In diesem Dokument wird eine Beispielkonfiguration für die Authentifizierung von HTTP-Admin-Geräten auf Access Point (AP) Version 1.01 bereitgestellt.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Access Control Server (ACS) Version 2.6.4 und höher
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie in den technischen Tipps von Cisco zu Konventionen.
Es gibt keine Option zum Konfigurieren der TACACS+- oder RADIUS-Abrechnung oder der Befehlsautorisierung für EXEC-Sitzungen in der GUI. Diese Optionen können in der CLI konfiguriert werden, werden jedoch nicht empfohlen. Wenn Sie diese Optionen konfigurieren, können sie den Access Point und den ACS mit Buchhaltungs- oder Autorisierungsanforderungen stark blockieren (jedes Element jeder Seite muss berücksichtigt oder autorisiert werden).
Gehen Sie wie folgt vor, um die Schnittstelle zu konfigurieren:
Wählen Sie in TACACS+ (Cisco IOS) das Gruppenfeld für das erste undefinierte neue Dienstfeld aus.
Geben Sie im Feld Service den Text Aironet ein.
Geben Sie in das Protokollfeld Shell ein.
Wählen Sie unter Erweiterte Konfigurationsoptionen die Option Erweiterte TACACS+-Funktionen > Ein Fenster für jeden ausgewählten Dienst anzeigen aus.
Klicken Sie auf Senden.
Führen Sie die folgenden Schritte aus, um den Benutzer zu konfigurieren:
Wählen Sie in Advanced TACACS+ Settings die Option Shell (exec) aus.
Wählen Sie die Privilegstufe aus.
Geben Sie in das Feld 15 ein.
Klicken Sie auf Senden.
Führen Sie die folgenden Schritte aus, um die Gruppe zu konfigurieren:
Wählen Sie TACACS+ aus.
Wählen Sie Aironet Shell > Custom Attributes (Aironet-Schale > Benutzerdefinierte Attribute).
Geben Sie im Feld Custom Attributes (Benutzerdefinierte Attribute) aironet:admin-ability=write+ident+firmware+admin+snmp ein.
Klicken Sie auf Senden.
Neustart
Gehen Sie wie folgt vor, um das Netzwerk zu konfigurieren:
Erstellen Sie NAS für den AP mit TACACS+ als Protokoll.
Der Schlüssel ist der gemeinsame geheime Schlüssel des Access Points.
Klicken Sie auf Senden.
Neustart
Hinweis: Wenn Sie einen Token-Server mit einem einmaligen Kennwort verwenden, müssen Sie die Token-Zwischenspeicherung konfigurieren, um zu verhindern, dass Sie ständig zur Eingabe von Kennwörtern der Stufen 1 und 15 aufgefordert werden. Führen Sie die folgenden Schritte aus, um die Tokenzwischenspeicherung zu konfigurieren:
Geben Sie die Gruppenkonfiguration für die Gruppe ein, der Ihre Admin-Benutzer angehören.
Wählen Sie Tokenkarteneinstellungen aus.
Wählen Sie Dauer aus.
Wählen Sie einen Zeitraum, der Ihre Anforderungen an Sicherheit und Komfort in Einklang bringt.
Wenn Ihre typische Verwaltungssitzung maximal fünf Minuten dauert, empfiehlt sich ein Wert für die Dauer von fünf Minuten. Wenn die Sitzung länger als fünf Minuten dauert, werden Sie in Intervallen von fünf Minuten erneut zur Eingabe Ihres Kennworts aufgefordert. Beachten Sie, dass die Sitzungsoption nicht funktioniert, wenn die Abrechnung nicht aktiviert ist. Beachten Sie außerdem, dass die Token-Zwischenspeicherung für alle Benutzer in der Gruppe und für alle Sitzungen der Gruppe mit allen Geräten (nicht nur EXEC-Sitzungen mit dem Access Point) gilt.
Führen Sie diese Schritte aus:
Wählen Sie Setup > Security > User Information > Add New User aus.
Fügen Sie einen neuen Benutzer mit umfassenden Verwaltungsfunktionen hinzu (alle Funktionseinstellungen sind aktiviert).
Klicken Sie auf Zurück. Sie kehren zur Seite "Security Setup" (Sicherheitseinrichtung) zurück.
Klicken Sie auf Benutzer-Manager. Die Seite User Manager Setup (Benutzer-Manager-Setup) wird angezeigt.
Benutzer-Manager aktivieren.
Klicken Sie auf OK.
Führen Sie diese Schritte aus:
Wählen Sie Setup > Security > Authentication Server.
Geben Sie die IP-Adresse des TACACS+-Servers ein.
Wählen Sie den TACACS-Servertyp aus.
Geben Sie in das Feld den Port 49 ein.
Geben Sie in das Feld den gemeinsamen geheimen Schlüssel ein.
Wählen Sie das Feld Benutzerauthentifizierung aus.
Gehen Sie wie folgt vor, um den AP für IOS zu konfigurieren:
Wählen Sie Security > Server Manager aus.
Wählen Sie einen konfigurierten TACACS+-Server aus, oder konfigurieren Sie einen neuen.
Klicken Sie auf Apply (Anwenden).
Wählen Sie im Dropdown-Menü "Admin Authentication (TACACS+)" die IP-Adresse des TACACS+-Servers aus.
Klicken Sie auf Apply (Anwenden).
Wählen Sie Security > Admin Access aus.
Erstellen Sie einen lokalen Benutzer mit Lese- und Schreibzugriff (falls noch nicht geschehen).
Klicken Sie auf Apply (Anwenden).
Wählen Sie Authentication Server Only (Nur Authentifizierungsserver) oder Authentication Server (Authentifizierungsserver) aus (falls nicht in der lokalen Liste enthalten).
Klicken Sie auf Apply (Anwenden).
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
22-Feb-2005 |
Erstveröffentlichung |