Ejemplo de configuración de autenticación del servidor RADIUS de usuarios de la administración en el controlador Contenido Introducción Requisitos previos Requerimientos Componentes utilizados Convenciones Configuración Diagrama de la red Configuraciones Configuración de WLC Configuración de ACS Administración de WLC local y a través del servidor RADIUS Verificación Resolución de problemas Introducción Este documento explica cómo configurar un controlador para redes LAN inalámbricas (WLC) y un servidor de control de acceso (ACS), de modo que el servidor AAA pueda autenticar usuarios de administración en el controlador. El documento también explica cómo varios usuarios de administración pueden recibir diversos privilegios utilizando atributos específicos del proveedor (VSA) devueltos por el servidor RADIUS de Cisco Secure ACS. Requisitos previos Requerimientos Asegúrese de que cumple estos requerimientos antes de intentar esta configuración: Tener conocimiento de cómo configurar parámetros básicos en los WLC Tener conocimiento de cómo configurar un servidor RADIUS como Cisco Secure ACS Componentes utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware: Controlador para redes LAN inalámbricas de Cisco 2006 que ejecuta la versión 4.0.179.11 Cisco Secure ACS que ejecuta la versión 3.2 del software y se utiliza como servidor RADIUS en esta configuración La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Convenciones Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento. Configuración En esta sección se presenta información sobre cómo configurar WLC y ACS para el propósito descrito en este documento. Nota: Utilice la herramienta Command Lookup Tool (sólo para clientes registrados) para obtener más información acerca de los comandos utilizados en este documento. Diagrama de la red En este documento se utiliza la siguiente configuración de red: En este ejemplo de configuración se utiliza los siguientes parámetros: Dirección IP del ACS: 172.16.1.1/255.255.0.0 Dirección IP de la interfaz de administración del controlador: 172.16.1.30/255.255.0.0 Clave secreta compartida que se utiliza en el punto de acceso (AP) y el servidor RADIUS: cisco Éstas son las credenciales de los dos usuarios que este ejemplo configura en el ACS: Nombre de usuario: acsreadwrite Contraseña: acsreadwrite Nombre de usuario: acsreadonly Contraseña: acsreadonly Esta configuración presenta las siguientes características: Cualquier usuario que se conecte al WLC con el nombre de usuario y contraseña acsreadwrite obtiene acceso administrativo completo al WLC. Cualquier usuario que se conecte al WLC con el nombre de usuario y contraseña acsreadonly obtiene acceso de sólo lectura al WLC. Configuraciones En este documento se utilizan las configuraciones siguientes: Configuración de WLC Configuración de ACS Configuración de WLC Para realizar la autenticación RADIUS, para la conexión del controlador y la administración, asegúrese de que el indicador Admin-auth-viaRADIUS (Autenticación de administración por RADIUS) está activado en el controlador. Esto se puede comprobar en el resultado del comando show radius summary. Este resultado incluye un ejemplo: (Cisco Controller) >show radius summary Vendor Id Backward Compatibility.................Disabled Credentials Caching..............................Disabled Call Station Id Type.............................IP Address Administrative Authentication via RADIUS.........Disabled Aggressive Failover..............................Enabled Keywrap..........................................Disabled La información resaltada en el resultado del comando show radius summary muestra que la autenticación administrativa mediante RADIUS está desactivada actualmente. Para activarla, ejecute el comando config radius admin-authentication enable desde la CLI del WLC. El comando config radius admin-authentication enable activa la autenticación administrativa mediante RADIUS. Ahora puede configurar el servidor RADIUS para administrar los usuarios del WLC. Una vez comprobado, termine los pasos de la sección Configuración del controlador para aceptar administración a través del ACS en el lado del controlador. Configuración del controlador para aceptar administración a través del ACS Complete estos pasos para configurar el WLC con detalles sobre el ACS. 1. Desde la interfaz gráfica de usuario del WLC, vaya a la ficha Security (Seguridad) y configure la dirección IP y la contraseña del servidor ACS. A continuación, haga clic en Apply (Aplicar). Este secreto compartido debe ser el mismo que en el ACS para que el WLC se comunique con el ACS. Esta figura muestra un ejemplo. 2. Active Management (Administración) para permitir que el ACS administre los usuarios del WLC, tal y como se muestra en la figura del paso 1 de este procedimiento. Nota: El controlador primero busca el nombre de usuario y la contraseña en los usuarios de administración definidos localmente del controlador antes de intentar autenticar al usuario de administración mediante el servidor RADIUS. 3. Compruebe si el WLC está configurado para administrarse mediante ACS. Para ello, vaya a la interfaz gráfica de usuario del WLC y haga clic en Security (Seguridad). La ventana de la interfaz gráfica de usuario resultante presenta un aspecto similar al de este ejemplo. Como puede ver, la casilla de verificación Management (Administración) se ha activado para el servidor RADIUS 172.16.1.1. Esto indica que se permite al ACS autenticar a usuarios de administración en el WLC. Configuración de ACS Complete los pasos de estas secciones para configurar el ACS: 1. 2. 3. 4. Agregue el WLC como cliente AAA al servidor RADIUS. Configure los usuarios y los atributos de IETF de RADIUS correspondientes. Configure un usuario con acceso de lectura y escritura. Configure un usuario con acceso de sólo lectura. Agregue el WLC como cliente AAA al servidor RADIUS. En este documento se utiliza el ACS como servidor RADIUS. Puede utilizar cualquier servidor RADIUS para esta configuración. Complete estos pasos para agregar el WLC como cliente AAA en el ACS. 1. En la interfaz gráfica de usuario del ACS, vaya a la ficha Network Configuration (Configuración de red). 2. En los clientes AAA, haga clic en Add Entry (Agregar entrada). 3. En la ventana Add AAA Client (Agregar cliente AAA), introduzca el nombre del WLC host, la dirección IP del WLC y una clave secreta compartida. En este ejemplo, ésta es la configuración: El nombre de host del cliente AAA es WLC2006. 172.16.1.30/16 es la dirección IP del cliente AAA, que en este caso es el WLC. La clave secreta compartida es "cisco". Esta clave secreta compartida debe ser la misma que la clave secreta compartida configurada en el WLC. 4. En el menú desplegable Authenticate Using (Autenticar mediante), seleccione RADIUS (Cisco Aironet). 5. Haga clic en Submit + Restart (Enviar + Reiniciar) para guardar la configuración. Configuración de usuarios y sus atributos de IETF de RADIUS correspondientes. Para autenticar a un usuario mediante un servidor RADIUS, para la conexión y la administración del controlador, debe agregar el usuario a la base de datos de RADIUS estableciendo el atributo Service-Type (Tipo de servicio) de los atributos de IETF de RADIUS en el valor adecuado según los privilegios del usuario. Para establecer privilegios de lectura y escritura para el usuario, establezca el atributo Service-Type (Tipo de servicio) en Administrative (Administrativo). Para establecer privilegios de sólo lectura para el usuario, establezca el atributo Service-Type (Tipo de servicio) en NAS-Prompt (Solicitud NAS). Configuración de un usuario con acceso de lectura y escritura. El primer ejemplo muestra la configuración de un usuario con acceso completo al WLC. Por tanto, cuando este usuario determinado intenta conectarse al controlador, el servidor RADIUS lo autentica y le proporciona acceso administrativo completo. En este ejemplo, el nombre de usuario y la contraseña son acsreadwrite. Complete estos pasos en el ACS. 1. En la interfaz gráfica de usuario del ACS, vaya a la ficha User Setup (Configuración de usuario). 2. Escriba el nombre de usuario que se agregará al ACS, como se muestra en esta ventana de ejemplo. 3. Haga clic en Add/Edit (Agregar/editar) para acceder a la página User Edit (Editar usuario). 4. En la página User Edit (Editar usuario), proporcione el nombre real, la descripción y la contraseña de este usuario. 5. Desplácese hacia abajo hasta el parámetro IETF RADIUS Attributes (Atributos de IETF de RADIUS) y active el atributo Service-Type (Tipo de servicio). 6. Puesto que, en este ejemplo, es necesario conceder acceso completo al usuario acsreadwrite, seleccione Administrative (Administrativo) en el menú desplegable de Service-Type (Tipo de servicio) y haga clic en Submit (Enviar). Así se asegura que este usuario tenga acceso de lectura y escritura en el WLC. A veces, este atributo de tipo de servicio no se muestra en la configuración de usuario. En tales casos, complete estos pasos para hacerlo visible. 1. En la interfaz gráfica de usuario del ACS, seleccione Interface Configuration > RADIUS (IETF) (Configuración de interfaz > RADIUS (IETF)) para activar los atributos IETF en la ventana User Configuration (Configuración del usuario). Esto le lleva a la página RADIUS (IETF) Settings (Configuración de RADIUS (IETF)). 2. En la página RADIUS (IETF) Settings (Configuración de RADIUS (IETF)) puede activar el atributo IETF que desea hacer visible en la configuración del usuario o de grupo. Para esta configuración, active Service-Type (Tipo de servicio) en la columna User (Usuario) y haga clic en Submit (Enviar). Esta ventana muestra un ejemplo. Note: En este ejemplo se especifica la autenticación por usuario. También puede realizar la autenticación basada en el grupo al que pertenece un determinado usuario. En tales casos, active la casilla de verificación Group (Grupo), de modo que este atributo sea visible en las configuraciones de grupo. Para este ejemplo, no es necesario activar la casilla de verificación Group (Grupo). Nota: Asimismo, si la autenticación se basa en grupo, debe asignar usuarios a un grupo determinado y establecer los atributos de IETF de la configuración de grupo, para proporcionar privilegios de acceso a los usuarios de dicho grupo. Consulte User Group Management (Administración de grupos de usuarios) para obtener información detallada sobre cómo configurar y administrar grupos. Configuración de un usuario con acceso de sólo lectura Este ejemplo muestra la configuración de un usuario con acceso al WLC de sólo lectura. Por tanto, cuando este usuario determinado intenta conectarse al controlador, el servidor RADIUS lo autentica y le proporciona acceso de sólo lectura. En este ejemplo, el nombre de usuario y la contraseña son acsreadonly. Complete estos pasos en el ACS: 1. En la interfaz gráfica de usuario del ACS, vaya a la ficha User Setup (Configuración de usuario). 2. Escriba el nombre de usuario que desee agregar al ACS y, a continuación, haga clic en Add/Edit (Agregar/editar) para acceder a la página User Edit (Editar usuario). 3. Proporcione el nombre real, la descripción y la contraseña de este usuario. Esta ventana muestra un ejemplo. 4. Desplácese hacia abajo hasta el parámetro IETF RADIUS Attributes (Atributos de IETF de RADIUS) y active el atributo Service-Type (Tipo de servicio). 5. Puesto que, en este ejemplo, el usuario acsreadonly precisa disponer de acceso de sólo lectura, seleccione NAS Prompt (Solicitud NAS) en el menú desplegable Service-Type (Tipo de servicio) y haga clic en Submit (Enviar). Así se asegura que este usuario tenga acceso de sólo lectura en el WLC. Administración de WLC local y a través del servidor RADIUS También puede configurar los usuarios de administración localmente en el WLC. Esto puede hacerse desde la interfaz gráfica de usuario del controlador, en Management > Local Management Users (Administración > Usuarios de administración local) Suponga que el WLC está configurado con usuarios de administración tanto localmente como en el servidor RADIUS con la casilla de verificación Management (Administración) activada. En esta situación, cuando un usuario intenta conectarse al WLC, el WCL se comporta de esta forma: 1. En primer lugar, el WLC analiza los usuarios locales de administración definidos para validar al usuario. Si el usuario existe en la lista local, permite la autenticación del mismo. Si este usuario no aparece localmente, entonces analiza el servidor RADIUS. 2. Si el mismo usuario existe tanto localmente como en el servidor RADIUS pero con diferentes privilegios de acceso, el WLC autentica al usuario con los privilegios especificados localmente. Es decir, la configuración local en el WLC siempre tiene preferencia cuando se compara con el servidor RADIUS. Verificación Utilice esta sección para confirmar que la configuración funciona correctamente. Para verificar si la configuración funciona correctamente, acceda al WLC a través del modo CLI o interfaz gráfica de usuario (HTTP/HTTPS). Cuando aparece la solicitud de conexión, escriba el nombre de usuario y la contraseña según lo configurado en el ACS. Si la configuración es correcta, se le autenticará correctamente en el WLC. También puede asegurarse de si se asignan restricciones de acceso al usuario autenticado según lo especificado por el ACS. Para ello, acceda a la interfaz gráfica de usuario del WLC mediante HTTP/HTTPS (asegúrese de que el WLC esté configurado para permitir HTTP/HTTPS). Un usuario con acceso de lectura y escritura establecido en el ACS dispone de varios privilegios configurables en el WLC. Por ejemplo, un usuario de lectura y escritura tiene el privilegio de crear una WLAN nueva en la página WLANs del WLC. Esta ventana muestra un ejemplo. El botón New (Nueva) proporciona al usuario de lectura y escritura la opción de crear una WLAN nueva. Esta opción y el resto de las opciones configurables no están disponibles para los usuarios de sólo lectura. He aquí un ejemplo que hace referencia a la misma página WLANs en el controlador, pero para un usuario de sólo lectura. Tenga en cuenta que no está la opción de creación de una WLAN nueva. Estas restricciones de acceso también pueden verificarse mediante la CLI del WLC. Este resultado muestra un ejemplo. (Cisco Controller) >? debug help linktest logout show Manages system debug options. Help Perform a link test to a specified MAC address. Exit this session. Any unsaved changes are lost. Display switch options and settings. Como este resultado de ejemplo muestra un símbolo ? en el controlador, la CLI muestra una lista de comandos disponibles para el usuario actual. Observe también que el comando config no está disponible en este resultado del comando. Esto indica que un usuario de sólo lectura no tiene el privilegio de realizar configuraciones en el WLC. En cambio, un usuario de lectura y escritura tiene los privilegios para realizar configuraciones en el controlador (modos de interfaz gráfica de usuario y CLI). Note: Incluso después de autenticar a un usuario de WLC a través del servidor RADIUS, a medida que navega de página en página, el servidor HTTP[S] autentica completamente al cliente cada vez. La única razón por la que no se le solicita la autenticación en cada página es que el explorador guarda en memoria caché y transmite de nuevo las credenciales. Resolución de problemas Hay determinadas circunstancias en las que un controlador autentica a usuarios de administración a través del ACS, la autenticación se realiza correctamente (access-accept (aceptación de acceso)) y no aparece ningún error de autorización en el controlador. Sin embargo, se solicita de nuevo la autenticación al usuario. En tales casos, no puede interpretar qué es incorrecto y por qué el usuario no se puede conectar al WLC sólo con el comando debug aaa events enable. En su lugar, el controlador muestra otra solicitud de autenticación. Una posible razón de esto es que no se haya configurado el ACS para transmitir el atributo Service-Type (Tipo de servicio) para ese usuario o grupo concretos, a pesar de que el nombre de usuario y la contraseña se hayan configurado correctamente en el ACS. El resultado del comando debug aaa events enable no indica que un usuario no tenga los atributos necesarios (en este ejemplo, el atributo Service-Type (Tipo de servicio)), aunque se devuelva access-accept (aceptación de acceso) desde el servidor AAA. El resultado del comando debug aaa events enable de este ejemplo lo indica. (Cisco Controller) >debug aaa events enable Unable to find requested user entry for acsserver Mon Nov 13 20:14:33 2006: AuthenticationRequest: 0xa449a8c Mon Nov 13 20:14:33 2006: Callback.....................................0x8250c40 Mon Nov 13 20:14:33 2006: protocolType.................................0x00020001 Mon Nov 13 20:14:33 2006: proxyState......................1A:00:00:00:00:00-00:00 Mon Nov 13 20:14:33 2006: Packet contains 5 AVPs (not shown) Mon Nov 13 20:14:33 2006: 1a:00:00:00:00:00 Successful transmission of Authentication Packet (id 8) to 172.16.1.1:1812, proxy state 1a:00:00:00:00:00-00:00 Mon Nov 13 20:14:33 2006: ****Enter processIncomingMessages: response code=2 Mon Nov 13 20:14:33 2006: ****Enter processRadiusResponse: response code=2 Mon Nov 13 20:14:33 2006: 1a:00:00:00:00:00 Access-Accept received from RADIUS server 172.16.1.1 for mobile 1a:00:00:00:00:00 receiveId = 0 Mon Nov 13 20:14:33 2006: AuthorizationResponse: 0x9802520 Mon Nov 13 20:14:33 2006: structureSize................................28 Mon Nov 13 20:14:33 2006: resultCode...................................0 Mon Nov 13 20:14:33 2006: protocolUsed.................................0x00000001 Mon Nov 13 20:14:33 2006: proxyState.......................1A:00:00:00:00:00-00:00 Mon Nov 13 20:14:33 2006: Packet contains 0 AVPs: En este primer resultado del comando debug aaa events enable de ejemplo, puede verse que se recibe correctamente el mensaje Access-Accept (Aceptación de acceso) del servidor RADIUS, pero que el atributo Service-Type (Tipo de servicio) no se pasa al WLC. Esto se debe a que el usuario concreto no está configurado con este atributo en el ACS. El error de funcionamiento de Cisco CSCsg48232 (sólo para clientes registrados) está asociado con este problema. Consulte también el error de funcionamiento de Cisco CSCsg48228 (sólo para clientes registrados) para obtener más información. La solución alternativa es configurar el usuario estableciendo el valor del atributo Service-Type (Tipo de servicio) en Administrative (Administrativo) o NAS-Prompt (Solicitud NAS) según los privilegios del usuario. Esto se debe realizar en el ACS. Este segundo ejemplo muestra de nuevo el resultado del comando debug aaa events enable. Sin embargo, esta vez el atributo Service-Type (Tipo de servicio) se establece como Administrative (Administrativo) en el ACS. (Cisco Controller)>debug aaa events enable Unable to find requested user entry for acsserver Mon Nov 13 20:17:02 2006: AuthenticationRequest: 0xa449f1c Mon Nov 13 20:17:02 2006: Callback.....................................0x8250c40 Mon Nov 13 20:17:02 2006: protocolType.................................0x00020001 Mon Nov 13 20:17:02 2006: proxyState.......................1D:00:00:00:00:00-00:00 Mon Nov 13 20:17:02 2006: Packet contains 5 AVPs (not shown) Mon Nov 13 20:17:02 2006: 1d:00:00:00:00:00 Successful transmission of Authentication Packet (id 11) to 172.16.1.1:1812, proxy state 1d:00:00:00:00:00-00:00 Mon Nov 13 20:17:02 2006: ****Enter processIncomingMessages: response code=2 Mon Nov 13 20:17:02 2006: ****Enter processRadiusResponse: response code=2 Mon Nov 13 20:17:02 2006: 1d:00:00:00:00:00 Access-Accept received from RADIUS server 172.16.1.1 for mobile 1d:00:00:00:00:00 receiveId = 0 Mon Nov 13 20:17:02 2006: AuthorizationResponse: 0x9802520 Mon Nov 13 20:17:02 2006: structureSize................................100 Mon Nov 13 20:17:02 2006: resultCode...................................0 Mon Nov 13 20:17:02 2006: protocolUsed.................................0x00000001 Mon Nov 13 20:17:02 2006: proxyState.......................1D:00:00:00:00:00-00:00 Mon Nov 13 20:17:02 2006: Packet contains 2 AVPs: Mon Nov 13 20:17:02 2006: AVP[01] Service-Type...........0x00000006 (6) (4 bytes) Mon Nov 13 20:17:02 2006: AVP[02] Class.........CISCOACS:000d1b9f/ac100128/acsserver (36 bytes) Puede ver en el resultado de este ejemplo que el atributo Service-Type (Tipo de servicio) se pasa al WLC. © 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 18 Abril 2008 http://www.cisco.com/cisco/web/support/LA/7/77/77782_manage-wlc-users-radius.html