Este documento explica como habilitar os serviços TACACS Plus (TACACS+) em um Access Point (AP) Cisco Aironet para executar a autenticação de login com o uso de um servidor TACACS+.
Certifique-se de atender a estes requisitos antes de tentar esta configuração:
Conhecimento de como configurar parâmetros básicos em APs Aironet
Conhecimento de como configurar um servidor TACACS+ como o Cisco Secure Access Control Server (ACS)
Conhecimento dos conceitos do TACACS+
Para obter informações sobre como o TACACS+ funciona, consulte a seção Understanding TACACS+ de Configuring RADIUS and TACACS+ Servers.
As informações neste documento são baseadas nestas versões de software e hardware:
Access points Aironet Cisco Aironet 1240 / 1140 Series
ACS que executa o software versão 4.1
ACS que executa o software versão 5.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Esta seção explica como configurar o AP Aironet e o servidor TACACS+ (ACS) para autenticação de login baseada em TACACS+.
Este exemplo de configuração usa estes parâmetros:
Endereço IP do ACS—172.16.1.1/255.255.0.0
Endereço IP do AP—172.16.1.30/255.255.0.0
Chave secreta compartilhada usada no AP e no servidor TACACS+ - Exemplo
Estas são as credenciais do usuário que este exemplo configura no ACS:
Nome de usuário—Usuário1
Senha—Cisco
Grupo—UsuáriosAdmin
Você precisa configurar os recursos TACACS+ para validar os usuários que tentam se conectar ao AP através da interface da Web ou através da interface de linha de comando (CLI). Para realizar essa configuração, você deve executar estas tarefas:
Nota:Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados neste documento.
Este documento utiliza a seguinte configuração de rede:
A primeira etapa é configurar um daemon TACACS+ para validar os usuários que tentam acessar o AP. Você deve configurar o ACS para autenticação TACACS+ e criar um banco de dados de usuário. Você pode usar qualquer servidor TACACS+. Este exemplo usa o ACS como o servidor TACACS+. Conclua estes passos:
Conclua estes passos para adicionar o AP como um cliente de autenticação, autorização e contabilização (AAA):
Na GUI do ACS, clique na guia Network Configuration (Configuração de rede).
Em AAA Clients, clique em Add Entry.
Na janela Add AAA Client (Adicionar cliente AAA), digite o nome do host AP, o endereço IP do AP e uma chave secreta compartilhada.
Essa chave secreta compartilhada deve ser a mesma da chave secreta compartilhada configurada no AP.
No menu suspenso Authenticate Using (Autenticar usando), selecione TACACS+ (Cisco IOS).
Clique em Enviar + Reiniciar para salvar a configuração.
Aqui está um exemplo:
Este exemplo usa:
O AccessPoint do nome de host do cliente AAA
O endereço 172.16.1.30/16 como o endereço IP do cliente AAA
Exemplo de chave secreta compartilhada
Conclua estes passos para criar um grupo que contenha todos os usuários administrativos (admin):
Clique em Group Setup (Configuração de grupo) no menu à esquerda.
Uma nova janela é exibida.
Na janela Group Setup (Configuração do grupo), selecione um grupo a ser configurado no menu suspenso e clique em Rename Group (Renomear grupo).
Este exemplo seleciona o Grupo 6 no menu suspenso e renomeia o grupo AdminUsers.
Clique em Submit.
Aqui está um exemplo:
Conclua estes passos para adicionar os usuários ao banco de dados TACACS+:
Clique na guia User Setup.
Para criar um novo usuário, insira o nome de usuário no campo Usuário e clique em Adicionar/Editar.
Aqui está um exemplo, que cria o Usuário1:
Depois de clicar em Adicionar/Editar, a janela Adicionar/Editar para este usuário será exibida.
Digite as credenciais específicas para este usuário e clique em Submit para salvar a configuração.
As credenciais que você pode inserir incluem:
Informações suplementares do utilizador
Configuração do usuário
O grupo ao qual o usuário está atribuído
Aqui está um exemplo:
Você pode ver que este exemplo adiciona o usuário User1 ao grupo AdminUsers.
Observação: se você não criar um grupo específico, os usuários serão atribuídos ao grupo padrão.
Conclua estes passos para definir o nível de privilégio:
Clique na guia Group Setup (Configuração do grupo).
Selecione o grupo que você atribuiu anteriormente a este usuário e clique em Editar configurações.
Este exemplo usa o grupo AdminUsers.
Em TACACS+ Settings (Configurações TACACS+), marque a caixa de seleção Shell (exec) e marque a caixa de seleção Privilege level (Nível de privilégio) que tem um valor de 15.
Clique em Enviar + Reiniciar.
Observação: o nível de privilégio 15 deve ser definido para a GUI e Telnet para ser acessível como nível 15. Caso contrário, por padrão, o usuário só pode acessar como nível 1. Se o nível de privilégio não estiver definido e o usuário tentar entrar no modo de ativação na CLI (com o uso de Telnet), o AP exibirá esta mensagem de erro:
AccessPoint>enable % Error in authentication
Repita as etapas de 2 a 4 desse procedimento se desejar adicionar mais usuários ao banco de dados TACACS+. Depois de concluir estas etapas, o servidor TACACS+ está pronto para validar os usuários que tentam fazer login no AP. Agora, você deve configurar o AP para autenticação TACACS+.
A primeira etapa é adicionar o AP como um cliente AAA no ACS e criar uma política TACACS para o login.
Conclua estes passos para adicionar o AP como um cliente AAA:
Na GUI do ACS, clique em Recursos de rede e clique em Dispositivos de rede e Clientes AAA.
Em Dispositivos de rede, clique em Criar.
Insira o nome de host do AP em Name e forneça uma descrição sobre o AP.
Selecione o local e o tipo de dispositivo se essas categorias estiverem definidas.
Como apenas um único AP está sendo configurado, clique em Endereço IP único. Você pode adicionar o intervalo de endereços IP para vários APs clicando em Intervalos de IP. Em seguida, insira o endereço IP do AP.
Em Opções de autenticação, marque a caixa TACACS+ e digite o segredo compartilhado.
Aqui está um exemplo:
A próxima etapa é criar um nome de usuário e uma senha de login:
Clique em Usuários e Repositórios de identidades e, em seguida, clique em Usuários.
Clique em Criar.
Forneça o nome de usuário em Name e uma descrição.
Selecione o Grupo de identidades, se houver.
Digite a senha na caixa de texto Senha e digite novamente em Confirmar senha.
Você pode modificar a senha de ativação digitando uma senha em Ativar senha. Insira novamente para confirmar.
Aqui está um exemplo:
Conclua estes passos para definir o nível de privilégio:
Clique em Elementos de política > Autorizações e permissões > Administração do dispositivo > Perfis de shell.
Marque a caixa de seleção Permitir acesso e clique em Duplicar.
Digite o nome e a descrição.
Selecione a guia Tarefas comuns e escolha 15 para o privilégio máximo.
Clique em Submit.
Conclua estes passos para criar uma política de autorização:
Clique em Access Policies > Access Services > Default Device Admin > Authorization.
Clique em Criar para criar uma nova Política de Autorização.
Um novo pop-up aparece para criar as regras para a Política de autorização.
Selecione o Grupo de Identidade, Local etc. para o nome de usuário específico e o cliente AAA (AP), se houver.
Clique em Select para o Shell Profile para escolher o perfil criado para o AP autônomo.
Depois de concluir, clique em Salvar alterações.
Clique em Default Device Admin e, em seguida, clique em Allowed Protocols.
Marque Permitir PAP/ASCII e clique em Enviar.
Clique em Regras de seleção de serviço para verificar se há uma regra que corresponda ao TACACS e aponte para Administrador de dispositivo padrão.
Você pode usar CLI ou GUI para habilitar os recursos TACACS+ no AP Aironet. Esta seção explica como configurar o AP para autenticação de login TACACS+ com o uso da GUI.
Conclua estes passos para configurar o TACACS+ no AP com o uso da GUI:
Conclua estes passos para definir os parâmetros do servidor TACACS+:
Na GUI do AP, escolha Security > Server Manager.
A segurança: A janela Gerenciador do servidor é exibida.
Na área Corporate Servers, selecione TACACS+ no menu suspenso Current Server List (Lista de servidores atuais).
Nessa mesma área, insira o endereço IP, o segredo compartilhado e o número da porta de autenticação do servidor TACACS+.
Clique em Apply.
Aqui está um exemplo:
Observação: por padrão, o TACACS+ usa a porta TCP 49.
Observação: a chave secreta compartilhada que você configura no ACS e no AP deve corresponder.
Escolha Prioridades de servidor padrão > Autenticação administrativa (TACACS+), selecione no menu suspenso Prioridade 1 o endereço IP do servidor TACACS+ configurado e clique em Aplicar.
Aqui está um exemplo:
Escolha Security > Admin Access e, para Administrator Authenticated by:, escolha Authentication Server Only e clique em Apply.
Essa seleção garante que os usuários que tentam fazer login no AP sejam autenticados por um servidor de autenticação.
Aqui está um exemplo:
Esta é a configuração da CLI para o exemplo de configuração:
AccessPoint |
---|
AccessPoint#show running-config Current configuration : 2535 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname AccessPoint ! ! ip subnet-zero ! ! aaa new-model !--- Enable AAA. ! ! aaa group server radius rad_eap ! aaa group server radius rad_mac ! aaa group server radius rad_acct ! aaa group server radius rad_admin cache expiry 1 cache authorization profile admin_cache cache authentication profile admin_cache ! aaa group server tacacs+ tac_admin !--- Configure the server group tac_admin. server 172.16.1.1 !--- Add the TACACS+ server 172.16.1.1 to the server group. cache expiry 1 !--- Set the expiration time for the local cache as 24 hours. cache authorization profile admin_cache cache authentication profile admin_cache ! aaa group server radius rad_pmip ! aaa group server radius dummy ! aaa authentication login default group tac_admin !--- Define the AAA login authentication method list to use the TACACS+ server. aaa authentication login eap_methods group rad_eap aaa authentication login mac_methods local aaa authorization exec default group tac_admin !--- Use TACACS+ for privileged EXEC access authorization !--- if authentication was performed with use of TACACS+. aaa accounting network acct_methods start-stop group rad_acct aaa cache profile admin_cache all ! aaa session-id common ! ! username Cisco password 7 00271A150754 ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache shutdown speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface Dot11Radio1 no ip address no ip route-cache shutdown speed station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface BVI1 ip address 172.16.1.30 255.255.0.0 no ip route-cache ! ip http server ip http authentication aaa !--- Specify the authentication method of HTTP users as AAA. no ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/ea ip radius source-interface BVI1 ! tacacs-server host 172.16.1.1 port 49 key 7 13200F13061C082F tacacs-server directed-request radius-server attribute 32 include-in-access-req format %h radius-server vsa send accounting ! control-plane ! bridge 1 route ip ! ! ! line con 0 transport preferred all transport output all line vty 0 4 transport preferred all transport input all transport output all line vty 5 15 transport preferred all transport input all transport output all ! end |
Observação: você deve ter o Cisco IOS Software Release 12.3(7)JA ou posterior para que todos os comandos nesta configuração funcionem corretamente. Uma versão anterior do Cisco IOS Software pode não ter todos esses comandos disponíveis.
Use esta seção para confirmar se a sua configuração funciona corretamente.
A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
Para verificar a configuração, tente fazer login no AP com o uso da GUI ou da CLI. Quando você tenta acessar o AP, o AP solicita um nome de usuário e uma senha.
Quando você fornece as credenciais do usuário, o AP encaminha as credenciais para o servidor TACACS+. O servidor TACACS+ valida as credenciais com base nas informações disponíveis em seu banco de dados e fornece acesso ao AP na autenticação bem-sucedida. Você pode escolher Relatórios e Atividade > Autenticação Passada no ACS e usar o relatório Autenticação Passada para verificar se a autenticação deste usuário foi bem-sucedida. Aqui está um exemplo:
Você também pode usar o comando show tacacs para verificar a configuração correta do servidor TACACS+. Aqui está um exemplo:
AccessPoint#show tacacs Tacacs+ Server : 172.16.1.1/49 Socket opens: 348 Socket closes: 348 Socket aborts: 0 Socket errors: 0 Socket Timeouts: 0 Failed Connect Attempts: 0 Total Packets Sent: 525 Total Packets Recv: 525
Você pode verificar as tentativas de falha/aprovação das credenciais de login do ACS 5.2:
Clique em Monitoring and Reports > Launch Monitoring and Report Viewer.
Um novo pop-up é aberto com o Painel.
Clique em Authentications-TACACS-Today. Mostra os detalhes das tentativas com falha/aprovação.
Você pode usar estes comandos debug no AP para solucionar problemas na sua configuração:
Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.
debug tacacs events —Este comando exibe a sequência de eventos que acontecem durante a autenticação TACACS. Aqui está um exemplo da saída deste comando:
*Mar 1 00:51:21.113: TPLUS: Queuing AAA Authentication request 0 for processing *Mar 1 00:51:21.113: TPLUS: processing authentication start request id 0 *Mar 1 00:51:21.113: TPLUS: Authentication start packet created for 0(User1) *Mar 1 00:51:21.114: TPLUS: Using server 172.16.1.1 *Mar 1 00:51:21.115: TPLUS(00000000)/0/NB_WAIT/C6DC40: Started 5 sec timeout *Mar 1 00:51:21.116: TPLUS(00000000)/0/NB_WAIT: socket event 2 *Mar 1 00:51:21.116: TPLUS(00000000)/0/NB_WAIT: wrote entire 25 bytes request *Mar 1 00:51:21.116: TPLUS(00000000)/0/READ: socket event 1 *Mar 1 00:51:21.117: TPLUS(00000000)/0/READ: Would block while reading *Mar 1 00:51:21.120: TPLUS(00000000)/0/READ: socket event 1 *Mar 1 00:51:21.120: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 16 bytes data) *Mar 1 00:51:21.120: TPLUS(00000000)/0/READ: socket event 1 *Mar 1 00:51:21.120: TPLUS(00000000)/0/READ: read entire 28 bytes response *Mar 1 00:51:21.121: TPLUS(00000000)/0/C6DC40: Processing the reply packet *Mar 1 00:51:21.121: TPLUS: Received authen response status GET_PASSWORD (8) *Mar 1 00:51:21.121: TPLUS: Queuing AAA Authentication request 0 for processing *Mar 1 00:51:21.121: TPLUS: processing authentication continue request id 0 *Mar 1 00:51:21.122: TPLUS: Authentication continue packet generated for 0 *Mar 1 00:51:21.122: TPLUS(00000000)/0/WRITE/C6DC40: Started 5 sec timeout *Mar 1 00:51:21.122: TPLUS(00000000)/0/WRITE: wrote entire 22 bytes request *Mar 1 00:51:21.178: TPLUS(00000000)/0/READ: socket event 1 *Mar 1 00:51:21.178: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 6 bytes data) *Mar 1 00:51:21.178: TPLUS(00000000)/0/READ: socket event 1 *Mar 1 00:51:21.178: TPLUS(00000000)/0/READ: read entire 18 bytes response *Mar 1 00:51:21.179: TPLUS(00000000)/0/C6DC40: Processing the reply packet *Mar 1 00:51:21.179: TPLUS: Received authen response status PASS (2)
debug ip http authentication — Use este comando para solucionar problemas de autenticação HTTP. O comando exibe o método de autenticação que o roteador tentou e as mensagens de status específicas da autenticação.
debug aaa authentication —Este comando exibe informações sobre a autenticação AAA TACACS+.
Se o usuário inserir um nome de usuário que não existe no servidor TACACS+, a autenticação falhará. Aqui está a saída do comando debug tacacs authentication para uma autenticação com falha:
*Mar 1 00:07:26.624: TPLUS: Queuing AAA Authentication request 0 for processing *Mar 1 00:07:26.624: TPLUS: processing authentication start request id 0 *Mar 1 00:07:26.624: TPLUS: Authentication start packet created for 0(User3) *Mar 1 00:07:26.624: TPLUS: Using server 172.16.1.1 *Mar 1 00:07:26.625: TPLUS(00000000)/0/NB_WAIT/A88784: Started 5 sec timeout *Mar 1 00:07:26.626: TPLUS(00000000)/0/NB_WAIT: socket event 2 *Mar 1 00:07:26.626: TPLUS(00000000)/0/NB_WAIT: wrote entire 25 bytes request *Mar 1 00:07:26.627: TPLUS(00000000)/0/READ: socket event 1 *Mar 1 00:07:26.627: TPLUS(00000000)/0/READ: Would block while reading *Mar 1 00:07:26.631: TPLUS(00000000)/0/READ: socket event 1 *Mar 1 00:07:26.632: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 16 bytes data) *Mar 1 00:07:26.632: TPLUS(00000000)/0/READ: socket event 1 *Mar 1 00:07:26.632: TPLUS(00000000)/0/READ: read entire 28 bytes response *Mar 1 00:07:26.632: TPLUS(00000000)/0/A88784: Processing the reply packet *Mar 1 00:07:26.632: TPLUS: Received authen response status GET_PASSWORD (8) *Mar 1 00:07:26.632: TPLUS: Queuing AAA Authentication request 0 for processing *Mar 1 00:07:26.633: TPLUS: processing authentication continue request id 0 *Mar 1 00:07:26.633: TPLUS: Authentication continue packet generated for 0 *Mar 1 00:07:26.634: TPLUS(00000000)/0/WRITE/A88784: Started 5 sec timeout *Mar 1 00:07:26.634: TPLUS(00000000)/0/WRITE: wrote entire 22 bytes request *Mar 1 00:07:26.688: TPLUS(00000000)/0/READ: socket event 1 *Mar 1 00:07:26.688: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 6 bytes data) *Mar 1 00:07:26.689: TPLUS(00000000)/0/READ: socket event 1 *Mar 1 00:07:26.689: TPLUS(00000000)/0/READ: read entire 18 bytes response *Mar 1 00:07:26.689: TPLUS(00000000)/0/A88784: Processing the reply packet *Mar 1 00:07:26.689: TPLUS: Received authen response status FAIL (3)
Você pode escolher Relatórios e atividade > Falha na autenticação para ver a tentativa de autenticação falhada no ACS. Aqui está um exemplo:
Se você usar uma versão do Cisco IOS Software no AP anterior à versão 12.3(7)JA do Cisco IOS Software, você poderá apertar um bug toda vez que tentar fazer login no AP com o uso de HTTP. A ID de bug da Cisco é CSCeb52431 (somente clientes registrados) .
A implementação HTTP/AAA do software Cisco IOS requer a autenticação independente de cada conexão HTTP separada. A GUI do software Cisco IOS sem fio envolve a referência de muitas dezenas de arquivos separados em uma única página da Web (por exemplo, Javascript e GIF). Assim, se você carregar uma única página na GUI do software Cisco IOS sem fio, dezenas e dezenas de solicitações de autenticação/autorização separadas podem atingir o servidor AAA.
Para autenticação HTTP, use RADIUS ou autenticação local. O servidor RADIUS ainda está sujeito a várias solicitações de autenticação. Mas o RADIUS é mais escalável do que o TACACS+ e, portanto, provavelmente terá um impacto menos adverso no desempenho.
Se você precisar usar o TACACS+ e tiver um Cisco ACS, use a palavra-chave single-connection com o comando tacacs-server. O uso dessa palavra-chave com o comando sobressalve a maior parte da sobrecarga da configuração/desconexão da conexão TCP e provavelmente reduzirá a carga no servidor em certa medida.
Para o software Cisco IOS versões 12.3(7) JA e posteriores no AP, o software inclui uma correção. O restante desta seção descreve a correção.
Use o recurso de cache de autenticação AAA para armazenar em cache as informações retornadas pelo servidor TACACS+. O cache de autenticação e o recurso de perfil permitem que o AP armazene em cache as respostas de autenticação/autorização de um usuário para que as solicitações de autenticação/autorização subsequentes não precisem ser enviadas ao servidor AAA. Para habilitar esse recurso com a CLI, use estes comandos:
cache expiry cache authorization profile cache authentication profile aaa cache profile
Para obter mais informações sobre esse recurso e os comandos, consulte a seção Configuração do Cache de Autenticação e do Perfil de Administração do Ponto de Acesso.
Para habilitar esse recurso na GUI, escolha Security > Admin Access e marque a caixa de seleção Enable Authentication Server Caching. Como este documento usa o Cisco IOS Software Release 12.3(7)JA, o documento usa a correção, como as configurações ilustram.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
07-Sep-2012 |
Versão inicial |