El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar los controladores inalámbricos Catalyst 9800 para la autenticación externa RADIUS y TACACS+ de los usuarios de Lobby Ambassador.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
El usuario Lobby Ambassador es creado por el administrador de la red. Un usuario de Lobby Ambassador puede crear un nombre de usuario de invitado, contraseña, descripción y duración. También tiene la capacidad de eliminar el usuario invitado. El usuario invitado se puede crear mediante la GUI o la CLI.
En este ejemplo, se configuran las opciones "lobby" y "lobbyTac" de los Embajadores del Lobby. El "lobby" del Lobby Ambassador está destinado a ser autenticado contra el servidor RADIUS y el "lobbyTac" del Lobby Ambassador está autenticado contra TACACS+.
La configuración se realiza en primer lugar para el Embajador del Lobby RADIUS y, finalmente, para el Embajador del Lobby TACACS+. La configuración de RADIUS y TACACS+ ISE también se comparte.
Configure RADIUS en el controlador de LAN inalámbrica (WLC).
Paso 1. Declare el servidor RADIUS. Cree el servidor RADIUS de ISE en el WLC.
GUI:
Vaya a Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add como se muestra en la imagen.
Cuando se abre la ventana de configuración, los parámetros de configuración obligatorios son el nombre del servidor RADIUS (no tiene que coincidir con el nombre del sistema ISE/AAA), la dirección IP del servidor RADIUS y el secreto compartido. Cualquier otro parámetro se puede dejar por defecto o se puede configurar como se desee.
CLI:
Tim-eWLC1(config)#radius server RadiusLobby
Tim-eWLC1(config-radius-server)#address ipv4 192.168.166.8 auth-port 1812 acct-port 1813
Tim-eWLC1(config-radius-server)#key 0 Cisco1234
Tim-eWLC1(config)#end
Paso 2. Agregue el servidor RADIUS a un grupo de servidores. Defina un grupo de servidores y agregue el servidor RADIUS configurado. Este es el servidor RADIUS utilizado para la autenticación del usuario de Lobby Ambassador. Si hay varios servidores RADIUS configurados en el WLC que se pueden utilizar para la autenticación, la recomendación es agregar todos los servidores RADIUS al mismo grupo de servidores. Si lo hace, permite que el WLC equilibre la carga de las autenticaciones entre los servidores RADIUS en el grupo de servidores.
GUI:
Vaya a Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add como se muestra en la imagen.
Cuando se abre la ventana de configuración para dar un nombre al grupo, mueva los servidores RADIUS configurados de la lista Servidores Disponibles a la lista Servidores Asignados.
CLI:
Tim-eWLC1(config)#aaa group server radius GroupRadLobby
Tim-eWLC1(config-sg-radius)#server name RadiusLobby
Tim-eWLC1(config-sg-radius)#end
Paso 3. Cree una lista de métodos de autenticación. La lista de métodos de autenticación define el tipo de autenticación que busca y también adjunta el mismo al grupo de servidores que defina. Usted sabe si la autenticación se hace localmente en el WLC o externo a un servidor de RADIUS.
GUI:
Vaya a Configuration > Security > AAA > AAA Method List > Authentication > + Add como se muestra en la imagen.
Cuando se abra la ventana de configuración, proporcione un nombre, seleccione la opción de tipo como Login y asigne el grupo de servidores creado anteriormente.
Tipo de grupo como local.
GUI:
Si selecciona Group Type como 'local', el WLC primero verifica si el usuario existe en la base de datos local y luego vuelve al grupo de servidores solamente si el usuario Lobby Ambassador no se encuentra en la base de datos local.
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end
Nota: Tenga en cuenta el error CSCvs87163 cuando utilice primero local. Esto está arreglado en 17.3.
Tipo de grupo como grupo.
GUI:
Si selecciona Group Type como 'group' y no se verifica la opción fallback to local, el WLC comprobará el usuario contra el grupo del servidor y no registrará su base de datos local.
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end
Group Type (Tipo de grupo) como grupo y la opción fallback to local (de reserva a local) está activada.
GUI:
Si selecciona Group Type como 'group' y la opción fallback to local está marcada, el WLC verificará al usuario contra el grupo de servidores y consultará la base de datos local solamente si el servidor RADIUS agota el tiempo de espera en la respuesta. Si el servidor responde, el WLC no activará una autenticación local.
CLI:
Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end
Paso 4. Cree una lista de métodos de autorización. La lista de métodos de autorización define el tipo de autorización que necesita para el embajador de lobby, que en este caso será 'exec'. También se adjuntará al mismo grupo de servidores que se ha definido. También permitirá seleccionar si la autenticación se hará localmente en el WLC o externa a un servidor RADIUS.
GUI:
Vaya a Configuración > Seguridad > AAA > Lista de métodos de AAA > Autorización > + Agregar como se muestra en la imagen.
Cuando se abra la ventana de configuración para proporcionar un nombre, seleccione la opción de tipo como 'exec' y asigne el grupo de servidores creado anteriormente.
Tenga en cuenta que el tipo de grupo se aplica de la misma manera que se explicó en la sección Lista de métodos de autenticación.
CLI:
Tipo de grupo como local.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end
Tipo de grupo como grupo.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end
Group Type (Tipo de grupo) como grupo y la opción fallback to local (de reserva a local) está activada.
Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end
Paso 5. Asigne los métodos. Una vez que se configuran los métodos, se tienen que asignar a las opciones para iniciar sesión en el WLC para crear el usuario invitado como línea VTY (SSH/Telnet) o HTTP (GUI).
Estos pasos no se pueden realizar desde la GUI, por lo que deben realizarse desde la CLI.
Autenticación HTTP/GUI:
Tim-eWLC1(config)#ip http authentication aaa login-authentication AuthenLobbyMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozLobbyMethod
Tim-eWLC1(config)#end
Cuando realice cambios en las configuraciones HTTP, es mejor reiniciar los servicios HTTP y HTTPS:
Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end
Línea VTY.
Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AuthenLobbyMethod
Tim-eWLC1(config-line)#authorization exec AuthozLobbyMethod
Tim-eWLC1(config-line)#end
Paso 6. Este paso solo se requiere en las versiones de software anteriores a 17.5.1 o 17.3.3 y no se requiere después de aquellas versiones en las que se implementó CSCvu29748. Defina el usuario remoto. El nombre de usuario creado en ISE para el Embajador del lobby debe definirse como un nombre de usuario remoto en el WLC. Si el nombre de usuario remoto no está definido en el WLC, la autenticación pasará correctamente, sin embargo, el usuario será concedido con acceso completo al WLC en lugar de solamente acceso a los privilegios del embajador del lobby. Esta configuración sólo se puede realizar mediante CLI.
CLI:
Tim-eWLC1(config)#aaa remote username lobby
Paso 1. Agregue el WLC a ISE. Vaya a Administration > Network Resources > Network Devices > Add. El WLC debe agregarse a ISE. Cuando agregue el WLC a ISE, habilite los ajustes de autenticación de RADIUS y configure los parámetros necesarios como se muestra en la imagen.
Cuando se abra la ventana de configuración, indique un nombre, IP ADD, active RADIUS Authentication Settings (Parámetros de autenticación RADIUS) y, en Protocol Radius (Radio de protocolo), introduzca el secreto compartido necesario.
Paso 2. Cree el usuario Lobby Ambassador en ISE. Vaya a Administration > Identity Management > Identities > Users > Add.
Añada a ISE el nombre de usuario y la contraseña asignados al embajador del vestíbulo que crea los usuarios invitados. Este es el nombre de usuario que el administrador asignará al embajador del lobby.
Cuando se abra la ventana de configuración, proporcione el nombre y la contraseña para el usuario de Lobby Ambassador. Asegúrese también de que el estado es Enabled (Activado).
Paso 3. Cree un perfil de autorización de resultados. Vaya a Política > Elementos de Política > Resultados > Autorización > Perfiles de Autorización > Agregar. Cree un perfil de autorización de resultado para volver al WLC un Access-Accept con los atributos necesarios como se muestra en la imagen.
Asegúrese de que el perfil esté configurado para enviar una aceptación de acceso como se muestra en la imagen.
Deberá agregar los atributos manualmente en Configuración avanzada de atributos. Los atributos son necesarios para definir al usuario como Lobby Ambassador y para proporcionar el privilegio para permitir que el Lobby Ambassador haga los cambios necesarios.
Paso 4. Cree una política para procesar la autenticación. Vaya a Política > Conjuntos de políticas > Agregar. Las condiciones para configurar la política dependen de la decisión del administrador. En este caso se utilizan la condición Network Access-Username y el protocolo Default Network Access .
Es obligatorio asegurarse de que bajo la política de autorización se seleccione el perfil configurado bajo la autorización de resultados, de esa manera puede devolver los atributos necesarios al WLC como se muestra en la imagen.
Cuando se abra la ventana de configuración, configure la directiva de autorización. La política de autenticación se puede dejar como predeterminada.
Paso 1. Declare el servidor TACACS+. Cree el servidor TACACS de ISE en el WLC.
GUI:
Vaya a Configuration > Security > AAA > Servers/Groups > TACACS+ > Servers > + Add como se muestra en la imagen.
Cuando se abre la ventana de configuración, los parámetros de configuración obligatorios son el nombre del servidor TACACS+ (no tiene que coincidir con el nombre del sistema ISE/AAA), la dirección IP del servidor TACACS y el secreto compartido. Cualquier otro parámetro se puede dejar por defecto o se puede configurar según sea necesario.
CLI:
Tim-eWLC1(config)#tacacs server TACACSLobby
Tim-eWLC1(config-server-tacacs)#address ipv4 192.168.166.8
Tim-eWLC1(config-server-tacacs)#key 0 Cisco123
Tim-eWLC1(config-server-tacacs)#end
Paso 2. Agregue el servidor TACACS+ a un grupo de servidores. Defina un grupo de servidores y agregue el servidor TACACS+ deseado configurado. Estos serán los servidores TACACS+ utilizados para la autenticación.
GUI:
Vaya a Configuration > Security > AAA > Servers / Groups > TACACS > Server Groups > + Add como se muestra en la imagen.
Cuando se abra la ventana de configuración, asigne un nombre al grupo y mueva los servidores TACACS+ deseados de la lista Servidores Disponibles a la lista Servidores Asignados.
CLI:
Tim-eWLC1(config)#aaa group server tacacs+ GroupTacLobby
Tim-eWLC1(config-sg-tacacs+)#server name TACACSLobby
Tim-eWLC1(config-sg-tacacs+)#end
Paso 3. Cree una lista de métodos de autenticación. La Lista de métodos de autenticación define el tipo de autenticación que se necesita y también la asociará al grupo de servidores configurado. También permite seleccionar si la autenticación se puede hacer localmente en el WLC o externa a un servidor TACACS+.
GUI:
Vaya a Configuration > Security > AAA > AAA Method List > Authentication > + Add como se muestra en la imagen.
Cuando se abra la ventana de configuración, proporcione un nombre, seleccione la opción de tipo como Login y asigne el grupo de servidores creado anteriormente.
Tipo de grupo como local.
GUI:
Si selecciona Group Type como 'local', el WLC primero verificará si el usuario existe en la base de datos local y luego volverá al grupo de servidores solamente si el usuario Lobby Ambassador no se encuentra en la base de datos local.
Nota: Tenga en cuenta este error CSCvs87163que se corrige en 17.3.
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end
Tipo de grupo como grupo.
GUI:
Si selecciona Group Type as group y no se marca ninguna opción de reserva a local, el WLC comprobará el usuario contra el grupo del servidor y no registrará su base de datos local.
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby
Tim-eWLC1(config)#end
Group Type (Tipo de grupo) como grupo y la opción fallback to local (de reserva a local) está activada.
GUI:
Si selecciona Group Type como 'group' y la opción Fallback to local está marcada, el WLC verificará al usuario contra el grupo de servidores y consultará la base de datos local solamente si el servidor TACACS se desconecta en la respuesta. Si el servidor envía un rechazo, el usuario no se autentica, incluso si existe en la base de datos local.
CLI:
Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end
Paso 4. Cree una lista de métodos de autorización.
La lista de métodos de autorización definirá el tipo de autorización que se necesita para el embajador de lobby, que en este caso será exec. También está conectado al mismo grupo de servidores configurado. También se le permite seleccionar si la autenticación se realiza localmente en el WLC o externa a un servidor TACACS+.
GUI:
Vaya a Configuración > Seguridad > AAA > Lista de métodos de AAA > Autorización > + Agregar como se muestra en la imagen.
Cuando se abra la ventana de configuración, proporcione un nombre, seleccione la opción de tipo como exec y asigne el grupo de servidores creado anteriormente.
Tenga en cuenta que el tipo de grupo se aplica de la misma manera que se explica en la parte Lista de métodos de autenticación.
CLI:
Tipo de grupo como local.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end
Tipo de grupo como grupo.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby
Tim-eWLC1(config)#end
Group Type (Tipo de grupo) como grupo y la opción Fallback to local (Reserva a local) está activada.
Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end
Paso 5. Asigne los métodos. Una vez que se configuran los métodos, se tienen que asignar a las opciones para iniciar sesión en el WLC para crear el usuario invitado como línea VTY o HTTP (GUI). Estos pasos no se pueden realizar desde la GUI, por lo que deben realizarse desde la CLI.
Autenticación HTTP/GUI:
Tim-eWLC1(config)#ip http authentication aaa login-authentication AutheTacMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozTacMethod
Tim-eWLC1(config)#end
Cuando realice cambios en las configuraciones HTTP, es mejor reiniciar los servicios HTTP y HTTPS:
Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end
VTY de línea:
Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AutheTacMethod
Tim-eWLC1(config-line)#authorization exec AuthozTacMethod
Tim-eWLC1(config-line)#end
Paso 6. Defina el usuario remoto. El nombre de usuario creado en ISE para el Embajador del lobby debe definirse como un nombre de usuario remoto en el WLC. Si el nombre de usuario remoto no está definido en el WLC, la autenticación pasará correctamente, sin embargo, el usuario será concedido con acceso completo al WLC en lugar de solamente acceso a los privilegios del embajador del lobby. Esta configuración sólo se puede realizar mediante CLI.
CLI:
Tim-eWLC1(config)#aaa remote username lobbyTac
Paso 1. Active Device Admin. Vaya a Administration > System > Deployment. Antes de continuar, seleccione Enable Device Admin Service y asegúrese de que ISE se haya habilitado como se muestra en la imagen.
Paso 2. Agregue el WLC a ISE. Vaya a Administration > Network Resources > Network Devices > Add. El WLC debe agregarse a ISE. Cuando agregue el WLC a ISE, habilite los ajustes de autenticación de TACACS+ y configure los parámetros necesarios como se muestra en la imagen.
Cuando se abra la ventana de configuración para proporcionar un nombre, IP ADD, habilite TACACS+ Authentication Settings e ingrese el Shared Secret necesario.
Paso 3. Cree el usuario Lobby Ambassador en ISE. Vaya a Administration > Identity Management > Identities > Users > Add. Añada a ISE el nombre de usuario y la contraseña asignados al embajador del vestíbulo que creará los usuarios invitados. Este es el nombre de usuario que el administrador asigna al embajador del lobby, como se muestra en la imagen.
Cuando se abra la ventana de configuración, proporcione el nombre y la contraseña para el usuario de Lobby Ambassador. Asegúrese también de que el estado es Enabled (Activado).
Paso 4. Cree un perfil TACACS+ de resultados. Navegue hasta Centros de trabajo > Administración de dispositivos > Elementos de política > Resultados > Perfiles TACACS como se muestra en la imagen. Con este perfil, devuelva los atributos necesarios al WLC para colocar al usuario como embajador de lobby.
Cuando se abra la ventana de configuración, proporcione un nombre para el perfil, configure también un Default Privileged 15 y un Custom Attribute como Type Manatric, name como user-type y value lobby-admin. Además, deje que el Tipo de tarea común se seleccione como Shell, como se muestra en la imagen.
Paso 5. Cree un conjunto de políticas. Vaya a Centros de trabajo > Administración de dispositivos > Conjuntos de políticas de administración de dispositivos como se muestra en la imagen. Las condiciones para configurar la directiva dependen de la decisión del administrador. Para este documento, se utilizan la condición Network Access-Username y el protocolo Default Device Admin. Es obligatorio asegurarse bajo la política de autorización que el perfil configurado bajo la autorización de resultados está seleccionado, de esa manera usted puede devolver los atributos necesarios al WLC.
Cuando se abra la ventana de configuración, configure la directiva de autorización. La política de autenticación se puede dejar como predeterminada como se muestra en la imagen.
Use esta sección para confirmar que su configuración funciona correctamente.
show run aaa
show run | sec remote
show run | sec http
show aaa method-lists authentication
show aaa method-lists authorization
show aaa servers
show tacacs
Así es como se ve la GUI de Lobby Ambassador luego de una autenticación exitosa.
En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.
Para la autenticación RADIUS, se pueden utilizar estos debugs:
Tim-eWLC1#debug aaa authentication
Tim-eWLC1#debug aaa authorization
Tim-eWLC1#debug aaa attr
Tim-eWLC1#terminal monitor
Asegúrese de que se haya seleccionado la lista de métodos correcta de la depuración. Además, el servidor ISE devuelve los atributos necesarios con el nombre de usuario, el tipo de usuario y el privilegio adecuados.
Feb 5 02:35:27.659: AAA/AUTHEN/LOGIN (00000000): Pick method list 'AuthenLobbyMethod'
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(0):
7FBA5500C870 0 00000081 username(450) 5 lobby
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(1):
7FBA5500C8B0 0 00000001 user-type(1187) 4 lobby-admin
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(2):
7FBA5500C8F0 0 00000001 priv-lvl(335) 4 15(F)
Feb 5 02:35:27.683: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host
192.168.166.104 by user 'lobby' using crypto cipher 'ECDHE-RSA-AES128-GCM-SHA256'
Para la autenticación TACACS+, se puede utilizar este debug:
Tim-eWLC1#debug tacacs
Tim-eWLC1#terminal monitor
Asegúrese de que la autenticación se procese con el nombre de usuario y la IP ADD de ISE adecuados. Además, se debe ver el estado "PASS". En la misma depuración, justo después de la fase de autenticación, se presentará el proceso de autorización. En esta autorización, la fase garantiza que se utilice el nombre de usuario correcto junto con el AGREGADO IP ISE correcto. A partir de esta fase, puede ver los atributos que se configuran en ISE que establecen al WLC como un usuario de Lobby Ambassador con el privilegio adecuado.
Ejemplo de fase de autenticación:
Feb 5 02:06:48.245: TPLUS: Queuing AAA Authentication request 0 for processing
Feb 5 02:06:48.245: TPLUS: Authentication start packet created for 0(lobbyTac)
Feb 5 02:06:48.245: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.250: TPLUS: Received authen response status GET_PASSWORD (8)
Feb 5 02:06:48.266: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.266: TPLUS: Received authen response status PASS (2)
Ejemplo de fase de autorización:
Feb 5 02:06:48.267: TPLUS: Queuing AAA Authorization request 0 for processing
Feb 5 02:06:48.267: TPLUS: Authorization request created for 0(lobbyTac)
Feb 5 02:06:48.267: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.279: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.279: TPLUS: Processed AV priv-lvl=15
Feb 5 02:06:48.279: TPLUS: Processed AV user-type=lobby-admin
Feb 5 02:06:48.279: TPLUS: received authorization response for 0: PASS
Los ejemplos de depuración mencionados anteriormente para RADIUS y TACACS+ tienen los pasos clave para un login exitoso. Los debugs son más detallados y el resultado será más grande. Para inhabilitar los debugs, se puede utilizar este comando:
Tim-eWLC1#undebug all
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
18-Jun-2020 |
Versión inicial |