédemment pour RADIUS et TACACS+ comportent les étapes clés pour une connexion réussie. Les débogages sont plus verbeux et le résultat sera plus grand. Afin de désactiver les débogages, cette commande peut être utilisée :

    Tim-eWLC1#undebug all

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    18-Jun-2020
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Timoty J Padilla

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits