Configureer de 9800 WLC Lobby Ambassador met RADIUS en TACACS+ verificatie

Downloadopties

  • PDF     (2.4 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.4 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:7 juni 2021
Document-id:215552

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u Catalyst 9800 draadloze controllers voor RADIUS- en TACACS+ externe verificatie van Lobby Ambassador-gebruikers kunt configureren.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Catalyst draadloze 9800 configuratiemodel
    • AAA-, RADIUS- en TACACS+-concepten

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Catalyst 9800 draadloze controller Series (Catalyst 9800-CL)
    • Cisco IOS® XE Gibraltar 16.12.1s
    • ISE 2.3.0

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    De Lobby Ambassador-gebruiker wordt aangemaakt door de beheerder van het netwerk. Een Lobby Ambassador gebruiker is in staat om een gastgebruiker gebruikersnaam, wachtwoord, beschrijving en levensduur te creëren. Het heeft ook de mogelijkheid om de gastgebruiker te verwijderen. De gastgebruiker kan worden gemaakt via GUI of CLI.

    Configureren

    Netwerkdiagram

    Netwerkdiagram

    In dit voorbeeld zijn lobbyambassadeurs "lobby" en "lobbyTac" ingesteld. De "lobby" van de ambassadeur van de lobby moet worden geverifieerd tegen de RADIUS-server en de "lobbyTac" van de ambassadeur van de lobby moet worden geverifieerd tegen TACACS+.

    De configuratie wordt eerst gedaan voor de RADIUS-lobbyambassadeur en ten slotte voor de TACACS+ lobbyambassadeur. De RADIUS en de TACACS+ ISE-configuratie worden ook gedeeld.

    RADIUS verifiëren

    Configureer RADIUS op draadloze LAN-controller (WLC).

    Stap 1. Vermeld de RADIUS-server. Maak de ISE RADIUS-server op de WLC.

    GUI: 

    Navigeer naar Configuratie > Beveiliging > AAA > servers/groepen > RADIUS > servers > + Add zoals in de afbeelding.

    Configuratie WLC Radius-server

    Wanneer het configuratievenster wordt geopend, zijn de verplichte configuratieparameters de naam van de RADIUS-server (deze hoeft niet overeen te komen met de ISE/AAA-systeemnaam), het IP-ADRES van de RADIUS-server en het gedeelde geheim. Een andere parameter kan standaard worden gelaten of kan naar wens worden geconfigureerd.

    CLI:

    Tim-eWLC1(config)#radius server RadiusLobby
    Tim-eWLC1(config-radius-server)#address ipv4 192.168.166.8 auth-port 1812 acct-port 1813
    Tim-eWLC1(config-radius-server)#key 0 Cisco1234
    Tim-eWLC1(config)#end

    Stap 2. Voeg de RADIUS-server toe aan een servergroep. Definieer een servergroep en voeg de geconfigureerde RADIUS-server toe. Dit is de RADIUS-server die wordt gebruikt voor de verificatie van de Lobby Ambassador-gebruiker. Als er in de WLC meerdere RADIUS-servers zijn geconfigureerd die voor verificatie kunnen worden gebruikt, is het raadzaam alle RADIUS-servers aan dezelfde servergroep toe te voegen. Als u dit doet, laat u de WLC-taakverdeling de verificaties in evenwicht brengen tussen de RADIUS-servers in de servergroep.

    GUI:

    Navigeer naar Configuratie > Beveiliging > AAA > servers / groepen > RADIUS > Servergroepen > + Toevoegen zoals in de afbeelding.

    Configuratie WLC Radius-groep

    Wanneer het configuratievenster wordt geopend om een naam aan de groep te geven, verplaatst u de geconfigureerde RADIUS-servers van de lijst Beschikbare servers naar de lijst Toegewezen servers.

    CLI:

    Tim-eWLC1(config)#aaa group server radius GroupRadLobby
    Tim-eWLC1(config-sg-radius)#server name RadiusLobby
    Tim-eWLC1(config-sg-radius)#end

    Stap 3. Maak een lijst met verificatiemethoden. De lijst van de Methode van de Verificatie bepaalt het type van authentificatie u zoekt en maakt ook het zelfde aan de servergroep vast die u bepaalt. U weet of de verificatie lokaal op de WLC of extern aan een RADIUS-server wordt uitgevoerd.

    GUI:

    Navigeer naar Configuratie > Beveiliging > AAA > AAA-methodelijst > Verificatie > + Toevoegen zoals in de afbeelding.

    Configuratie AAA-methodelijst op de WLC

    Wanneer het configuratievenster wordt geopend, typt u een naam, selecteert u de optie Type als Aanmelden en wijst u de servergroep toe die eerder is gemaakt.

    Groepstype als lokaal.

    GUI:

    Als u Groepstype als 'lokaal' selecteert, controleert de WLC eerst of de gebruiker in de lokale database bestaat en keert dan terug naar de servergroep alleen als de Lobby Ambassador gebruiker niet in de lokale database is gevonden.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod local group GroupRadLobby
    Tim-eWLC1(config)#end

    Opmerking: houd rekening met bug CSCvs87163 wanneer u eerst lokaal gebruikt. Dit is vastgelegd in 17.3.

    Groepstype als groep.

    GUI:

    Als u Groepstype als 'groep' selecteert en geen terugval naar lokale optie ingeschakeld, zal de WLC gewoon de gebruiker controleren tegen de Servergroep en zal niet controleren in zijn lokale database.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby
    Tim-eWLC1(config)#end

    Groepstype als groep en de optie Terug naar lokale optie is ingeschakeld.

    GUI:

    Als u Groepstype als 'groep' selecteert en de terugval naar lokale optie is ingeschakeld, zal de WLC de gebruiker controleren op de servergroep en zal de lokale database alleen bevragen als de RADIUS-server in de reactie wordt uitgezonden. Als de server reageert, zal de WLC geen lokale verificatie starten.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby local
    Tim-eWLC1(config)#end

    Stap 4. Maak een lijst met autorisatiemethoden. De lijst van de Methode van de Vergunning bepaalt het type van vergunning dat u voor de ambassadeur van de Lobby nodig hebt die in dit geval "exec"zal zijn. Het wordt ook gekoppeld aan dezelfde servergroep die wordt gedefinieerd. Ook kan worden geselecteerd of de verificatie lokaal op de WLC of extern aan een RADIUS-server wordt uitgevoerd.

    GUI:

    Navigeer naar Configuratie > Beveiliging > AAA > AAA-methodelijst > Autorisatie > + Toevoegen zoals in de afbeelding.

    RADIUS_AUTEURSZ

    Wanneer het configuratievenster wordt geopend om een naam toe te voegen, selecteert u de optie Type als 'exec' en wijst u de servergroep toe die eerder is gemaakt.

    Houd er rekening mee dat het groepstype op dezelfde manier wordt toegepast als in de sectie Verificatiemethode wordt uitgelegd.

    CLI:

    Groepstype als lokaal.

    Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod local group GroupRadLobby
    Tim-eWLC1(config)#end

    Groepstype als groep.

    Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby
    Tim-eWLC1(config)#end

    Groepstype als groep en de optie Terug naar lokale optie is ingeschakeld.

    Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby local
    Tim-eWLC1(config)#end

    Stap 5. Wijs de methoden toe. Zodra de methodes worden gevormd, moeten zij aan de opties aan login aan WLC worden toegewezen om de gastgebruiker zoals lijn VTY (SSH/Telnet) of HTTP (GUI) te creëren.

    Deze stappen kunnen niet vanuit GUI worden uitgevoerd, vandaar dat ze vanuit CLI moeten worden uitgevoerd.

    HTTP/GUI-verificatie:

    Tim-eWLC1(config)#ip http authentication aaa login-authentication AuthenLobbyMethod
    Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozLobbyMethod
    Tim-eWLC1(config)#end

    Wanneer u wijzigingen in de HTTP-configuraties uitvoert, kunt u de HTTP- en HTTPS-services het beste opnieuw opstarten:

    Tim-eWLC1(config)#no ip http server
    Tim-eWLC1(config)#no ip http secure-server
    Tim-eWLC1(config)#ip http server
    Tim-eWLC1(config)#ip http secure-server
    Tim-eWLC1(config)#end

    Lijn VTY.

    Tim-eWLC1(config)#line vty 0 15
    Tim-eWLC1(config-line)#login authentication AuthenLobbyMethod
    Tim-eWLC1(config-line)#authorization exec AuthozLobbyMethod
    Tim-eWLC1(config-line)#end

    Stap 6. Deze stap is alleen vereist in softwareversies voor 17.5.1 of 17.3.3 en is niet vereist na de releases waarop CSCvu29748 is geïmplementeerd. Definieer de externe gebruiker. De gebruikersnaam die op ISE is gemaakt voor de Lobby Ambassador moet worden gedefinieerd als een externe gebruikersnaam op de WLC. Als de externe gebruikersnaam niet is gedefinieerd in de WLC, zal de authenticatie correct worden doorlopen, maar zal de gebruiker volledige toegang tot de WLC krijgen in plaats van alleen toegang tot de Lobby Ambassador privileges. Deze configuratie kan alleen via CLI worden uitgevoerd.

    CLI:

    Tim-eWLC1(config)#aaa remote username lobby

    ISE configureren - RADIUS

    Stap 1. Voeg de WLC toe aan ISE. Ga naar Beheer > Netwerkbronnen > Netwerkapparaten > Toevoegen. De WLC moet worden toegevoegd aan ISE. Wanneer u de WLC aan ISE toevoegt, schakelt u RADIUS-verificatie-instellingen in en configureert u de gewenste parameters zoals in het afbeelding.

    Straal_ISE

    Wanneer het configuratievenster wordt geopend, typt u een naam, IP ADD, activeert u RADIUS-verificatie-instellingen en voert u onder Protocol Radius het gewenste gedeelde geheim in.

    Stap 2. Maak de Lobby Ambassador gebruiker op ISE. Ga naar Beheer > Identity Management > Identity > Gebruikers > Add.

    Voeg aan ISE de gebruikersnaam en het wachtwoord toe dat is toegewezen aan de Lobby Ambassador die de gastgebruikers creëert. Dit is de gebruikersnaam die de beheerder zal toewijzen aan de Lobby Ambassadeur.

    RADIUS_IDENTITEIT

    Wanneer het configuratievenster wordt geopend, typt u de naam en het wachtwoord voor de Lobby Ambassador-gebruiker. Zorg er ook voor dat de status is ingeschakeld.

    Stap 3. Maak een resultaatautorisatieprofiel aan. Navigeer naar Beleid > Beleidselementen > Resultaten > autorisatie > Autorisatieprofielen > Toevoegen. Maak een resultaatautorisatieprofiel om terug te keren naar de WLC en de toegangsrechten te accepteren met de benodigde kenmerken zoals in de afbeelding.

    RADIUS-autorisatie

    Zorg ervoor dat het profiel is geconfigureerd om een Access-Accept te verzenden zoals in het afbeelding.

    RADIUS_AUTEUR_KENMERKEN

    U moet de kenmerken handmatig toevoegen onder Geavanceerde Attributen-instellingen. De attributen zijn nodig om de gebruiker te definiëren als Lobby Ambassador en het privilege te verlenen om de Lobby Ambassador in staat te stellen de nodige wijzigingen door te voeren.

    RADIUS_KENMERKEN

    Stap 4. Maak een beleid om de verificatie te verwerken. Ga naar Beleid > Beleidssets > Toevoegen. De voorwaarden voor het configureren van het beleid zijn afhankelijk van het beheerdersbesluit. De voorwaarde van de netwerktoegang-Gebruikersnaam en het protocol van de StandaardToegang van het Netwerk worden hier gebruikt.

    Het is verplicht om er onder het autorisatiebeleid voor te zorgen dat het profiel dat onder de resultaatautorisatie is geconfigureerd, wordt geselecteerd, zodat u de benodigde kenmerken kunt teruggeven aan de WLC zoals in de afbeelding wordt getoond.

    RADIUS_BELEID

    Wanneer het configuratievenster wordt geopend, configureer dan het autorisatiebeleid. Het verificatiebeleid kan standaard worden achtergelaten.

    Radius_Autho_Profile

    Tacacs+ verifiëren 

    Configureren TACACS+ op WLC

    Stap 1. Vermeld de TACACS+ server. Maak de ISE TACACS Server in de WLC.

    GUI:

    Navigeer naar Configuratie > Beveiliging > AAA > servers/groepen > TACACS+ > servers > + Add zoals in de afbeelding.

    TACACS_Add_WLC

    Wanneer het configuratievenster wordt geopend, zijn de verplichte configuratieparameters de naam van de TACACS+ server (deze hoeft niet overeen te komen met de ISE/AAA-systeemnaam), het IP-ADRES van de TACACS-server en het gedeelde geheim. Een andere parameter kan standaard worden achtergelaten of kan naar behoefte worden geconfigureerd.

    CLI:

    Tim-eWLC1(config)#tacacs server TACACSLobby
    Tim-eWLC1(config-server-tacacs)#address ipv4 192.168.166.8
    Tim-eWLC1(config-server-tacacs)#key 0 Cisco123
    Tim-eWLC1(config-server-tacacs)#end

    Stap 2. Voeg de TACACS+ server toe aan een servergroep. Definieer een servergroep en voeg de gewenste geconfigureerde TACACS+ server toe. Dit zijn de TACACS+ servers die gebruikt worden voor verificatie.

    GUI:

    Navigeer naar Configuratie > Beveiliging > AAA > Servers / Groepen > TACACS > Servergroepen > + Toevoegen zoals in de afbeelding.

    TACACS_groepen

    Wanneer het configuratievenster wordt geopend, geef een naam aan de groep en verplaats de gewenste TACACS+ servers van de lijst Beschikbare servers naar de lijst Toegewezen servers.

    CLI:

    Tim-eWLC1(config)#aaa group server tacacs+ GroupTacLobby
    Tim-eWLC1(config-sg-tacacs+)#server name TACACSLobby
    Tim-eWLC1(config-sg-tacacs+)#end

    Stap 3. Maak een lijst met verificatiemethoden. De lijst van de Methode van de Verificatie bepaalt het type van authentificatie dat nodig is en zal ook het zelfde aan de Groep vastmaken van de Server die wordt gevormd. Het maakt het ook mogelijk om te selecteren of de verificatie lokaal kan worden gedaan op de WLC of extern op een TACACS+ Server.

    GUI:

    Navigeer naar Configuratie > Beveiliging > AAA > AAA-methodelijst > Verificatie > + Toevoegen zoals in de afbeelding.

    TACACS_methode

    Wanneer het configuratievenster wordt geopend, typt u een naam, selecteert u de optie Type als Aanmelden en wijst u de servergroep toe die eerder is gemaakt.

    Groepstype als lokaal.

    GUI:

    Als u Group Type selecteert als 'lokaal', zal de WLC eerst controleren of de gebruiker bestaat in de lokale database en zal dan terugvallen naar de servergroep alleen als de Lobby Ambassador gebruiker niet gevonden is in de lokale database.

    Opmerking: Let op deze bug CSCvs87163die is vastgelegd in 17.3.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AutheTacMethod local group GroupTacLobby
    Tim-eWLC1(config)#end

    Groepstype als groep.

    GUI:

    Als u Groepstype als groep selecteert en geen terugval naar lokale optie ingeschakeld, zal de WLC gewoon de gebruiker controleren tegen de Servergroep en zal niet controleren in zijn lokale database.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby
    Tim-eWLC1(config)#end

    Groepstype als groep en de optie Terug naar lokale optie is ingeschakeld.

    GUI:

    Als u Groepstype als 'groep' selecteert en de optie Terugzetten naar lokaal is ingeschakeld, zal de WLC de gebruiker controleren op de servergroep en zal de lokale database alleen bevragen als de TACACS-server in de reactie wordt uitgezonden. Als de server een weigering verstuurt, wordt de gebruiker niet geverifieerd, zelfs als deze bestaat in de lokale database.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby local
    Tim-eWLC1(config)#end

    Stap 4. Maak een lijst met autorisatiemethoden.

    In de lijst van de machtigingsmethode wordt het soort machtiging gedefinieerd dat nodig is voor de ambassadeur van de lobby, die in dit geval exec is. Het is ook gekoppeld aan dezelfde servergroep die is geconfigureerd. Het is ook toegestaan om te selecteren als de authenticatie lokaal wordt uitgevoerd op de WLC of extern aan een TACACS+ Server.

    GUI:

    Navigeer naar Configuratie > Beveiliging > AAA > AAA-methodelijst > Autorisatie > + Toevoegen zoals in de afbeelding.

    TACACS_Auto_Methode

    Wanneer het configuratievenster wordt geopend, typt u een naam, selecteert u de optie Exec (Typemogelijkheid) en wijst u de servergroep toe die eerder is gemaakt.

    Houd er rekening mee dat het groepstype op dezelfde manier wordt uitgelegd in het gedeelte Verificatiemethode.

    CLI:

    Groepstype als lokaal.

    Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod local group GroupTacLobby
    Tim-eWLC1(config)#end

    Groepstype als groep.

    Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby
    Tim-eWLC1(config)#end

    Groepstype als groep en de optie Terugbellen naar lokaal is ingeschakeld.

    Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby local
    Tim-eWLC1(config)#end

    Stap 5. Wijs de methoden toe. Zodra de methodes worden gevormd, moeten zij aan de opties worden toegewezen om aan WLC aan te melden om de gastgebruiker zoals lijn VTY of HTTP (GUI) te creëren. Deze stappen kunnen niet vanuit GUI worden uitgevoerd, vandaar dat ze vanuit CLI moeten worden uitgevoerd.

    HTTP/GUI-verificatie:

    Tim-eWLC1(config)#ip http authentication aaa login-authentication AutheTacMethod
    Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozTacMethod
    Tim-eWLC1(config)#end

    Wanneer u wijzigingen aanbrengt in de HTTP-configuraties, kunt u de HTTP- en HTTPS-services het beste opnieuw opstarten:

    Tim-eWLC1(config)#no ip http server
    Tim-eWLC1(config)#no ip http secure-server
    Tim-eWLC1(config)#ip http server
    Tim-eWLC1(config)#ip http secure-server
    Tim-eWLC1(config)#end

    Lijn VTY:

    Tim-eWLC1(config)#line vty 0 15
    Tim-eWLC1(config-line)#login authentication AutheTacMethod
    Tim-eWLC1(config-line)#authorization exec AuthozTacMethod
    Tim-eWLC1(config-line)#end

    Stap 6. Definieer de externe gebruiker. De gebruikersnaam die op ISE is gemaakt voor de Lobby Ambassador moet worden gedefinieerd als een externe gebruikersnaam op de WLC. Als de externe gebruikersnaam niet is gedefinieerd in de WLC, zal de authenticatie correct worden doorlopen, maar zal de gebruiker volledige toegang tot de WLC krijgen in plaats van alleen toegang tot de Lobby Ambassador privileges. Deze configuratie kan alleen via CLI worden uitgevoerd.

    CLI:

    Tim-eWLC1(config)#aaa remote username lobbyTac

    ISE configureren - TACACS+

    Stap 1. Apparaatbeheer inschakelen. Ga naar Beheer > Systeem > Implementatie. Voordat u verder gaat, selecteert u Apparaatbeheerservice inschakelen en controleert u of ISE is ingeschakeld zoals in de afbeelding. 

    TACACS_Inschakelen_ISE

    Stap 2. Voeg de WLC toe aan ISE. Ga naar Beheer > Netwerkbronnen > Netwerkapparaten > Toevoegen. De WLC moet worden toegevoegd aan ISE. Wanneer u de WLC aan ISE toevoegt, schakelt u TACACS+ verificatie-instellingen in en configureert u de gewenste parameters zoals in de afbeelding.

    Straal_ISE

    Wanneer het configuratievenster wordt geopend om een naam te geven, IP ADD, schakelt u TACACS+ verificatie-instellingen in en voert u het benodigde gedeelde geheim in.

    Stap 3. Maak de Lobby Ambassador gebruiker op ISE. Ga naar Beheer > Identity Management > Identity > Gebruikers > Add. Voeg de gebruikersnaam en het wachtwoord toe aan de Lobby Ambassador die de gastgebruikers zal aanmaken. Dit is de gebruikersnaam die de beheerder toekent aan de Lobby Ambassador zoals weergegeven in de afbeelding.

    TACACS_Identiteit

    Wanneer het configuratievenster wordt geopend, typt u de naam en het wachtwoord voor de Lobby Ambassador-gebruiker. Zorg er ook voor dat de status is ingeschakeld.

    Stap 4. Maak een resultaten TACACS+ profiel. Navigeren naar werkcentra > Apparaatbeheer > Beleidselementen > Resultaten > TACACS-profielen zoals in de afbeelding. Met dit profiel, keer de benodigde attributen aan de WLC terug om de gebruiker als Lobby Ambassadeur te plaatsen.

    TACACS_beleid

    Wanneer het configuratievenster wordt geopend, typt u een naam voor het profiel en configureert u ook een Default Privileged 15 en een Custom Attribute als Type Mandatory, naam als gebruikerstype en waarde lobby-admin. Laat ook het Common Task Type als Shell worden geselecteerd zoals in de afbeelding.

    TACACS_Kenmerken

    Stap 5. Maak een beleidsset. Navigeer naar Werkcentra > Apparaatbeheer > Apparaatbeheerbeleidssets zoals in de afbeelding. De voorwaarden voor het configureren van het beleid zijn afhankelijk van het beheerdersbesluit. Voor dit document worden de voorwaarde Network Access-User Name en het protocol Default Device Admin gebruikt. Het is verplicht om er onder het autorisatiebeleid voor te zorgen dat het profiel dat is geconfigureerd onder de Results Authorisation is geselecteerd, zodat u de benodigde attributen kunt teruggeven aan de WLC.

    TACACS_Policy_Set

    Wanneer het configuratievenster wordt geopend, configureer dan het autorisatiebeleid. Het verificatiebeleid kan standaard worden achtergelaten zoals in de afbeelding.

    Auth

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    show run aaa
    show run | sec remote
    show run | sec http
    show aaa method-lists authentication
    show aaa method-lists authorization
    show aaa servers
    show tacacs

    Zo ziet de Lobby Ambassador GUI eruit na succesvolle authenticatie.

    definitief

    Problemen oplossen

    Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

    RADIUS verifiëren

    Voor RADIUS-verificatie kunnen deze debugs worden gebruikt:

    Tim-eWLC1#debug aaa authentication
    Tim-eWLC1#debug aaa authorization
    Tim-eWLC1#debug aaa attr
    Tim-eWLC1#terminal monitor

    Zorg ervoor dat de juiste methodelijst is geselecteerd uit de debug. Ook worden de benodigde kenmerken door de ISE-server teruggestuurd met de juiste gebruikersnaam, gebruikerstype en voorrechten.

    Feb 5 02:35:27.659: AAA/AUTHEN/LOGIN (00000000): Pick method list 'AuthenLobbyMethod'
    Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(0):
     7FBA5500C870 0 00000081 username(450) 5 lobby
    Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(1):
     7FBA5500C8B0 0 00000001 user-type(1187) 4 lobby-admin
    Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(2):
     7FBA5500C8F0 0 00000001 priv-lvl(335) 4 15(F)
    Feb 5 02:35:27.683: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host 
    192.168.166.104 by user 'lobby' using crypto cipher 'ECDHE-RSA-AES128-GCM-SHA256'

    Tacacs+ verifiëren

    Voor TACACS+ verificatie kan deze debug worden gebruikt:

    Tim-eWLC1#debug tacacs
    Tim-eWLC1#terminal monitor

    Zorg ervoor dat de verificatie wordt verwerkt met de juiste gebruikersnaam en ISE IP ADD. Ook moet de status "PASS" worden gezien. In dezelfde debug, direct na de verificatiefase, zal het autorisatieproces gepresenteerd worden. In deze autorisatie zorgt fase ervoor dat de juiste gebruikersnaam wordt gebruikt, samen met de juiste ISE IP ADD. Vanaf deze fase kunt u de kenmerken zien die op ISE zijn ingesteld waarin de WLC staat als Lobby Ambassador gebruiker met het juiste voorrecht.

    Voorbeeld verificatiefase:

    Feb 5 02:06:48.245: TPLUS: Queuing AAA Authentication request 0 for processing
    Feb 5 02:06:48.245: TPLUS: Authentication start packet created for 0(lobbyTac)
    Feb 5 02:06:48.245: TPLUS: Using server 192.168.166.8
    Feb 5 02:06:48.250: TPLUS: Received authen response status GET_PASSWORD (8)
    Feb 5 02:06:48.266: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
    Feb 5 02:06:48.266: TPLUS: Received authen response status PASS (2)

    Voorbeeld autorisatiefase:

    Feb 5 02:06:48.267: TPLUS: Queuing AAA Authorization request 0 for processing
    Feb 5 02:06:48.267: TPLUS: Authorization request created for 0(lobbyTac)
    Feb 5 02:06:48.267: TPLUS: Using server 192.168.166.8
    Feb 5 02:06:48.279: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
    Feb 5 02:06:48.279: TPLUS: Processed AV priv-lvl=15
    Feb 5 02:06:48.279: TPLUS: Processed AV user-type=lobby-admin
    Feb 5 02:06:48.279: TPLUS: received authorization response for 0: PASS

    De debug-voorbeelden die eerder voor RADIUS en TACACS+ zijn genoemd, hebben de belangrijkste stappen voor een succesvolle aanmelding. De debugs zijn uitgebreider en de output zal groter zijn. Om de debugs uit te schakelen, kan deze opdracht worden gebruikt:

    Tim-eWLC1#undebug all

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    18-Jun-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Timoty J Padilla

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten