为Cisco WLC的设备管理配置TACACS+
简介
本文档介绍如何配置TACACS+,以通过身份服务引擎(ISE)管理思科无线局域网控制器(WLC)的设备。
先决条件
要求
Cisco 建议您了解以下主题:
- 身份服务引擎(ISE)基础知识
- 思科无线局域网控制器(WLC)基础知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科身份服务引擎2.4
- 思科无线局域网控制器8.5.135
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
步骤1:检查设备管理许可证。
导航到Administration > System > Licensing选项卡,并验证Device Admin许可证是否已安装,如图所示。
第二步:在ISE PSN节点上启用设备管理。
导航到工作中心>设备管理>概述,单击部署选项卡,选择特定PSN节点单选按钮。选中复选框并点击保存,在ISE节点上启用设备管理,如图所示:
第三步:创建网络设备组。
要在ISE上将WLC添加为网络设备,请导航到Administration > Network Resources > Network Device Groups > All Device Types,为WLC创建一个新组,如图所示:
第四步:将WLC添加为网络设备。
导航至工作中心(Work Centers)>设备管理(Device Administration)>网络资源(Network Resources)>网络设备(Network Devices)。点击Add,提供Name、IP Address并选择Device type as WLC,选中TACACS+ Authentication Settings复选框并提供Shared Secret密钥,如图所示:
第五步:为WLC创建TACACS配置文件。
导航到工作中心(Work Centers)>设备管理(Device Administration)>策略元素(Policy Elements)>结果(Results)> TACACS配置文件(TACACS Profiles)。单击Add并提供名称。在任务属性视图选项卡中,为常见任务类型选择WLC。 默认配置文件可供选择Monitor以允许用户有限访问,如图所示。
还有另一个默认配置文件All,它允许对用户进行完全访问,如图所示。
第六步:创建策略集。
导航到工作中心(Work centers)>设备管理(Device administration)>设备管理策略设置(Device Admin Policy Sets)。 单击(+)并为策略集指定名称。在策略条件中选择Device Type作为WLC,Allowed protocols可以是Default Device Admin,如图所示。
步骤 7.创建身份验证和授权策略。
在本文档中,在Active Directory上分别配置两个示例组Admin-Read-Write 和Admin-Read-Only,并在每个组admin1和admin2内配置一个用户。Active Directory通过名为AD-JointName的连接点与ISE集成。
创建两个授权策略,如图所示:
步骤 8配置WLC进行设备管理。
导航到安全> AAA > TACACS+点击新建并添加身份验证、记帐服务器,如图所示。
更改优先级顺序,并将TACACS+设置为从上到下,将TACACS+设置为从本地到下,如图所示:
验证
导航到操作(Operations)> TACACS >实时日志(Live logs),并监视实时日志(Live Logs)。打开WLC GUI并使用Active Directory用户凭证登录,如图所示
故障排除
目前没有针对此配置的故障排除信息。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
29-Dec-2019 |
初始版本 |
反馈