Tweet
1.Cấu hình khai báo TACACS server Authentication Server
GUI:
CLI:
(Cisco Controller) >config tacacs auth add 1 10.215.26.50 49 ascii cisco vnpro@123
-Cấu hình khai báo TACACS server Authorization Server (thông tin Authorization sẽ được tự động tạo ra khi ta khai báo Authentication Server)
GUI:
CLI: (nếu ta cấu hình bằng CLI thì phải khai báo dòng lệnh sau)
Cisco Controller) >config tacacs athr add 1 10.215.26.50 49 ascii cisco vnpro@123
Cấu hình TACACS server Accounting Server
GUI:
CLI: (Cisco Controller) >config tacacs acct add 1 10.215.26.50 49 ascii cisco vnpro@123
- Cấu hình xác thực USER
GUI:
CLI: (Cisco Controller) >config aaa auth mgmt taccas local
2. Cấu hình trên Cisco ISE
- Add thiết bị WLC lên Cisco ISE: Work Centers -> Network Resource -> Click Add
- Ta tiến hành khai báo các thông tin của WLC bao gồm Name, IP của WLC, sau đó click vào TACACS -> điền thông tin Shared Secret -> Chọn Submit để lưu lại cấu hình
- Tiếp theo, ta tạo TACACS command Set cho quyền ADMIN: Work Center -> Policy Element -> Result -> TACACS Command Sets -> Click ADD
- Ta tiếp tục tạo Command Sets cho user Guest như sau: click Add -> đặt tên cho command set này -> Submit để lưu cấu hình
- Ta tiến hành tạo TACACS profile cho quyền Admin như sau: Tacacs Profiles -> add -> điền và chọn các thông tin như bên dưới -> chọn Submit để lưu cấu hình
- Tương tự ta tạo TACACS Profiles cho quyền Guest: TACACS Profiles -> Add -> điền và chọn thông tin như bên dưới -> Submit để lưu lại cấu hình
Tại mục Common Tasks ta chọn WLC: Đối với TACACS trên WLC, việc Authorization dựa trên tác vụ chứ không phải dựa trên Command, ta sẽ có các tác vụ chính trên WLC như sau:
- Ta tạo Account cho Quyền Admin như sau: điền Tên đăng nhập, Mật khẩu, Account này sẽ thuộc group Admin nên ta sẽ gọi tại Group vừa tạo ở trên -> chọn Submit để lưu cấu hình
- Tương tự ta tạo Account cho quyền Guest:
- Tiếp theo ta sẽ tạo Policy cho việc xác thực bằng TACACS: Work Centers -> Device Admin Policy Sets
- Click vào biểu tượng cài đặt -> Chọn Insert new role above như bên dưới để tạo mới Policy
- Ta cấu hình Condtion cho Policy này như sau, sau đó click Save để lưu lại, sau khi lưu thành công, ta sẽ tiếp tục cấu hình cho Policy này bằng cách click vào biểu tượng mũi tên >
- Tiếp theo ta sẽ cấu hình cho việc Authorization cho Account AdminWLC và Account GuestWLC như hình bên dưới, sau đó chọn Save để lưu lại cấu hình
Kiểm tra như sau: tiến hành đăng nhập vào vWLC với Username và Password tương ứng như đã tạo trên Cisco ISE, sau khi xác thực thành công trên Cisco ISE, ta sẽ login thành công được vào WLC
Ta có thể kiểm tra quá trình xác thực thành công bằng cách xem log trên Cisco ISE: Chọn Operations -> Tacacs -> Live logs
GUI:
CLI:
(Cisco Controller) >config tacacs auth add 1 10.215.26.50 49 ascii cisco vnpro@123
-Cấu hình khai báo TACACS server Authorization Server (thông tin Authorization sẽ được tự động tạo ra khi ta khai báo Authentication Server)
GUI:
CLI: (nếu ta cấu hình bằng CLI thì phải khai báo dòng lệnh sau)
Cisco Controller) >config tacacs athr add 1 10.215.26.50 49 ascii cisco vnpro@123
Cấu hình TACACS server Accounting Server
GUI:
CLI: (Cisco Controller) >config tacacs acct add 1 10.215.26.50 49 ascii cisco vnpro@123
- Cấu hình xác thực USER
GUI:
CLI: (Cisco Controller) >config aaa auth mgmt taccas local
2. Cấu hình trên Cisco ISE
- Add thiết bị WLC lên Cisco ISE: Work Centers -> Network Resource -> Click Add
- Ta tiến hành khai báo các thông tin của WLC bao gồm Name, IP của WLC, sau đó click vào TACACS -> điền thông tin Shared Secret -> Chọn Submit để lưu lại cấu hình
- Tiếp theo, ta tạo TACACS command Set cho quyền ADMIN: Work Center -> Policy Element -> Result -> TACACS Command Sets -> Click ADD
- Ta tiếp tục tạo Command Sets cho user Guest như sau: click Add -> đặt tên cho command set này -> Submit để lưu cấu hình
- Ta tiến hành tạo TACACS profile cho quyền Admin như sau: Tacacs Profiles -> add -> điền và chọn các thông tin như bên dưới -> chọn Submit để lưu cấu hình
- Tương tự ta tạo TACACS Profiles cho quyền Guest: TACACS Profiles -> Add -> điền và chọn thông tin như bên dưới -> Submit để lưu lại cấu hình
Tại mục Common Tasks ta chọn WLC: Đối với TACACS trên WLC, việc Authorization dựa trên tác vụ chứ không phải dựa trên Command, ta sẽ có các tác vụ chính trên WLC như sau:
- ALL: toàn quyền
- Monitor: Chỉ được quyền giám sát trên WLC, không được phép cấu hình
- Loppy: chế độ chờ, tại chế độ này User không truy cập được giao diện chính của WLC mà chỉ hiện thị ra các thông tin tổng quan về Clients cũng như SSID
- Selected: cho phép thực hiện các tác vụ bên trong nếu được check.
- Việc tiếp theo ta sẽ tiến hành tạo Account cho việc đăng nhập vào WLC trên Cisco ISE, đầu tiên ta tạo User Identity Groups: Work Center -> User Identity Groups -> Add
- Ta tạo Account cho Quyền Admin như sau: điền Tên đăng nhập, Mật khẩu, Account này sẽ thuộc group Admin nên ta sẽ gọi tại Group vừa tạo ở trên -> chọn Submit để lưu cấu hình
- Tương tự ta tạo Account cho quyền Guest:
- Tiếp theo ta sẽ tạo Policy cho việc xác thực bằng TACACS: Work Centers -> Device Admin Policy Sets
- Click vào biểu tượng cài đặt -> Chọn Insert new role above như bên dưới để tạo mới Policy
- Ta cấu hình Condtion cho Policy này như sau, sau đó click Save để lưu lại, sau khi lưu thành công, ta sẽ tiếp tục cấu hình cho Policy này bằng cách click vào biểu tượng mũi tên >
- Tiếp theo ta sẽ cấu hình cho việc Authorization cho Account AdminWLC và Account GuestWLC như hình bên dưới, sau đó chọn Save để lưu lại cấu hình
Kiểm tra như sau: tiến hành đăng nhập vào vWLC với Username và Password tương ứng như đã tạo trên Cisco ISE, sau khi xác thực thành công trên Cisco ISE, ta sẽ login thành công được vào WLC
Ta có thể kiểm tra quá trình xác thực thành công bằng cách xem log trên Cisco ISE: Chọn Operations -> Tacacs -> Live logs
Comment