為Cisco WLC的裝置管理配置TACACS+
簡介
本檔案介紹如何設定TACACS+,以使用身分識別服務引擎(ISE)對思科無線LAN控制器(WLC)進行裝置管理。
必要條件
需求
思科建議您瞭解以下主題:
- 身份服務引擎(ISE)基礎知識
- 思科無線LAN控制器(WLC)的基本知識
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 思科身分識別服務引擎2.4
- 思科無線區域網控制器8.5.135
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
組態
步驟 1.檢查裝置管理許可證。
導覽至Administration > System > Licensing索引標籤,並驗證Device Admin許可證是否已安裝,如下圖所示。
步驟 2.在ISE PSN節點上啟用裝置管理。
導航到工作中心>裝置管理>概述,按一下部署頁籤,選擇特定PSN節點單選按鈕。通過選中覈取方塊並按一下Save,在ISE節點上啟用裝置管理,如下圖所示:
步驟 3.建立網路裝置組。
若要將WLC新增為ISE上的網路裝置,請導覽至Administration > Network Resources > Network Device Groups > All Device Types,為WLC建立一個新群組,如下圖所示:
步驟 4.將WLC新增為網路裝置。
導航至工作中心>裝置管理>網路資源>網路裝置。按一下Add,提供Name、IP Address,然後選擇Device type as WLC,選中TACACS+ Authentication Settings覈取方塊並提供Shared Secret,如下圖所示:
步驟 5.為WLC建立TACACS設定檔。
導航到工作中心(Work Centers)>裝置管理(Device Administration)>策略元素(Policy Elements)>結果(Results)> TACACS配置檔案(TACACS Profiles)。按一下Add並提供名稱。在「Task attribute view」索引標籤中,選擇「WLC」作為「Common Task Type」。 系統提供預設配置檔案,您可以從中選擇Monitor以允許使用者有限訪問,如下圖所示。
還有另一個預設配置檔案All,它允許對使用者進行完全訪問,如下圖所示。
步驟 6.建立策略集。
導航至工作中心>裝置管理>裝置管理策略集。 按一下(+)並為策略集指定一個名稱。在策略條件中選擇Device Type as WLC,Allowed protocols可以是Default Device Admin,如下圖所示。
步驟 7.建立身份驗證和授權策略。
本文檔中,在Active Directory上分別配置兩個示例組Admin-Read-Write和Admin-Read-Only,並在每個組admin1和admin-Read-Only中分別配置一個使用者。Active Directory通過名為AD-JointName的連線點與ISE整合。
建立兩個授權策略,如下圖所示:
步驟 8.配置WLC進行裝置管理。
導覽至Security > AAA > TACACS+按一下New,然後新增驗證記帳伺服器,如下圖所示。
變更優先順序並使TACACS+位於頂端、TACACS+位於底端,如下圖所示:
驗證
導覽至Operations > TACACS > Live logs,並監控Live Logs。開啟WLC GUI並使用Active Directory使用者憑據登入,如下圖所示
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
29-Dec-2019 |
初始版本 |
意見