Configurare RADIUS per Windows 2008 Server dei criteri di rete - WAAS AAA
Sommario
Introduzione
In questo documento viene descritta la procedura di configurazione di RADIUS (Remote Authentication Dial-In User Service) in Cisco Wide Area Application Services (WAAS) e Windows 2008 R2 Network Policy Server (NPS).
La configurazione WAAS predefinita utilizza l'autenticazione locale. Cisco WAAS supporta RADIUS e Terminal Access Controller Access-Control System (TACACS+) anche per l'autenticazione, l'autorizzazione e l'accounting (AAA). Questo documento descrive la configurazione per un solo dispositivo. Tuttavia, è possibile eseguire questa operazione anche nel gruppo di dispositivi. Tutta la configurazione deve essere applicata tramite l'interfaccia grafica di WAAS CM.
La configurazione generale di WAAS AAA è disponibile nella Cisco Wide Area Application Services Configuration Guide nel capitolo Configuring Administrative Login Authentication, Authorization, and Accounting.
Contributo di Hamilan Gnanabaskaran, Cisco TAC Engineer.
Modificato da Sanaz Tayyar, Cisco TAC Engineer.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- WAAS 5.x o 6.x
- Server dei criteri di rete Windows
- AAA - RADIUS
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Cisco WAAS - Virtual Central Manager (vCM)
- WAAS 6.2.3.b
- Windows 2008 NPS
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Prodotti correlati
Il documento può essere applicato anche alle seguenti versioni hardware e software:
- vWAAS, ISR-WAAS e tutti gli accessori WAAS
- WAAS 5.x o WAAS 6.x
- WAAS come Central Manager, Application Accelerator
Procedura di configurazione
È necessario applicare le seguenti configurazioni:
1. Gestore centrale WAAS
1.1 Configurazione AAA RADIUS
1.2 Configurazione dell'autenticazione AAA
2. Windows 2008 R2 - Configurazione Server dei criteri di rete
2.1 Configurazione dei client RADIUS
2.2 Configurazione dei criteri di rete
3. Configurazione WAAS CM per account utente RADIUS
1. Gestore centrale WAAS
1.1 In WAAS Central Manager crea il server RADIUS in Configurazione>Sicurezza>AAA>RADIUS.
1.2 Configurare il metodo di autenticazione in modo che rifletta RADIUS in Configurazione>Protezione>AAA>Metodi di autenticazione.
Il metodo di autenticazione primaria viene scelto come RADIUS, mentre il metodo di autenticazione secondaria viene scelto come locale. Pertanto, in caso di guasto di RADIUS, il cliente può accedere tramite l'account locale.
2. Windows 2008 R2 - Configurazione Server dei criteri di rete
2.1 Nel server Windows 2008 R2 - Server dei criteri di rete, creare l'indirizzo IP del dispositivo WAAS come client RADIUS.
2.2 Nel server Windows 2008 R2 - Server dei criteri di rete creare un criterio di rete che corrisponda ai dispositivi WAAS e consenta l'autenticazione.
In LAB questi parametri devono essere selezionati in Server dei criteri di rete >Criteri>Criteri di rete.
La condizione può essere associata al nome descrittivo del client Radius. È possibile utilizzare altri metodi, ad esempio indirizzo IP.
Metodi di autenticazione come autenticazione non crittografata (PAP, SPAP).
Service-Type impostato su Administrative.
Attributo specifico del fornitore come Cisco-AV-Pair (Shell:priv-lvl=15).
Consenti Accesso Completo Alla Rete.
3. Configurazione WAAS CM per account utente RADIUS
Configurare un utente in RADIUS con il livello di privilegio 15 o 1, non consente l'accesso all'interfaccia utente di WAAS CM. Il database CMS gestisce un elenco di utenti, ruoli e domini separati dal server AAA esterno.
Dopo aver configurato correttamente il server AAA esterno per l'autenticazione di un utente, è necessario configurare l'interfaccia utente grafica di CM in modo da assegnare all'utente i ruoli e i domini necessari per il funzionamento nell'interfaccia utente di CM.
Se l'utente RADIUS non si trova nella CM sotto l'utente, quando si accede alla GUI con tale utente, l'account dell'utente non dispone dei privilegi necessari per accedere a nessuna delle pagine di Gestione centrale. Rivolgersi all'amministratore per informazioni sui ruoli e i domini di cui è stato eseguito il provisioning. Questo massaggio viene visualizzato.
Configurazione del nome utente locale in WAAS CM senza password.
Il nome utente deve essere associato ai ruoli corretti in Gestione ruoli per ogni utente.
Se l'utente deve disporre di accesso in sola lettura o di accesso limitato, è possibile configurarlo in ruoli.
Verifica
Nei dispositivi WAAS viene eseguito il push di questa configurazione.
chiave radius-server ****
host radius-server 10.66.86.125 auth-port 1645
!
autenticazione accesso locale abilitazione secondario
raggio di accesso autenticazione abilitazione primario
configurazione di autenticazione locale abilitazione secondaria
raggio di configurazione autenticazione abilitazione primario
autenticazione failover server non raggiungibile
Cisco CLI Analyzer (solo utenti registrati) supporta alcuni comandi show. Usare Cisco CLI Analyzer per visualizzare un'analisi dell'output del comando show.
- autenticazione - Configura autenticazione
Risoluzione dei problemi
In questa sezione vengono fornite informazioni utili per risolvere i problemi di configurazione.
- Controllare i registri di dominio di Windows
- #debug aaa authorization da WAAS CM CLI
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
11-Sep-2017 |
Versione iniziale |
Feedback