Configuración del embajador de lobby del WLC 9800 con autenticación RADIUS y TACACS+

Opciones de descarga

  • PDF     (2.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:7 de junio de 2021
ID del documento:215552

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar los controladores inalámbricos Catalyst 9800 para la autenticación externa RADIUS y TACACS+ de los usuarios de Lobby Ambassador.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Modelo de configuración de Catalyst Wireless 9800
    • Conceptos AAA, RADIUS y TACACS+

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Controlador inalámbrico Catalyst serie 9800 (Catalyst 9800-CL)
    • Cisco IOS® XE Gibraltar 16.12.1s
    • ISE 2.3.0

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    El usuario Lobby Ambassador es creado por el administrador de la red. Un usuario de Lobby Ambassador puede crear un nombre de usuario de invitado, contraseña, descripción y duración. También tiene la capacidad de eliminar el usuario invitado. El usuario invitado se puede crear mediante la GUI o la CLI.

    Configurar

    Diagrama de la red

    Diagrama de la red

    En este ejemplo, se configuran las opciones "lobby" y "lobbyTac" de los Embajadores del Lobby. El "lobby" del Lobby Ambassador está destinado a ser autenticado contra el servidor RADIUS y el "lobbyTac" del Lobby Ambassador está autenticado contra TACACS+.

    La configuración se realiza en primer lugar para el Embajador del Lobby RADIUS y, finalmente, para el Embajador del Lobby TACACS+. La configuración de RADIUS y TACACS+ ISE también se comparte.

    Autenticar RADIUS

    Configure RADIUS en el controlador de LAN inalámbrica (WLC).

    Paso 1. Declare el servidor RADIUS. Cree el servidor RADIUS de ISE en el WLC.

    GUI: 

    Vaya a Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add como se muestra en la imagen.

    configuración del servidor WLC Radius

    Cuando se abre la ventana de configuración, los parámetros de configuración obligatorios son el nombre del servidor RADIUS (no tiene que coincidir con el nombre del sistema ISE/AAA), la dirección IP del servidor RADIUS y el secreto compartido. Cualquier otro parámetro se puede dejar por defecto o se puede configurar como se desee.

    CLI:

    Tim-eWLC1(config)#radius server RadiusLobby
    Tim-eWLC1(config-radius-server)#address ipv4 192.168.166.8 auth-port 1812 acct-port 1813
    Tim-eWLC1(config-radius-server)#key 0 Cisco1234
    Tim-eWLC1(config)#end

    Paso 2. Agregue el servidor RADIUS a un grupo de servidores. Defina un grupo de servidores y agregue el servidor RADIUS configurado. Este es el servidor RADIUS utilizado para la autenticación del usuario de Lobby Ambassador. Si hay varios servidores RADIUS configurados en el WLC que se pueden utilizar para la autenticación, la recomendación es agregar todos los servidores RADIUS al mismo grupo de servidores. Si lo hace, permite que el WLC equilibre la carga de las autenticaciones entre los servidores RADIUS en el grupo de servidores.

    GUI:

    Vaya a Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add como se muestra en la imagen.

    configuración del grupo WLC Radius

    Cuando se abre la ventana de configuración para dar un nombre al grupo, mueva los servidores RADIUS configurados de la lista Servidores Disponibles a la lista Servidores Asignados.

    CLI:

    Tim-eWLC1(config)#aaa group server radius GroupRadLobby
    Tim-eWLC1(config-sg-radius)#server name RadiusLobby
    Tim-eWLC1(config-sg-radius)#end

    Paso 3. Cree una lista de métodos de autenticación. La lista de métodos de autenticación define el tipo de autenticación que busca y también adjunta el mismo al grupo de servidores que defina. Usted sabe si la autenticación se hace localmente en el WLC o externo a un servidor de RADIUS.

    GUI:

    Vaya a Configuration > Security > AAA > AAA Method List > Authentication > + Add como se muestra en la imagen.

    Configuración de la lista de métodos AAA en el WLC

    Cuando se abra la ventana de configuración, proporcione un nombre, seleccione la opción de tipo como Login y asigne el grupo de servidores creado anteriormente.

    Tipo de grupo como local.

    GUI:

    Si selecciona Group Type como 'local', el WLC primero verifica si el usuario existe en la base de datos local y luego vuelve al grupo de servidores solamente si el usuario Lobby Ambassador no se encuentra en la base de datos local.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod local group GroupRadLobby
    Tim-eWLC1(config)#end

    Nota: Tenga en cuenta el error CSCvs87163 cuando utilice primero local. Esto está arreglado en 17.3.

    Tipo de grupo como grupo.

    GUI:

    Si selecciona Group Type como 'group' y no se verifica la opción fallback to local, el WLC comprobará el usuario contra el grupo del servidor y no registrará su base de datos local.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby
    Tim-eWLC1(config)#end

    Group Type (Tipo de grupo) como grupo y la opción fallback to local (de reserva a local) está activada.

    GUI:

    Si selecciona Group Type como 'group' y la opción fallback to local está marcada, el WLC verificará al usuario contra el grupo de servidores y consultará la base de datos local solamente si el servidor RADIUS agota el tiempo de espera en la respuesta. Si el servidor responde, el WLC no activará una autenticación local.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby local
    Tim-eWLC1(config)#end

    Paso 4. Cree una lista de métodos de autorización. La lista de métodos de autorización define el tipo de autorización que necesita para el embajador de lobby, que en este caso será 'exec'. También se adjuntará al mismo grupo de servidores que se ha definido. También permitirá seleccionar si la autenticación se hará localmente en el WLC o externa a un servidor RADIUS.

    GUI:

    Vaya a Configuración > Seguridad > AAA > Lista de métodos de AAA > Autorización > + Agregar como se muestra en la imagen.

    Radius_Authorz

    Cuando se abra la ventana de configuración para proporcionar un nombre, seleccione la opción de tipo como 'exec' y asigne el grupo de servidores creado anteriormente.

    Tenga en cuenta que el tipo de grupo se aplica de la misma manera que se explicó en la sección Lista de métodos de autenticación.

    CLI:

    Tipo de grupo como local.

    Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod local group GroupRadLobby
    Tim-eWLC1(config)#end

    Tipo de grupo como grupo.

    Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby
    Tim-eWLC1(config)#end

    Group Type (Tipo de grupo) como grupo y la opción fallback to local (de reserva a local) está activada.

    Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby local
    Tim-eWLC1(config)#end

    Paso 5. Asigne los métodos. Una vez que se configuran los métodos, se tienen que asignar a las opciones para iniciar sesión en el WLC para crear el usuario invitado como línea VTY (SSH/Telnet) o HTTP (GUI).

    Estos pasos no se pueden realizar desde la GUI, por lo que deben realizarse desde la CLI.

    Autenticación HTTP/GUI:

    Tim-eWLC1(config)#ip http authentication aaa login-authentication AuthenLobbyMethod
    Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozLobbyMethod
    Tim-eWLC1(config)#end

    Cuando realice cambios en las configuraciones HTTP, es mejor reiniciar los servicios HTTP y HTTPS:

    Tim-eWLC1(config)#no ip http server
    Tim-eWLC1(config)#no ip http secure-server
    Tim-eWLC1(config)#ip http server
    Tim-eWLC1(config)#ip http secure-server
    Tim-eWLC1(config)#end

    Línea VTY.

    Tim-eWLC1(config)#line vty 0 15
    Tim-eWLC1(config-line)#login authentication AuthenLobbyMethod
    Tim-eWLC1(config-line)#authorization exec AuthozLobbyMethod
    Tim-eWLC1(config-line)#end

    Paso 6. Este paso solo se requiere en las versiones de software anteriores a 17.5.1 o 17.3.3 y no se requiere después de aquellas versiones en las que se implementó CSCvu29748. Defina el usuario remoto. El nombre de usuario creado en ISE para el Embajador del lobby debe definirse como un nombre de usuario remoto en el WLC. Si el nombre de usuario remoto no está definido en el WLC, la autenticación pasará correctamente, sin embargo, el usuario será concedido con acceso completo al WLC en lugar de solamente acceso a los privilegios del embajador del lobby. Esta configuración sólo se puede realizar mediante CLI.

    CLI:

    Tim-eWLC1(config)#aaa remote username lobby

    Configuración de ISE - RADIUS

    Paso 1. Agregue el WLC a ISE. Vaya a Administration > Network Resources > Network Devices > Add. El WLC debe agregarse a ISE. Cuando agregue el WLC a ISE, habilite los ajustes de autenticación de RADIUS y configure los parámetros necesarios como se muestra en la imagen.

    Radius_ISE

    Cuando se abra la ventana de configuración, indique un nombre, IP ADD, active RADIUS Authentication Settings (Parámetros de autenticación RADIUS) y, en Protocol Radius (Radio de protocolo), introduzca el secreto compartido necesario.

    Paso 2. Cree el usuario Lobby Ambassador en ISE. Vaya a Administration > Identity Management > Identities > Users > Add.

    Añada a ISE el nombre de usuario y la contraseña asignados al embajador del vestíbulo que crea los usuarios invitados. Este es el nombre de usuario que el administrador asignará al embajador del lobby.

    Radius_Identity

    Cuando se abra la ventana de configuración, proporcione el nombre y la contraseña para el usuario de Lobby Ambassador. Asegúrese también de que el estado es Enabled (Activado).

    Paso 3. Cree un perfil de autorización de resultados. Vaya a Política > Elementos de Política > Resultados > Autorización > Perfiles de Autorización > Agregar. Cree un perfil de autorización de resultado para volver al WLC un Access-Accept con los atributos necesarios como se muestra en la imagen.

    Radius_Authorization

    Asegúrese de que el perfil esté configurado para enviar una aceptación de acceso como se muestra en la imagen.

    Radius_Author_Attributes

    Deberá agregar los atributos manualmente en Configuración avanzada de atributos. Los atributos son necesarios para definir al usuario como Lobby Ambassador y para proporcionar el privilegio para permitir que el Lobby Ambassador haga los cambios necesarios.

    Atributos_RADIUS

    Paso 4. Cree una política para procesar la autenticación. Vaya a Política > Conjuntos de políticas > Agregar. Las condiciones para configurar la política dependen de la decisión del administrador. En este caso se utilizan la condición Network Access-Username y el protocolo Default Network Access .

    Es obligatorio asegurarse de que bajo la política de autorización se seleccione el perfil configurado bajo la autorización de resultados, de esa manera puede devolver los atributos necesarios al WLC como se muestra en la imagen.

    Política_RADIUS

    Cuando se abra la ventana de configuración, configure la directiva de autorización. La política de autenticación se puede dejar como predeterminada.

    Radius_Autho_Profile

    Autenticar TACACS+ 

    Configuración de TACACS+ en WLC

    Paso 1. Declare el servidor TACACS+. Cree el servidor TACACS de ISE en el WLC.

    GUI:

    Vaya a Configuration > Security > AAA > Servers/Groups > TACACS+ > Servers > + Add como se muestra en la imagen.

    TACACS_Add_WLC

    Cuando se abre la ventana de configuración, los parámetros de configuración obligatorios son el nombre del servidor TACACS+ (no tiene que coincidir con el nombre del sistema ISE/AAA), la dirección IP del servidor TACACS y el secreto compartido. Cualquier otro parámetro se puede dejar por defecto o se puede configurar según sea necesario.

    CLI:

    Tim-eWLC1(config)#tacacs server TACACSLobby
    Tim-eWLC1(config-server-tacacs)#address ipv4 192.168.166.8
    Tim-eWLC1(config-server-tacacs)#key 0 Cisco123
    Tim-eWLC1(config-server-tacacs)#end

    Paso 2. Agregue el servidor TACACS+ a un grupo de servidores. Defina un grupo de servidores y agregue el servidor TACACS+ deseado configurado. Estos serán los servidores TACACS+ utilizados para la autenticación.

    GUI:

    Vaya a Configuration > Security > AAA > Servers / Groups > TACACS > Server Groups > + Add como se muestra en la imagen.

    Grupos_TACACS

    Cuando se abra la ventana de configuración, asigne un nombre al grupo y mueva los servidores TACACS+ deseados de la lista Servidores Disponibles a la lista Servidores Asignados.

    CLI:

    Tim-eWLC1(config)#aaa group server tacacs+ GroupTacLobby
    Tim-eWLC1(config-sg-tacacs+)#server name TACACSLobby
    Tim-eWLC1(config-sg-tacacs+)#end

    Paso 3. Cree una lista de métodos de autenticación. La Lista de métodos de autenticación define el tipo de autenticación que se necesita y también la asociará al grupo de servidores configurado. También permite seleccionar si la autenticación se puede hacer localmente en el WLC o externa a un servidor TACACS+.

    GUI:

    Vaya a Configuration > Security > AAA > AAA Method List > Authentication > + Add como se muestra en la imagen.

    TACACS_Method

    Cuando se abra la ventana de configuración, proporcione un nombre, seleccione la opción de tipo como Login y asigne el grupo de servidores creado anteriormente.

    Tipo de grupo como local.

    GUI:

    Si selecciona Group Type como 'local', el WLC primero verificará si el usuario existe en la base de datos local y luego volverá al grupo de servidores solamente si el usuario Lobby Ambassador no se encuentra en la base de datos local.

    Nota: Tenga en cuenta este error CSCvs87163que se corrige en 17.3.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AutheTacMethod local group GroupTacLobby
    Tim-eWLC1(config)#end

    Tipo de grupo como grupo.

    GUI:

    Si selecciona Group Type as group y no se marca ninguna opción de reserva a local, el WLC comprobará el usuario contra el grupo del servidor y no registrará su base de datos local.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby
    Tim-eWLC1(config)#end

    Group Type (Tipo de grupo) como grupo y la opción fallback to local (de reserva a local) está activada.

    GUI:

    Si selecciona Group Type como 'group' y la opción Fallback to local está marcada, el WLC verificará al usuario contra el grupo de servidores y consultará la base de datos local solamente si el servidor TACACS se desconecta en la respuesta. Si el servidor envía un rechazo, el usuario no se autentica, incluso si existe en la base de datos local.

    CLI:

    Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby local
    Tim-eWLC1(config)#end

    Paso 4. Cree una lista de métodos de autorización.

    La lista de métodos de autorización definirá el tipo de autorización que se necesita para el embajador de lobby, que en este caso será exec. También está conectado al mismo grupo de servidores configurado. También se le permite seleccionar si la autenticación se realiza localmente en el WLC o externa a un servidor TACACS+.

    GUI:

    Vaya a Configuración > Seguridad > AAA > Lista de métodos de AAA > Autorización > + Agregar como se muestra en la imagen.

    TACACS_Autho_Method

    Cuando se abra la ventana de configuración, proporcione un nombre, seleccione la opción de tipo como exec y asigne el grupo de servidores creado anteriormente.

    Tenga en cuenta que el tipo de grupo se aplica de la misma manera que se explica en la parte Lista de métodos de autenticación.

    CLI:

    Tipo de grupo como local.

    Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod local group GroupTacLobby
    Tim-eWLC1(config)#end

    Tipo de grupo como grupo.

    Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby
    Tim-eWLC1(config)#end

    Group Type (Tipo de grupo) como grupo y la opción Fallback to local (Reserva a local) está activada.

    Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby local
    Tim-eWLC1(config)#end

    Paso 5. Asigne los métodos. Una vez que se configuran los métodos, se tienen que asignar a las opciones para iniciar sesión en el WLC para crear el usuario invitado como línea VTY o HTTP (GUI). Estos pasos no se pueden realizar desde la GUI, por lo que deben realizarse desde la CLI.

    Autenticación HTTP/GUI:

    Tim-eWLC1(config)#ip http authentication aaa login-authentication AutheTacMethod
    Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozTacMethod
    Tim-eWLC1(config)#end

    Cuando realice cambios en las configuraciones HTTP, es mejor reiniciar los servicios HTTP y HTTPS:

    Tim-eWLC1(config)#no ip http server
    Tim-eWLC1(config)#no ip http secure-server
    Tim-eWLC1(config)#ip http server
    Tim-eWLC1(config)#ip http secure-server
    Tim-eWLC1(config)#end

    VTY de línea:

    Tim-eWLC1(config)#line vty 0 15
    Tim-eWLC1(config-line)#login authentication AutheTacMethod
    Tim-eWLC1(config-line)#authorization exec AuthozTacMethod
    Tim-eWLC1(config-line)#end

    Paso 6. Defina el usuario remoto. El nombre de usuario creado en ISE para el Embajador del lobby debe definirse como un nombre de usuario remoto en el WLC. Si el nombre de usuario remoto no está definido en el WLC, la autenticación pasará correctamente, sin embargo, el usuario será concedido con acceso completo al WLC en lugar de solamente acceso a los privilegios del embajador del lobby. Esta configuración sólo se puede realizar mediante CLI.

    CLI:

    Tim-eWLC1(config)#aaa remote username lobbyTac

    Configuración de ISE - TACACS+

    Paso 1. Active Device Admin. Vaya a Administration > System > Deployment. Antes de continuar, seleccione Enable Device Admin Service y asegúrese de que ISE se haya habilitado como se muestra en la imagen. 

    TACACS_Enable_ISE

    Paso 2. Agregue el WLC a ISE. Vaya a Administration > Network Resources > Network Devices > Add. El WLC debe agregarse a ISE. Cuando agregue el WLC a ISE, habilite los ajustes de autenticación de TACACS+ y configure los parámetros necesarios como se muestra en la imagen.

    Radius_ISE

    Cuando se abra la ventana de configuración para proporcionar un nombre, IP ADD, habilite TACACS+ Authentication Settings e ingrese el Shared Secret necesario.

    Paso 3. Cree el usuario Lobby Ambassador en ISE. Vaya a Administration > Identity Management > Identities > Users > Add. Añada a ISE el nombre de usuario y la contraseña asignados al embajador del vestíbulo que creará los usuarios invitados. Este es el nombre de usuario que el administrador asigna al embajador del lobby, como se muestra en la imagen.

    TACACS_Identity

    Cuando se abra la ventana de configuración, proporcione el nombre y la contraseña para el usuario de Lobby Ambassador. Asegúrese también de que el estado es Enabled (Activado).

    Paso 4. Cree un perfil TACACS+ de resultados. Navegue hasta Centros de trabajo > Administración de dispositivos > Elementos de política > Resultados > Perfiles TACACS como se muestra en la imagen. Con este perfil, devuelva los atributos necesarios al WLC para colocar al usuario como embajador de lobby.

    TACACS_Policy

    Cuando se abra la ventana de configuración, proporcione un nombre para el perfil, configure también un Default Privileged 15 y un Custom Attribute como Type Manatric, name como user-type y value lobby-admin. Además, deje que el Tipo de tarea común se seleccione como Shell, como se muestra en la imagen.

    TACACS_Attributes

    Paso 5. Cree un conjunto de políticas. Vaya a Centros de trabajo > Administración de dispositivos > Conjuntos de políticas de administración de dispositivos como se muestra en la imagen. Las condiciones para configurar la directiva dependen de la decisión del administrador. Para este documento, se utilizan la condición Network Access-Username y el protocolo Default Device Admin. Es obligatorio asegurarse bajo la política de autorización que el perfil configurado bajo la autorización de resultados está seleccionado, de esa manera usted puede devolver los atributos necesarios al WLC.

    TACACS_Policy_Set

    Cuando se abra la ventana de configuración, configure la directiva de autorización. La política de autenticación se puede dejar como predeterminada como se muestra en la imagen.

    Autenticación

    Verificación

    Use esta sección para confirmar que su configuración funciona correctamente.

    show run aaa
    show run | sec remote
    show run | sec http
    show aaa method-lists authentication
    show aaa method-lists authorization
    show aaa servers
    show tacacs

    Así es como se ve la GUI de Lobby Ambassador luego de una autenticación exitosa.

    final

    Troubleshoot

    En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

    Autenticar RADIUS

    Para la autenticación RADIUS, se pueden utilizar estos debugs:

    Tim-eWLC1#debug aaa authentication
    Tim-eWLC1#debug aaa authorization
    Tim-eWLC1#debug aaa attr
    Tim-eWLC1#terminal monitor

    Asegúrese de que se haya seleccionado la lista de métodos correcta de la depuración. Además, el servidor ISE devuelve los atributos necesarios con el nombre de usuario, el tipo de usuario y el privilegio adecuados.

    Feb 5 02:35:27.659: AAA/AUTHEN/LOGIN (00000000): Pick method list 'AuthenLobbyMethod'
    Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(0):
     7FBA5500C870 0 00000081 username(450) 5 lobby
    Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(1):
     7FBA5500C8B0 0 00000001 user-type(1187) 4 lobby-admin
    Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(2):
     7FBA5500C8F0 0 00000001 priv-lvl(335) 4 15(F)
    Feb 5 02:35:27.683: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host 
    192.168.166.104 by user 'lobby' using crypto cipher 'ECDHE-RSA-AES128-GCM-SHA256'

    Autenticar TACACS+

    Para la autenticación TACACS+, se puede utilizar este debug:

    Tim-eWLC1#debug tacacs
    Tim-eWLC1#terminal monitor

    Asegúrese de que la autenticación se procese con el nombre de usuario y la IP ADD de ISE adecuados. Además, se debe ver el estado "PASS". En la misma depuración, justo después de la fase de autenticación, se presentará el proceso de autorización. En esta autorización, la fase garantiza que se utilice el nombre de usuario correcto junto con el AGREGADO IP ISE correcto. A partir de esta fase, puede ver los atributos que se configuran en ISE que establecen al WLC como un usuario de Lobby Ambassador con el privilegio adecuado.

    Ejemplo de fase de autenticación:

    Feb 5 02:06:48.245: TPLUS: Queuing AAA Authentication request 0 for processing
    Feb 5 02:06:48.245: TPLUS: Authentication start packet created for 0(lobbyTac)
    Feb 5 02:06:48.245: TPLUS: Using server 192.168.166.8
    Feb 5 02:06:48.250: TPLUS: Received authen response status GET_PASSWORD (8)
    Feb 5 02:06:48.266: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
    Feb 5 02:06:48.266: TPLUS: Received authen response status PASS (2)

    Ejemplo de fase de autorización:

    Feb 5 02:06:48.267: TPLUS: Queuing AAA Authorization request 0 for processing
    Feb 5 02:06:48.267: TPLUS: Authorization request created for 0(lobbyTac)
    Feb 5 02:06:48.267: TPLUS: Using server 192.168.166.8
    Feb 5 02:06:48.279: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
    Feb 5 02:06:48.279: TPLUS: Processed AV priv-lvl=15
    Feb 5 02:06:48.279: TPLUS: Processed AV user-type=lobby-admin
    Feb 5 02:06:48.279: TPLUS: received authorization response for 0: PASS

    Los ejemplos de depuración mencionados anteriormente para RADIUS y TACACS+ tienen los pasos clave para un login exitoso. Los debugs son más detallados y el resultado será más grande. Para inhabilitar los debugs, se puede utilizar este comando:

    Tim-eWLC1#undebug all

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    18-Jun-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Timoty J Padilla

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos