Vérifier la connectivité du serveur Radius avec la commande de test  d’AAA Radius

Options de téléchargement

  • PDF     (313.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (149.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (114.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:28 août 2023
ID du document:212473

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment la commande test aaa radius identifie les problèmes de connectivité du serveur RADIUS et d'authentification du client.

    Conditions préalables

    Exigences

    Cisco recommande que vous ayez connaissance du code 8.2 du contrôleur LAN sans fil (WLC) AireOS et des versions ultérieures.

    Composants utilisés

    Ce document et les commandes mentionnées sont spécifiques aux WLC Cisco AireOS.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Les problèmes d'authentification des clients sans fil sont parmi les plus difficiles auxquels sont confrontés les ingénieurs réseau sans fil. Pour le dépannage, il nécessite souvent

    mettre la main sur le client problématique, travailler avec des utilisateurs finaux qui ne connaissent pas parfaitement les réseaux sans fil et collecter des débogages et des captures. Dans un réseau sans fil de plus en plus critique, cela peut entraîner des temps d'arrêt importants.

    Jusqu'à présent, il n'y avait pas de moyen facile d'identifier si un échec d'authentification était causé par le serveur radius qui rejette le client, ou s'il s'agissait simplement d'un problème d'accessibilité.

    La commande test aaa radius vous permet de faire exactement cela. Vous pouvez maintenant vérifier à distance si la communication du serveur WLC-Radius échoue ou si les informations d'identification pour le client aboutissent à une authentification réussie ou échouée.

    Fonctionnement De La Fonction

    Il s'agit d'un flux de travail de base lorsque vous utilisez la commande test aaa radius , (comme illustré).

    Workflow de base

    Étape 1. Le WLC envoie un message de demande d'accès au serveur RADIUS avec les paramètres mentionnés dans la test aaa radius   commande :

    (Contrôleur Cisco) >test aaa radius username <user name> password <password> wlan-id <wlan-id> apgroup <apgroup-name> server-index <server-index>

    Exemple

    test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2

    Étape 2. Le serveur RADIUS valide les informations d'identification fournies et fournit les résultats de la demande d'authentification.

    Syntaxe de commande

    Ces paramètres doivent être fournis pour exécuter la commande :

    (Contrôleur Cisco) > test aaa radius username <user name> password <password> wlan-id <wlan-id> apgroup <apgroup-name> server-index <server-index>

    <username> ---> Username that you are testing. <password> ---> Password that you are testing <wlan-id> ---> WLAN ID of the SSID that you are testing. <apgroup-name> (optional) ---> AP group name. This will be default-group if there is no AP group configured. <server-index> (optional) ---> The server index configured for the radius server that you are trying to test. This can be found under Security > Authentication tab.

    Scénario 1 : tentative d'authentification réussie

    Examinons le fonctionnement de la commande et voyons les résultats lorsque la test aaa radius   commande aboutit à une authentification réussie. Lorsque la commande est exécutée, le WLC affiche les paramètres avec lesquels il envoie la demande d'accès :

    (Cisco Controller) >test aaa radius username admin password cisco123 wlan-id 1 apgroup default-group server-index 2 Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Attributes Values ---------- ------ User-Name admin Called-Station-Id 00:00:00:00:00:00:WLC5508 Calling-Station-Id 00:11:22:33:44:55 Nas-Port 0x0000000d (13) Nas-Ip-Address 10.20.227.39 NAS-Identifier WLC_5508 Airespace / WLAN-Identifier 0x00000001 (1) User-Password cisco123 Service-Type 0x00000008 (8) Framed-MTU 0x00000514 (1300) Nas-Port-Type 0x00000013 (19) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81) Cisco / Audit-Session-Id ad14e327000000c466191e23 Acct-Session-Id 56131b33/00:11:22:33:44:55/210 test radius auth request successfully sent. Execute 'test aaa show radius' for response

    Pour afficher les résultats de la demande d'authentification, exécutez la commande test aaa show radius . La commande peut prendre un certain temps pour afficher le résultat si un serveur RADIUS est inaccessible et que le WLC doit réessayer ou revenir à un serveur RADIUS différent.

    (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin Class CACS:rs-acs5-6-0-22/230677882/20313 Session-Timeout 0x0000001e (30) Termination-Action 0x00000000 (0) Tunnel-Type 0x0000000d (13) Tunnel-Medium-Type 0x00000006 (6) Tunnel-Group-Id 0x00000051 (81)

    L'aspect extrêmement utile de cette commande est qu'elle affiche les attributs qui sont retournés par le serveur radius. Il peut s'agir d'une URL de redirection et d'une liste de contrôle d'accès. Par exemple, dans le cas de l'authentification Web centrale (CWA) ou des informations VLAN lorsque vous utilisez le remplacement VLAN.

    Attention : le nom d'utilisateur/mot de passe de la demande d'accès est envoyé en texte clair au serveur RADIUS. Vous devez donc l'utiliser avec précaution si le trafic circule sur un réseau non sécurisé.

    Scénario 2 : échec de la tentative d'authentification

    Voyons comment le résultat apparaît lorsqu'une entrée de nom d'utilisateur/mot de passe entraîne un échec d'authentification.

    (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 2 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.52 1 Success Authentication Response: Result Code: Authentication failed ------> This result indicates that the user authentication will fail. No AVPs in Response

    Dans ce cas, vous pouvez voir que le test de connectivité a abouti à une réussite, cependant le serveur RADIUS a envoyé un refus d'accès pour la combinaison nom d'utilisateur/mot de passe utilisée.

    Scénario 3 : échec de la communication entre le WLC et le serveur Radius

    (Cisco Controller) >test aaa show radius  previous test command still not completed, try after some time

    Attendez que le WLC termine les nouvelles tentatives avant d'afficher le résultat. La durée peut varier en fonction des seuils de nouvelle tentative configurés.

    (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Server Index................................... 3 Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.72 6 No response received from server Authentication Response: Result Code: No response received from server No AVPs in Response

    Dans ce résultat, vous pouvez voir que le WLC a essayé de contacter le serveur RADIUS 6 fois et quand il n'y avait pas de réponse, il a marqué le serveur RADIUS comme inaccessible.

    Scénario 4 : reprise Radius

    Lorsque plusieurs serveurs RADIUS sont configurés sous le SSID (Service Set Identifier) et que le serveur RADIUS principal ne répond pas, le WLC essaie avec le serveur RADIUS secondaire configuré. Ceci est montré très clairement dans la sortie où le premier serveur radius ne répond pas et le WLC essaie alors le second serveur radius qui répond immédiatement.

    (Cisco Controller) >test aaa show radius Radius Test Request Wlan-id........................................ 1 ApGroup Name................................... default-group Radius Test Response Radius Server Retry Status ------------- ----- ------ 10.20.227.62 6 No response received from server 10.20.227.52 1 Success Authentication Response: Result Code: Success Attributes Values ---------- ------ User-Name admin

    Mises en garde

    • Aucune interface graphique utilisateur n'est actuellement prise en charge. Il s'agit seulement d'une commande qui peut être exécutée à partir du WLC.
    • La vérification concerne uniquement le rayon. Il ne peut pas être utilisé pour l'authentification TACACS.
    • Impossible de tester l'authentification locale Flexconnect avec cette méthode.
      •

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    3.0
    28-Aug-2023
    Recertification
    2.0
    20-Jul-2022
    Mises à jour du formatage, de la traduction automatique, des fonds, etc. pour se conformer aux directives de Cisco.
    1.0
    21-Nov-2017
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Jesse Dubois
      Ingénieur TAC Cisco
    • Jon Balewicz
      Ingénierie Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits