Acceso de administración para el WLC de AireOS con Microsoft NP · Nota: Si usted quiere dar...

Acceso de administración para el WLC deAireOS con Microsoft NP Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosAntecedentesConfiguracionesConfiguración del WLCConfiguración de Microsoft NPVerificaciónTroubleshooting

Introducción

Este documento describe cómo configurar el Acceso de administración para el WLC GUI y CLI deAireOS a través del servidor de políticas de la red de Microsoft (NP).

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Conocimiento de las soluciones de la seguridad de red inalámbrica●

Conceptos AAA y RADIUS●

Conocimiento básico del servidor de Microsoft 2012●

Instalación de Microsoft NP y Active Directory (AD)●

Componentes Utilizados

La información proporcionada en este documento se basa en el software y los componentes dehardware siguientes.

Regulador de AireOS (5520) en 8.8.120.0●

Servidor de Microsoft 2012●

Nota: Este documento se piensa para dar a los lectores un ejemplo de la configuraciónrequerida en un servidor de Microsoft para el Acceso de administración del WLC. Laconfiguración del Microsoft Windows server presentada en este documento se ha probadoen el laboratorio y se ha encontrado para trabajar como se esperaba. Si usted tieneproblema con la configuración, entre en contacto Microsoft para la ayuda. El Centro de

Asistencia Técnica de Cisco (TAC) no soporta la configuración del Microsoft Windowsserver. Microsoft Windows 2012 guías de instalación y configuración se puede encontrar enla red de la tecnología de Microsoft.

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Cuando se accede el WLC CLI/GUI, se indica al usuario que ingrese las credenciales para iniciarsesión con éxito. Las credenciales se pueden verificar contra una base de datos local o unservidor de AAA externo. En este documento, Microsoft NP se está utilizando como el servidor deautenticación externa.

Configuraciones

En este ejemplo, configuran a dos usuarios en el loginuser y el adminuser AAA (NP) viz. elloginuser tiene apenas acceso de sólo lectura mientras que el adminuser se concede el accesototal.

Configuración del WLC

Paso 1. Agregue al servidor de RADIUS en el regulador. Navegue a la Seguridad > al RADIUS >a la autenticación. Haga clic nuevo para agregar el servidor. Asegúrese que la opción deadministración esté habilitada para poder utilizar este servidor para el Acceso de administración,tal y como se muestra en de esta imagen.

Paso 2. Navegue a la Seguridad > a la orden > al usuario de administración de la prioridad.Asegúrese de que el RADIUS esté seleccionado como uno de los tipos de autenticación.

Nota: Si el RADIUS se selecciona como la primera prioridad en la orden de la autenticación,las credenciales locales serán utilizadas para la autenticación solamente si el servidor deRADIUS es inalcanzable. Si el RADIUS se selecciona como segunda prioridad, lascredenciales RADIUS primero serán verificadas contra la base de datos local y entonces,marcado contra los servidores Radius configurados.

Configuración de Microsoft NP

Paso 1. Abra el servidor de Microsoft NP. Haga clic con el botón derecho del ratón en los clientes

RADIUS. Haga clic nuevo para agregar el WLC como el cliente RADIUS.

Ingrese los detalles requeridos. Asegúrese por favor de que el secreto compartido sea lo mismoque el que está configurado en el regulador mientras que agregan al servidor de RADIUS.

Paso 2. Navegue a las directivas > a las directivas del pedido de conexión. Haga clic con el botónderecho del ratón para agregar una nueva directiva, tal y como se muestra en de la imagen.

Paso 3. Bajo condiciones tabule, seleccione el identificador NAS como la nueva condición.Cuando se le pregunte, ingrese el nombre de host del regulador como el valor, tal y como semuestra en de la imagen.

Paso 4. Navegue a las directivas > a las políticas de red. Haga clic con el botón derecho del ratónpara agregar una nueva directiva. En este ejemplo, la directiva se nombra el WLC RW deCisco que implica que la directiva está utilizada para proporcionar el acceso (delectura/grabación) completo. Asegúrese de que la directiva esté configurada como se muestraaquí.

Paso 5. Bajo lengueta de las condiciones, haga click en Add Seleccione a los grupos deusuarios y el tecleo agrega, tal y como se muestra en de la imagen.

Paso 6. Haga clic en agregan a los grupos en el cuadro de diálogo que aparece. En la Ventanadel grupo selecta que aparece, seleccione el tipo de objeto y la ubicación deseados y ingrese elnombre del objeto requerido, tal y como se muestra en de la imagen.

La condición, si está agregada correctamente, debe mirar como se muestra aquí.

Nota: Para descubrir los detalles de la ubicación y del nombre del objeto, abrir el ActiveDirectory y buscar el nombre de usuario deseado. En este ejemplo, el dominioAdmins consiste en los usuarios que se dan el acceso total. el adminuser es parte de estenombre del objeto.

Paso 7. Bajo apremios tabule, navegue a los métodos de autentificación y asegúrese quesolamente la autenticación unencrypted está marcada.

Paso 8. Bajo configuraciones tabule, navegue a los atributos de RADIUS > al estándar. El tecleoagrega para agregar un nuevo atributo, tipo de servicio. Del menú desplegable, administrativoselecto para proporcionar el acceso total a los usuarios asociados a esta directiva. Haga clic ense aplican para salvar los cambios, tal y como se muestra en de la imagen.

Nota: Si usted quiere dar acceso de sólo lectura a los usuarios específicos, seleccione elNAS-prompt del descenso-abajo. En este ejemplo, otra directiva nombrada el WLC RO deCisco se crea para proporcionar acceso de sólo lectura a los usuarios bajo nombre delobjeto de Domain User.

Verificación

1. Cuando se utilizan las credenciales del loginuser, no se permite al usuario configurar ningunacambios en el regulador.

Del debug aaa todo el permiso, usted puede ver que el valor de atributo de tipo de servicio en larespuesta de autorización es 7 que corresponde NAS-prompt.

*aaaQueueReader: Dec 07 22:20:14.664: 30:01:00:00:00:00 Successful transmission of

Authentication Packet (pktId 14) to 10.106.33.39:1812 from server queue 0, proxy state

30:01:00:00:00:00-00:00

*aaaQueueReader: Dec 07 22:20:14.664: 00000000: 01 0e 00 48 47 f8 f3 5c 58 46 98 ff 8e f8 20 7a

...HG..\XF.....z

*aaaQueueReader: Dec 07 22:20:14.664: 00000010: f6 a1 f1 d1 01 0b 6c 6f 67 69 6e 75 73 65 72 02

......loginuser.

*aaaQueueReader: Dec 07 22:20:14.664: 00000020: 12 c2 34 69 d8 72 fd 0c 85 aa af 5c bd 76 96 eb

..4i.r.....\.v..

*aaaQueueReader: Dec 07 22:20:14.664: 00000030: 60 06 06 00 00 00 07 04 06 0a 6a 24 31 20 0b 43

`.........j$1..C

*aaaQueueReader: Dec 07 22:20:14.664: 00000040: 69 73 63 6f 2d 57 4c 43 isco-WLC

:

:

*radiusTransportThread: Dec 07 22:20:14.668: 30:01:00:00:00:00 Access-Accept received from

RADIUS server 10.106.33.39 (qid:0) with port:1812, pktId:14

*radiusTransportThread: Dec 07 22:20:14.668: AuthorizationResponse: 0xa3d3fb25a0

*radiusTransportThread: Dec 07 22:20:14.668: RadiusIndexSet(1), Index(1)

*radiusTransportThread: Dec 07 22:20:14.668: structureSize................................304

*radiusTransportThread: Dec 07 22:20:14.668:

protocolUsed.................................0x00000001


proxyState...................................30:01:00:00:00:00-00:00

*radiusTransportThread: Dec 07 22:20:14.668: Packet contains 2 AVPs:

*radiusTransportThread: Dec 07 22:20:14.668: AVP[01] Service-

Type.............................0x00000007 (7) (4 bytes)

*radiusTransportThread: Dec 07 22:20:14.668: AVP[02]

Class....................................DATA (44 bytes)

2. Cuando se utilizan las credenciales del adminuser, el usuario debe tener acceso total con elvalor 6 del tipo de servicio, que corresponde a administrativo.

*aaaQueueReader: Dec 07 22:14:27.439: AuthenticationRequest: 0x7fba240c2f00

*aaaQueueReader: Dec 07 22:14:27.439: Callback.....................................0xa3c13ccb70

*aaaQueueReader: Dec 07 22:14:27.439:

proxyState...................................2E:01:00:00:00:00-00:00

*aaaQueueReader: Dec 07 22:14:27.439: Packet contains 5 AVPs:

*aaaQueueReader: Dec 07 22:14:27.439: AVP[01] User-Name................................adminuser

(9 bytes)

*aaaQueueReader: Dec 07 22:14:27.439: AVP[04] Nas-Ip-

Address...........................0x0a6a2431 (174728241) (4 bytes)

*aaaQueueReader: Dec 07 22:14:27.439: AVP[05] NAS-Identifier...........................Cisco-WLC

(9 bytes)

:

:

*radiusTransportThread: Dec 07 22:14:27.442: 2e:01:00:00:00:00 Access-Accept received from





protocolUsed.................................0x00000001


proxyState...................................2E:01:00:00:00:00-00:00


Type.............................0x00000006 (6) (4 bytes)


Class....................................DATA (44 bytes)

Troubleshooting

Para resolver problemas el Acceso de administración al WLC con los NP, funcione con elcomando debug aaa all enable.

1. Los registros cuando se utilizan las credenciales incorrectas se muestran aquí.

*aaaQueueReader: Dec 07 22:36:39.753: 32:01:00:00:00:00 Successful transmission of

Authentication Packet (pktId 15) to 10.106.33.39:1812 from server queue 0, proxy state

32:01:00:00:00:00-00:00

*aaaQueueReader: Dec 07 22:36:39.753: 00000000: 01 0f 00 48 b7 e4 16 4d cc 78 05 32 26 4c ec 8d

...H...M.x.2&L..

*aaaQueueReader: Dec 07 22:36:39.753: 00000010: c7 a0 5b 72 01 0b 6c 6f 67 69 6e 75 73 65 72 02

..[r..loginuser.

*aaaQueueReader: Dec 07 22:36:39.753: 00000020: 12 03 a7 37 d4 c0 16 13 fc 73 70 df 1f de e3 e4

...7.....sp.....

*aaaQueueReader: Dec 07 22:36:39.753: 00000030: 32 06 06 00 00 00 07 04 06 0a 6a 24 31 20 0b 43

2.........j$1..C

*aaaQueueReader: Dec 07 22:36:39.753: 00000040: 69 73 63 6f 2d 57 4c 43 isco-WLC

*aaaQueueReader: Dec 07 22:36:39.753: 32:01:00:00:00:00 User entry not found in the Local FileDB

for the client.

*radiusTransportThread: Dec 07 22:36:39.763: 32:01:00:00:00:00 Counted 0 AVPs (processed 20

bytes, left 0)

*radiusTransportThread: Dec 07 22:36:39.763: 32:01:00:00:00:00 Access-Reject received from


*radiusTransportThread: Dec 07 22:36:39.763: 32:01:00:00:00:00 Did not find the macaddress to be

deleted in the RADIUS cache database

*radiusTransportThread: Dec 07 22:36:39.763: 32:01:00:00:00:00 Returning AAA Error

'Authentication Failed' (-4) for mobile 32:01:00:00:00:00 serverIdx 1

*radiusTransportThread: Dec 07 22:36:39.763: AuthorizationResponse: 0x7fbaebebf860


*radiusTransportThread: Dec 07 22:36:39.763: resultCode...................................-4


protocolUsed.................................0xffffffff


*emWeb: Dec 07 22:36:39.763: Authentication failed for loginuser

2. Los registros cuando utilizan al tipo de servicio con un valor con excepción de administrativo(value=6) o el NAS-prompt (value=7) se muestra como sigue. En tal caso, el login falla incluso sila autenticación tiene éxito.

*aaaQueueReader: Dec 07 22:46:31.849: AuthenticationRequest: 0x7fba240c56a8

*aaaQueueReader: Dec 07 22:46:31.849: Callback.....................................0xa3c13ccb70

*aaaQueueReader: Dec 07 22:46:31.849: protocolType.................................0x00020001

*aaaQueueReader: Dec 07 22:46:31.849:

proxyState...................................39:01:00:00:00:00-00:00

*aaaQueueReader: Dec 07 22:46:31.849: Packet contains 5 AVPs:

*aaaQueueReader: Dec 07 22:46:31.849: AVP[01] User-Name................................adminuser

(9 bytes)

*aaaQueueReader: Dec 07 22:46:31.849: AVP[02] User-Password............................[...]

*aaaQueueReader: Dec 07 22:46:31.849: AVP[03] Service-

Type.............................0x00000007 (7) (4 bytes)

*aaaQueueReader: Dec 07 22:46:31.849: AVP[04] Nas-Ip-

Address...........................0x0a6a2431 (174728241) (4 bytes)

*aaaQueueReader: Dec 07 22:46:31.849: AVP[05] NAS-Identifier...........................Cisco-WLC

(9 bytes)

:

:


*radiusTransportThread: Dec 07 22:46:31.853: RadiusIndexSet(1), Index(1)


*radiusTransportThread: Dec 07 22:46:31.853: resultCode...................................0


protocolUsed.................................0x00000001



Type.............................0x00000001 (1) (4 bytes)


Class....................................DATA (44 bytes)

*emWeb: Dec 07 22:46:31.853: Authentication succeeded for adminuser

Acceso de administración para el WLC de AireOS con Microsoft NP · Nota: Si usted quiere dar...

Documents

Transcript of Acceso de administración para el WLC de AireOS con Microsoft NP · Nota: Si usted quiere dar...