En el post explicaremos como Configurar RADIUS y TACACS en WLC Cisco que serán utilizados para autenticación de clientes o para permisos de gestión de usuarios administradores.
Pasos para Configurar RADIUS y TACACS en WLC
Ingresamos a la WLC para registrar el servidor RADIUS.
MONITOR > SECURITY > Authentication
Una vez en el aparado para agregar los servidores radius o tacacs, presionamos el botón superior derecha que indica New…
Datos requeridos para configurar RADIUS y TACACS en WLC
En la siguiente pantalla, visualizaremos los datos que se requieren para realizar el registro de un servidor radius o tacacs.
Server Index (Priority): Se actualiza en automático según el orden consecutivo, se puede seleccionar un valor.
Server IP Address(Ipv4/Ipv6): Se agrega la IP del servidor radius o tacacs
Shared Secret Format: Este es la llave que une al servidor con la WLC, es una key que se genera en el servidor radius o tacacs para configurar en la WLC, el administrador del servidor redius/tacacs proporciona esta información y se tiene que configurar tal cual, es muy sensitivo e caracteres especiales.
Confirm Shared Secret: Confirmar la llave de los servidores radius/tacacs
Key Wrap: No es necesario configurar
Port Number: Configurar el puerto TCP/UDP, por lo general cuando es autenticación es 1812 o 1645, el administrador del radius/tacacs puede confirmar este puerto.
Server Status: El estado siempre es Enabled, teniendo en cuenta que el servidor radius/tacacs está activo y operativo.
Support for CoA: No es necesario cambiar de estatus, dejar valor default en Disabled.
Server Timeout: Configurar el tiempo a 5 segundos como recomendación de CISCO.
Network User: Activarlo cuando el servidor radius/tacacs se utilice para autenticar clientes por 802.1x.
Management: Activarlo cuando se utilice el servidor radius para autenticar los usuarios administradores de la WLC, ingresar a la WLC con cuentas de dominio o cuentas autorizadas por el servidor radius y no cuentas locales de la WLC.
Management Retransmit Timeout: Dejar el valor por default.
Tunnel Proxy: Dejar el valor por default.
IPSec: Dejar el valor por default.
Una vez se tenga el registro de manera correcta de la información, proceder a aplicar y guardar configuración.
Una vez aplicado, se visualizará la información del servidor en la pantalla de autenticación.
Registro de servidor Accounting
Este proceso repetirlo en el apartado de accounting
MONITOR > SECURITY > Accounting
Los datos a registrar son similares pero con algunos cambios
Server Index (Priority): Se actualiza en automático según el orden consecutivo, se puede seleccionar un valor.
Server IP Address(Ipv4/Ipv6): Se agrega la IP del servidor radius.
Shared Secret Format: Este es la llave que une al servidor con la WLC, es una key que se genera en el servidor radius o tacacs para configurar en la WLC, el administrador del servidor redius proporciona esta información y se tiene que configurar tal cual, es muy sensitivo e caracteres especiales.
Confirm Shared Secret: Confirmar la llave de los servidores radius.
Key Wrap: No es necesario configurar
Port Number: Configurar el puerto TCP/UDP, por lo general cuando es autenticación es 1813 o 1646, el administrador del radius puede confirmar este puerto.
Server Status: El estado siempre es Enabled, teniendo en cuenta que el servidor radius está activo y operativo.
Server Timeout: Configurar el tiempo a 5 segundos como recomendación de CISCO.
Network User: Activarlo cuando el servidor radius se utilice para autenticar clientes por 802.1x.
Tunnel Proxy: Dejar el valor por default.
IPSec: Dejar el valor por default.
De igual manera, una vez aplicado, se visualizará el servidor registrado.
Con esto se completa el registro de un servidor radius y posterior a esto se puede configurar el servidor en alguna WLAN/SSID o para autenticar usuarios admin.
Registro de servidor Tacacs
Para el caso del servidor TACACS, los datos son similares, el cambio es en el puerto utilizados que es el 49 o la que definan los administradores del servidor.
Antes del ajuste de cualquier parámetro en la wlc, recomendamos realizar un respaldo de la configuración.
Me considero una persona apasionada por la tecnología y/o todo lo relacionado a servicios de TI, me gusta conocer un poco mas de todo lo nuevo que va saliendo y que puede hacer las cosas más sencillas y seguras, lo que busco plasmar en mis artículos es una manera sencilla de entender las cosas que he aprendido con el paso del tiempo y tratar de compartir un poco mas a detalle de algunos procesos y estructuras de TI.
Soy Ingeniero en Sistemas con certificaciones en redes Cisco, comparto lo poco o mucho de mi experiencia en el mundo de las tecnologías.
Buenos días! .Me gustaría dar un enorme aprobado por la gran información que tenemos aquí en este blog . Voy a volver muy pronto a leeros con esta web.