Configuration de RADIUS & TACACS+ pour l'authentification CLI de & GUI sur les WLC 9800

WLC-9800(config)# aaa group server radius RADIUS-Group
WLC-9800(config-sg-radius)# server name ISE-lab

Étape 3. Créez une méthode de connexion d'authentification AAA qui pointe vers le groupe de serveurs RADIUS.

À partir de la GUI :

Toujours à partir de la page GUIhttps://<WLC-IP>/webui/#/aaa, accédez à l'ongletAAA Method List > Authentication et créez une méthode d'authentification comme illustré dans cette image.

Comme d'habitude, lorsque vous utilisez le bouton Ajouter pour créer une méthode d'authentification, une fenêtre contextuelle de configuration s'affiche, semblable à celle illustrée dans cette image.

Dans cette fenêtre contextuelle, attribuez un nom à la méthode. Choisissez Type comme connexion et ajoutez le serveur de groupe créé à l'étape précédente à la Assigned Server Groups liste. En ce qui concerne le champ Type de groupe, plusieurs configurations sont possibles.

• Si vous choisissez Group Type comme local, le WLC vérifie d'abord si les informations d'identification de l'utilisateur existent localement, puis revient au groupe de serveurs.
• Si vous choisissez Group Type comme groupe et ne cochez pas l'option Fall back to local, le WLC vérifie simplement les informations d'identification de l'utilisateur par rapport au groupe de serveurs.
• Si vous choisissez Group Type comme groupe et cochez l'option Fallback to local, le WLC vérifie les informations d'identification de l'utilisateur par rapport au groupe de serveurs et interroge la base de données locale uniquement si le serveur ne répond pas. Si le serveur envoie un refus, l'utilisateur doit être authentifié, même s'il peut exister dans la base de données locale.

À partir de CLI :

Si vous souhaitez que les informations d'identification de l'utilisateur soient vérifiées avec un groupe de serveurs uniquement si elles ne sont pas trouvées localement en premier, utilisez :



WLC-9800(config)#aaa authentication login radius-authe-method local group RADIUS-Group


Si vous souhaitez que les informations d'identification de l'utilisateur soient vérifiées uniquement avec un groupe de serveurs, utilisez :



WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group


Si vous souhaitez que les informations d'identification de l'utilisateur soient vérifiées avec un groupe de serveurs et si ce dernier ne répond pas par une entrée locale, utilisez :



WLC-9800(config)#aaa authentication login radius-authe-method group RADIUS-Group local


Dans cet exemple de configuration, certains utilisateurs sont uniquement créés localement et d'autres uniquement sur le serveur ISE. Par conséquent, utilisez la première option.

Étape 4. Créez une méthode d'exécution d'autorisation AAA qui pointe vers le groupe de serveurs RADIUS.

À partir de la GUI :

L'utilisateur doit également être autorisé pour se voir accorder l'accès. Toujours à partir de la GUI Page Configuration > Security > AAA, accédez à l'onglet,AAA Method List > Authorization et créez une méthode d'autorisation comme illustré dans cette image.

Création de méthode d'autorisation

Une fenêtre contextuelle de configuration de méthode d'autorisation similaire à celle illustrée s'affiche lorsque vous en ajoutez une nouvelle à l'aide du bouton Ajouter.

Dans cette fenêtre contextuelle de configuration, attribuez un nom à la méthode d'autorisation, sélectionnez le type exec, puis utilisez le même ordre de type de groupe que celui utilisé pour la méthode d'authentification à l'étape 3.

À partir de CLI :

En ce qui concerne la méthode d'authentification, l'autorisation est d'abord attribuée pour vérifier les utilisateurs par rapport aux entrées locales, puis par rapport aux entrées d'un groupe de serveurs.



WLC-9800(config)#aaa authorization exec radius-autho-method local group RADIUS-Group


Étape 5. Attribuez les méthodes aux configurations HTTP et aux lignes VTY utilisées pour Telnet/SSH.

À partir de la GUI :

Les méthodes d'authentification et d'autorisation créées peuvent être utilisées pour la connexion utilisateur HTTP et/ou Telnet/SSH, qui est configurable à partir de l'onglet AAA Advanced > AAA Interface, toujours à partir de la page WLC de l'interface utilisateur graphique accessible dans https://<WLC-IP>/webui/#/aaa, comme illustré dans cette image :


CLI pour l'authentification GUI :



WLC-9800(config)#ip http authentication aaa login-authentication radius-authe-method 
WLC-9800(config)#ip http authentication aaa exec-authorization radius-autho-method


CLI pour l'authentification Telnet/SSH :



WLC-9800(config)#line vty 0 15 WLC-9800(config-line)#login authentication radius-authe-method
WLC-9800(config-line)#authorization exec radius-autho-method 


Notez que lorsque des modifications sont apportées aux configurations HTTP, il est préférable de redémarrer les services HTTP et HTTPS. Pour ce faire, utilisez les commandes suivantes :



WLC-9800(config)#no ip http server WLC-9800(config)#no ip http secure-server WLC-9800(config)#ip http server WLC-9800(config)#ip http secure-server

Configurer ISE pour RADIUS

Étape 1. Configurez le WLC comme périphérique réseau pour RADIUS.

À partir de la GUI :

Afin de déclarer le WLC utilisé dans la section précédente comme périphérique réseau pour RADIUS dans ISE, naviguez jusqu'à Administration > Network Ressources > Network Devices et ouvrez l'onglet Périphériques réseau, comme illustré dans l'image suivante.


Pour ajouter un périphérique réseau, utilisez le bouton Ajouter, qui ouvre le nouvel écran de configuration du périphérique réseau.

Dans la nouvelle fenêtre, indiquez le nom du périphérique réseau et ajoutez son adresse IP. Choisissez les paramètres d'authentification RADIUS et configurez le même secret partagé RADIUS que celui utilisé sur le WLC.

Étape 2. Créez un résultat d'autorisation pour renvoyer le privilège.

À partir de la GUI :

Pour avoir des droits d'accès d'administrateur, le adminuser doit avoir un niveau de privilège de 15, ce qui permet d'accéder à l'interpréteur de commandes d'invite d'exécution. D'autre part, le helpdeskuser n'a pas besoin d'un accès rapide à l'interpréteur de commandes exec et peut donc être attribué avec un niveau de privilège inférieur à 15. Afin d'attribuer le niveau de privilège approprié aux utilisateurs, des profils d'autorisation peuvent être utilisés. Vous pouvez les configurer à partir de l'ISE GUI Page Policy > Policy Elements > Results, sous l'onglet Authorization > Authorization Profiles présenté dans l'image suivante.

Pour configurer un nouveau profil d'autorisation, utilisez le bouton Ajouter, qui ouvre le formulaire de configuration du nouveau profil d'autorisation. Ce formulaire doit notamment ressembler à ceci pour configurer le profil qui est attribué à l'adminuser.

La configuration affichée accorde le niveau de privilège 15 à tout utilisateur auquel elle est associée. Comme indiqué précédemment, il s'agit du comportement attendu pour le adminuser qui est créé lors de l'étape suivante. Cependant, le helpdeskuser doit avoir un niveau de privilège inférieur, et par conséquent un deuxième élément de politique doit être créé.

L'élément de stratégie pour le helpdeskuser est similaire à celui créé ci-dessus, à ceci près que la chaîne shell:priv-lvl=15  doit être remplacée par shell:priv-lvl=X, et remplacer X par le niveau de privilège souhaité. Dans cet exemple, l’adresse 1 est utilisée.

Étape 3. Créez des groupes d'utilisateurs sur ISE.

À partir de la GUI :

Les groupes d'utilisateurs ISE sont créés à partir de l'onglet User Identity Groups du Administration > Identity Management > Groups GUI Page, qui est affiché dans la capture d'écran.

Pour créer un nouvel utilisateur, utilisez le bouton Ajouter, qui ouvre le formulaire de configuration du nouveau groupe d'identités d'utilisateur comme illustré.

Fournissez le nom du groupe qui est créé. Créez les deux groupes d'utilisateurs décrits ci-dessus, à savoir le admin-group  et le helpdesk-group.

Étape 4. Créez des utilisateurs sur ISE.

À partir de la GUI :

Les utilisateurs ISE sont créés à partir de l'onglet Utilisateurs du Administration > Identity Management > Identities GUI Page, qui est affiché dans la capture d'écran.

Pour créer un nouvel utilisateur, utilisez le bouton Ajouter pour ouvrir le formulaire de configuration du nouvel utilisateur d'accès au réseau, comme illustré.

Fournissez les identifiants aux utilisateurs, à savoir son nom d'utilisateur et son mot de passe, qui sont ceux qui sont utilisés pour s'authentifier sur le WLC. Vérifiez également que l'état de l'utilisateur est Enabled. Enfin, ajoutez l'utilisateur à son groupe associé, créé à l'étape 4., avec le menu déroulant Groupes d'utilisateurs à la fin du formulaire.

Créez les deux utilisateurs mentionnés ci-dessus, à savoir le adminuser et le helpdeskuser.

Étape 5. Authentifiez les utilisateurs.

À partir de la GUI :

Dans ce scénario, la stratégie d'authentification des ensembles de stratégies par défaut d'ISE, qui est déjà préconfigurée, autorise l'accès réseau par défaut. Cet ensemble de stratégies est visible à partir Policy > Policy Sets de la page de l'interface utilisateur graphique ISE, comme illustré dans cette image. Il n'est donc pas nécessaire de la modifier.

Étape 6. Autorisez les utilisateurs.

À partir de la GUI :

Une fois que la tentative de connexion a réussi la stratégie d'authentification, elle doit être autorisée et ISE doit renvoyer le profil d'autorisation créé précédemment (permit accept, ainsi que le niveau de privilège).

Dans cet exemple, les tentatives de connexion sont filtrées en fonction de l'adresse IP du périphérique (qui est l'adresse IP du WLC) et distinguent le niveau de privilège à accorder en fonction du groupe auquel un utilisateur appartient. Une autre approche valide consiste à filtrer les utilisateurs en fonction de leurs noms d'utilisateur, car chaque groupe ne contient qu'un seul utilisateur dans cet exemple.

Une fois cette étape terminée, les informations d'identification configurées pour adminuser  et helpdesk l'utilisateur peuvent être utilisées pour s'authentifier dans le WLC via l'interface graphique utilisateur ou via Telnet/SSH. 

Configuration du WLC TACACS+


Étape 1. Déclarez le serveur TACACS+. 

À partir de la GUI :

Tout d'abord, créez le serveur ISE Tacacs+ sur le WLC. Cela peut être fait à partir de l'onglet Servers/Groups > TACACS+ > Servers de la page GUI WLC accessible dans le https://<WLC-IP>/webui/#/aaa, ou si vous naviguez vers Configuration > Security > AAA, comme le montre cette image.

Pour ajouter un serveur TACACS sur le WLC, cliquez sur le bouton Add encadré en rouge dans l'image ci-dessus. La fenêtre contextuelle illustrée s'ouvre.


Lorsque la fenêtre contextuelle s'ouvre, indiquez le nom du serveur (il ne doit pas nécessairement correspondre au nom du système ISE), son adresse IP, la clé partagée, le port utilisé et le délai d'attente.

Dans cette fenêtre contextuelle, vous devez fournir :

• Le nom du serveur (notez qu'il ne doit pas nécessairement correspondre au nom du système ISE)
• Adresse IP du serveur
• Le secret partagé entre le WLC et le serveur TACACS+


D'autres paramètres peuvent être configurés, tels que les ports utilisés pour l'authentification et la comptabilité, mais ils ne sont pas obligatoires et restent par défaut pour cette documentation.

À partir de CLI :



WLC-9800(config)#tacacs server ISE-lab WLC-9800(config-server-tacacs)#address ipv4 10.48.39.134 WLC-9800(config-server-tacacs)#key Cisco123 

Étape 2. Mappez le serveur TACACS+ à un groupe de serveurs.

À partir de la GUI :

Si vous disposez de plusieurs serveurs TACACS+ pouvant être utilisés pour l'authentification, il est recommandé de mapper tous ces serveurs au même groupe de serveurs. Le WLC s'occupe ensuite de l'équilibrage de charge des différentes authentifications parmi les serveurs dans le groupe de serveurs. Les groupes de serveurs TACACS+ sont configurés à partir de l'ongletServers/Groups > TACACS > Server Groups de la même page GUI que celle mentionnée à l'étape 1, qui est illustrée dans l'image.

En ce qui concerne la création du serveur, une fenêtre contextuelle apparaît lorsque vous cliquez sur le bouton Ajouter encadré dans l'image précédente, qui est représentée dans l'image.

Dans la fenêtre contextuelle, attribuez un nom au groupe et déplacez les serveurs souhaités vers la liste Serveurs affectés.

À partir de CLI :



WLC-9800(config)#aaa group server tacacs+ TACACS-Group WLC-9800(config-sg-tacacs+)#server name ISE-lab


Étape 3. Créez une méthode de connexion d'authentification AAA qui pointe vers le groupe de serveurs TACACS+. 

À partir de la GUI :

Toujours à partir de la page GUIhttps://<WLC-IP>/webui/#/aaa, accédez à l'AAA Method List > Authentication onglet et créez une méthode d'authentification comme illustré dans l'image.

Comme d'habitude, lorsque vous utilisez le bouton Ajouter pour créer une méthode d'authentification, une fenêtre contextuelle de configuration s'affiche, semblable à celle illustrée dans cette image.

Dans cette fenêtre contextuelle, attribuez un nom à la méthode, choisissez Type comme login, puis ajoutez le serveur de groupe créé à l'étape précédente à la liste Groupes de serveurs affectés. En ce qui concerne le champ Type de groupe, plusieurs configurations sont possibles.

• Si vous choisissez Group Type comme local, le WLC vérifie d'abord si les informations d'identification de l'utilisateur existent localement, puis revient au groupe de serveurs.
• Si vous choisissez Group Type comme groupe et ne cochez pas l'option Fall back to local, le WLC vérifie simplement les informations d'identification de l'utilisateur par rapport au groupe de serveurs.
• Si vous choisissez Group Type comme groupe et cochez l'option Fallback to local, le WLC vérifie les informations d'identification de l'utilisateur par rapport au groupe de serveurs et interroge la base de données locale uniquement si le serveur ne répond pas. Si le serveur envoie un refus, l'utilisateur doit être authentifié, même s'il peut exister dans la base de données locale.

À partir de CLI :

Si vous souhaitez que les informations d'identification de l'utilisateur soient vérifiées avec un groupe de serveurs uniquement si elles ne sont pas trouvées localement en premier, utilisez :



WLC-9800(config)#aaa authentication login tacacs-authe-method local group TACACS-Group 


Si vous souhaitez que les informations d'identification de l'utilisateur soient vérifiées uniquement avec un groupe de serveurs, utilisez :



WLC-9800(config)#aaa authentication login tacacs-authe-method group TACACS-Group  


Si vous souhaitez que les informations d'identification de l'utilisateur soient vérifiées avec un groupe de serveurs et si ce dernier ne répond pas avec une entrée locale, utilisez :



WLC-9800(config)#aaa authentication login tacacs-authe-method group TACACS-Group local


Dans cet exemple de configuration, certains utilisateurs sont uniquement créés localement, et d'autres uniquement sur le serveur ISE. Par conséquent, utilisez la première option.

Étape 4. Créez une méthode d'exécution d'autorisation AAA qui pointe vers le groupe de serveurs TACACS+. 

À partir de la GUI :

L'utilisateur doit également être autorisé pour se voir accorder l'accès. Toujours à partir de la page GUI, Configuration > Security > AAAaccédez à l'AAA Method List > Authorization onglet et créez une méthode d'autorisation comme illustré dans l'image.

Une fenêtre contextuelle de configuration de méthode d'autorisation similaire à celle illustrée s'affiche lorsque vous en ajoutez une nouvelle à l'aide du bouton Ajouter.

Dans cette fenêtre contextuelle de configuration, attribuez un nom à la méthode d'autorisation, choisissez Type as exec et utilisez le même ordre de type de groupe que celui utilisé pour la méthode d'authentification à l'étape précédente. 

À partir de CLI :

WLC-9800(config)#aaa authorization exec tacacs-autho-method local group TACACS-Group


Étape 5. Attribuez les méthodes aux configurations HTTP et aux lignes VTY utilisées pour Telnet/SSH.

À partir de la GUI :

Les méthodes d'authentification et d'autorisation créées peuvent être utilisées pour la connexion utilisateur HTTP et/ou Telnet/SSH, qui est configurable à partir de l'onglet AAA Advanced > AAA Interface, toujours à partir de la page GUI WLC accessible dans https://<WLC-IP>/webui/#/aaa, comme illustré dans l'image.

À partir de CLI :

Pour l'authentification GUI :



WLC-9800(config)#ip http authentication aaa login-authentication tacacs-authe-method 
WLC-9800(config)#ip http authentication aaa exec-authorization tacacs-autho-method  

Pour l'authentification Telnet/SSH :

WLC-9800(config)#line vty 0 15
WLC-9800(config-line)#login authentication tacacs-authe-method  
WLC-9800(config-line)#authorization exec tacacs-autho-method 

Notez que lorsque des modifications sont apportées aux configurations HTTP, il est préférable de redémarrer les services HTTP et HTTPS. Ces commandes permettent d'y parvenir.

WLC-9800(config)#no ip http server
WLC-9800(config)#no ip http secure-server
WLC-9800(config)#ip http server
WLC-9800(config)#ip http secure-server

Configuration de TACACS+ ISE

Étape 1. Configurez le WLC en tant que périphérique réseau pour TACACS+.

À partir de la GUI :

Afin de déclarer le WLC utilisé dans la section précédente comme périphérique réseau pour RADIUS dans ISE, naviguez jusqu'à Administration > Network Resources > Network Devices et ouvrez l'onglet Périphériques réseau, comme illustré dans cette image.

Dans cet exemple, le WLC a déjà été ajouté pour l'authentification RADIUS (référez-vous à l'étape 1. de la section Configurer RADIUS ISE). Par conséquent, sa configuration doit simplement être modifiée pour configurer l'authentification TACACS, ce qui peut être fait lorsque vous choisissez le WLC dans la liste des périphériques réseau et cliquez sur le bouton Edit. L'écran de configuration du périphérique réseau s'ouvre, comme illustré dans cette image.

Une fois la nouvelle fenêtre ouverte, faites défiler jusqu'à la section TACACS Authentication Settings, activez ces paramètres et ajoutez le secret partagé entré au cours de l'étape 1. de la section Configure TACACS+ WLC.

Étape 2. Activez la fonctionnalité Device Admin pour le noeud.

Remarque : pour utiliser ISE comme serveur TACACS+, vous devez disposer d'un package de licence Device Administration et d'une licence Base ou Mobility.

À partir de la GUI :

Une fois les licences Device Administration installées, vous devez activer la fonctionnalité Device Admin pour le noeud afin de pouvoir utiliser ISE comme serveur TACACS+. Pour ce faire, modifiez la configuration du noeud de déploiement ISE utilisé, qui se trouve sous Administrator > Deployment, et cliquez sur son nom ou effectuez-le à l'aide du Edit bouton.

Une fois la fenêtre de configuration du noeud ouverte, vérifiez l'option Enable Device Admin Service sous la section Policy Service, comme illustré dans cette image.

Étape 3. Créez des profils TACACS pour renvoyer le privilège.

À partir de la GUI :

Pour avoir des droits d'accès d'administrateur, le adminuser doit avoir un niveau de privilège de 15, ce qui permet d'accéder à l'interpréteur de commandes d'invite d'exécution. D'autre part, le helpdeskuser n'a pas besoin d'un accès rapide à l'interpréteur de commandes exec et peut donc être attribué avec un niveau de privilège inférieur à 15. Afin d'attribuer le niveau de privilège approprié aux utilisateurs, des profils d'autorisation peuvent être utilisés. Vous pouvez les configurer à partir de la page de l'interface utilisateur graphique ISEWork Centers > Device Administration > Policy Elements, sous l'onglet Results > TACACS Profiles, comme illustré dans l'image suivante.

Afin de configurer un nouveau profil TACACS, utilisez le bouton Ajouter, qui ouvre le nouveau formulaire de configuration de profil similaire à celui illustré dans l'image. Ce formulaire doit notamment ressembler à ceci pour configurer le profil qui est assigné à la adminuser (c'est-à-dire, avec des privilèges d'interpréteur de commandes de niveau 15).

Répétez l'opération pour le profilhelpdesk. Pour ce dernier, le privilège par défaut, ainsi que le privilège maximal, sont tous deux définis sur 1.


Étape 4. Créez des groupes d'utilisateurs sur ISE.

Il s'agit du même que celui présenté à l'étape 3. de la section Configurer RADIUS ISE de ce document.

Étape 5. Créez les utilisateurs sur ISE.

Il s'agit du même que celui présenté à l'étape 4. de la section Configurer RADIUS ISE de ce document.

Étape 6. Créez un ensemble de stratégies d'administration de périphériques.

À partir de la GUI :

En ce qui concerne l'accès RADIUS, une fois les utilisateurs créés, leurs stratégies d'authentification et d'autorisation doivent encore être définies sur ISE afin de leur accorder les droits d'accès appropriés. L'authentification TACACS utilise des ensembles de stratégies d'administration de périphériques à cette fin, qui peuvent être configurés à partir de la Work Centers > Device Administration > Device Admin Policy Sets GUI Page comme illustré.

Pour créer un ensemble de stratégies d'administration de périphériques, utilisez le bouton Ajouter encadré en rouge dans l'image précédente, afin d'ajouter un élément à la liste des ensembles de stratégies. Donnez un nom au jeu nouvellement créé, une condition dans laquelle il doit être appliqué et les protocoles autorisés/la séquence de serveur (ici, les Default Device Admin suffisent). Save Utilisez le bouton pour finaliser l'ajout de l'ensemble de stratégies et utilisez la flèche située sur son droit pour accéder à sa page de configuration, telle qu'elle apparaît sur la page représentée.

L'ensemble de stratégies spécifique 'Authentification TACACS WLC' dans cet exemple filtre les requêtes avec l'adresse IP égale à l'exemple d'adresse IP WLC C9800.

En tant que stratégie d'authentification, la règle par défaut a été conservée car elle répond au besoin de la casse d'utilisation. Deux règles d'autorisation ont été définies :

• La première est déclenchée lorsque l'utilisateur appartient au groupe défini admin-group. Elle autorise toutes les commandes (via la règle par défautPermit_all) et attribue le privilège 15 (via le profil TACACS définiIOS_Admin ).
• Le second est déclenché lorsque l'utilisateur appartient au groupe défini helpdesk-group. Elle autorise toutes les commandes (via la Permit_all règle par défaut) et attribue le privilège 1 (via le profil TACACS définiIOS_Helpdesk).

Une fois cette étape terminée, les informations d'identification configurées pour adminuser et leshelpdesk utilisateurs peuvent être utilisées pour s'authentifier dans le WLC via l'interface graphique utilisateur ou avec Telnet/SSH.

Dépannage

Si votre serveur RADIUS attend l'envoi de l'attribut RADIUS de type de service, vous pouvez ajouter sur le WLC :

radius-server attribute 6 on-for-login-auth

Dépannage de l'interface graphique WLC ou de l'accès CLI RADIUS/TACACS+ via l'interface CLI WLC

Afin de dépanner l'accès TACACS+ à l'interface graphique WLC ou CLI, émettez la commande,debug tacacs avec terminal monitor one et voyez le résultat en direct quand une tentative de connexion est faite.

Par exemple, une connexion réussie suivie d'une déconnexion de l'adminuser utilisateur génère cette sortie.



WLC-9800#terminal monitor
WLC-9800#debug tacacs
TACACS access control debugging is on
WLC-9800#
Dec 8 11:38:34.684: TPLUS: Queuing AAA Authentication request 15465 for processing
Dec 8 11:38:34.684: TPLUS(00003C69) login timer started 1020 sec timeout Dec 8 11:38:34.684: TPLUS: processing authentication start request id 15465 Dec 8 11:38:34.685: TPLUS: Authentication start packet created for 15465(adminuser) Dec 8 11:38:34.685: TPLUS: Using server 10.48.39.134 Dec 8 11:38:34.685: TPLUS(00003C69)/0/NB_WAIT/7FD29013CA68: Started 5 sec timeout Dec 8 11:38:34.687: TPLUS(00003C69)/0/NB_WAIT: socket event 2 Dec 8 11:38:34.688: TPLUS(00003C69)/0/NB_WAIT: wrote entire 45 bytes request Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:34.688: TPLUS(00003C69)/0/READ: Would block while reading Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 15 bytes data) Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:34.701: TPLUS(00003C69)/0/READ: read entire 27 bytes response Dec 8 11:38:34.701: TPLUS(00003C69)/0/7FD29013CA68: Processing the reply packet Dec 8 11:38:34.701: TPLUS: Received authen response status GET_PASSWORD (8) Dec 8 11:38:38.156: TPLUS: Queuing AAA Authentication request 15465 for processing Dec 8 11:38:38.156: TPLUS(00003C69) login timer started 1020 sec timeout Dec 8 11:38:38.156: TPLUS: processing authentication continue request id 15465 Dec 8 11:38:38.156: TPLUS: Authentication continue packet generated for 15465 Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE/7FD3796079D8: Started 5 sec timeout Dec 8 11:38:38.156: TPLUS(00003C69)/0/WRITE: wrote entire 29 bytes request Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 6 bytes data) Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.183: TPLUS(00003C69)/0/READ: read entire 18 bytes response Dec 8 11:38:38.183: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet Dec 8 11:38:38.183: TPLUS: Received authen response status PASS (2) Dec 8 11:38:38.184: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: adminuser] [Source: 10.61.80.151] [localport: 22] at 12:38:38 CET Thu Dec 8 2022 Dec 8 11:38:38.259: TPLUS: Queuing AAA Authorization request 15465 for processing Dec 8 11:38:38.260: TPLUS(00003C69) login timer started 1020 sec timeout Dec 8 11:38:38.260: TPLUS: processing authorization request id 15465 Dec 8 11:38:38.260: TPLUS: Protocol set to None .....Skipping Dec 8 11:38:38.260: TPLUS: Sending AV service=shell Dec 8 11:38:38.260: TPLUS: Sending AV cmd* Dec 8 11:38:38.260: TPLUS: Authorization request created for 15465(adminuser) Dec 8 11:38:38.260: TPLUS: using previously set server 10.48.39.134 from group TACACS-Group Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT/7FD3796079D8: Started 5 sec timeout Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: socket event 2 Dec 8 11:38:38.260: TPLUS(00003C69)/0/NB_WAIT: wrote entire 64 bytes request Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.260: TPLUS(00003C69)/0/READ: Would block while reading Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 12 header bytes (expect 18 bytes data) Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: socket event 1 Dec 8 11:38:38.285: TPLUS(00003C69)/0/READ: read entire 30 bytes response Dec 8 11:38:38.285: TPLUS(00003C69)/0/7FD3796079D8: Processing the reply packet Dec 8 11:38:38.285: TPLUS: Processed AV priv-lvl=15 Dec 8 11:38:38.285: TPLUS: received authorization response for 15465: PASS Dec 8 11:38:44.225: %SYS-6-LOGOUT: User adminuser has exited tty session 7(10.61.80.151) Dec 8 11:38:44.225:Socket I/O cleanup message sent to TACACS TPLUS Proc:SOCKET IO CLEANUP EVENT Dec 8 11:38:44.226: %HA_EM-6-LOG: catchall: logout  Dec 8 11:39:18.689: %SYS-6-LOGOUT: User admin has exited tty session 5(10.61.80.151) Dec 8 11:39:18.690:Socket I/O cleanup message sent to TACACS TPLUS Proc:SOCKET IO CLEANUP EVENT


Ces journaux indiquent que le serveur TACACS+ renvoie le privilège correct (qui est AV priv-lvl=15).

Lorsque vous effectuez l'authentification RADIUS, une sortie de débogage similaire s'affiche, qui concerne le trafic RADIUS.

Les commandes debug aaa authentication et debug aaa authorization, à la place, montrent quelle liste de méthodes est choisie par le WLC quand l'utilisateur essaie de se connecter.

Dépannage de l'interface graphique WLC ou de l'accès CLI TACACS+ via l'interface graphique ISE

Depuis cette pageOperations > TACACS > Live Logs, chaque authentification utilisateur effectuée avec TACACS+ jusqu'aux dernières 24 heures peut être visualisée. Pour développer les détails d'une autorisation ou d'une authentification TACACS+, utilisez le bouton Détails associé à cet événement.

Une fois développée, une tentative d'authentification réussie pour le helpdeskuser ressemble à ceci :

De là, vous pouvez voir que l'utilisateur helpdeskuser a été authentifié avec succès sur le périphérique réseau WLC-9800 à l'aide de la stratégie d'authentification WLC TACACS Authentication > Default. En outre, le profil d'autorisation IOS Helpdesk a été attribué à cet utilisateur et a obtenu le niveau de privilège 1.