Gestion Access pour AireOS WLC par Microsoft NPS · à savoir. le loginuser a juste l'accès en...

Gestion Access pour AireOS WLC par MicrosoftNPS Contenu

IntroductionConditions préalablesConditions requisesComposants utilisésInformations généralesConfigurationsConfiguration WLCConfiguration de Microsoft NPSVérifierDépanner

Introduction

Ce document décrit comment configurer l'accès de Gestion pour le GUI et le CLI d'AireOS WLCpar le policy server de réseau Microsoft (NPS).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

La connaissance des solutions de sécurité sans fil●

Concepts d'AAA et de RADIUS●

Connaissance de base du serveur 2012 de Microsoft●

Installation de Microsoft NPS et Répertoire actif (AD)●

Composants utilisés

Les informations fournies dans ce document sont basées sur le logiciel et les composantsmatériels suivants.

Contrôleur d'AireOS (5520) sur 8.8.120.0●

Serveur 2012 de Microsoft●

Remarque: Ce document est destiné pour donner aux lecteurs un exemple de laconfiguration exigée sur un serveur de Microsoft pour l'accès de Gestion WLC. Laconfiguration du serveur de Microsoft Windows présentée dans ce document a été testéedans le laboratoire et avérée pour fonctionner comme prévue. Si vous avez des ennuis avecla configuration, contactez Microsoft pour l'aide. Le centre d'assistance technique Cisco

(TAC) ne prend en charge pas la configuration du serveur de Microsoft Windows. MicrosoftWindows 2012 guides d'installation et de configuration peut être trouvé sur le net de tech deMicrosoft.

Les informations contenues dans ce document ont été créées à partir des périphériques d'unenvironnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ontdémarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Quand WLC CLI/GUI est accédé à, l'utilisateur est incité à entrer dans les qualifications pourouvrir une session avec succès. Les qualifications peuvent être vérifiées contre une base dedonnées locale ou un serveur externe d'AAA. Dans ce document, Microsoft NPS est utilisé en tantque serveur d'authentification externe.

Configurations

Dans cet exemple, deux utilisateurs sont configurés sur le loginuser et l'adminuser de l'AAA (NPS)à savoir. le loginuser a juste l'accès en lecture seule tandis qu'on accorde l'adminuser l'accèscomplet.

Configuration WLC

Étape 1. Ajoutez le serveur de RADIUS sur le contrôleur. Naviguez vers le Security > Radius >Authentication. Cliquez sur New pour ajouter le serveur. Assurez que l'option d'administration estactivée de sorte que ce serveur puisse être utilisé pour l'accès de Gestion, suivant les indicationsde cette image.

Étape 2. Naviguez vers l'utilisateur de Sécurité > de commande > de Gestion prioritaire. Assurez-vous que RADIUS est sélectionné pendant qu'un de l'authentification tape.

Remarque: Si RADIUS est sélectionné comme première priorité dans l'authentication order,des qualifications locales seront utilisées pour l'authentification seulement si le serveur deRADIUS est inaccessible. Si RADIUS est sélectionné comme deuxième priorité, lesqualifications de RADIUS seront d'abord vérifiées contre la base de données locale et puis,vérifié contre les serveurs configurés de RADIUS.

Configuration de Microsoft NPS

Étape 1. Ouvrez le serveur de Microsoft NPS. Clic droit sur des clients RADIUS. Cliquez sur

New pour ajouter le WLC en tant que client RADIUS.

Écrivez les détails requis. Veuillez s'assurer que le secret partagé est identique que celuiconfiguré sur le contrôleur tandis que le serveur de RADIUS est ajouté.

Étape 2. Naviguez vers des stratégies > des stratégies de demande de connexion. Cliquez avec lebouton droit pour ajouter une nouvelle stratégie, suivant les indications de l'image.

Étape 3. Dans les conditions tabulez, identifiant choisi de NAS comme nouvel état. Une fois incité,entrez dans l'adresse Internet du contrôleur comme valeur, suivant les indications de l'image.

Étape 4. Naviguez vers des stratégies > des politiques réseau. Cliquez avec le bouton droit pourajouter une nouvelle stratégie. Dans cet exemple, la stratégie est nommée le Cisco WLC RW quiimplique que la stratégie est utilisée pour fournir le plein accès (lecture/écriture). Assurez-vousque la stratégie est configurée comme affiché ici.

Étape 5. Sous l'onglet de conditions, cliquez sur Add. Sélectionnez les groupes d'utilisateurs etcliquez sur Add, suivant les indications de l'image.

Étape 6. Cliquez sur en fonction les groupes Add sur la boîte de dialogue qui apparaît. Sur lafenêtre de groupe choisie qui apparaît, sélectionnez le type et l'emplacement d'objet désirés etécrivez le nom d'objet requis, suivant les indications de l'image.

La condition, si ajoutée correctement, devrait regarder comme affichée ici.

Remarque: Pour découvrir les détails d'emplacement et de nom d'objet, ouvrir le répertoireactif et rechercher le nom d'utilisateur désiré. Dans cet exemple, les admins de domaine secompose des utilisateurs qui sont donnés l'accès complet. l'adminuser fait partie de ce nomd'objet.

Étape 7. Sous les contraintes tabulez, naviguez vers des méthodes d'authentification et assurezque seulement l'authentification décryptée est vérifiée.

Étape 8. Sous l'onglet Settings, naviguez vers des attributs RADIUS > la norme. Cliquez surAdd pour ajouter un nouvel attribut, type de service. Du menu déroulant, administratif choisi pourfournir l'accès complet aux utilisateurs tracés à cette stratégie. Cliquez sur en fonction Apply poursauvegarder les modifications, suivant les indications de l'image.

Remarque: Si vous voulez donner l'accès en lecture seule aux utilisateurs spécifiques, Nas-demande choisie du déroulant. Dans cet exemple, une autre stratégie nommée RO de CiscoWLC est créée pour permettre d'accéder l'accès en lecture seule aux utilisateurs sous lenom d'objet d'utilisateurs de domaine.

Vérifiez

1. Quand des qualifications de loginuser sont utilisées, on ne permet pas à l'l'utilisateur pour neconfigurer aucune modification sur le contrôleur.

Du debug aaa tout l'enable, vous pouvez voir que la valeur d'attribut de type de service dans laréponse d'autorisation est 7 qui correspond Nas-demande.

*aaaQueueReader: Dec 07 22:20:14.664: 30:01:00:00:00:00 Successful transmission of

Authentication Packet (pktId 14) to 10.106.33.39:1812 from server queue 0, proxy state

30:01:00:00:00:00-00:00

*aaaQueueReader: Dec 07 22:20:14.664: 00000000: 01 0e 00 48 47 f8 f3 5c 58 46 98 ff 8e f8 20 7a

...HG..\XF.....z

*aaaQueueReader: Dec 07 22:20:14.664: 00000010: f6 a1 f1 d1 01 0b 6c 6f 67 69 6e 75 73 65 72 02

......loginuser.

*aaaQueueReader: Dec 07 22:20:14.664: 00000020: 12 c2 34 69 d8 72 fd 0c 85 aa af 5c bd 76 96 eb

..4i.r.....\.v..

*aaaQueueReader: Dec 07 22:20:14.664: 00000030: 60 06 06 00 00 00 07 04 06 0a 6a 24 31 20 0b 43

`.........j$1..C

*aaaQueueReader: Dec 07 22:20:14.664: 00000040: 69 73 63 6f 2d 57 4c 43 isco-WLC

:

:

*radiusTransportThread: Dec 07 22:20:14.668: 30:01:00:00:00:00 Access-Accept received from

RADIUS server 10.106.33.39 (qid:0) with port:1812, pktId:14

*radiusTransportThread: Dec 07 22:20:14.668: AuthorizationResponse: 0xa3d3fb25a0

*radiusTransportThread: Dec 07 22:20:14.668: RadiusIndexSet(1), Index(1)

*radiusTransportThread: Dec 07 22:20:14.668: structureSize................................304

*radiusTransportThread: Dec 07 22:20:14.668:

protocolUsed.................................0x00000001


proxyState...................................30:01:00:00:00:00-00:00

*radiusTransportThread: Dec 07 22:20:14.668: Packet contains 2 AVPs:

*radiusTransportThread: Dec 07 22:20:14.668: AVP[01] Service-

Type.............................0x00000007 (7) (4 bytes)

*radiusTransportThread: Dec 07 22:20:14.668: AVP[02]

Class....................................DATA (44 bytes)

2. Quand des qualifications d'adminuser sont utilisées, l'utilisateur devrait avoir l'accès completavec la valeur 6 de type de service, qui correspond à administratif.

*aaaQueueReader: Dec 07 22:14:27.439: AuthenticationRequest: 0x7fba240c2f00

*aaaQueueReader: Dec 07 22:14:27.439: Callback.....................................0xa3c13ccb70

*aaaQueueReader: Dec 07 22:14:27.439:

proxyState...................................2E:01:00:00:00:00-00:00

*aaaQueueReader: Dec 07 22:14:27.439: Packet contains 5 AVPs:

*aaaQueueReader: Dec 07 22:14:27.439: AVP[01] User-Name................................adminuser

(9 bytes)

*aaaQueueReader: Dec 07 22:14:27.439: AVP[04] Nas-Ip-

Address...........................0x0a6a2431 (174728241) (4 bytes)

*aaaQueueReader: Dec 07 22:14:27.439: AVP[05] NAS-Identifier...........................Cisco-WLC

(9 bytes)

:

:

*radiusTransportThread: Dec 07 22:14:27.442: 2e:01:00:00:00:00 Access-Accept received from





protocolUsed.................................0x00000001


proxyState...................................2E:01:00:00:00:00-00:00


Type.............................0x00000006 (6) (4 bytes)


Class....................................DATA (44 bytes)

Dépanner

Afin de dépanner l'accès de Gestion à WLC par NPS, exécutez le debug aaa toute lacommande d'enable.

1. Les logs quand des qualifications incorrectes sont utilisées est affichés ici.

*aaaQueueReader: Dec 07 22:36:39.753: 32:01:00:00:00:00 Successful transmission of

Authentication Packet (pktId 15) to 10.106.33.39:1812 from server queue 0, proxy state

32:01:00:00:00:00-00:00

*aaaQueueReader: Dec 07 22:36:39.753: 00000000: 01 0f 00 48 b7 e4 16 4d cc 78 05 32 26 4c ec 8d

...H...M.x.2&L..

*aaaQueueReader: Dec 07 22:36:39.753: 00000010: c7 a0 5b 72 01 0b 6c 6f 67 69 6e 75 73 65 72 02

..[r..loginuser.

*aaaQueueReader: Dec 07 22:36:39.753: 00000020: 12 03 a7 37 d4 c0 16 13 fc 73 70 df 1f de e3 e4

...7.....sp.....

*aaaQueueReader: Dec 07 22:36:39.753: 00000030: 32 06 06 00 00 00 07 04 06 0a 6a 24 31 20 0b 43

2.........j$1..C

*aaaQueueReader: Dec 07 22:36:39.753: 00000040: 69 73 63 6f 2d 57 4c 43 isco-WLC

*aaaQueueReader: Dec 07 22:36:39.753: 32:01:00:00:00:00 User entry not found in the Local FileDB

for the client.

*radiusTransportThread: Dec 07 22:36:39.763: 32:01:00:00:00:00 Counted 0 AVPs (processed 20

bytes, left 0)

*radiusTransportThread: Dec 07 22:36:39.763: 32:01:00:00:00:00 Access-Reject received from


*radiusTransportThread: Dec 07 22:36:39.763: 32:01:00:00:00:00 Did not find the macaddress to be

deleted in the RADIUS cache database

*radiusTransportThread: Dec 07 22:36:39.763: 32:01:00:00:00:00 Returning AAA Error

'Authentication Failed' (-4) for mobile 32:01:00:00:00:00 serverIdx 1

*radiusTransportThread: Dec 07 22:36:39.763: AuthorizationResponse: 0x7fbaebebf860


*radiusTransportThread: Dec 07 22:36:39.763: resultCode...................................-4


protocolUsed.................................0xffffffff


*emWeb: Dec 07 22:36:39.763: Authentication failed for loginuser

2. Les logs quand le type de service est utilisé avec une valeur autre qu'administratif (value=6) oula Nas-demande (value=7) est affichés comme suit. En pareil cas, la procédure de connexionéchoue même si l'authentification réussit.

*aaaQueueReader: Dec 07 22:46:31.849: AuthenticationRequest: 0x7fba240c56a8

*aaaQueueReader: Dec 07 22:46:31.849: Callback.....................................0xa3c13ccb70

*aaaQueueReader: Dec 07 22:46:31.849: protocolType.................................0x00020001

*aaaQueueReader: Dec 07 22:46:31.849:

proxyState...................................39:01:00:00:00:00-00:00

*aaaQueueReader: Dec 07 22:46:31.849: Packet contains 5 AVPs:

*aaaQueueReader: Dec 07 22:46:31.849: AVP[01] User-Name................................adminuser

(9 bytes)

*aaaQueueReader: Dec 07 22:46:31.849: AVP[02] User-Password............................[...]

*aaaQueueReader: Dec 07 22:46:31.849: AVP[03] Service-

Type.............................0x00000007 (7) (4 bytes)

*aaaQueueReader: Dec 07 22:46:31.849: AVP[04] Nas-Ip-

Address...........................0x0a6a2431 (174728241) (4 bytes)

*aaaQueueReader: Dec 07 22:46:31.849: AVP[05] NAS-Identifier...........................Cisco-WLC

(9 bytes)

:

:


*radiusTransportThread: Dec 07 22:46:31.853: RadiusIndexSet(1), Index(1)


*radiusTransportThread: Dec 07 22:46:31.853: resultCode...................................0


protocolUsed.................................0x00000001



Type.............................0x00000001 (1) (4 bytes)


Class....................................DATA (44 bytes)

*emWeb: Dec 07 22:46:31.853: Authentication succeeded for adminuser

Gestion Access pour AireOS WLC par Microsoft NPS · à savoir. le loginuser a juste l'accès en...

Documents

Transcript of Gestion Access pour AireOS WLC par Microsoft NPS · à savoir. le loginuser a juste l'accès en...