思科无线认证服务器,无线局域网控制器(WLC)上管理用户的RADIUS服务器身份验证配置示例...

本文档说明如何配置无线LAN控制器(WLC)和访问控制服务器(Cisco Secure ACS)，以便AAA服务器对控制器上的管理用户进行身份验证。本文档还说明不同管理用户如何使用从Cisco Secure ACS RADIUS服务器返回的供应商特定属性(VSA)接收不同权限。

尝试进行此配置之前，请确保满足以下要求：

了解如何在WLC上配置基本参数

了解如何配置RADIUS服务器(如Cisco Secure ACS)

本文档中的信息基于以下软件和硬件版本：

运行版本7.0.216.0的Cisco 4400无线LAN控制器

运行软件版本4.1并用作此配置中RADIUS服务器的思科安全ACS。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

在本节中，您将了解如何配置WLC和ACS以实现本文档中描述的目的。

本文档使用以下网络设置：

此配置示例使用以下参数：

思科安全ACS的IP地址–172.16.1.1/255.255.0.0

控制器的管理接口IP地址 — 172.16.1.30/255.255.0.0

在接入点(AP)和RADIUS服务器上使用的共享密钥 — asdf1234

以下是本示例在ACS上配置的两个用户的凭证：

用户名 — acsreadwrite

密码 — acsreadwrite

用户名 — acsreadonly

密码 — acsreadonly

您需要配置WLC和思科安全思科安全ACS，以便：

使用用户名和密码acsreadwrite登录WLC的任何用户都获得对WLC的完全管理访问权限。

以用户名和口令acsreadonly登录WLC的任何用户都获得对WLC的只读访问权限。

本文档使用以下配置：

完成以下步骤以配置WLC，使其能够与RADIUS服务器通信。

从 WLC GUI 中，单击 Security。从左侧的菜单中，单击RADIUS > Authentication。系统将显示“RADIUS身份验证服务器”页。要添加新的RADIUS服务器，请单击New。在RADIUS Authentication Servers> New页中，输入特定于RADIUS服务器的参数。下面是一个示例。

选中Management单选按钮以允许RADIUS服务器对登录WLC的用户进行身份验证。

注意：确保在此页上配置的共享密钥与在RADIUS服务器上配置的共享密钥匹配。只有这样，WLC才能与RADIUS服务器通信。

验证WLC是否配置为由Cisco Secure ACS管理。为此，请从WLC GUI中单击Security。生成的GUI窗口与本示例类似。

您可以看到RADIUS服务器172.16.1.1的Management复选框已启用。这说明允许ACS对WLC上的管理用户进行身份验证。

要配置ACS，请完成以下各节中的步骤：

要将WLC添加为Cisco Secure ACS中的AAA客户端，请完成以下步骤。

从 ACS GUI 中，单击 Network Configuration。

在 AAA Clients 下，单击 Add Entry。