Cisco WLC 9800 (Bengaluru) Login mit Radius

Web Login am Cisco WirelessController 9800 (Bengaluru) mit Radius über die Cisco ISE am Windows AD

orientiert habe ich mich and er Webseite –> Cisco Radius und Tacacs Login am WLC

Was muss getand werden ?

Am WLC
– Radius Server eintragen
– Radius Authetication erstellen
– Radius Accounting erstellen
– Die Reihenfolge der User Abfrage (Priority Order) einstellen

An der ISE
– Den WLC als Device anlegen und das Radius Passwort vergeben
– Authorization Profil anlegen
– Gruppe mit den Rechten anlgen, damit man den pric Level 15 hat beim einloggen
– Policy erstellen

Radius aun WLC eintragen

Per GUI

Server Gruppe erstellen

Authentication Reihenfolge erstellen

Authorization Reihenfolge erstellen

AAA Advanced, festlegen wo welches Profil greifen soll, WEB und VTY

oder per CLI

radius server ISE
address ipv4 IP-des-ISE-Servers auth-port 1812 acct-port 1813
key Cisco123
!
aaa group server radius radGroup
server name ISE
!
aaa authentication login radAutheMethod local group radGroup
!
aaa authentication login radAutheMethod group radGroup local
!
aaa authorization exec radAuthzMethod local group radGroup
!
!
ip http authentication aaa login-authentication radAutheMethod
ip http authentication aaa exec-authorization radAuthzMethod
!
line vty 0 15
login authentication radAutheMethod
authorization exec radAuthzMethod
!
no ip http server
no ip http secure-server
ip http server
ip http secure-server


Jetzt geht es an die ISE

Als erstes muss der WLC bei Network Device hinzugefügt werden und das Radius Passwort was beim WLC mit eingetragen wurde, muss auch hier mit eingetragen werden

Eine Gruppe erstellen, damit beim Login auch die passenden Admin Rechte vergeben werden

Die erlaubten Protokolle festlegen

Im nächsten Schritt wird ein Authorization Profil angelegt, damit wird den Admin Status übergeben können und der ISE mitteilen wie der Login erfolgt

Im Bereich Policy Sets – Wird bei “Default” die Authentication wird umgestellt auf “All_User_ID_Stores”

Dazu wird eine neue Regel für den WLC angelegt, so das diese nur beim Device Typ WLC greift.
Der Device Typ WLC muss vorher angelegt werden

Für die Authorization wird eine neue Regel angelegt.