Configurar o 9800 WLC Lobby Ambassador com autenticação RADIUS e TACACS+

Introdução

Este documento descreve como configurar controladores sem fio Catalyst 9800 para autenticação externa RADIUS e TACACS+ de usuários do Lobby Ambassador.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Modelo de configuração Catalyst Wireless 9800
• Conceitos AAA, RADIUS e TACACS+

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Série de controladores sem fio Catalyst 9800 (Catalyst 9800-CL)
• Cisco IOS® XE Gibraltar 16.12.1s
• ISE 2.3.0

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

O usuário Lobby Ambassador é criado pelo administrador da rede. Um usuário do Lobby Ambassador é capaz de criar um nome de usuário convidado, senha, descrição e tempo de vida. Ele também tem a capacidade de excluir o usuário convidado. O usuário convidado pode ser criado via GUI ou CLI.

Configurar

Diagrama de Rede

Neste exemplo, os Lobby Ambassadors "lobby" e "lobbyTac" estão configurados. O Lobby Ambassador "lobby" deve ser autenticado no servidor RADIUS e o Lobby Ambassador "lobbyTac" é autenticado no TACACS+.

A configuração é feita primeiro para o Embaixador do Lobby RADIUS e, finalmente, para o Embaixador do Lobby TACACS+. A configuração RADIUS e TACACS+ ISE também é compartilhada.

Autenticar RADIUS

Configure o RADIUS na controladora Wireless LAN (WLC).

Etapa 1. Declare o servidor RADIUS. Crie o servidor ISE RADIUS no WLC.

GUI: 

Navegue até Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add conforme mostrado na imagem.

Quando a janela de configuração se abre, os parâmetros de configuração obrigatórios são o nome do servidor RADIUS (ele não precisa corresponder ao nome do sistema ISE/AAA), o ENDEREÇO IP do servidor RADIUS e o segredo compartilhado. Qualquer outro parâmetro pode ser deixado como padrão ou pode ser configurado conforme desejado.

CLI:

Tim-eWLC1(config)#radius server RadiusLobby
Tim-eWLC1(config-radius-server)#address ipv4 192.168.166.8 auth-port 1812 acct-port 1813
Tim-eWLC1(config-radius-server)#key 0 Cisco1234
Tim-eWLC1(config)#end

Etapa 2. Adicione o servidor RADIUS a um grupo de servidores. Defina um grupo de servidores e adicione o servidor RADIUS configurado. Este é o Servidor RADIUS usado para autenticação do usuário Embaixador do Lobby. Se houver vários servidores RADIUS configurados na WLC que possam ser usados para autenticação, a recomendação é adicionar todos os servidores RADIUS ao mesmo grupo de servidores. Se fizer isso, você deixará que a WLC faça o balanceamento de carga das autenticações entre os servidores RADIUS no grupo de servidores.

GUI:

Navegue para Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add conforme mostrado na imagem.

Quando a janela de configuração abrir para dar um nome ao grupo, mova os servidores RADIUS configurados da lista Servidores disponíveis para a lista Servidores atribuídos.

CLI:

Tim-eWLC1(config)#aaa group server radius GroupRadLobby
Tim-eWLC1(config-sg-radius)#server name RadiusLobby
Tim-eWLC1(config-sg-radius)#end

Etapa 3. Crie uma lista de métodos de autenticação. A Authentication Method List (Lista de métodos de autenticação) define o tipo de autenticação que você procura e também anexa o mesmo ao Server Group (Grupo de servidores) que você define. Você sabe se a autenticação é feita localmente na WLC ou externa a um servidor RADIUS.

GUI:

Navegue para Configuration > Security > AAA > AAA Method List > Authentication > + Add conforme mostrado na imagem.

Quando a janela de configuração abrir, forneça um nome, selecione a opção de tipo como Login e atribua o Grupo de servidores criado anteriormente.

Tipo de grupo como local.

GUI:

Se você selecionar Tipo de grupo como 'local', a WLC primeiro verificará se o usuário existe no banco de dados local e, em seguida, voltará para o Grupo de servidores somente se o usuário do Lobby Ambassador não for encontrado no banco de dados local.

CLI:

Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end

Observação: esteja ciente do bug CSCvs87163 ao usar o local primeiro. Isso é corrigido no 17.3.

Tipo de grupo como grupo.

GUI:

Se você selecionar o Tipo de grupo como 'grupo' e nenhuma opção de fallback para local marcada, o WLC simplesmente verificará o usuário em relação ao Grupo de servidores e não verificará seu banco de dados local.

CLI:

Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end

Group Type como um grupo e a opção fallback para local está marcada.

GUI:

Se você selecionar o Tipo de grupo como 'grupo' e a opção fallback para local estiver marcada, o WLC verificará o usuário em relação ao Grupo de servidores e consultará o banco de dados local somente se o servidor RADIUS atingir o tempo limite na resposta. Se o servidor responder, a WLC não disparará uma autenticação local.

CLI:

Tim-eWLC1(config)#aaa authentication login AuthenLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end

Etapa 4. Crie uma lista de métodos de autorização. A Lista de métodos de autorização define o tipo de autorização necessário para o Lobby Ambassador, que, nesse caso, será 'exec'. Ele também será anexado ao mesmo grupo de servidores definido. Também permitirá selecionar se a autenticação será feita localmente na WLC ou externa a um servidor RADIUS.

GUI:

Navegue até Configuração > Segurança > AAA > Lista de métodos de AAA > Autorização > + Adicionar, conforme mostrado na imagem.

Quando a janela de configuração abrir para fornecer um nome, selecione a opção de tipo como 'exec' e atribua o Grupo de servidores criado anteriormente.

Esteja ciente de que o Tipo de grupo se aplica da mesma maneira que foi explicado na seção Lista de métodos de autenticação.

CLI:

Tipo de grupo como local.

Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod local group GroupRadLobby
Tim-eWLC1(config)#end

Tipo de grupo como grupo.

Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby
Tim-eWLC1(config)#end

Tipo de grupo como grupo e a opção de fallback para local está marcada.

Tim-eWLC1(config)#aaa authorization exec AuthozLobbyMethod group GroupRadLobby local
Tim-eWLC1(config)#end

Etapa 5. Atribua os métodos. Uma vez configurados, os métodos devem ser atribuídos às opções para fazer login na WLC a fim de criar o usuário convidado, como a linha VTY (SSH/Telnet) ou HTTP (GUI).

Essas etapas não podem ser executadas a partir da GUI e, portanto, precisam ser executadas a partir da CLI.

Autenticação HTTP/GUI:

Tim-eWLC1(config)#ip http authentication aaa login-authentication AuthenLobbyMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozLobbyMethod
Tim-eWLC1(config)#end

Quando você executa alterações nas configurações HTTP, é melhor reiniciar os serviços HTTP e HTTPS:

Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end

Line VTY (VTY da linha).

Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AuthenLobbyMethod
Tim-eWLC1(config-line)#authorization exec AuthozLobbyMethod
Tim-eWLC1(config-line)#end

Etapa 6. Esta etapa é necessária somente nas versões de software anteriores a 17.5.1 ou 17.3.3 e não é necessária após as versões em que CSCvu29748 foi implementado. Defina o usuário remoto. O nome de usuário criado no ISE para o Lobby Ambassador deve ser definido como um nome de usuário remoto no WLC. Se o nome de usuário remoto não estiver definido na WLC, a autenticação será realizada corretamente, no entanto, o usuário receberá acesso total à WLC, em vez de apenas acessar os privilégios do Lobby Ambassador. Essa configuração pode ser feita apenas via CLI.

CLI:

Tim-eWLC1(config)#aaa remote username lobby

Configurar ISE - RADIUS

Etapa 1. Adicione a WLC ao ISE. Navegue até Administração > Recursos de rede > Dispositivos de rede > Adicionar. A WLC precisa ser adicionada ao ISE. Quando você adiciona a WLC ao ISE, habilite as Configurações de Autenticação RADIUS e configure os parâmetros necessários como mostrado na imagem.

Quando a janela de configuração abrir, forneça um nome, IP ADD, habilite as configurações de autenticação RADIUS e, em Protocol Radius, insira o Shared Secret necessário.

Etapa 2. Crie o usuário Lobby Ambassador no ISE. Navegue até Administração > Gerenciamento de identidades > Identidades > Usuários > Adicionar.

Adicione ao ISE o nome de usuário e a senha atribuídos ao Lobby Ambassador que cria os usuários convidados. Este é o nome de usuário que o Administrador atribuirá ao Embaixador do Lobby.

Quando a janela de configuração abrir, forneça o nome e a senha do usuário do Lobby Ambassador. Além disso, verifique se o Status está Ativado.

Etapa 3. Crie um Perfil de Autorização de Resultados. Navegue até Política > Elementos de política > Resultados > Autorização > Perfis de autorização > Adicionar. Crie um perfil de autorização de resultado para retornar à WLC um Access-Accept com os atributos necessários, como mostrado na imagem.

Certifique-se de que o perfil esteja configurado para enviar um Access-Accept como mostrado na imagem.

Você precisará adicionar os atributos manualmente em Configurações avançadas de atributos. Os atributos são necessários para definir o usuário como Embaixador do Lobby e para fornecer o privilégio, a fim de permitir que o Embaixador do Lobby faça as alterações necessárias.

Etapa 4. Crie uma política para processar a autenticação. Navegue até Política > Conjuntos de políticas > Adicionar. As condições para configurar a política dependem da decisão do administrador. Acesso à Rede - A condição Nome de Usuário e o protocolo de Acesso à Rede Padrão são usados aqui.

É obrigatório garantir que, sob a Política de autorização, o perfil configurado sob a Autorização de resultados esteja selecionado, dessa forma você pode retornar os atributos necessários para a WLC como mostrado na imagem.

Quando a janela de configuração abrir, configure a Diretiva de autorização. A política de autenticação pode ser deixada como padrão.

Autenticar TACACS+ 

Configurar o TACACS+ no WLC

Etapa 1. Declare o servidor TACACS+. Crie o servidor ISE TACACS no WLC.

GUI:

Navegue para Configuration > Security > AAA > Servers/Groups > TACACS+ > Servers > + Add como mostrado na imagem.

Quando a janela de configuração se abre, os parâmetros de configuração obrigatórios são o nome do servidor TACACS+ (ele não precisa corresponder ao nome do sistema ISE/AAA), o ENDEREÇO IP do servidor TACACS e o segredo compartilhado. Qualquer outro parâmetro pode ser deixado como padrão ou pode ser configurado conforme necessário.

CLI:

Tim-eWLC1(config)#tacacs server TACACSLobby
Tim-eWLC1(config-server-tacacs)#address ipv4 192.168.166.8
Tim-eWLC1(config-server-tacacs)#key 0 Cisco123
Tim-eWLC1(config-server-tacacs)#end

Etapa 2. Adicione o servidor TACACS+ a um grupo de servidores. Defina um grupo de servidores e adicione o servidor TACACS+ desejado configurado. Esses serão os servidores TACACS+ usados para autenticação.

GUI:

Navegue para Configuration > Security > AAA > Servers / Groups > TACACS > Server Groups > + Add conforme mostrado na imagem.

Quando a janela de configuração abrir, dê um nome ao grupo e mova os servidores TACACS+ desejados da lista Servidores disponíveis para a lista Servidores atribuídos.

CLI:

Tim-eWLC1(config)#aaa group server tacacs+ GroupTacLobby
Tim-eWLC1(config-sg-tacacs+)#server name TACACSLobby
Tim-eWLC1(config-sg-tacacs+)#end

Etapa 3. Crie uma lista de métodos de autenticação. A Authentication Method List (Lista de métodos de autenticação) define o tipo de autenticação necessário e também anexará o mesmo ao Server Group (Grupo de servidores) que está configurado. Ele também permite selecionar se a autenticação pode ser feita localmente na WLC ou externa a um servidor TACACS+.

GUI:

Navegue para Configuration > Security > AAA > AAA Method List > Authentication > + Add conforme mostrado na imagem.

Quando a janela de configuração abrir, forneça um nome, selecione a opção de tipo como Login e atribua o Grupo de servidores criado anteriormente.

Tipo de grupo como local.

GUI:

Se você selecionar o Tipo de grupo como 'local', o WLC primeiro verificará se o usuário existe no banco de dados local e, em seguida, fará fallback para o Grupo de servidores somente se o usuário do Lobby Ambassador não for encontrado no banco de dados local.

Observação: esteja ciente deste erro CSCvs87163que foi corrigido na versão 17.3.

CLI:

Tim-eWLC1(config)#aaa authentication login AutheTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end

Tipo de grupo como grupo.

GUI:

Se você selecionar o Tipo de grupo como grupo e nenhuma opção de fallback para local marcada, o WLC apenas verificará o usuário em relação ao Grupo de servidores e não verificará seu banco de dados local.

CLI:

Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby
Tim-eWLC1(config)#end

Tipo de grupo como grupo e a opção de fallback para local está marcada.

GUI:

Se você selecionar o Tipo de grupo como 'grupo' e a opção Fallback to local estiver marcada, o WLC verificará o usuário em relação ao Grupo de servidores e consultará o banco de dados local somente se o Servidor TACACS atingir o tempo limite na resposta. Se o servidor enviar uma rejeição, o usuário não será autenticado, mesmo que ele exista no banco de dados local.

CLI:

Tim-eWLC1(config)#aaa authentication login AutheTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end

Etapa 4. Crie uma lista de métodos de autorização.

A lista de métodos de autorização definirá o tipo de autorização necessário para o Lobby Ambassador, que, neste caso, será exec. Ele também está conectado ao mesmo grupo de servidores que está configurado. Também é permitido selecionar se a autenticação é feita localmente na WLC ou externa a um servidor TACACS+.

GUI:

Navegue até Configuração > Segurança > AAA > Lista de métodos de AAA > Autorização > + Adicionar, conforme mostrado na imagem.

Quando a janela de configuração abrir, forneça um nome, selecione a opção de tipo como exec e atribua o grupo de servidores criado anteriormente.

Esteja ciente de que o Tipo de grupo se aplica da mesma maneira que é explicado na parte Lista de métodos de autenticação.

CLI:

Tipo de grupo como local.

Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod local group GroupTacLobby
Tim-eWLC1(config)#end

Tipo de grupo como grupo.

Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby
Tim-eWLC1(config)#end

Tipo de grupo como grupo e a opção Fallback to local está marcada.

Tim-eWLC1(config)#aaa authorization exec AuthozTacMethod group GroupTacLobby local
Tim-eWLC1(config)#end

Etapa 5. Atribua os métodos. Uma vez configurados, os métodos devem ser atribuídos às opções para fazer login na WLC e criar o usuário convidado, como a linha VTY ou HTTP (GUI). Essas etapas não podem ser executadas a partir da GUI e, portanto, precisam ser executadas a partir da CLI.

Autenticação HTTP/GUI:

Tim-eWLC1(config)#ip http authentication aaa login-authentication AutheTacMethod
Tim-eWLC1(config)#ip http authentication aaa exec-authorization AuthozTacMethod
Tim-eWLC1(config)#end

Quando você faz alterações nas configurações HTTP, é melhor reiniciar os serviços HTTP e HTTPS:

Tim-eWLC1(config)#no ip http server
Tim-eWLC1(config)#no ip http secure-server
Tim-eWLC1(config)#ip http server
Tim-eWLC1(config)#ip http secure-server
Tim-eWLC1(config)#end

VTY da linha:

Tim-eWLC1(config)#line vty 0 15
Tim-eWLC1(config-line)#login authentication AutheTacMethod
Tim-eWLC1(config-line)#authorization exec AuthozTacMethod
Tim-eWLC1(config-line)#end

Etapa 6. Defina o usuário remoto. O nome de usuário criado no ISE para o Lobby Ambassador deve ser definido como um nome de usuário remoto no WLC. Se o nome de usuário remoto não estiver definido na WLC, a autenticação será realizada corretamente, no entanto, o usuário receberá acesso total à WLC, em vez de apenas acessar os privilégios do Lobby Ambassador. Essa configuração pode ser feita apenas via CLI.

CLI:

Tim-eWLC1(config)#aaa remote username lobbyTac

Configurar o ISE - TACACS+

Etapa 1. Ativar admin. de dispositivos Navegue até Administração > Sistema > Implantação. Antes de prosseguir, selecione Enable Device Admin Service e verifique se o ISE foi habilitado conforme mostrado na imagem. 

Etapa 2. Adicione a WLC ao ISE. Navegue até Administração > Recursos de rede > Dispositivos de rede > Adicionar. A WLC precisa ser adicionada ao ISE. Quando você adiciona a WLC ao ISE, habilite as Configurações de autenticação TACACS+ e configure os parâmetros necessários como mostrado na imagem.

Quando a janela de configuração abrir para fornecer um nome, IP ADD, ative as Configurações de autenticação TACACS+ e insira o Segredo compartilhado necessário.

Etapa 3. Crie o usuário Lobby Ambassador no ISE. Navegue até Administração > Gerenciamento de identidades > Identidades > Usuários > Adicionar. Adicione ao ISE o nome de usuário e a senha atribuídos ao Lobby Ambassador, que criará os usuários convidados. Esse é o nome de usuário que o Administrador atribui ao Lobby Ambassador conforme mostrado na imagem.

Quando a janela de configuração abrir, forneça o nome e a senha do usuário do Lobby Ambassador. Além disso, verifique se o Status está Ativado.

Etapa 4. Crie um perfil TACACS+ de resultados. Navegue até Centros de trabalho > Administração de dispositivo > Elementos de política > Resultados > Perfis TACACS conforme mostrado na imagem. Com esse perfil, devolva os atributos necessários à WLC para colocar o usuário como um embaixador do lobby.

Quando a janela de configuração abrir, forneça um nome para o perfil, configure também um Privilegiado Padrão 15 e um Atributo Personalizado como Tipo Obrigatório, nome como tipo de usuário e valor lobby-admin. Além disso, deixe que o Tipo de tarefa comum seja selecionado como Shell conforme mostrado na imagem.

Etapa 5. Crie um conjunto de políticas. Navegue até Centros de trabalho > Administração de dispositivos > Conjuntos de políticas de administração de dispositivos como mostrado na imagem. As condições para configurar a política dependem da decisão do administrador. Para este documento, a condição Network Access-Username e o protocolo Default Device Admin são usados. É obrigatório garantir, sob a Política de autorização, que o perfil configurado sob a Autorização de resultados esteja selecionado, dessa forma você pode retornar os atributos necessários para a WLC.

Quando a janela de configuração abrir, configure a Diretiva de autorização. A política de autenticação pode ser deixada como padrão, conforme mostrado na imagem.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

show run aaa
show run | sec remote
show run | sec http
show aaa method-lists authentication
show aaa method-lists authorization
show aaa servers
show tacacs

Esta é a aparência da GUI do Lobby Ambassador após a autenticação bem-sucedida.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Autenticar RADIUS

Para a autenticação RADIUS, estas depurações podem ser usadas:

Tim-eWLC1#debug aaa authentication
Tim-eWLC1#debug aaa authorization
Tim-eWLC1#debug aaa attr
Tim-eWLC1#terminal monitor

Verifique se a lista de métodos correta está selecionada na depuração. Além disso, os atributos necessários são retornados pelo servidor ISE com o nome de usuário, tipo de usuário e privilégio corretos.

Feb 5 02:35:27.659: AAA/AUTHEN/LOGIN (00000000): Pick method list 'AuthenLobbyMethod'
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(0):
 7FBA5500C870 0 00000081 username(450) 5 lobby
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(1):
 7FBA5500C8B0 0 00000001 user-type(1187) 4 lobby-admin
Feb 5 02:35:27.681: ADD-DELETE: AAA/ATTR(00000000): add attr: sublist(0x7FBA5500C860) index(2):
 7FBA5500C8F0 0 00000001 priv-lvl(335) 4 15(F)
Feb 5 02:35:27.683: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host 
192.168.166.104 by user 'lobby' using crypto cipher 'ECDHE-RSA-AES128-GCM-SHA256'

Autenticar TACACS+

Para a autenticação TACACS+, esta depuração pode ser usada:

Tim-eWLC1#debug tacacs
Tim-eWLC1#terminal monitor

Certifique-se de que a autenticação seja processada com o nome de usuário correto e o ISE IP ADD. Além disso, o status "PASS" deve ser visto. Na mesma depuração, logo após a fase de autenticação, o processo de autorização será apresentado. Nessa autorização, a fase garante que o nome de usuário correto seja usado junto com o ADD IP do ISE correto. Nessa fase, você pode ver os atributos configurados no ISE que definem a WLC como um usuário do Lobby Ambassador com o privilégio correto.

Exemplo da fase de autenticação:

Feb 5 02:06:48.245: TPLUS: Queuing AAA Authentication request 0 for processing
Feb 5 02:06:48.245: TPLUS: Authentication start packet created for 0(lobbyTac)
Feb 5 02:06:48.245: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.250: TPLUS: Received authen response status GET_PASSWORD (8)
Feb 5 02:06:48.266: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.266: TPLUS: Received authen response status PASS (2)

Exemplo da fase de autorização:

Feb 5 02:06:48.267: TPLUS: Queuing AAA Authorization request 0 for processing
Feb 5 02:06:48.267: TPLUS: Authorization request created for 0(lobbyTac)
Feb 5 02:06:48.267: TPLUS: Using server 192.168.166.8
Feb 5 02:06:48.279: TPLUS(00000000)/0/7FB7819E2100: Processing the reply packet
Feb 5 02:06:48.279: TPLUS: Processed AV priv-lvl=15
Feb 5 02:06:48.279: TPLUS: Processed AV user-type=lobby-admin
Feb 5 02:06:48.279: TPLUS: received authorization response for 0: PASS

Os exemplos de depuração mencionados anteriormente para RADIUS e TACACS+ têm as etapas-chave para um login bem-sucedido. As depurações são mais detalhadas e a saída será maior. Para desabilitar as depurações, este comando pode ser usado:

Tim-eWLC1#undebug all