配置9800 WLC接待大使的RADIUS和TACACS+身份验证
简介
本文档介绍如何配置Catalyst 9800无线控制器,用于接待大使用户的RADIUS和TACACS+外部身份验证。
先决条件
要求
Cisco 建议您了解以下主题:
- Catalyst Wireless 9800配置型号
- AAA、RADIUS和TACACS+概念
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Catalyst 9800无线控制器系列(Catalyst 9800-CL)
- 思科IOS® XE直布罗陀16.12.1s
- ISE 2.3.0
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
接待大使用户由网络管理员创建。接待大使用户能够创建访客用户用户名、密码、说明和生存期。它还可以删除访客用户。访客用户可通过GUI或CLI创建。
配置
网络图
在本示例中,配置了接待大使“lobby”和“lobbyTac”。接待大使“lobby”是针对RADIUS服务器进行身份验证,接待大使“lobbyTac”是针对TACACS+进行身份验证。
首先为RADIUS接待大使完成配置,最后为TACACS+接待大使完成配置。RADIUS和TACACS+ ISE配置也会共享。
验证RADIUS
在无线局域网控制器(WLC)上配置RADIUS。
步骤1: 声明RADIUS服务器。在WLC上创建ISE RADIUS服务器。
GUI:
导航到Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add(如图所示)。
当配置窗口打开时,强制配置参数是RADIUS服务器名称(它不必匹配ISE/AAA系统名称)、RADIUS服务器IP地址和共享密钥。任何其他参数都可以保留为默认值,也可以根据需要进行配置。
CLI:
Tim-eWLC1(config)#radius server RadiusLobby
Tim-eWLC1(config-radius-server)#address ipv4 192.168.166.8 auth-port 1812 acct-port 1813
Tim-eWLC1(config-radius-server)#key 0 Cisco1234
Tim-eWLC1(config)#end
第二步:将RADIUS服务器添加到服务器组。定义服务器组并添加配置的RADIUS服务器。这是用于对接待大使用户进行身份验证的RADIUS服务器。如果WLC中配置了多个可用于身份验证的RADIUS服务器,建议将所有RADIUS服务器添加到同一服务器组。如果这样做,则让WLC在服务器组中的RADIUS服务器之间对身份验证进行负载均衡。
GUI:
导航到Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add(如图所示)。
打开配置窗口为组指定名称时,将已配置的RADIUS服务器从Available Servers列表移到Assigned Servers列表。
CLI:
Tim-eWLC1(config)#aaa group server radius GroupRadLobby
Tim-eWLC1(config-sg-radius)#server name RadiusLobby
Tim-eWLC1(config-sg-radius)#end
第三步:创建身份验证方法列表。“身份验证方法列表”定义您查找的身份验证类型,并将该类型附加到您定义的服务器组。您知道身份验证是在WLC上本地完成还是在RADIUS服务器外部完成。
GUI:
导航到Configuration > Security > AAA > AAA Method List > Authentication > + Add(如图所示)。
打开配置窗口时,请提供名称,选择Login作为type选项,并分配以前创建的服务器组。
组类型为本地。
GUI:
如果选择Group Type为“local”,则WLC首先检查用户是否存在于本地数据库中,然后仅当在本地数据库中未找到Lobby Ambassador用户时回退到服务器组。
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end
组类型作为组。
GUI:
如果您选择Group Type作为“group”,并且未选中fallback to local选项,则WLC将仅针对服务器组检查用户,并且不会签入其本地数据库。
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end
Group Type(组类型)作为组并选中fallback to local(回退到本地)选项。
GUI:
如果您选择Group Type作为“group”,并选中fallback to local选项,则WLC将根据服务器组检查用户,并且仅当RADIUS服务器在响应中超时时才会查询本地数据库。如果服务器响应,WLC将不会触发本地身份验证。
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end
第四步:创建授权方法列表。Authorization Method List定义您需要用于接待大使的授权类型,在本例中为“exec”。它也会连接到定义的同一服务器组。它还允许选择身份验证是在WLC上本地完成还是在RADIUS服务器外部完成。
GUI:
导航至配置 > 安全 > AAA > AAA 方法列表 > 授权 > +添加,如图所示。
当打开配置窗口以提供名称时,选择type选项作为“exec”并分配先前创建的服务器组。
请注意,组类型的应用方式与“身份验证方法列表”一节中说明的相同。
CLI:
组类型为本地。
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end
组类型作为组。
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end
Group Type as group并选中回退到本地选项。
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end
第五步:分配方法。配置方法后,必须将其分配给用于登录WLC的选项,以便创建访客用户,例如线路VTY (SSH/Telnet)或HTTP (GUI)。
这些步骤无法从GUI中完成,因此需要从CLI中完成。
HTTP/GUI身份验证:
Tim-eWLC1(config)#ip http authentication aaa login-authentication AuthenLobbyMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozLobbyMethod
Tim-eWLC1(config)#end
当您对HTTP配置执行更改时,最好重新启动HTTP和HTTPS服务:
Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end
line vty.
Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AuthenLobbyMethod
Tim-eWLC1(config-line)#authorization exec AuthozLobbyMethod
Tim-eWLC1(config-line)#end
第六步:此步骤仅在17.5.1或17.3.3之前的软件版本中需要,并且在实施CSCvu29748的版本之后不需要
执行。定义远程用户。在ISE上为接待大使创建的用户名必须定义为WLC上的远程用户名。如果未在WLC中定义远程用户名,则身份验证将正确通过,但是,将授予用户对WLC的完全访问权限,而不是仅访问接待大使权限。此配置只能通过CLI完成。
CLI:
Tim-eWLC1(config)#aaa remote username lobby
配置ISE - RADIUS
步骤1:将WLC添加到ISE。导航到管理>网络资源>网络设备>添加。需要将WLC添加到ISE。当您将WLC添加到ISE时,启用RADIUS身份验证设置并配置所需的参数,如图所示。
当配置窗口打开时,提供名称IP ADD,启用RADIUS身份验证设置,并在协议RADIUS下输入所需的共享密钥。
第二步:在ISE上创建接待大使用户。导航到管理>身份管理>身份>用户>添加。
将分配给创建访客用户的接待大使的用户名和密码添加到ISE。这是管理员将分配给接待大使的用户名。
打开配置窗口时,请提供接待大使用户的名称和密码。另外,请确保“Status”(状态)为“Enabled”(启用)。
第三步:创建结果授权配置文件。导航到策略>Policy元素>结果>授权>授权配置文件>添加。创建结果授权配置文件,以便使用所需的属性向WLC返回Access-Accept,如图所示。
确保配置文件配置为发送Access-Accept,如图所示。
您需要在“高级属性设置”(Advanced Attributes Settings)下手动添加属性。需要这些属性以将用户定义为接待大使并提供权限,以便允许接待大使进行所需的更改。
第四步:创建策略以处理身份验证。导航到策略>策略集>添加。配置策略的条件取决于管理员的决定。此处使用Network Access - Username条件和默认网络访问协议。
必须确保在“授权策略”(Authorization Policy)下选择了“结果授权”(Results Authorization)下配置的配置文件,这样您就可以将所需的属性返回到WLC,如图所示。
当配置窗口打开时,配置授权策略。身份验证策略可以保留为默认值。
验证TACACS+
在WLC上配置TACACS+
步骤1:声明TACACS+服务器。在WLC中创建ISE TACACS服务器。
GUI:
导航到Configuration > Security > AAA > Servers/Groups > TACACS+ > Servers > + Add(如图所示)。
当配置窗口打开时,强制配置参数是TACACS+服务器名称(它不必与ISE/AAA系统名称匹配)、TACACS服务器IP地址和共享密钥。任何其他参数都可以保留默认值,也可以根据需要进行配置。
CLI:
Tim-eWLC1(config)#tacacs server TACACSLobby
Tim-eWLC1(config-server-tacacs)#address ipv4 192.168.166.8
Tim-eWLC1(config-server-tacacs)#key 0 Cisco123
Tim-eWLC1(config-server-tacacs)#end
第二步:将TACACS+服务器添加到服务器组。定义服务器组并添加所配置的所需TACACS+服务器。这将是用于身份验证的TACACS+服务器。
GUI:
导航到Configuration > Security > AAA > Servers / Groups > TACACS > Server Groups > + Add(如图所示)。
当配置窗口打开时,为组指定名称并将所需的TACACS+服务器从Available Servers列表移至Assigned Servers列表。
CLI:
Tim-eWLC1(config)#aaa group server tacacs+ GroupTacLobby
Tim-eWLC1(config-sg-tacacs+)#server name TACACSLobby
Tim-eWLC1(config-sg-tacacs+)#end
第三步:创建身份验证方法列表。身份验证方法列表定义所需的身份验证类型,并将相同类型附加到已配置的服务器组。它还允许选择身份验证是在WLC上本地执行还是在TACACS+服务器外部执行。
GUI:
导航到Configuration > Security > AAA > AAA Method List > Authentication > + Add(如图所示)。
打开配置窗口时,请提供名称,选择Login作为type选项,并分配以前创建的服务器组。
组类型为本地。
GUI:
如果选择Group Type为“local”,WLC将首先检查用户是否存在于本地数据库中,然后仅当在本地数据库中未找到Lobby Ambassador用户时,WLC才会回退到服务器组。
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end
组类型作为组。
GUI:
如果您选择Group Type作为group,并且选中no fallback to local选项,则WLC将仅针对服务器组检查用户,并且不会签入其本地数据库。
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby
Tim-eWLC1(config)#end
Group Type as group并选中回退到本地选项。
GUI:
如果您选择Group Type作为“group”,并且选中了Fallback to local选项,则WLC将根据服务器组检查用户,并且仅当TACACS服务器在响应中超时时,WLC才会查询本地数据库。如果服务器发送reject,则用户不会通过身份验证,即使它存在于本地数据库中。
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end
第四步:创建授权方法列表。
Authorization Method List(授权方法列表)将定义接待大使所需的授权类型,在本例中为exec(执行)。它还连接到配置的同一服务器组。还可以选择身份验证是在WLC上本地完成还是在TACACS+服务器外部完成。
GUI:
导航至配置 > 安全 > AAA > AAA 方法列表 > 授权 > +添加,如图所示。
打开配置窗口时,提供一个名称,选择exec作为type选项并分配之前创建的服务器组。
请注意,组类型的应用方式与“身份验证方法列表”部分中说明的相同。
CLI:
组类型为本地。
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end
组类型作为组。
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby
Tim-eWLC1(config)#end
Group Type as group并选中回退到本地选项。
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end
第五步:分配方法。配置方法后,必须将其分配给选项,以便登录到WLC以创建访客用户,例如线路VTY或HTTP (GUI)。这些步骤无法从GUI中完成,因此需要从CLI中完成。
HTTP/GUI身份验证:
Tim-eWLC1(config)#ip http authentication aaa login-authentication AutheTacMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozTacMethod
Tim-eWLC1(config)#end
当您更改HTTP配置时,最好重新启动HTTP和HTTPS服务:
Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end
line vty:
Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AutheTacMethod
Tim-eWLC1(config-line)#authorization exec AuthozTacMethod
Tim-eWLC1(config-line)#end
第六步: 定义远程用户。在ISE上为接待大使创建的用户名必须定义为WLC上的远程用户名。如果未在WLC中定义远程用户名,则身份验证将正确通过,但是,将授予用户对WLC的完全访问权限,而不是仅访问接待大使权限。此配置只能通过CLI完成。
CLI:
Tim-eWLC1(config)#aaa remote username lobbyTac
配置ISE - TACACS+
步骤1: 启用设备管理。导航到管理>系统>部署。在继续之前,请选择Enable Device Admin Service,并确保已启用ISE,如图所示。
第二步:将WLC添加到ISE。导航到管理>网络资源>网络设备>添加。需要将WLC添加到ISE。当您将WLC添加到ISE时,请启用TACACS+身份验证设置并配置所需的参数,如图所示。
当打开配置窗口以提供名称IP ADD时,启用TACACS+身份验证设置并输入所需的共享密钥。
第三步:在ISE上创建接待大使用户。导航到管理>身份管理>身份>用户>添加。将分配给将创建访客用户的接待大使的用户名和密码添加到ISE。这是管理员分配给接待大使的用户名,如图所示。
打开配置窗口时,请提供接待大使用户的名称和密码。另外,请确保“Status”(状态)为“Enabled”(启用)。
第四步:创建结果TACACS+配置文件。导航到工作中心(Work Centers) >设备管理(Device Administration) >策略元素(Policy Elements) >结果(Results) > TACACS配置文件(TACACS Profiles),如图所示。使用此配置文件,将所需的属性返回到WLC,以便将用户定位为接待大使。
打开配置窗口时,为配置文件提供一个名称,同时将Default Privileged 15和Custom Attribute配置为Type Mandatory,将name配置为user-type和value lobby-admin。此外,可将常见任务类型选择为外壳(如图所示)。
第五步:创建策略集。导航到工作中心(Work Centers) >设备管理(Device Administration) >设备管理策略集(Device Admin Policy Sets),如图所示。配置策略的条件取决于管理员的决定。本文档使用网络访问用户名条件和默认设备管理协议。必须确保在Authorization Policy(授权策略)下选择Results Authorization(结果授权)下配置的配置文件,这样您就可以将所需的属性返回到WLC。
当配置窗口打开时,配置授权策略。身份验证策略可以保留为默认值,如图所示。
验证
使用本部分可确认配置能否正常运行。
show run aaa
show run | sec remote
show run | sec http
show aaa method-lists authentication
show aaa method-lists authorization
show aaa servers
show tacacs
成功进行身份验证后,大厅大使GUI的外观如下所示。
故障排除
本部分提供的信息可用于对配置进行故障排除。
验证RADIUS
对于RADIUS身份验证,可以使用以下调试:
Tim-eWLC1#debug aaa authentication
Tim-eWLC1#debug aaa authorization
Tim-eWLC1#debug aaa attr
Tim-eWLC1#terminal monitor
确保从调试中选择了正确的方法列表。此外,ISE服务器会使用正确的用户名、用户类型和权限返回所需的属性。
Feb 5 02:35:27.659: AAA/AUTHEN/LOGIN (00000000): Pick method list 'AuthenLobbyMethod'
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(0):
7FBA5500C870 0 00000081 username(450) 5 lobby
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(1):
7FBA5500C8B0 0 00000001 user-type(1187) 4 lobby-admin
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(2):
7FBA5500C8F0 0 00000001 priv-lvl(335) 4 15(F)
Feb 5 02:35:27.683: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host
192.168.166.104 by user 'lobby' using crypto cipher 'ECDHE-RSA-AES128-GCM-SHA256'
验证TACACS+
对于TACACS+身份验证,可以使用以下调试:
Tim-eWLC1#debug tacacs
Tim-eWLC1#terminal monitor
确保使用正确的用户名和ISE IP ADD处理身份验证。此外,必须看到状态“PASS”。在同一调试中,身份验证阶段结束后,将会显示授权过程。在此授权中,阶段可确保将正确的用户名与正确的ISE IP ADD一起使用。在此阶段,您可以看到ISE上配置的属性,这些属性表明WLC是拥有权限的大厅接待员用户。
身份验证阶段示例:
Feb 5 02:06:48.245: TPLUS: Queuing AAA Authentication request 0 for processing
Feb 5 02:06:48.245: TPLUS: Authentication start packet created for 0(lobbyTac)
Feb 5 02:06:48.245: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.250: TPLUS: Received authen response status GET_PASSWORD (8)
Feb 5 02:06:48.266: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.266: TPLUS: Received authen response status PASS (2)
授权阶段示例:
Feb 5 02:06:48.267: TPLUS: Queuing AAA Authorization request 0 for processing
Feb 5 02:06:48.267: TPLUS: Authorization request created for 0(lobbyTac)
Feb 5 02:06:48.267: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.279: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.279: TPLUS: Processed AV priv-lvl=15
Feb 5 02:06:48.279: TPLUS: Processed AV user-type=lobby-admin
Feb 5 02:06:48.279: TPLUS: received authorization response for 0: PASS
前面提到的有关RADIUS和TACACS+的调试示例包含成功登录的关键步骤。调试更加详细,输出更大。要禁用调试,可以使用以下命令:
Tim-eWLC1#undebug all
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
18-Jun-2020 |
初始版本 |
反馈