Configurar o RAIO e o TACACS+ para a autenticação GUI e CLI em 9800 controladores do Wireless LAN

Transcrição

1 Configurar o RAIO e o TACACS+ para a autenticação GUI e CLI em 9800 controladores do Wireless LAN Índice Introdução Informações de Apoio Pré-requisitos Requisitos Componentes Utilizados Configurações Configuração do RAIO WLC Configuração do RAIO ISE Configuração Tacacs+ WLC Configuração Tacacs+ ISE Troubleshooting Introdução Este documento descreve como configurar 9800 controladores do Wireless LAN (WLC) para a autenticação externa do RAIO ou TACACS+ ao alcançar sua interface gráfica de usuário (GUI) ou comando line interface(cli). Informações de Apoio Quando um usuário está tentando alcançar o CLI ou o GUI do WLC, será alertado para entrar um nome de usuário e senha. Estas credenciais são comparadas à revelia contra o base de dados local dos usuários, que esta presente no dispositivo próprio. Alternativamente o WLC pode ser instruído para comparar as credenciais da entrada contra um servidor AAA remoto: o WLC pode falar ao server usando o RAIO ou o TACACS+. Pré-requisitos Requisitos A Cisco recomenda que você tenha conhecimento destes tópicos: Modelo da configuração do Sem fio 9800 do catalizador Conceitos AAA, de RAIO e TACACS+

2 Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: C9800-CL v16.10 ISE Configurações Neste exemplo nós configuraremos dois tipos de usuários no servidor AAA (ISE), respectivamente no usuário com direitos de administrador e no helpdeskuser. Do usuário 'usuário com direitos de administrador é esperado ser concedido o acesso direto ao WLC, visto que o do helpdeskuser é significado ser concedido somente priviliges do monitor ao WLC, daqui nenhum acesso da configuração. Primeiramente nós faremos as configurações no WLC e no ISE para uma autenticação RADIUS, e mais tarde nós faremos o mesmos para o TACACS+. Configuração do RAIO WLC Etapa 1. Declare o servidor Radius Antes de mais nada nós precisamos de criar o servidor Radius ISE no WLC. Isto pode ser feito da página <WLC-IP>/webui/#/aaa GUI WLC: Uma janela pop-up abrirá, onde você pode datilografar o nome do servidor (não tem que combinar o nome de sistema ISE), seu endereço IP de Um ou Mais Servidores Cisco ICM NT, o segredo compartilhado, e a porta que está sendo usada para a autenticação e a contabilidade, junto com outros paramaters. Do CLI: paolo-9800(config)#radius server labise paolo-9800(config-radius-server)# address ipv auth-port 1812 acct-port 1813 paolo-9800(config-radius-server)# key Cisco123 Etapa 2. Trace o servidor Radius a um grupo de servidor

3 Caso que você tem os servidores Radius múltiplos que podem ser usados para a autenticação, recomanded para traçar todos estes server ao mesmo grupo de servidor: a vontade WLC toma então de autenticações diferentes do Balanceamento de carga entre os server no grupo de servidor. Da mesma aba GUI: No pop-up, dê um nome ao grupo, e mova os servidores desejados para a lista atribuída. Do CLI: paolo-9800(config)#aaa group server radius radgroup paolo-9800(config-sg-radius)# server name labise Etapa 3.Create um método de login da autenticação de AAA que aponta ao grupo de servidor Radius Sempre na página <WLC-IP>/webui/#/aaa GUI, o movimento à aba da lista de método AAA, e cria o método de autenticação: No pop-up, dê um nome ao método, escolha o tipo como o início de uma sessão, e atribua o server do grupo criado na etapa precedente.

4 Nota: se você seleciona o tipo de grupo como o local o WLC primeira verificação se o usuário existe localmente, e então reserva ao grupo de servidor CLI: paolo-9800(config)#aaa authentication login radauthemethod local group radgroup Se você não seleciona o tipo de grupo como o grupo, e a nenhuma reserva à opção local verificada, o WLC apenas verificará o usuário contra o grupo de servidor CLI: paolo-9800(config)#aaa authentication login radauthemethod group radgroup Se você seleciona o tipo de grupo como o grupo, e a reserva à opção local está verificada, o WLC verificará o usuário contra o grupo de servidor, e perguntará o base de dados local somente se o server não está respondendo: se o server envia uma rejeição, o usuário não estará autenticado, mesmo que possa exista no base de dados local CLI: paolo-9800(config)#aaa authentication login radauthemethod group radgroup local Nesta instalação do exemplo, em wehave alguns usuários que são criados somente localmente, e em alguns usuários somente no server ISE, daqui nós usamos a primeira opção. Etapa 4.Create um método do executivo da autorização de AAA que aponta ao grupo de servidor Radius O usuário tem que igualmente ser autorizado a fim ser concedido o acesso. Da mesma aba: Use a mesma ordem de local/grupo que está sendo usado para o método de autenticação na etapa precedente, e escolha o tipo como o executivo. Do CLI: Etapa 5. Atribua os métodos às Configurações HTTP e às linhas VTY usadas para o telnet/ssh

5 Estas etapas não podem ser executadas do GUI, daqui precisam de ser feitas do CLI. Para a autenticação GUI: Para a autenticação do telnet/ssh: Nota: quando fazer muda o às Configurações HTTP, é o melhor reiniciar os serviços HTTP e HTTPS: Configuração do RAIO ISE Etapa 1. Configurar o WLC como o dispositivo de rede para o RAIO: Na nova janela, adicionar o endereço IP de Um ou Mais Servidores Cisco ICM NT, RAIO seleto, e datilografe o mesmo segredo compartilhado usado no WLC. Etapa 2. Crie um resultado da autorização, para retornar o privilégio A fim fazer faça configurações, necessidades do usuário com direitos de administrador de ter um nível de privilégio de 15, que reservarão alcançar o shell do prompt de exec. O outro usuário pelo contrário, helpdeskuser não precisará o acesso do shell do prompt de exec, e ele pode ser atribuído um nível de privilégio mais baixo de 15. Para fazer assim, crie um resultado do perfil da autorização para o usuário com direitos de administrador :

6 Especialmente, o perfil para o usuário com direitos de administrador tem que olhar como: Crie então similar para o helpdeskuser, mudando somente a corda 'shell:priv-lvl=15 para descascar: o priv-lvl=x, e substitui X com o nível de privilégio desejado. Neste exemplo, nós usamos 1. Etapa 3.Create os usuários no ISE: As credenciais dadas aos usuários serão essas que você datilografará dentro ao WLC mais tarde

7 ao autenticar. Etapa 4.Authenticate os usuários: Nesta encenação a regra da política da autenticação padrão de ISE preconfigured já está permitindo o acesso de rede padrão, daqui não há nenhuma necessidade de mudá-la: Etapa 5.Authorize os usuários: Depois que a tentativa de login passa a política de autenticação, precisa de ser autorizada, e o ISE precisa de retornar o perfil da autorização criado mais cedo (a licença aceita, junto com o nível de privilégio). Neste exemplo, nós filtramos a tentativa de login baseada no endereço IP de Um ou Mais Servidores Cisco ICM NT do dispositivo (que é o endereço IP de Um ou Mais Servidores Cisco ICM NT WLC), e distinguimos o nível de privilégio a ser concedido com base no username. Uma outra aproximação válida seria atribuir todos os usuários admin a um determinado grupo, e conceder o nível de privilégio 15 somente aos usuários que pertencem a tal grupo. Configuração Tacacs+ WLC Etapa 1. Declare o server Tacacs+ Antes de mais nada nós precisamos de criar o server ISE Tacacs+ no WLC. Isto pode ser feito da página <WLC-IP>/webui/#/aaa GUI WLC:

8 Uma janela pop-up abrirá, onde você pode datilografar o nome do servidor (não tem que combinar o nome de sistema ISE), seu endereço IP de Um ou Mais Servidores Cisco ICM NT, a chave compartilhada, e a porta que estão sendo usados e o intervalo. Do CLI: Etapa 2.Map o server Tacacs+ a um grupo de servidor Caso que você tem os server múltiplos Tacacs+ que podem ser usados para a autenticação, recomenda-se traçar todos estes server ao mesmo grupo de servidor: a vontade WLC toma então de autenticações diferentes do Balanceamento de carga entre os server no grupo de servidor. Da mesma aba GUI: No pop-up, dê um nome ao grupo, e mova os servidores desejados para a lista atribuída. Do CLI: Etapa 3.Create um método de login da autenticação de AAA que aponta ao grupo de servidor Tacacs+ Sempre na página <WLC-IP>/webui/#/aaa GUI, o movimento à aba da lista de método AAA, e cria o método de autenticação: No pop-up, dê um nome ao método, escolha o tipo como o início de uma sessão, e atribua o server do grupo criado na etapa precedente. Nota: se você seleciona o tipo de grupo como o local o WLC primeira verificação se o usuário existe localmente, e então

9 CLI: reserva ao grupo de servidor Se você não seleciona o tipo de grupo como o grupo, e a nenhuma reserva à opção local verificada, o WLC apenas verificará o usuário contra o grupo de servidor CLI: Se você seleciona o tipo de grupo como o grupo, e a reserva à opção local está verificada, o WLC verificará o usuário contra o grupo de servidor, e perguntará o base de dados local somente se o server não está respondendo: se o server envia uma rejeição, o usuário não estará autenticado, mesmo que possa exista no base de dados local CLI: Nesta instalação, alguns usuários são criados somente localmente e alguns usuários somente no server ISE, daqui nós usamos a primeira opção. Etapa 4.Create um método do executivo da autorização de AAA que aponta ao grupo de servidor Tacacs+ O usuário tem que igualmente ser autorizado a fim ser concedido o acesso. Da mesma aba: Use a mesma ordem de local/grupo que está sendo usado para o método de autenticação na etapa precedente, e escolha o tipo como o executivo. Do CLI: Etapa 5. Atribua os métodos às Configurações HTTP e às linhas VTY usadas para o telnet/ssh Estas etapas não podem ser executadas do GUI, daqui precisam de ser feitas do CLI. Para a autenticação GUI: Para a autenticação do telnet/ssh: Nota: quando fazer muda o às Configurações HTTP, é o melhor reiniciar os serviços HTTP e HTTPS: Configuração Tacacs+ ISE Etapa 1. Configurar o WLC como o dispositivo de rede para Tacacs+:

10 Note que neste exemplo, o WLC está adicionado já para o RAIO, daqui clicam editam sobre, e enrolam para baixo ajustes da autenticação TACACS, e adicionam o segredo necessário: Nota: a fim usar o ISE como o server TACACS+, você deve ter um pacote da licença da administração do dispositivo, e uma base ou uma licença da mobilidade. Também, uma vez que as licenças são instaladas, você deve permitir a característica Admin do dispositivo para o nó. Para fazer assim, edite o nó do desenvolvimento do nó sob o administrador > o desenvolvimento, e verifique a caixa: Etapa 2. Crie perfis TACACS, para retornar o privilégio A fim fazer configurações, necessidades do usuário com direitos de administrador de ter um nível de privilégio de 15, que reservarão alcançar o shell do prompt de exec. O outro usuário pelo contrário, helpdeskuser não precisará o acesso do shell do prompt de exec, e ele pode ser atribuído um nível de privilégio mais baixo de 15. Para fazer assim, crie perfis TACACS:

11 Configurar um perfil admin com privilégio 15 como segue: No perfil do serviço de informações pelo contrário, o privilégio padrão é ajustado como 1. Etapa 3. Crie os usuários no ISE: Este é o mesmo que em etapa 3 da configuração do RAIO ISE Etapa 4. Crie uma política Admin do dispositivo ajustada:

12 A política específica ajustou "IOS-9800", neste exemplo, pedidos dos filtros com o endereço IP de Um ou Mais Servidores Cisco ICM NT igual ao IP do exemplo Como a política de autenticação, nós deixamos a regra de padrão, e estabelecemos duas regras da autorização: primeiro é provocado quando o username é usuário com direitos de administrador, ele permite a regra dos comandos all (através do padrão Permit_all "), e atribui o privilégio 15 (através 'de IOS_Admin) segundo é provocado quando o username é helpdeskuser, ele permite a regra dos comandos all (através do padrão Permit_all "), e atribui o privilégio 15 (através 'de IOS_Helpdesk) Troubleshooting A fim pesquisar defeitos o acesso TACACS+ ao GUI ou ao CLI do WLC, para emitir debugar tacacs comandam, junto com o termo segunda-feira e veja a saída viva quando uma tentativa de login é feita. Uma tentativa do login bem-sucedido do usuário do usuário com direitos de administrador é mostrada abaixo: Pode-se ver que o server Tacacs+ retorna o privilégio correto 'AV priv-lvl=15 Ao fazer a autenticação RADIUS, em lugar de, nós teremos um resultado do debug similar, a respeito do tráfego de radius. debugar a autenticação aaa e o debug aaa authorization mostrará pelo contrário que lista de método está sendo selecionada pelo WLC quando o uso tenta entrar.