[Cisco] Cách cấu hình xác thực WLC với Cisco ISE bằng giao thức TACACS+

Thảo luận trong 'Wireless' bắt đầu bởi hanhbuihbit, 2/8/23.

  1. hanhbuihbit

    hanhbuihbit New Member

    HƯỚNG DẪN CẤU HÌNH CISCO WLC ĐỂ SỬ DỤNG TACACS+ VỚI CISCO ISE:
    - Nếu bạn muốn sử dụng phương pháp xác thực TACACS+ kết hợp với Wireless Lan Controllers, bài viết này sẽ hướng dẫn bạn các bước đơn giản để thực hiện việc đó.

    - Các bước thực hiện sau đây được thực hiện trong môi trường với thiết bị Cisco 5520 WLC (ver 8.5) và Cisco ISE 2.4 với Device Administration đã được cấu hình sẵn.
    I. THÊM THIẾT BỊ WIRELESS LAN CONTROLLER VÀO CISCO ISE:
    - Bước đầu tiên chúng ta cần phải làm để thêm WLC vào ISE như là một tài nguyên mạng, cũng giống như các thiết bị mạng khác.

    Bước 1: Trên Cisco ISE, vào đường dẫn 'Work Center -> Device Administration -> Network Resources -> Network Devices'và click nút '+Add'.

    Bước 2: Nhập vào Tên 'Name' và địa chỉ 'IP Address' của WLC. Chọn loại thiết bị '* Device Profile' là Cisco. Bạn cũng có thể cấu hình thêm 'Location' và 'Device Type' theo ý bạn. Ở đây mình đã tạo một Wireless Lan Controllers Device Type.
    [​IMG]
    Bước 3: Chọn vào hộp thoại phía trước TACACS Authentication Settings và điền mật khẩu vào Shared Secret >click Save.
    [​IMG]
    II/ CẤU HÌNH CISCO ISE TACACS PROFILE CHO WLC:
    - Bước tiếp theo chúng ta cần làm đó là giúp Cisco ISE hiểu ngôn ngữ của WLC để điều khiển truy cập và phân quyền.

    - WLC sử dụng các thuộc tính TACACS+ tùy chọn đã được đặt ra làm role1, role2.v.v.. với một giá trị tương ứng với cấp độ truy cập mà bạn muốn cấp trong profile đó. Các role có thể thực hiện là MONITOR, WLAN, CONTROLLER, WIRELESS, SECURITY, MANAGEMENT, COMMAND, ALL, và LOBBY.

    - Bảy role được liệt kê đầu tiên nhằm kiểm soát quyền truy cập vào các menu được đặt tên tương ứng trong WLC giao diện web. TẤT CẢ cấp quyền read-write cho mọi thứ, LOBBY cấp quyền truy cập vào tính năng Lobby mà sẽ không được trình bày ở đây.

    - Khi định TACACS Profile, bạn có thể cấu hình nhiều role dưới dạng nhiều thuộc tính tùy chỉnh để cho phép truy cập read-write vào nhiều menu và read-only đối với phần còn lại. Ví dụ: nếu bạn muốn ai đó có quyền truy cập vào mạng WLAN và WIRELESS, bạn có thể tạo TACACS Profile có hai role (Role1 và Role2) với các giá trị WLAN và WIRELESS tương ứng như sau:
    Role1 = WLAN
    Role2 = WIRELESS

    - Trong bài viết này này, mình sẽ chỉ tạo một Profile với một vai trò có giá trị ALL mà mình sẽ sử dụng để cho phép các thành viên của Infrastructure Team có toàn quyền truy cập vào WLC thông qua TACACS+ auth.

    Bước 1. Đăng nhập vào ISE và vào theo đường dẫn Work Centers -> Device Administration -> Policy Elements -> Results -> TACACS Profiles, click Add.
    [​IMG]
    Bước 2. Đặt tên cho TACACS Profile trong 'Name', vd “WLC Admin Shell Profile
    [​IMG]
    Bước 3. Cuộn xuống phần Custom Attributes, click Add > chọn Mandatory trong danh sách đầu tiên, nhập vào role1 cho cột 'Name' và ALL cho cột 'Value', và click dấu '' ở phía cuối để lưu lại thuộc tính này.
    [​IMG]
    Bước 4. Click Submit để tạo TACACS Shell Profile.

    II/ CẤU HÌNH CISCO ISE POLICY CHO WLC:
    - Bây giờ chúng ta có TACACS Shell Profile đã được tạo, chúng ta cần cho ISE biết cách thực thi thông tin đó. Để làm được việc này chúng ta sẽ tạo một Policy Set (tùy chọn) mới và thay đổi Authorization Policy để thực thi ALL cho các member của AD Group cần thiết khi xác thực.

    - Tạo Policy Set mới là tùy chọn ở bạn vì bạn có thể chỉ cần đưa các Authorization Policy vào policy mặc định và nó vẫn sẽ làm việc. Tuy nhiên, mình hướng dẫn tạo các Policy Set mới khác loại theo trang thiết bị. Nó giữ cho mọi thứ có tổ chức. Vì vậy, đó là các bước sẽ được thực hiện ở đây.

    Bước 1. Vào theo Work Centers > Device Administration > Device Admin Policy Sets và click vào biểu tượng dấu '+'.
    [​IMG]
    Bước 2. Nhập vào tên 'Name' cho Policy Set, chọn Conditions thành Device Type equals Wireless Lan Controller, đặt Allowed ProtocolsDefault Device Admin, click Save để lưu lại.
    [​IMG]
    Bước 3. Click vào biểu tượng mũi tên bên dưới View để mở Policy Set.

    Bước 4. Mở rộng Authentication Policy và chọn kho lưu giữ danh tính của bạn. Ví dụ ở đây là AD_Internal.
    [​IMG]
    Bước 5. Mở rộng Authorization Policy và biểu tượng '+'.

    Bước 6. Nhập Rule Name, Condition, chọn Permit All từ cột Command Set, và chọn tiếp TACACS Shell Profile chúng ta đã tạo trước đó. Ở đây mình đang chọn sử dụng AD Group Equals Infrastructure Team và command đã được đặt tên là WLC Admin Shell Profile.
    [​IMG]
    Bước 7. Click Save.

    - Khi đặt Authorization Policy Rules và hoạt động trong hàng phía trên chúng ta không cần xóa rule mặc định của DenyAllCommands & Deny All Shell Profile đi. Giống như Firewall, đây là một loại rule chung và sẽ chỉ bị đánh dấu nếu không có gì khớp với các rule ở trên nó.

    III/ CẤU HÌNH CISCO WLC SỬ DỤNG TACACS+:
    - Đến đây chúng ta có toàn bộ các Profiles, Policy Sets, và Rules trong đây, bây giờ chỉ còn việc cho phép Cisco Wireless Controller sử dụng TACACS+ để xác thực.

    Bước 1. Đăng nhập vào WLC web gui và đi vào Advanced > Security > AAA > TACACS+ > Authentication > New.
    [​IMG]
    Bước 2. Nhập địa IP của Cisco ISE server cũng như Shared Secret và click Apply.
    [​IMG]
    Bước 3. Có thể lặp lại Bước 2 thêm cho cấu hình Accounting.

    Bước 4. Mở rộng phần Priority Order và di chuyển TACACS+ lên đầu của danh sách Order Used for Authentication và click Apply.
    [​IMG]
    - Lúc này, chúng ta có thể đăng nhập vào WLC bằng tài khoản AD thông qua giao thức TACACS. Mình đã mở một cửa sổ duyệt web mới và đăng nhập vào thành công. Mình cũng đã có thể xác minh lại loại truy cập mình có bằng cách vào Advanced > Monitor > Summary và nhìn thấy bên dưới Most Recent Traps đê thấy thông báo như sau.
    [​IMG]
     
    hanhbuihbit, 2/8/23
    #1

trang này