ISE 2.6 и Cat9800 tacacs+ конфигурация для администратора вестибюля
-
Здравствуйте, в настоящее время мы находимся в процессе перехода на Catalyst 9800 WLC. Я работаю над настройкой TACACS и не могу добиться прогресса в настройке профиля TACACS для администраторов лобби. В старом airos wlc можно было просто выбрать «Lobby Admin» в профиле tacacs, но в новом wlc на базе IOSXE этот профиль не работает. Профиль для доступа администратора работает нормально на уровне привилегий 15. Кто-нибудь может мне с этим помочь? С уважением, Ян
-
Настройте TACACS на возврат следующих данных: Привилегия по умолчанию: priv-lvl=15 Пользовательские атрибуты: Type=
Обязательный
, Name=
user-type
, Value=
lobby-admin На WLC настройте имя пользователя: aaa remote username <remote-lobby-admin-username> -
Проверьте, не сталкиваетесь ли вы со следующей проблемой: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvs87163 Имеет ли администратор лобби полный доступ?
-
Спасибо, я проверил конфигурацию aaa и перенастроил
параметры
авторизации и аутентификации. Но моя проблема заключается в настройке профиля tacacs и наборов команд. Для доступа администратора все работает нормально с уровнем привилегий 15. Но для доступа администратора лобби я не знаю, что нужно настроить. Для старого airos wlc было легко выбрать правильное значение, но оно не работает для catalyst 9800 wlc. Если я добавляю локальную учетную запись администратора лобби на wlc, я вижу, что у пользователя есть следующие настройки. user-name lobby view LobbyAdminView type lobby-admin Но когда я настраиваю это как пользовательские атрибуты в профилях tacacs, это не работает. -
Спасибо, это работает, но я указываю политику авторизации в конфигурации ise на группу Active Directory. Должен ли я настроить для каждого пользователя в группе «aaa remote username»?
-
Имя пользователя, созданное в локальной базе данных AD или ISE для Lobby Ambassador, должно быть определено как удаленное имя пользователя на WLC. Если удаленное имя пользователя не определено в WLC, аутентификация пройдет правильно, однако пользователю будет предоставлен полный доступ к WLC, а не только доступ к привилегиям Lobby Ambassador.
-
Хорошо, спасибо за помощь! С уважением, Ян
-
Здравствуйте, Это решение работает хорошо, спасибо. Однако я заметил, что пользователи получают полный доступ к WLC через CLI, в то время как доступ через GUI работает как ожидалось. Есть ли у вас какие-либо предложения по ограничению или управлению доступом через CLI с помощью LobbyAdmin User?
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти