Cisco WLC 9800 (Bengaluru) Login mit Radius
Web Login am Cisco WirelessController 9800 (Bengaluru) mit Radius über die Cisco ISE am Windows AD
orientiert habe ich mich and er Webseite –> Cisco Radius und Tacacs Login am WLC
Was muss getand werden ?
Am WLC
– Radius Server eintragen
– Radius Authetication erstellen
– Radius Accounting erstellen
– Die Reihenfolge der User Abfrage (Priority Order) einstellen
An der ISE
– Den WLC als Device anlegen und das Radius Passwort vergeben
– Authorization Profil anlegen
– Gruppe mit den Rechten anlgen, damit man den pric Level 15 hat beim einloggen
– Policy erstellen
Radius aun WLC eintragen
Per GUI
Server Gruppe erstellen
Authentication Reihenfolge erstellen
Authorization Reihenfolge erstellen
AAA Advanced, festlegen wo welches Profil greifen soll, WEB und VTY
oder per CLI
radius server ISE
address ipv4 IP-des-ISE-Servers auth-port 1812 acct-port 1813
key Cisco123
!
aaa group server radius radGroup
server name ISE
!
aaa authentication login radAutheMethod local group radGroup
!
aaa authentication login radAutheMethod group radGroup local
!
aaa authorization exec radAuthzMethod local group radGroup
!
!
ip http authentication aaa login-authentication radAutheMethod
ip http authentication aaa exec-authorization radAuthzMethod
!
line vty 0 15
login authentication radAutheMethod
authorization exec radAuthzMethod
!
no ip http server
no ip http secure-server
ip http server
ip http secure-server
Jetzt geht es an die ISE
Als erstes muss der WLC bei Network Device hinzugefügt werden und das Radius Passwort was beim WLC mit eingetragen wurde, muss auch hier mit eingetragen werden
Eine Gruppe erstellen, damit beim Login auch die passenden Admin Rechte vergeben werden
Die erlaubten Protokolle festlegen
Im nächsten Schritt wird ein Authorization Profil angelegt, damit wird den Admin Status übergeben können und der ISE mitteilen wie der Login erfolgt
Im Bereich Policy Sets – Wird bei “Default” die Authentication wird umgestellt auf “All_User_ID_Stores”
Dazu wird eine neue Regel für den WLC angelegt, so das diese nur beim Device Typ WLC greift.
Der Device Typ WLC muss vorher angelegt werden
Für die Authorization wird eine neue Regel angelegt.