Ejemplo de configuración de autenticación del servidor

Anuncio
Ejemplo de configuración de autenticación del servidor RADIUS de
usuarios de la administración en el controlador
Contenido
Introducción
Requisitos previos
Requerimientos
Componentes utilizados
Convenciones
Configuración
Diagrama de la red
Configuraciones
Configuración de WLC
Configuración de ACS
Administración de WLC local y a través del servidor RADIUS
Verificación
Resolución de problemas
Introducción
Este documento explica cómo configurar un controlador para redes LAN inalámbricas (WLC) y un servidor de control de acceso (ACS), de modo
que el servidor AAA pueda autenticar usuarios de administración en el controlador. El documento también explica cómo varios usuarios de
administración pueden recibir diversos privilegios utilizando atributos específicos del proveedor (VSA) devueltos por el servidor RADIUS de
Cisco Secure ACS.
Requisitos previos
Requerimientos
Asegúrese de que cumple estos requerimientos antes de intentar esta configuración:
Tener conocimiento de cómo configurar parámetros básicos en los WLC
Tener conocimiento de cómo configurar un servidor RADIUS como Cisco Secure ACS
Componentes utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware:
Controlador para redes LAN inalámbricas de Cisco 2006 que ejecuta la versión 4.0.179.11
Cisco Secure ACS que ejecuta la versión 3.2 del software y se utiliza como servidor RADIUS en esta configuración
La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos
que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber
comprendido el impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.
Configuración
En esta sección se presenta información sobre cómo configurar WLC y ACS para el propósito descrito en este documento.
Nota: Utilice la herramienta Command Lookup Tool (sólo para clientes registrados) para obtener más información acerca de los comandos utilizados
en este documento.
Diagrama de la red
En este documento se utiliza la siguiente configuración de red:
En este ejemplo de configuración se utiliza los siguientes parámetros:
Dirección IP del ACS: 172.16.1.1/255.255.0.0
Dirección IP de la interfaz de administración del controlador: 172.16.1.30/255.255.0.0
Clave secreta compartida que se utiliza en el punto de acceso (AP) y el servidor RADIUS: cisco
Éstas son las credenciales de los dos usuarios que este ejemplo configura en el ACS:
Nombre de usuario: acsreadwrite
Contraseña: acsreadwrite
Nombre de usuario: acsreadonly
Contraseña: acsreadonly
Esta configuración presenta las siguientes características:
Cualquier usuario que se conecte al WLC con el nombre de usuario y contraseña acsreadwrite obtiene acceso administrativo completo al
WLC.
Cualquier usuario que se conecte al WLC con el nombre de usuario y contraseña acsreadonly obtiene acceso de sólo lectura al WLC.
Configuraciones
En este documento se utilizan las configuraciones siguientes:
Configuración de WLC
Configuración de ACS
Configuración de WLC
Para realizar la autenticación RADIUS, para la conexión del controlador y la administración, asegúrese de que el indicador Admin-auth-viaRADIUS (Autenticación de administración por RADIUS) está activado en el controlador.
Esto se puede comprobar en el resultado del comando show radius summary. Este resultado incluye un ejemplo:
(Cisco Controller) >show radius summary
Vendor Id Backward Compatibility.................Disabled
Credentials Caching..............................Disabled
Call Station Id Type.............................IP Address
Administrative Authentication via RADIUS.........Disabled
Aggressive Failover..............................Enabled
Keywrap..........................................Disabled
La información resaltada en el resultado del comando show radius summary muestra que la autenticación administrativa mediante RADIUS
está desactivada actualmente. Para activarla, ejecute el comando config radius admin-authentication enable desde la CLI del WLC.
El comando config radius admin-authentication enable activa la autenticación administrativa mediante RADIUS. Ahora puede configurar el
servidor RADIUS para administrar los usuarios del WLC.
Una vez comprobado, termine los pasos de la sección Configuración del controlador para aceptar administración a través del ACS en el lado del
controlador.
Configuración del controlador para aceptar administración a través del ACS
Complete estos pasos para configurar el WLC con detalles sobre el ACS.
1. Desde la interfaz gráfica de usuario del WLC, vaya a la ficha Security (Seguridad) y configure la dirección IP y la contraseña del servidor
ACS. A continuación, haga clic en Apply (Aplicar).
Este secreto compartido debe ser el mismo que en el ACS para que el WLC se comunique con el ACS. Esta figura muestra un ejemplo.
2. Active Management (Administración) para permitir que el ACS administre los usuarios del WLC, tal y como se muestra en la figura del
paso 1 de este procedimiento.
Nota: El controlador primero busca el nombre de usuario y la contraseña en los usuarios de administración definidos localmente del
controlador antes de intentar autenticar al usuario de administración mediante el servidor RADIUS.
3. Compruebe si el WLC está configurado para administrarse mediante ACS. Para ello, vaya a la interfaz gráfica de usuario del WLC y haga
clic en Security (Seguridad). La ventana de la interfaz gráfica de usuario resultante presenta un aspecto similar al de este ejemplo.
Como puede ver, la casilla de verificación Management (Administración) se ha activado para el servidor RADIUS 172.16.1.1. Esto indica
que se permite al ACS autenticar a usuarios de administración en el WLC.
Configuración de ACS
Complete los pasos de estas secciones para configurar el ACS:
1.
2.
3.
4.
Agregue el WLC como cliente AAA al servidor RADIUS.
Configure los usuarios y los atributos de IETF de RADIUS correspondientes.
Configure un usuario con acceso de lectura y escritura.
Configure un usuario con acceso de sólo lectura.
Agregue el WLC como cliente AAA al servidor RADIUS.
En este documento se utiliza el ACS como servidor RADIUS. Puede utilizar cualquier servidor RADIUS para esta configuración.
Complete estos pasos para agregar el WLC como cliente AAA en el ACS.
1. En la interfaz gráfica de usuario del ACS, vaya a la ficha Network Configuration (Configuración de red).
2. En los clientes AAA, haga clic en Add Entry (Agregar entrada).
3. En la ventana Add AAA Client (Agregar cliente AAA), introduzca el nombre del WLC host, la dirección IP del WLC y una clave secreta
compartida.
En este ejemplo, ésta es la configuración:
El nombre de host del cliente AAA es WLC2006.
172.16.1.30/16 es la dirección IP del cliente AAA, que en este caso es el WLC.
La clave secreta compartida es "cisco".
Esta clave secreta compartida debe ser la misma que la clave secreta compartida configurada en el WLC.
4. En el menú desplegable Authenticate Using (Autenticar mediante), seleccione RADIUS (Cisco Aironet).
5. Haga clic en Submit + Restart (Enviar + Reiniciar) para guardar la configuración.
Configuración de usuarios y sus atributos de IETF de RADIUS correspondientes.
Para autenticar a un usuario mediante un servidor RADIUS, para la conexión y la administración del controlador, debe agregar el usuario a la
base de datos de RADIUS estableciendo el atributo Service-Type (Tipo de servicio) de los atributos de IETF de RADIUS en el valor adecuado
según los privilegios del usuario.
Para establecer privilegios de lectura y escritura para el usuario, establezca el atributo Service-Type (Tipo de servicio) en Administrative
(Administrativo).
Para establecer privilegios de sólo lectura para el usuario, establezca el atributo Service-Type (Tipo de servicio) en NAS-Prompt
(Solicitud NAS).
Configuración de un usuario con acceso de lectura y escritura.
El primer ejemplo muestra la configuración de un usuario con acceso completo al WLC. Por tanto, cuando este usuario determinado intenta
conectarse al controlador, el servidor RADIUS lo autentica y le proporciona acceso administrativo completo.
En este ejemplo, el nombre de usuario y la contraseña son acsreadwrite.
Complete estos pasos en el ACS.
1. En la interfaz gráfica de usuario del ACS, vaya a la ficha User Setup (Configuración de usuario).
2. Escriba el nombre de usuario que se agregará al ACS, como se muestra en esta ventana de ejemplo.
3. Haga clic en Add/Edit (Agregar/editar) para acceder a la página User Edit (Editar usuario).
4. En la página User Edit (Editar usuario), proporcione el nombre real, la descripción y la contraseña de este usuario.
5. Desplácese hacia abajo hasta el parámetro IETF RADIUS Attributes (Atributos de IETF de RADIUS) y active el atributo Service-Type
(Tipo de servicio).
6. Puesto que, en este ejemplo, es necesario conceder acceso completo al usuario acsreadwrite, seleccione Administrative (Administrativo)
en el menú desplegable de Service-Type (Tipo de servicio) y haga clic en Submit (Enviar).
Así se asegura que este usuario tenga acceso de lectura y escritura en el WLC.
A veces, este atributo de tipo de servicio no se muestra en la configuración de usuario. En tales casos, complete estos pasos para hacerlo visible.
1. En la interfaz gráfica de usuario del ACS, seleccione Interface Configuration > RADIUS (IETF) (Configuración de interfaz > RADIUS
(IETF)) para activar los atributos IETF en la ventana User Configuration (Configuración del usuario).
Esto le lleva a la página RADIUS (IETF) Settings (Configuración de RADIUS (IETF)).
2. En la página RADIUS (IETF) Settings (Configuración de RADIUS (IETF)) puede activar el atributo IETF que desea hacer visible en la
configuración del usuario o de grupo. Para esta configuración, active Service-Type (Tipo de servicio) en la columna User (Usuario) y haga
clic en Submit (Enviar). Esta ventana muestra un ejemplo.
Note: En este ejemplo se especifica la autenticación por usuario. También puede realizar la autenticación basada en el grupo al que
pertenece un determinado usuario. En tales casos, active la casilla de verificación Group (Grupo), de modo que este atributo sea visible en
las configuraciones de grupo. Para este ejemplo, no es necesario activar la casilla de verificación Group (Grupo).
Nota: Asimismo, si la autenticación se basa en grupo, debe asignar usuarios a un grupo determinado y establecer los atributos de IETF de
la configuración de grupo, para proporcionar privilegios de acceso a los usuarios de dicho grupo. Consulte User Group Management
(Administración de grupos de usuarios) para obtener información detallada sobre cómo configurar y administrar grupos.
Configuración de un usuario con acceso de sólo lectura
Este ejemplo muestra la configuración de un usuario con acceso al WLC de sólo lectura. Por tanto, cuando este usuario determinado intenta
conectarse al controlador, el servidor RADIUS lo autentica y le proporciona acceso de sólo lectura.
En este ejemplo, el nombre de usuario y la contraseña son acsreadonly.
Complete estos pasos en el ACS:
1. En la interfaz gráfica de usuario del ACS, vaya a la ficha User Setup (Configuración de usuario).
2. Escriba el nombre de usuario que desee agregar al ACS y, a continuación, haga clic en Add/Edit (Agregar/editar) para acceder a la página
User Edit (Editar usuario).
3. Proporcione el nombre real, la descripción y la contraseña de este usuario. Esta ventana muestra un ejemplo.
4. Desplácese hacia abajo hasta el parámetro IETF RADIUS Attributes (Atributos de IETF de RADIUS) y active el atributo Service-Type
(Tipo de servicio).
5. Puesto que, en este ejemplo, el usuario acsreadonly precisa disponer de acceso de sólo lectura, seleccione NAS Prompt (Solicitud NAS) en
el menú desplegable Service-Type (Tipo de servicio) y haga clic en Submit (Enviar).
Así se asegura que este usuario tenga acceso de sólo lectura en el WLC.
Administración de WLC local y a través del servidor RADIUS
También puede configurar los usuarios de administración localmente en el WLC. Esto puede hacerse desde la interfaz gráfica de usuario del
controlador, en Management > Local Management Users (Administración > Usuarios de administración local)
Suponga que el WLC está configurado con usuarios de administración tanto localmente como en el servidor RADIUS con la casilla de
verificación Management (Administración) activada. En esta situación, cuando un usuario intenta conectarse al WLC, el WCL se comporta de
esta forma:
1. En primer lugar, el WLC analiza los usuarios locales de administración definidos para validar al usuario. Si el usuario existe en la lista
local, permite la autenticación del mismo. Si este usuario no aparece localmente, entonces analiza el servidor RADIUS.
2. Si el mismo usuario existe tanto localmente como en el servidor RADIUS pero con diferentes privilegios de acceso, el WLC autentica al
usuario con los privilegios especificados localmente. Es decir, la configuración local en el WLC siempre tiene preferencia cuando se
compara con el servidor RADIUS.
Verificación
Utilice esta sección para confirmar que la configuración funciona correctamente.
Para verificar si la configuración funciona correctamente, acceda al WLC a través del modo CLI o interfaz gráfica de usuario (HTTP/HTTPS).
Cuando aparece la solicitud de conexión, escriba el nombre de usuario y la contraseña según lo configurado en el ACS.
Si la configuración es correcta, se le autenticará correctamente en el WLC.
También puede asegurarse de si se asignan restricciones de acceso al usuario autenticado según lo especificado por el ACS. Para ello, acceda a la
interfaz gráfica de usuario del WLC mediante HTTP/HTTPS (asegúrese de que el WLC esté configurado para permitir HTTP/HTTPS).
Un usuario con acceso de lectura y escritura establecido en el ACS dispone de varios privilegios configurables en el WLC. Por ejemplo, un
usuario de lectura y escritura tiene el privilegio de crear una WLAN nueva en la página WLANs del WLC. Esta ventana muestra un ejemplo. El
botón New (Nueva) proporciona al usuario de lectura y escritura la opción de crear una WLAN nueva. Esta opción y el resto de las opciones
configurables no están disponibles para los usuarios de sólo lectura.
He aquí un ejemplo que hace referencia a la misma página WLANs en el controlador, pero para un usuario de sólo lectura. Tenga en cuenta que
no está la opción de creación de una WLAN nueva.
Estas restricciones de acceso también pueden verificarse mediante la CLI del WLC. Este resultado muestra un ejemplo.
(Cisco Controller) >?
debug
help
linktest
logout
show
Manages system debug options.
Help
Perform a link test to a specified MAC address.
Exit this session. Any unsaved changes are lost.
Display switch options and settings.
Como este resultado de ejemplo muestra un símbolo ? en el controlador, la CLI muestra una lista de comandos disponibles para el usuario actual.
Observe también que el comando config no está disponible en este resultado del comando. Esto indica que un usuario de sólo lectura no tiene el
privilegio de realizar configuraciones en el WLC. En cambio, un usuario de lectura y escritura tiene los privilegios para realizar configuraciones
en el controlador (modos de interfaz gráfica de usuario y CLI).
Note: Incluso después de autenticar a un usuario de WLC a través del servidor RADIUS, a medida que navega de página en página, el servidor
HTTP[S] autentica completamente al cliente cada vez. La única razón por la que no se le solicita la autenticación en cada página es que el
explorador guarda en memoria caché y transmite de nuevo las credenciales.
Resolución de problemas
Hay determinadas circunstancias en las que un controlador autentica a usuarios de administración a través del ACS, la autenticación se realiza
correctamente (access-accept (aceptación de acceso)) y no aparece ningún error de autorización en el controlador. Sin embargo, se solicita de
nuevo la autenticación al usuario.
En tales casos, no puede interpretar qué es incorrecto y por qué el usuario no se puede conectar al WLC sólo con el comando debug aaa events
enable. En su lugar, el controlador muestra otra solicitud de autenticación.
Una posible razón de esto es que no se haya configurado el ACS para transmitir el atributo Service-Type (Tipo de servicio) para ese usuario o
grupo concretos, a pesar de que el nombre de usuario y la contraseña se hayan configurado correctamente en el ACS.
El resultado del comando debug aaa events enable no indica que un usuario no tenga los atributos necesarios (en este ejemplo, el atributo
Service-Type (Tipo de servicio)), aunque se devuelva access-accept (aceptación de acceso) desde el servidor AAA. El resultado del comando
debug aaa events enable de este ejemplo lo indica.
(Cisco Controller) >debug aaa events enable
Unable to find requested user entry for acsserver
Mon Nov 13 20:14:33 2006: AuthenticationRequest: 0xa449a8c
Mon Nov 13 20:14:33 2006: Callback.....................................0x8250c40
Mon Nov 13 20:14:33 2006: protocolType.................................0x00020001
Mon Nov 13 20:14:33 2006: proxyState......................1A:00:00:00:00:00-00:00
Mon Nov 13 20:14:33 2006: Packet contains 5 AVPs (not shown)
Mon Nov 13 20:14:33 2006: 1a:00:00:00:00:00 Successful transmission of
Authentication Packet (id 8) to 172.16.1.1:1812, proxy state 1a:00:00:00:00:00-00:00
Mon Nov 13 20:14:33 2006: ****Enter processIncomingMessages: response code=2
Mon Nov 13 20:14:33 2006: ****Enter processRadiusResponse: response code=2
Mon Nov 13 20:14:33 2006: 1a:00:00:00:00:00 Access-Accept
received from RADIUS server 172.16.1.1 for mobile 1a:00:00:00:00:00 receiveId = 0
Mon Nov 13 20:14:33 2006: AuthorizationResponse: 0x9802520
Mon Nov 13 20:14:33 2006: structureSize................................28
Mon Nov 13 20:14:33 2006: resultCode...................................0
Mon Nov 13 20:14:33 2006: protocolUsed.................................0x00000001
Mon Nov 13 20:14:33 2006: proxyState.......................1A:00:00:00:00:00-00:00
Mon Nov 13 20:14:33 2006: Packet contains 0 AVPs:
En este primer resultado del comando debug aaa events enable de ejemplo, puede verse que se recibe correctamente el mensaje Access-Accept
(Aceptación de acceso) del servidor RADIUS, pero que el atributo Service-Type (Tipo de servicio) no se pasa al WLC. Esto se debe a que el
usuario concreto no está configurado con este atributo en el ACS.
El error de funcionamiento de Cisco CSCsg48232 (sólo para clientes registrados) está asociado con este problema. Consulte también el error de
funcionamiento de Cisco CSCsg48228 (sólo para clientes registrados) para obtener más información.
La solución alternativa es configurar el usuario estableciendo el valor del atributo Service-Type (Tipo de servicio) en Administrative
(Administrativo) o NAS-Prompt (Solicitud NAS) según los privilegios del usuario. Esto se debe realizar en el ACS.
Este segundo ejemplo muestra de nuevo el resultado del comando debug aaa events enable. Sin embargo, esta vez el atributo Service-Type
(Tipo de servicio) se establece como Administrative (Administrativo) en el ACS.
(Cisco Controller)>debug aaa events enable
Unable to find requested user entry for acsserver
Mon Nov 13 20:17:02 2006: AuthenticationRequest: 0xa449f1c
Mon Nov 13 20:17:02 2006: Callback.....................................0x8250c40
Mon Nov 13 20:17:02 2006: protocolType.................................0x00020001
Mon Nov 13 20:17:02 2006: proxyState.......................1D:00:00:00:00:00-00:00
Mon Nov 13 20:17:02 2006: Packet contains 5 AVPs (not shown)
Mon Nov 13 20:17:02 2006: 1d:00:00:00:00:00 Successful transmission of
Authentication Packet (id 11) to 172.16.1.1:1812, proxy state 1d:00:00:00:00:00-00:00
Mon Nov 13 20:17:02 2006: ****Enter processIncomingMessages: response code=2
Mon Nov 13 20:17:02 2006: ****Enter processRadiusResponse: response code=2
Mon Nov 13 20:17:02 2006: 1d:00:00:00:00:00 Access-Accept received
from RADIUS server 172.16.1.1 for mobile 1d:00:00:00:00:00 receiveId = 0
Mon Nov 13 20:17:02 2006: AuthorizationResponse: 0x9802520
Mon Nov 13 20:17:02 2006: structureSize................................100
Mon Nov 13 20:17:02 2006: resultCode...................................0
Mon Nov 13 20:17:02 2006: protocolUsed.................................0x00000001
Mon Nov 13 20:17:02 2006: proxyState.......................1D:00:00:00:00:00-00:00
Mon Nov 13 20:17:02 2006: Packet contains 2 AVPs:
Mon Nov 13 20:17:02 2006: AVP[01] Service-Type...........0x00000006 (6) (4 bytes)
Mon Nov 13 20:17:02 2006: AVP[02] Class.........CISCOACS:000d1b9f/ac100128/acsserver (36 bytes)
Puede ver en el resultado de este ejemplo que el atributo Service-Type (Tipo de servicio) se pasa al WLC.
© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 18 Abril 2008
http://www.cisco.com/cisco/web/support/LA/7/77/77782_manage-wlc-users-radius.html
Descargar