Configurazione di 9800 WLC Lobby Ambassador con autenticazione RADIUS e TACACS+
Introduzione
In questo documento viene descritto come configurare Catalyst 9800 Wireless Controller per l'autenticazione esterna RADIUS e TACACS+ degli utenti Lobby Ambassador.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Catalyst Wireless 9800 modello di configurazione
- Nozioni base su AAA, RADIUS e TACACS+
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Catalyst serie 9800 Wireless Controller (Catalyst 9800-CL)
- Cisco IOS® XE Gibraltar 16.12.1s
- ISE 2.3.0
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
L'utente Lobby Ambassador è creato dall'amministratore della rete. Un utente Lobby Ambassador è in grado di creare un utente guest nome utente, password, descrizione e durata. Consente inoltre di eliminare l'utente guest. L'utente guest può essere creato tramite GUI o CLI.
Configurazione
Esempio di rete
In questo esempio, sono configurati gli ambasciatori della sala d'attesa "lobby" e "lobbyTac". La "lobby" dell'ambasciatore della sala d'attesa deve essere autenticata dal server RADIUS e l'ambasciatore della sala d'attesa "lobbyTac" deve essere autenticato da TACACS+.
La configurazione viene effettuata prima per l'ambasciatore della sala d'attesa RADIUS e infine per l'ambasciatore della sala d'attesa TACACS+. Viene condivisa anche la configurazione RADIUS e TACACS+ ISE.
Autentica RADIUS
Configurare RADIUS sul controller WLC.
Passaggio 1. Dichiarare il server RADIUS. Creare il server ISE RADIUS sul WLC.
GUI:
Selezionare Configurazione > Sicurezza > AAA > Server/Gruppi > RADIUS > Server > + Aggiungi come mostrato nell'immagine.
Quando viene visualizzata la finestra di configurazione, i parametri di configurazione obbligatori sono il nome del server RADIUS (non deve necessariamente corrispondere al nome di sistema ISE/AAA), l'INDIRIZZO IP del server RADIUS e il segreto condiviso. Qualsiasi altro parametro può essere lasciato predefinito o configurato come desiderato.
CLI:
Tim-eWLC1(config)#radius server RadiusLobby
Tim-eWLC1(config-radius-server)#address ipv4 192.168.166.8 auth-port 1812 acct-port 1813
Tim-eWLC1(config-radius-server)#key 0 Cisco1234
Tim-eWLC1(config)#end
Passaggio 2. Aggiungere il server RADIUS a un gruppo di server. Definire un gruppo di server e aggiungere il server RADIUS configurato. Server RADIUS utilizzato per l'autenticazione dell'utente di sala d'attesa Ambassador. Se nel WLC sono configurati più server RADIUS che possono essere utilizzati per l'autenticazione, si consiglia di aggiungere tutti i server RADIUS allo stesso gruppo di server. In questo caso, si consente al WLC di bilanciare il carico delle autenticazioni tra i server RADIUS nel gruppo di server.
GUI:
Selezionare Configurazione > Sicurezza > AAA > Server / Gruppi > RADIUS > Gruppi di server > + Aggiungi come mostrato nell'immagine.
Quando viene visualizzata la finestra di configurazione per assegnare un nome al gruppo, spostare i server RADIUS configurati dall'elenco Server disponibili all'elenco Server assegnati.
CLI:
Tim-eWLC1(config)#aaa group server radius GroupRadLobby
Tim-eWLC1(config-sg-radius)#server name RadiusLobby
Tim-eWLC1(config-sg-radius)#end
Passaggio 3. Creare un elenco di metodi di autenticazione. L'elenco dei metodi di autenticazione definisce il tipo di autenticazione da cercare e lo associa al gruppo di server definito. È possibile sapere se l'autenticazione viene eseguita localmente sul WLC o esternamente a un server RADIUS.
GUI:
Selezionare Configurazione > Sicurezza > AAA > Elenco metodi AAA > Autenticazione > + Aggiungi come mostrato nell'immagine.
Quando viene visualizzata la finestra di configurazione, specificate un nome, selezionate l'opzione Tipo (Type) come Accesso (Login) e assegnate il gruppo di server creato in precedenza.
Tipo di gruppo come locale.
GUI:
Se si seleziona Tipo di gruppo come 'locale', il WLC verifica innanzitutto se l'utente esiste nel database locale e quindi esegue il fallback al gruppo di server solo se l'utente di Lobby Ambassador non viene trovato nel database locale.
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end
Tipo di gruppo come gruppo.
GUI:
Se si seleziona Tipo gruppo come 'gruppo' e non è selezionata l'opzione di fallback a locale, il WLC confronterà l'utente con il gruppo di server e non archivierà il relativo database locale.
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end
Tipo di gruppo come gruppo e l'opzione fallback a locale è selezionata.
GUI:
Se si seleziona Group Type come 'group' e l'opzione fallback to local è selezionata, il WLC confronterà l'utente con il gruppo di server ed eseguirà una query sul database locale solo se il server RADIUS scade nella risposta. Se il server risponde, il WLC non attiva un'autenticazione locale.
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end
Passaggio 4. Creare un elenco di metodi di autorizzazione. L'elenco dei metodi di autorizzazione definisce il tipo di autorizzazione necessario per l'Ambasciatore di sala d'attesa, che in questo caso sarà 'exec'. Verrà inoltre collegato allo stesso gruppo di server definito. Consente inoltre di selezionare se l'autenticazione verrà eseguita localmente sul WLC o esternamente a un server RADIUS.
GUI:
Selezionare Configuration > Security > AAA > AAA Method List > Authorization > + Add (Configurazione > Sicurezza > AAA > Elenco dei metodi AAA > Autorizzazione > +Aggiungi) come mostrato nell'immagine.
Quando viene visualizzata la finestra di configurazione in cui immettere un nome, selezionare l'opzione type come 'exec' e assegnare il gruppo di server creato in precedenza.
Tenere presente che il tipo di gruppo viene applicato nello stesso modo in cui è stato spiegato nella sezione Elenco metodi di autenticazione.
CLI:
Tipo di gruppo come locale.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end
Tipo di gruppo come gruppo.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end
Tipo di gruppo come gruppo. Viene selezionata l'opzione di fallback a locale.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end
Passaggio 5. Assegnare i metodi. Una volta configurati, i metodi devono essere assegnati alle opzioni per accedere al WLC e creare l'utente guest, ad esempio la linea VTY (SSH/Telnet) o HTTP (GUI).
Questi passaggi non possono essere eseguiti dalla GUI, quindi devono essere eseguiti dalla CLI.
autenticazione HTTP/GUI:
Tim-eWLC1(config)#ip http authentication aaa login-authentication AuthenLobbyMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozLobbyMethod
Tim-eWLC1(config)#end
Quando si apportano modifiche alle configurazioni HTTP, è consigliabile riavviare i servizi HTTP e HTTPS:
Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end
Line VTY
Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AuthenLobbyMethod
Tim-eWLC1(config-line)#authorization exec AuthozLobbyMethod
Tim-eWLC1(config-line)#end
Passaggio 6. questo passaggio è richiesto solo nelle versioni software precedenti alla 17.5.1 o alla 17.3.3 e non è richiesto dopo le versioni in cui 
è stato implementato CSCvu29748. Definire l'utente remoto. Il nome utente creato all'ISE per l'Ambasciatore di sala d'attesa deve essere definito come nome utente remoto sul WLC. Se il nome utente remoto non è definito nel WLC, l'autenticazione verrà eseguita correttamente; tuttavia, all'utente verrà concesso l'accesso completo al WLC invece di accedere solo ai privilegi di Ambasciatore di sala d'attesa. Questa configurazione può essere eseguita solo dalla CLI.
CLI:
Tim-eWLC1(config)#aaa remote username lobby
Configurare ISE - RADIUS
Passaggio 1. Aggiungere il WLC ad ISE. Selezionare Amministrazione > Risorse di rete > Dispositivi di rete > Aggiungi. Il WLC deve essere aggiunto all'ISE. Quando si aggiunge il WLC a ISE, abilitare le impostazioni di autenticazione RADIUS e configurare i parametri necessari, come mostrato nell'immagine.
Quando viene visualizzata la finestra di configurazione, specificare un nome, IP ADD, abilitare le impostazioni di autenticazione RADIUS e in Raggio protocollo immettere il segreto condiviso necessario.
Passaggio 2. Creare l'utente Lobby Ambassador su ISE. Passare a Amministrazione > Gestione delle identità > Identità > Utenti > Aggiungi.
Aggiungete all'ISE il nome utente e la password assegnati all'ambasciatore della sala d'attesa che crea gli utenti ospiti. Il nome utente che l'amministratore assegnerà all'ambasciatore della sala d'attesa.
Quando viene visualizzata la finestra di configurazione, fornire il nome e la password per l'utente Lobby Ambassador. Verificare inoltre che lo stato sia Abilitato.
Passaggio 3. Creare un profilo di autorizzazione dei risultati. Passare a Criterio > Elementi criteri > Risultati > Autorizzazione > Profili autorizzazione > Aggiungi. Creare un profilo di autorizzazione dei risultati per restituire al WLC un Access-Accept con gli attributi necessari, come mostrato nell'immagine.
Verificare che il profilo sia configurato per l'invio di un messaggio di autorizzazione di accesso, come mostrato nell'immagine.
È necessario aggiungere gli attributi manualmente in Impostazioni avanzate attributi. Gli attributi sono necessari per definire l'utente come Ambasciatore della sala d'attesa e per fornire il privilegio al fine di consentire all'Ambasciatore della sala d'attesa di apportare le modifiche necessarie.
Passaggio 4. Creare un criterio per elaborare l'autenticazione. Passare a Criterio > Set di criteri > Aggiungi. Le condizioni per la configurazione del criterio dipendono dalla decisione dell'amministratore. In questo caso vengono utilizzati la condizione Network Access-Username e il protocollo Default Network Access.
In base ai criteri di autorizzazione, è obbligatorio verificare che il profilo configurato in Autorizzazione risultati sia selezionato in modo da poter restituire gli attributi necessari al WLC, come mostrato nell'immagine.
Quando viene visualizzata la finestra di configurazione, configurare il criterio di autorizzazione. È possibile lasciare il criterio di autenticazione predefinito.
Autenticazione TACACS+
Configurazione di TACACS+ su WLC
Passaggio 1. Dichiarare il server TACACS+. Creare l'ISE TACACS Server nel WLC.
GUI:
Passare a Configurazione > Sicurezza > AAA > Server/Gruppi > TACACS+ > Server > + Aggiungi come mostrato nell'immagine.
Quando si apre la finestra di configurazione, i parametri di configurazione obbligatori sono il nome del server TACACS+ (non deve corrispondere al nome del sistema ISE/AAA), l'INDIRIZZO IP del server TACACS e il segreto condiviso. Qualsiasi altro parametro può essere lasciato predefinito o configurato in base alle necessità.
CLI:
Tim-eWLC1(config)#tacacs server TACACSLobby
Tim-eWLC1(config-server-tacacs)#address ipv4 192.168.166.8
Tim-eWLC1(config-server-tacacs)#key 0 Cisco123
Tim-eWLC1(config-server-tacacs)#end
Passaggio 2. Aggiungere il server TACACS+ a un gruppo di server. Definire un gruppo di server e aggiungere il server TACACS+ desiderato configurato. Verranno utilizzati i server TACACS+ per l'autenticazione.
GUI:
Selezionare Configurazione > Sicurezza > AAA > Server / Gruppi > TACACS > Gruppi di server > + Aggiungi come mostrato nell'immagine.
Quando viene visualizzata la finestra di configurazione, assegnare un nome al gruppo e spostare i server TACACS+ desiderati dall'elenco Server disponibili all'elenco Server assegnati.
CLI:
Tim-eWLC1(config)#aaa group server tacacs+ GroupTacLobby
Tim-eWLC1(config-sg-tacacs+)#server name TACACSLobby
Tim-eWLC1(config-sg-tacacs+)#end
Passaggio 3. Creare un elenco di metodi di autenticazione. L'elenco dei metodi di autenticazione definisce il tipo di autenticazione necessaria e lo stesso tipo verrà associato al gruppo di server configurato. Permette anche di selezionare se l'autenticazione può essere effettuata localmente sul WLC o esternamente a un server TACACS+.
GUI:
Selezionare Configurazione > Sicurezza > AAA > Elenco metodi AAA > Autenticazione > + Aggiungi come mostrato nell'immagine.
Quando viene visualizzata la finestra di configurazione, specificate un nome, selezionate l'opzione Tipo (Type) come Accesso (Login) e assegnate il gruppo di server creato in precedenza.
Tipo di gruppo come locale.
GUI:
Se si seleziona Tipo di gruppo come 'locale', il WLC controlla innanzitutto se l'utente esiste nel database locale e quindi esegue il fallback al gruppo di server solo se l'utente di Lobby Ambassador non viene trovato nel database locale.
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end
Tipo di gruppo come gruppo.
GUI:
Se si seleziona Tipo di gruppo come gruppo e non si seleziona l'opzione di fallback a locale, il WLC confronterà l'utente con il gruppo di server e non archivierà il relativo database locale.
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby
Tim-eWLC1(config)#end
Tipo di gruppo come gruppo. Viene selezionata l'opzione di fallback a locale.
GUI:
Se si seleziona Group Type come 'group' e l'opzione Fallback to local è selezionata, il WLC confronterà l'utente con il Server Group ed eseguirà una query sul database locale solo se il server TACACS scade nella risposta. Se il server invia un rifiuto, l'utente non viene autenticato, anche se esiste nel database locale.
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end
Passaggio 4. Creare un elenco di metodi di autorizzazione.
L'elenco dei metodi di autorizzazione definirà il tipo di autorizzazione necessario per l'ambasciatore della sala d'attesa, che in questo caso verrà eseguito. È inoltre collegato allo stesso gruppo di server configurato. Inoltre, è possibile selezionare se l'autenticazione viene effettuata localmente sul WLC o esternamente a un server TACACS+.
GUI:
Selezionare Configuration > Security > AAA > AAA Method List > Authorization > + Add (Configurazione > Sicurezza > AAA > Elenco dei metodi AAA > Autorizzazione > +Aggiungi) come mostrato nell'immagine.
Quando viene visualizzata la finestra di configurazione, specificate un nome, selezionate l'opzione di testo exec e assegnate il gruppo di server creato in precedenza.
Tenere presente che il tipo di gruppo viene applicato nello stesso modo in cui viene spiegato nella parte Authentication Method List.
CLI:
Tipo di gruppo come locale.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end
Tipo di gruppo come gruppo.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby
Tim-eWLC1(config)#end
Tipo di gruppo come gruppo e l'opzione Fallback a locale è selezionata.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end
Passaggio 5. Assegnare i metodi. Una volta configurati, i metodi devono essere assegnati alle opzioni per accedere al WLC e creare l'utente guest, ad esempio la linea VTY o HTTP (GUI). Questi passaggi non possono essere eseguiti dalla GUI, quindi devono essere eseguiti dalla CLI.
autenticazione HTTP/GUI:
Tim-eWLC1(config)#ip http authentication aaa login-authentication AutheTacMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozTacMethod
Tim-eWLC1(config)#end
Quando si apportano modifiche alle configurazioni HTTP, è consigliabile riavviare i servizi HTTP e HTTPS:
Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end
VTY linea:
Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AutheTacMethod
Tim-eWLC1(config-line)#authorization exec AuthozTacMethod
Tim-eWLC1(config-line)#end
Passaggio 6. Definire l'utente remoto. Il nome utente creato all'ISE per l'Ambasciatore di sala d'attesa deve essere definito come nome utente remoto sul WLC. Se il nome utente remoto non è definito nel WLC, l'autenticazione verrà eseguita correttamente; tuttavia, all'utente verrà concesso l'accesso completo al WLC invece di accedere solo ai privilegi di Ambasciatore di sala d'attesa. Questa configurazione può essere eseguita solo dalla CLI.
CLI:
Tim-eWLC1(config)#aaa remote username lobbyTac
Configurare ISE - TACACS+
Passaggio 1. Abilita l'amministratore del dispositivo. Passare a Amministrazione > Sistema > Distribuzione. Prima di procedere, selezionare Enable Device Admin Service (Abilita servizio di amministrazione dispositivi) e accertarsi che ISE sia stato abilitato, come mostrato nell'immagine.
Passaggio 2. Aggiungere il WLC ad ISE. Selezionare Amministrazione > Risorse di rete > Dispositivi di rete > Aggiungi. Il WLC deve essere aggiunto all'ISE. Quando si aggiunge il WLC ad ISE, abilitare le impostazioni di autenticazione TACACS+ e configurare i parametri necessari, come mostrato nell'immagine.
Quando viene visualizzata la finestra di configurazione con il nome IP ADD, abilitare le impostazioni di autenticazione TACACS+ e immettere il segreto condiviso richiesto.
Passaggio 3. Creare l'utente Lobby Ambassador su ISE. Passare a Amministrazione > Gestione delle identità > Identità > Utenti > Aggiungi. Ad ISE aggiungeremo il nome utente e la password assegnati all'ambasciatore della sala d'attesa che creerà gli utenti ospiti. Il nome utente assegnato dall'amministratore all'ambasciatore della sala d'attesa, come mostrato nell'immagine.
Quando viene visualizzata la finestra di configurazione, fornire il nome e la password per l'utente Lobby Ambassador. Verificare inoltre che lo stato sia Abilitato.
Passaggio 4. Creare un profilo Risultati TACACS+. Passare a Work Center > Device Administration > Policy Elements > Results > TACACS Profiles (Centri di lavoro > Amministrazione dispositivi > Elementi criteri > Risultati > Profili TACACS) come mostrato nell'immagine. Con questo profilo, restituire gli attributi necessari al WLC in modo da posizionare l'utente come Ambasciatore della lobby.
Quando viene visualizzata la finestra di configurazione, specificare un nome per il profilo, configurare anche un Privileged predefinito 15 e un Attributo personalizzato come Tipo obbligatorio, un nome come tipo utente e un valore lobby-admin. Inoltre, consente di selezionare Common Task Type come Shell, come mostrato nell'immagine.
Passaggio 5. Creare un set di criteri. Passare a Work Center > Device Administration > Device Admin Policy Sets (Centri di lavoro > Amministrazione dispositivi > Set di criteri di amministrazione dispositivi) come mostrato nell'immagine. Le condizioni per la configurazione del criterio dipendono dalla decisione dell'amministratore. Per questo documento vengono utilizzati la condizione Network Access-Username e il protocollo Default Device Admin. In base ai criteri di autorizzazione, è obbligatorio verificare che il profilo configurato in Autorizzazione risultati sia selezionato in modo da poter restituire gli attributi necessari al WLC.
Quando viene visualizzata la finestra di configurazione, configurare il criterio di autorizzazione. Il criterio di autenticazione può essere lasciato come predefinito, come mostrato nell'immagine.
Verifica
Per verificare che la configurazione funzioni correttamente, consultare questa sezione.
show run aaa
show run | sec remote
show run | sec http
show aaa method-lists authentication
show aaa method-lists authorization
show aaa servers
show tacacs
Ecco come appare la GUI di Lobby Ambassador dopo l'autenticazione riuscita.
Risoluzione dei problemi
In questa sezione vengono fornite informazioni utili per risolvere i problemi di configurazione.
Autentica RADIUS
Per l'autenticazione RADIUS, è possibile utilizzare i seguenti debug:
Tim-eWLC1#debug aaa authentication
Tim-eWLC1#debug aaa authorization
Tim-eWLC1#debug aaa attr
Tim-eWLC1#terminal monitor
Accertarsi che l'elenco dei metodi corretto sia selezionato dal comando debug. Inoltre, gli attributi richiesti vengono restituiti dal server ISE con il nome utente, il tipo di utente e il privilegio corretti.
Feb 5 02:35:27.659: AAA/AUTHEN/LOGIN (00000000): Pick method list 'AuthenLobbyMethod'
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(0):
7FBA5500C870 0 00000081 username(450) 5 lobby
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(1):
7FBA5500C8B0 0 00000001 user-type(1187) 4 lobby-admin
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(2):
7FBA5500C8F0 0 00000001 priv-lvl(335) 4 15(F)
Feb 5 02:35:27.683: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host
192.168.166.104 by user 'lobby' using crypto cipher 'ECDHE-RSA-AES128-GCM-SHA256'
Autenticazione TACACS+
Per l'autenticazione TACACS+, è possibile usare questo debug:
Tim-eWLC1#debug tacacs
Tim-eWLC1#terminal monitor
Verificare che l'autenticazione venga elaborata con il nome utente corretto e ISE IP ADD. Inoltre, deve essere visualizzato lo stato "PASS". Nello stesso debug, subito dopo la fase di autenticazione, viene presentato il processo di autorizzazione. In questa autorizzazione, fase assicura che venga utilizzato il nome utente corretto insieme all'ISE IP ADD corretto. Da questa fase, è possibile vedere gli attributi configurati su ISE che dichiarano il WLC come utente Lobby Ambassador con il privilegio giusto.
Esempio di fase di autenticazione:
Feb 5 02:06:48.245: TPLUS: Queuing AAA Authentication request 0 for processing
Feb 5 02:06:48.245: TPLUS: Authentication start packet created for 0(lobbyTac)
Feb 5 02:06:48.245: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.250: TPLUS: Received authen response status GET_PASSWORD (8)
Feb 5 02:06:48.266: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.266: TPLUS: Received authen response status PASS (2)
Esempio di fase di autorizzazione:
Feb 5 02:06:48.267: TPLUS: Queuing AAA Authorization request 0 for processing
Feb 5 02:06:48.267: TPLUS: Authorization request created for 0(lobbyTac)
Feb 5 02:06:48.267: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.279: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.279: TPLUS: Processed AV priv-lvl=15
Feb 5 02:06:48.279: TPLUS: Processed AV user-type=lobby-admin
Feb 5 02:06:48.279: TPLUS: received authorization response for 0: PASS
Gli esempi di debug citati in precedenza per RADIUS e TACACS+ sono fondamentali per la riuscita del login. I debug sono più dettagliati e l'output sarà più grande. Per disabilitare i debug, è possibile usare questo comando:
Tim-eWLC1#undebug all
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
18-Jun-2020 |
Versione iniziale |
Feedback