Configurazione di 9800 WLC Lobby Ambassador con RADIUS e TACACS+
Sommario
Introduzione
In questo documento viene descritto come configurare Catalyst 9800 Wireless Controller per l'autenticazione esterna RADIUS e TACACS+ degli utenti Lobby Ambassador.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Nozioni base sull'amministrazione della sala d'attesa del controller LAN wireless 9800
- Concetti sul RADIUS AAA (Authentication, Authorization and Accounting)
- Nozioni base su TACACS+
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Catalyst serie 9800 Wireless Controller (Catalyst 9800-CL)
- Cisco IOS® XE Gibraltar 16.12.1s
- Identity Service Engine (ISE) 2.3.0
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
L'Ambasciatore di sala d'attesa è creato dall'amministratore della rete. Un ambasciatore di sala d'attesa è in grado di creare una voce utente ospite nel controller WLC (Wireless LAN Controller) che include nome utente, password, descrizione e durata. Consente inoltre di eliminare l'utente guest. L'Ambasciatore di sala d'attesa può creare l'utente ospite tramite l'interfaccia grafica utente (GUI) o l'interfaccia della riga di comando (CLI).
Configurazione
Esempio di rete
Esempio di rete
La configurazione di questo documento si basa su due Lobby Ambassador, il primo Lobby Ambassador si chiama lobby e si autentica contro il server RADIUS, il secondo Lobby Ambassador si chiama lobbyTac e si autentica contro TACACS+. Entrambi hanno la capacità di configurare gli utenti guest nel WLC.
Autenticazione RADIUS Ambassador sala d'attesa
Configurazione di un server RADIUS su controller LAN wireless
GUI WLC
Selezionare Configurazione > Sicurezza > AAA > Server/Gruppi > RADIUS > Server > + Aggiungi come mostrato nell'immagine.
Radius Server su WLC
Quando viene visualizzata la finestra di configurazione, i parametri di configurazione obbligatori sono Nome server RADIUS, Indirizzo IP server RADIUS e Segreto condiviso server RADIUS. Qualsiasi altro parametro può essere lasciato come predefinito o può essere configurato come desiderato.
CLI WLC
Tim-eWLC1(config)#radius server RadiusLobby
Tim-eWLC1(config-radius-server)#address ipv4 192.168.166.8 auth-port 1812 acct-port 1813
Tim-eWLC1(config-radius-server)#key 0 Cisco1234
Tim-eWLC1(config)#end
Aggiungere il server RADIUS a un gruppo di server
GUI WLC
Passare a Configurazione > Sicurezza > AAA > Server / Gruppi > RADIUS > Gruppi di server > + Aggiungi come mostrato nell'immagine.
Server Radius su gruppo server
Quando viene visualizzata la finestra di configurazione, configurare un nome per il gruppo, spostare i server RADIUS configurati dall'elenco Server disponibili all'elenco Server assegnati.
CLI WLC
Tim-eWLC1(config)#aaa group server radius GroupRadLobby
Tim-eWLC1(config-sg-radius)#server name RadiusLobby
Tim-eWLC1(config-sg-radius)#end
Creare un elenco di metodi di autenticazione AAA
GUI WLC
Passare a Configurazione > Sicurezza > AAA > Elenco metodi AAA > Autenticazione > + Aggiungi come mostrato nell'immagine.
Elenco metodi di autenticazione
Quando viene visualizzata la finestra di configurazione, configurare un Nome, selezionare l'opzione Tipo come Accesso e assegnare il gruppo di server creato in precedenza. Il Tipo di gruppo può essere selezionato come Locale o Gruppo
Tipo di gruppo elenco metodi AAA - Prima locale
Tipo di gruppo come locale verifica prima il WLC se l'utente esiste nel database locale, quindi esegue il fallback al gruppo di server solo se l'utente Lobby Ambassador non viene trovato nel database locale.
CLI WLC
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end
Nota: Quando si usa l'ID bug Cisco CSCvs87163, prendere nota dell'ID gruppo elenco metodi AAA. Digitare Local First.
Gruppo tipi elenco metodi AAA
Se l'opzione Group Type (Tipo gruppo) è selezionata come Group (Gruppo) e non è selezionato alcun fallback all'opzione Local (Locale), il WLC controlla l'utente rispetto al gruppo di server e non archivia il relativo database locale.
CLI WLC
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end
Gruppo di tipi di elenchi di metodi AAA con fallback
Selezionando l'opzione Group Type e Fallback to Local (Tipo gruppo), il WLC confronta l'utente con il gruppo di server ed esegue una query sul database locale, a meno che il server RADIUS non invii una risposta in timeout. Se il server Radius risponde anche con un rifiuto, il WLC non attiva un'autenticazione locale.
CLI WLC
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end
Creare un elenco di metodi di autorizzazione AAA
GUI WLC
Selezionare Configuration > Security > AAA > AAA Method List > Authorization > + Add (Configurazione > Sicurezza > AAA > Elenco dei metodi AAA > Autorizzazione > +Aggiungi) come mostrato nell'immagine.
Elenco metodi di autorizzazione
Quando viene visualizzata la finestra di configurazione in cui immettere un nome, selezionare l'opzione di testo exec e assegnare il gruppo di server creato in precedenza.
Il tipo di gruppo viene applicato nello stesso modo in cui è stato spiegato nella sezione Creazione di un elenco di metodi AAA.
CLI WLC
Tipo di gruppo elenco metodi AAA Prima locale.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end
Gruppo tipi elenco metodi AAA.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end
Gruppo di tipi di elenchi di metodi AAA con fallback.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end
Il metodo AAA elenca le assegnazioni
Assegnare il metodo di autenticazione e autorizzazione AAA al protocollo HTTP (HyperText Transfer Protocol) e al protocollo VTY (Virtual TeleType) del WLC.
Questi passaggi non possono essere eseguiti dalla GUI, quindi devono essere eseguiti dalla CLI.
Configurazione HTTP.
Tim-eWLC1(config)#ip http authentication aaa login-authentication AuthenLobbyMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozLobbyMethod
Tim-eWLC1(config)#end
È consigliabile riavviare i servizi HTTP.
Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end
Configurazione VTY.
Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AuthenLobbyMethod
Tim-eWLC1(config-line)#authorization exec AuthozLobbyMethod
Tim-eWLC1(config-line)#end
A causa dell'ID bug Cisco CSCvu29748, un WLC che esegue una versione precedente alla 17.3.3 o alla 17.14 e 17.15 deve configurare tramite CLI la configurazione mostrata di seguito. Questa operazione non è necessaria se il WLC esegue una versione con codice famiglia 17.3.4 dalla 17.3.8a o con codice 17.16.1 e versioni successive.
CLI WLC
Tim-eWLC1(config)#aaa remote username lobby
Configurazione di ISE per l'autenticazione Radius
Aggiungi il WLC ad ISE
Selezionare Amministrazione > Risorse di rete > Dispositivi di rete > + Aggiungi come mostrato nell'immagine.
Add WLC to ISE
Quando viene visualizzata la finestra di configurazione, configurare un nome, un INDIRIZZO IP, abilitare le impostazioni di autenticazione RADIUS e in Raggio protocollo immettere il segreto condiviso.
Creare l'utente Ambassador della sala d'attesa su ISE
Passare a Amministrazione > Gestione delle identità > Identità > Utenti > + Aggiungi come mostrato nell'immagine.
Nome utente e password Lobby Ambassador in ISE
Quando si apre la finestra di configurazione, fornire il Nome e la Password per l'utente di Lobby Ambassador, inoltre assicurarsi che Status (Stato) sia visualizzato come Enabled (Abilitato).
Questa configurazione di nome utente e password è assegnata all'Ambasciatore della sala d'attesa incaricato di creare gli utenti ospiti nel WLC, in altre parole, questo è il nome utente e la password che l'Amministratore di rete assegna all'Ambasciatore della sala d'attesa.
Creazione di un profilo di autorizzazione dei risultati
Passare a Criterio > Elementi criteri > Risultati > Autorizzazione > Profili di autorizzazione > + Aggiungi come mostrato nell'immagine.
Authorization Profile in ISE
Verificare che il profilo sia configurato per l'invio di un messaggio di accettazione dell'accesso, come mostrato nell'immagine.
Access Type Access-Accept
Aggiungere manualmente gli attributi in Impostazioni avanzate attributi. Gli attributi sono necessari per definire l'utente come Ambasciatore di lobby e per fornire il privilegio di consentire all'Ambasciatore di lobby di apportare le modifiche necessarie nel WLC per aggiungere gli utenti ospiti.
Impostazioni avanzate degli attributi in ISE
Creare un criterio di autenticazione
Passare a Criterio > Set di criteri > Aggiungi come mostrato nell'immagine.
Policy di autenticazione in ISE
Le condizioni per la configurazione del criterio dipendono dalla decisione dell'amministratore. In questo esempio vengono utilizzati la condizione Network Access-Username e il protocollo Default Network Access.
In base ai criteri di autorizzazione, è obbligatorio verificare che il profilo configurato in Autorizzazione risultati sia selezionato in modo che gli attributi corretti vengano restituiti al WLC.
Fare clic sul criterio di autorizzazione configurato. Verrà visualizzata la finestra di configurazione in cui è possibile configurare il criterio di autorizzazione con il profilo dei risultati appropriato. Il criterio di autenticazione può essere lasciato come predefinito.
Configurazione criteri di autorizzazione
Autenticazione TACACS+ Ambassador sala d'attesa
Configurazione di un server TACACS+ su controller LAN wireless
GUI WLC
Passare a Configurazione > Sicurezza > AAA > Server/Gruppi > TACACS+ > Server > + Aggiungi come mostrato nell'immagine.
Aggiungere TACACS al WLC
Quando si apre la finestra di configurazione, i parametri di configurazione obbligatori sono il nome del server TACACS+, l'INDIRIZZO IP del server TACACS e il segreto condiviso. Qualsiasi altro parametro può essere lasciato come predefinito o configurato in base alle necessità.
CLI WLC
Tim-eWLC1(config)#tacacs server TACACSLobby
Tim-eWLC1(config-server-tacacs)#address ipv4 192.168.166.8
Tim-eWLC1(config-server-tacacs)#key 0 Cisco123
Tim-eWLC1(config-server-tacacs)#end
Aggiungere il server TACACS+ a un gruppo di server
GUI WLC
Selezionare Configurazione > Sicurezza > AAA > Server / Gruppi > TACACS > Gruppi di server > +Aggiungi, come mostrato nell'immagine.
Gruppo server TACACS
Quando viene visualizzata la finestra di configurazione, configurare un Nome per il gruppo e spostare i server TACACS+ desiderati dall'elenco Available Servers (Server disponibili) all'elenco Assigned Servers (Server assegnati).
CLI WLC
Tim-eWLC1(config)#aaa group server tacacs+ GroupTacLobby
Tim-eWLC1(config-sg-tacacs+)#server name TACACSLobby
Tim-eWLC1(config-sg-tacacs+)#end
Creazione di un elenco di metodi di autenticazione
GUI WLC
Passare a Configurazione > Sicurezza > AAA > Elenco metodi AAA > Autenticazione > +Aggiungi come mostrato nell'immagine.
Configurazione elenco metodi TACACS AAA
Quando viene visualizzata la finestra di configurazione, configurare un Nome, selezionare l'opzione Tipo come Accesso e assegnare il gruppo di server creato in precedenza.
Tipi di gruppo elenco metodi AAA
L'autenticazione TACACS+ supporta diversi tipi di elenchi di metodi, ad esempio Locale e Gruppo. Per informazioni su ciascuno dei tipi, consultare la sezione precedente del documento intitolata Creazione di un elenco di metodi di autenticazione AAA.
Quindi, usare i comandi per configurare gli elenchi dei metodi TACACS+ tramite la CLI.
CLI WLC
Tipo di gruppo elenco metodi AAA Prima locale.
Tim-eWLC1(config)#aaa authentication login AutheTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end
Gruppo tipi elenco metodi AAA.
Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby
Tim-eWLC1(config)#end
Gruppo di tipi di elenchi di metodi AAA con fallback.
Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end
Creare un elenco di metodi di autorizzazione AAA
GUI WLC
Selezionare Configuration > Security > AAA > AAA Method List > Authorization > + Add (Configurazione > Sicurezza > AAA > Elenco dei metodi AAA > Autorizzazione > +Aggiungi) come mostrato nell'immagine.
Configurazione elenco autorizzazioni TAC
Quando viene visualizzata la finestra di configurazione, configurare un nome, selezionare l'opzione Type (Tipo) come exec e assegnare il gruppo di server creato in precedenza.
Il tipo di gruppo viene applicato nello stesso modo in cui è stato spiegato nella sezione Creazione di un elenco di metodi AAA.
CLI WLC
Tipo di gruppo elenco metodi AAA Prima locale.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end
Gruppo tipi elenco metodi AAA.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby
Tim-eWLC1(config)#end
Gruppo di tipi di elenchi di metodi AAA con fallback.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end
Il metodo AAA elenca le assegnazioni
Assegnare il metodo di autenticazione e autorizzazione AAA ai protocolli HTTP e VTY del WLC.
Questi passaggi non possono essere eseguiti dalla GUI, quindi devono essere eseguiti dalla CLI.
Configurazione HTTP.
Tim-eWLC1(config)#ip http authentication aaa login-authentication AutheTacMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozTacMethod
Tim-eWLC1(config)#end
È consigliabile riavviare i servizi HTTP.
Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end
Configurazione VTY.
Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AutheTacMethod
Tim-eWLC1(config-line)#authorization exec AuthozTacMethod
Tim-eWLC1(config-line)#end
A causa dell'ID bug Cisco CSCvu29748, un WLC che esegue una versione precedente alla 17.3.3 o alla 17.14 e 17.15 deve configurare la configurazione successiva. Questa operazione non è necessaria se il WLC esegue una versione con codice famiglia 17.3.4 dalla 17.3.8a o con codice 17.16.1 e versioni successive.
CLI:
Tim-eWLC1(config)#aaa remote username lobbyTac
Configurazione di ISE per l'autenticazione TACACS+
Abilita amministrazione dispositivi
Passare a Amministrazione > Sistema > Distribuzione come mostrato nell'immagine.
Device Admin in ISE per TACACS
Selezionare Enable Device Admin Service e verificare che sia stato abilitato.
Aggiungi il WLC ad ISE
Selezionare Amministrazione > Risorse di rete > Dispositivi di rete > + Aggiungi come mostrato nell'immagine.
Add WLC to ISE
Quando si apre la finestra di configurazione per configurare un Nome, INDIRIZZO IP, abilitare le impostazioni di autenticazione TACACS+ e immettere il segreto condiviso.
Creare l'utente Ambassador della sala d'attesa su ISE
Passare a Amministrazione > Gestione delle identità > Identità > Utenti > + Aggiungi come mostrato nell'immagine.
Nome utente e password Lobby Ambassador in ISE
Quando si apre la finestra di configurazione, fornire il Nome e la Password per l'utente di Lobby Ambassador, inoltre assicurarsi che Status (Stato) sia visualizzato come Enabled (Abilitato).
Questa configurazione di nome utente e password è assegnata all'ambasciatore della sala d'attesa incaricato di creare gli utenti ospiti nel WLC. ovvero il nome utente e la password assegnati dall'amministratore di rete all'ambasciatore della sala d'attesa.
Crea un profilo TACACS+ dei risultati
Passare a Work Center > Device Administration > Policy Elements > Results > TACACS Profiles (Centri di lavoro > Amministrazione dispositivi > Elementi criteri > Risultati > Profili TACACS) come mostrato nell'immagine.
Profilo TACACS
Dopo aver fatto clic su +Aggiungi, viene visualizzata la finestra di configurazione come illustrato nell'immagine seguente. Configurare un nome per il profilo.
Assicurarsi che il tipo di task comune sia selezionato come Shell, configurare un privilegio predefinito 15 e un attributo personalizzato come tipo obbligatorio, Nome come tipo utente e il valore come lobby-admin.
Configurazione shell profilo TACACS
Crea set di criteri
Passare a Centri di lavoro > Amministrazione dispositivi > Set di criteri di amministrazione dispositivi come mostrato nell'immagine
Configurazione set di criteri TACACS
Le condizioni per la configurazione del criterio dipendono dalla decisione dell'amministratore. Per questo documento vengono utilizzati la condizione Network Access-Username e il protocollo Default Device Admin. In base ai criteri di autorizzazione, è obbligatorio verificare che il profilo configurato in Autorizzazione risultati sia selezionato, in modo che vengano restituiti al WLC gli attributi corretti.
Fare clic sul criterio configurato. Viene visualizzata la finestra di configurazione. Configurare i criteri di autorizzazione con il profilo di shell appropriato. I criteri di autenticazione possono essere lasciati come predefiniti, come mostrato nell'immagine.
Configurazione autorizzazione set di criteri TACACS
Verifica
Per verificare che la configurazione sia corretta, consultare questa sezione.
show run aaa
show run | sec remote
show run | sec http
show aaa method-lists authentication
show aaa method-lists authorization
show aaa servers
show tacacs
In questo modo, l'interfaccia grafica utente (GUI) di Lobby Ambassador riesce ad autenticarsi correttamente con AAA Radius o TACACS+.
Lobby Ambassador View da WLC
Risoluzione dei problemi
In questa sezione vengono fornite informazioni utili per risolvere i problemi di configurazione.
Autenticazione AAA Radius
Per l'autenticazione RADIUS, è possibile utilizzare i seguenti debug:
Tim-eWLC1#debug aaa authentication
Tim-eWLC1#debug aaa authorization
Tim-eWLC1#debug aaa attr
Tim-eWLC1#terminal monitor
Accertarsi che l'elenco dei metodi corretto sia selezionato dal comando debug. Inoltre, gli attributi corretti vengono restituiti dal server ISE con il nome utente, il tipo di utente e il privilegio corretti.
Feb 5 02:35:27.659: AAA/AUTHEN/LOGIN (00000000): Pick method list 'AuthenLobbyMethod'
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(0):
7FBA5500C870 0 00000081 username(450) 5 lobby
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(1):
7FBA5500C8B0 0 00000001 user-type(1187) 4 lobby-admin
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(2):
7FBA5500C8F0 0 00000001 priv-lvl(335) 4 15(F)
Feb 5 02:35:27.683: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host
192.168.166.104 by user 'lobby' using crypto cipher 'ECDHE-RSA-AES128-GCM-SHA256'
Autenticazione TACACS+
Per l'autenticazione TACACS+, è possibile usare questo debug:
Tim-eWLC1#debug tacacs
Tim-eWLC1#terminal monitor
Verificare che l'autenticazione venga elaborata con il nome utente e l'INDIRIZZO IP ISE corretti. Inoltre, è necessario verificare lo stato PASS. Nello stesso debug, subito dopo la fase di autenticazione, viene presentato il processo di autorizzazione. In questa fase di autorizzazione, accertarsi di usare il nome utente corretto e l'INDIRIZZO IP ISE corretto. Gli attributi configurati sull'ISE vengono visualizzati nel debug, insieme all'utente Lobby Ambassador con il privilegio corretto.
Esempio di fase di autenticazione:
Feb 5 02:06:48.245: TPLUS: Queuing AAA Authentication request 0 for processing
Feb 5 02:06:48.245: TPLUS: Authentication start packet created for 0(lobbyTac)
Feb 5 02:06:48.245: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.250: TPLUS: Received authen response status GET_PASSWORD (8)
Feb 5 02:06:48.266: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.266: TPLUS: Received authen response status PASS (2)
Esempio di fase di autorizzazione:
Feb 5 02:06:48.267: TPLUS: Queuing AAA Authorization request 0 for processing
Feb 5 02:06:48.267: TPLUS: Authorization request created for 0(lobbyTac)
Feb 5 02:06:48.267: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.279: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.279: TPLUS: Processed AV priv-lvl=15
Feb 5 02:06:48.279: TPLUS: Processed AV user-type=lobby-admin
Feb 5 02:06:48.279: TPLUS: received authorization response for 0: PASS
Gli esempi di debug citati in precedenza per RADIUS e TACACS+ sono fondamentali per accedere correttamente a un account Amministratore della sala d'attesa.
Per disabilitare i debug, è possibile usare questo comando:
Tim-eWLC1#undebug all
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
3.0 |
21-Jan-2025 |
Testo alternativo, traduzione automatica, requisiti di stile, descrizione dell'articolo e formattazione aggiornati. |
1.0 |
18-Jun-2020 |
Versione iniziale |
Feedback