ワイヤレス : Cisco 4400 シリーズ Wireless LAN Controller

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
設定
      ネットワーク ダイアグラム
設定
WLCのローカルEAP認証認証方法でEAP-FASTを設定して下さい
      WLCのためのデバイス認証を生成して下さい
      WLCにデバイス認証のダウンロード
      WLCにPKIの原証明をインストールして下さい
      クライアントのためのデバイス認証を生成して下さい
      クライアントのためのルートCA認証を生成して下さい
      WLCのローカルEAPを設定して下さい
LDAPサーバを設定して下さい
      ドメインコントローラのユーザの作成
      LDAPのアクセスのためのユーザを設定して下さい
ユーザ属性を識別するLDPの使用
無線クライアントを設定して下さい
検証
トラブルシューティング
NetPro ディスカッション フォーラム - 特集対話
関連情報

概要

この資料にExtensible Authentication Protocol (EAP) - Wireless LANコントローラ(WLC)のセキュアなトンネリング(ファースト)のローカルEAP認証による適用範囲が広い認証--を設定する方法を説明されています。 この資料にまたLightweight Directory Access Protocol (LDAP)のサーバをローカルEAPのためのバックエンドのデータベースで検索ユーザの信任状に設定しユーザを認証する方法を説明されています。

前提条件

要件

この文書に関する特別な要件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco 4400シリーズWLCファームウェア4.2を実行する

• Cisco Aironet 1232AGのシリーズのLightweightアクセスポイント(LAP)

• マイクロソフト・ウインドウズのドメインコントローラ、LDAPサーバ、また認証権限サーバで設定される2003年のサーバ。

• ファームウェアリリース4.2を実行するCisco Aironet 802.11 a/b/gのクライアントアダプタ

• Cisco Aironetのデスクトップユーティリティ(ADU)その実行のファームウェアのバージョン4.2

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 この文書で使用するデバイスは、すべて初期（デフォルト）の設定で起動しています。 コマンドが実稼動中のネットワークに与える影響について理解しておいてください。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

Wireless LANコントローラのローカルEAP認証はWireless LANコントローラバージョン4.1.171.0ともたらされました。

ローカルEAPはコントローラでローカルで認証されるべきユーザおよび無線クライアントを可能にする認証方式です。 この機能は、バックエンド システムが中断したり外部認証サーバが停止した場合でもワイヤレス クライアントとの接続を維持する必要があるリモート オフィスでの使用を想定して作られています。 ローカルEAPを有効にするとき、コントローラは認証サーバおよびローカルユーザデータベースとして役立ちます、従って外部認証サーバへの依存を取除きます。 ローカル EAP では、ローカル ユーザ データベースまたは LDAP バックエンド データベースからユーザのクレデンシャルを取得して、ユーザが認証されます。 ローカルEAPはコントローラと無線クライアント間のLEAP、EAP-FAST、EAP-TLS、P EAPv0/MSCHAPv2、およびPEAPv1/GTCの認証をサポートします。

ローカルEAPは検索ユーザの信任状にバックエンドのデータベースとしてLDAPサーバを使用できます。

LDAPのバックエンドのデータベースはコントローラが特定のユーザの信任状(ユーザ名およびパスワード)のためにLDAPサーバを問い合わせることを可能にします。 これらの信任状がそれからユーザを認証するのに使用されています。

LDAPのバックエンドのデータベースサポートこれらのローカルEAPの方式:

• EAP-FAST/GTC

• EAP-TLS

• PEAPv1/GTC.

LDAPサーバがクリアテキストパスワードを戻す確立するであるときだけLEAP、EAPFAST/MSCHAPv2およびPEAPv0/MSCHAPv2はまた、サポートされます。 たとえば、マイクロソフトアクティブディレクトリはクリアテキストパスワードを戻さないのでサポートされません。 クリアテキストパスワードを戻すためにLDAPサーバが設定することができない場合LEAP、EAPFAST/MSCHAPv2およびPEAPv0/MSCHAPv2はサポートされません。

注： どのRADIUSサーバでもコントローラで設定される場合、コントローラはRADIUSサーバを使用して無線クライアントを最初に認証することを試みます。 ローカル EAP が試されるのは、RADIUS サーバがタイムアウトしたため、または RADIUS サーバが設定されていないために、RADIUS サーバが検出されない場合のみです。 次に4つのRADIUSサーバが設定される場合、コントローラは最初のRADIUSサーバ、そして第2 RADIUSサーバを持つクライアントを、およびローカルEAP認証するように試みます。 次に手動で再認証するクライアントの試みがそれからコントローラ第3 RADIUSサーバ、そして第4 RADIUSサーバおよびローカルEAPを試みれば。

この例は無線クライアントのユーザの信任状のためにLDAPのバックエンドのデータベースを問い合わせるためにそれから設定されるWLCのローカルEAPの方式としてEAP-FASTを使用します。

設定

この資料はクライアントおよびサーバ側両方の認証とEAP-FASTを使用します。 これのために、確立するはクライアントおよびサーバの認証を生成するのにMicrosoft Certificate Authority (CA)のサーバを使用します。

ユーザの信任状はLDAPサーバで正常な認証の検証で、ユーザの信任状を取得するためにコントローラがLDAPサーバを問い合わせ、無線クライアントを認証するように保存されます。

この資料はこれらのコンフィギュレーションが既に設定されていていると仮定します:

• LAPはWLCに登録済みです。 登録手続に関する詳細についてはWireless LANコントローラ(WLC)にLightweightアクセスポイント(LAP)の登録を参照して下さい。

• DHCPサーバは無線クライアントにIPアドレスを割り当てるために設定されます。

• マイクロソフト・ウインドウズの2003年のサーバはドメインコントローラ、またCAのサーバで設定されます。 この例はドメインとしてwireless.comを使用します。

  ドメインコントローラでWindowsの2003年のサーバを設定することに関する詳細についてはドメインコントローラでのWindows 2003の設定を参照して下さい。

  インストールを参照し、企業CAのサーバでWindowsの2003年のサーバを設定するためにマイクロソフト・ウインドウズの2003年のサーバをように認証局(CA)のサーバ設定して下さい。

ネットワーク ダイアグラム

このドキュメントではこのネットワーク構成を使用しています。

設定

この設定を設定するためにこれらのステップを完了して下さい:

• WLCのローカルEAP認証認証方法でEAP-FASTを設定して下さい

• LDAPサーバを設定して下さい

• 無線クライアントを設定して下さい

WLCのローカルEAP認証認証方法でEAP-FASTを設定して下さい

上記されるように、この資料はローカルEAP認証認証方法としてクライアントおよびサーバ側両方の認証とEAP-FASTを使用します。 第一歩はサーバ(WLC、この場合)およびクライアントへ次の認証をダウンロードしてインストールすることです。

WLCおよびクライアントCAのサーバからダウンロードされる各必要性これらの認証:

• デバイス認証(1およびクライアントのためのWLCのための1)

• WLCのための公開鍵インフラストラクチャ(PKI)の原証明、およびクライアントのためのCA認証

WLCのためのデバイス認証を生成して下さい

CAのサーバからのWLCのためのデバイス認証を生成するためにこれらのステップを実行して下さい。 クライアントに認証するのにWLCによってこのデバイス認証が使用されています。

1. http:// < CAのサーバにネットワーク接続があるPCからのCA server>/certsrvのIPアドレスに行って下さい。 CAのサーバの管理者としてログインして下さい。

   

2. 要求を認証選択して下さい。

   

3. 要求では認証のページは、高度の証明書要求をクリックします。

   

4. 高度の証明書要求のページで、作成し、入れますこのCAに要求をクリックして下さい。 これはAdvanced Certificate Requestフォームに連れて行きます。

   

5. Advanced Certificate Requestフォームで、証明書のテンプレートとしてWebサーバを選択して下さい。 それから、このデバイス認証に名前を指定して下さい。

   この例はciscowlc123として認証の名前を使用します。 要件によって他の識別の情報を記入して下さい。

6. キーの下でオプションはエクスポート可能なオプションとしてマークのキーを区分しましたり、選択します。 時々、この特定のオプションはWebサーバのテンプレートを選択する場合選択不可能になり、イネーブルまたはディセーブルである場合もありません。 このような場合、戻り、再度このページに戻るためにブラウザメニューから1台のページのクリックして下さい。 今回マークはエクスポート可能なオプションが利用可能であるはずであると同時にキー入力します。

   

7. 他のすべての必要なフィールドを設定し、送信するをクリックして下さい。

   

8. 証明書要求のプロセスを許可するために次のウィンドウではいクリックして下さい。

   

9. 正常な証明書要求のプロセスを示す認証によって発行されるウィンドウは現われます。 次のステップはこのPCの認証のストアへ発された認証をインストールすることです。 Install this certificate をクリックします。

   

10. 新しい認証のから要求がCAのサーバに生成されるPCにインストールに成功します。

    

11. 次のステップはファイルとして認証のストアからハードディスクへこの認証をエクスポートすることです。 この証明書ファイルが以降WLCに認証をダウンロードするのに使用されます。

    認証のストアから認証をエクスポートするためには、Internet Explorerのブラウザを開き、そしてTools > Internetのオプションをクリックして下さい。

    

12. コンテンツ>認証を認証がデフォルトでインストールされている認証のストアに行くためにクリックして下さい。

    

13. デバイス認証は通常身分証明書リストの下でインストールされています。 ここでは、最近インストール済み認証を見るはずです。 認証を選択し、エクスポートをクリックして下さい。

    

14. 次のウィンドウで次にクリックして下さい。 Yesを選択して下さい、認証のエクスポートウィザードウィンドウのプライベートキーのオプションをエクスポートして下さい。 Next をクリックします。

    

15. エクスポートのファイルフォーマットを.PFXとして選択し、イネーブルの強い保護のオプションを選択して下さい。 Next をクリックします。

    

16. パスワード・ウィンドウで、パスワードを入力して下さい。 この例はパスワードとしてciscoを使用します。

    

17. ハードディスクに証明書ファイル(.PFXのファイル)を保存して下さい。 次にクリックし、エクスポートのプロセスを正常に終了して下さい。

    

    

WLCにデバイス認証のダウンロード

利用できるコントローラにファイルをダウンロードすること.PFXのファイルは、次のステップWLCのデバイス認証がので。 Cisco WLCsは.PEMのフォーマットのだけ認証を受け入れます。 従って、最初にopenSSLのプログラムを使用してPEMのファイルに.PFXかPKCS12フォーマットファイルを変換する必要があります。

openSSLのプログラムを使用してPEMのフォーマットにPFXの認証を変換して下さい

openSSLをPEMのフォーマットにそれを変換するためにインストールしてもらうあらゆるPCに認証をコピーできます。 openSSLのプログラムのビンのフォルダでOpenssl.exeのファイルのこれらのコマンドを入力して下さい:

注： OpenSSLのWebサイトからopenSSLをダウンロード できます。

openssl>pkcs12 -in ciscowlc123.pfx  -out ciscowlc123.pem


!--- ciscowlc123 is the name used in this example for the exported file. 
!--- You can specify any name to your certificate file.
 
Enter Import Password : cisco

!--- This is the same password that is mentioned in step 16 of the previous section.

 MAC verified Ok
 Enter PEM Pass phrase   :  cisco

!--- Specify any passphrase here. This example uses the PEM passphrase as cisco.

 Verifying - PEM pass phrase : cisco

証明書ファイルはPEMのフォーマットに変換されます。 次のステップはWLCにPEMのフォーマットデバイスの認証をダウンロードすることです。

注： 前にそれ、からのPEMのファイルがダウンロードされる筈であるPCのTFTPサーバソフトウェアを必要とします。 このPCにWLCへの接続があるはずです。 TFTPサーバにPEMのファイルが保存される位置と指定される電流および基本ディレクトリがあるはずです。

WLCに変換されたPEMのフォーマットデバイスの認証をダウンロードして下さい

この例はWLCのCLIによってダウンロードプロセスを説明したものです。

1. コントローラCLIへのログイン。

2. 転送のダウンロードデータタイプのeapdevcertのコマンドを入力して下さい。

3. 転送のダウンロードserveripの10.77.244.196のコマンドを入力して下さい。

   10.77.244.196はTFTPサーバのIPアドレスです。

4. 転送のダウンロードファイル名ciscowlc.pemのコマンドを入力して下さい。

   ciscowlc123.pemはこの例で使用されるファイル名です。

5. 認証のためのパスワードを設定するために転送のcertpasswordのコマンドを入力して下さい。

6. 更新済設定を表示するために転送のダウンロードstartコマンドを入力して下さい。

   それから現在の設定を確認し、ダウンロードプロセスを開始するためにプロンプト表示された場合、返事y。

   この例はdownloadコマンドの出力を示したものです:

   (Cisco Controller) >transfer download start
   
   Mode............................................. TFTP
   Data Type........................................ Vendor Dev Cert
   TFTP Server IP................................... 10.77.244.196
   TFTP Packet Timeout.............................. 6
   TFTP Max Retries................................. 10
   TFTP Path........................................
   TFTP Filename.................................... ciscowlc.pem
   
   This may take some time.
   Are you sure you want to start? (y/N) y
   TFTP EAP CA cert transfer starting.
   Certificate installed.
   Reboot the switch to use the new certificate.
   Enter the reset system command to reboot the controller. The controller is now loaded with the device certificate.

7. コントローラをリブートするためにreset systemコマンドを入力して下さい。 コントローラにデバイス認証が今ロードされます。

WLCにPKIの原証明をインストールして下さい

デバイス認証がWLCにインストールされているので、次のステップはCAのサーバからWLCへPKIの原証明をインストールすることです。 次のステップを実行します。

1. http:// < CAのサーバにネットワーク接続があるPCからのCA server>/certsrvのIPアドレスに行って下さい。 CAのサーバの管理者としてログインして下さい。

   

2. ダウンロードをCA認証、証明書チェーン、またはCRLクリックして下さい。

   

3. 結果として生じるページでは、CA認証ボックスの下でCAのサーバで利用可能な電流のCA証明を表示できます。 DERを符号化方式として選択し、ダウンロードCA認証をクリックして下さい。

   

4. .cerのファイルとして認証を保存して下さい。 この例はファイル名としてcertnew.cerを使用します。

5. 次のステップは.cerのファイルをPEMのフォーマットに変換し、コントローラにそれをダウンロードすることです。 これらの変更とのWLCのセクションにダウンロードでデバイス認証説明されるこれらのステップを、同じ手順を実行するためには繰り返して下さい:

   • openSSL 「-で」および「-」ファイルはcertnew.cerおよびcertnew.pemです。

     また、PEMパスフレーズがかインポートパスワードはこのプロセスに必要となりません。

   • また、.pemのファイルに.cerのファイルを変換するopenSSLのコマンドは次のとおりです:

     x509は- certnew.cerで- DER - certnew.pem -をoutform PEM知らせます

   • ダウンロードのステップ2ではWLCのセクションへの変換されたPEMのフォーマットデバイスの認証は、WLCに認証をダウンロードするコマンド次のとおりです:

     (Ciscoコントローラ) >transferのダウンロードデータタイプのeapcacert

   • WLCにダウンロードされるべきファイルはcertnew.pemです。

次の通り認証がコントローラGUIからWLCでインストールされているかどうか確かめることができます:

• WLC GUIから、セキュリティをクリックして下さい。 セキュリティのページで、高度を>左で現われるタスクからのIPSec Certsクリックして下さい。 インストールされるCA認証を表示するためにCA認証をクリックして下さい。 次に例を示します。

  

• デバイス認証がWLC GUIからWLCで、インストールされているかどうか確かめることは、セキュリティをクリックします。 セキュリティのページで、高度を>左で現われるタスクからのIPSec Certsクリックして下さい。 インストールされるデバイス認証を表示するためにIDの認証をクリックして下さい。 次に例を示します。

  

クライアントのためのデバイス認証を生成して下さい

デバイス認証およびCA認証がWLCでインストールされているので、次のステップはクライアントのためのこれらの認証を生成することです。

クライアントのためのデバイス認証を生成するためにこれらのステップを実行して下さい。 WLCに認証するのにクライアントによってこの認証が使用されます。 この資料はWindows XP Professionalのクライアントのための認証の生成に関連するステップを説明したものです。

1. http:// <認証がインストールされるように要求するクライアントからのCA server>/certsrvのIPアドレスに行って下さい。 CAのサーバにドメイン名\ユーザ名としてログインして下さい。 ユーザ名はこのXPマシンを使用している、ユーザはCAのサーバと同じドメインの一部として既に設定する必要がありますユーザの名前であり。

   

2. 要求を認証選択して下さい。

   

3. 要求では認証のページは、高度の証明書要求をクリックします。

   

4. 高度の証明書要求のページで、作成し、入れますこのCAに要求をクリックして下さい。 これはAdvanced Certificate Requestフォームに連れて行きます。

   

5. Advanced Certificate Requestフォームで、証明書のテンプレートのドロップダウン・メニューからユーザを選択して下さい。

   キーのオプションの下でこれらのパラメータを区分して下さい、選択して下さい:

   キーSizeinをキーサイズのフィールド入力して下さい。 この例は1024年を使用します。

   エクスポート可能なオプションとしてマークのキーをチェックして下さい。

   

6. 他のすべての必要なフィールドを設定し、送信するをクリックして下さい。

   

7. クライアントのデバイス認証は要求によって今生成されます。 認証のストアに認証をインストールするためにインストールを認証クリックして下さい。

   

8. クライアントのデバイス認証をクライアントのIEのブラウザでTools > Internetのオプション>コンテンツ>認証の下で身分証明書リストの下でインストールされて見つけられますはずです。

   

   クライアントのためのデバイス認証はクライアントでインストールされています。

クライアントのためのルートCA認証を生成して下さい

次のステップはクライアントのためのCA認証を生成することです。 クライアントPCからのこれらのステップを完了して下さい:

1. http:// <認証がインストールされるように要求するクライアントからのCA server>/certsrvのIPアドレスに行って下さい。 CAのサーバにドメイン名\ユーザ名としてログインして下さい。 ユーザ名はこのXPマシンを使用している、ユーザはCAのサーバと同じドメインの一部として既に設定する必要がありますユーザの名前であり。

   

2. 結果として生じるページでは、CA認証ボックスの下でCAのサーバで利用可能な電流のCA証明を表示できます。 符号化方式としてベース64を選択して下さい。 それから、ダウンロードCA認証をクリックし、クライアントのPCに.cerのファイルとしてファイルを保存して下さい。 この例はファイル名としてrootca.cerを使用します。

   

3. 次に、クライアント認証のストアに保存される.cerのフォーマットにCA認証をインストールして下さい。 rootca.cerのファイルをダブルクリックし、証明書のインストールをクリックして下さい。

   

4. クライアントのハードディスクから認証のストアに認証をインポートするために次にクリックして下さい。

   

5. 選り抜き認証の種類に基づいて認証のストアを自動的に選択し、次にクリックして下さい。

   

6. インポートのプロセスを終了するために終わりをクリックして下さい。

   

7. デフォルトで、CA証明はTools > Internetのオプション>コンテンツ>認証の下にクライアントのIEのブラウザに信頼されたルート認証局の下でリストしますインストールされています。 次に例を示します。

   

必要なすべての認証がEAP-FASTのローカルのEAP認証のためのWLC、またクライアントでインストールされています。 次のステップはローカルEAP認証のためのWLCを設定することです。

WLCのローカルEAPを設定して下さい

WLCのローカルEAP認証を設定するためにWLC GUIのモードからのこれらのステップを完了して下さい:

1. セキュリティ>ローカルEAPをクリックして下さい。

   

2. ローカルEAPの下で、ローカルEAPのプロファイルを設定するためにプロファイルをクリックして下さい。

   

3. 新しいローカルEAPのプロファイルを作成するために新しいクリックして下さい。

4. このプロファイルの名前を設定し、適用しますクリックして下さい。 この例では、Profile NameはLDAPです。 これはWLCで作成されるローカルEAPのプロファイルに連れて行きます。

   

5. LDAPのプロファイルをクリックして下さいちょうど作成された、ローカルEAPのプロファイルのページのプロファイルのNameフィールドの下で現われる。 これはローカルEAPのプロファイルの> Editのページに連れて行きます。

   

6. ローカルEAPのプロファイルの> Editのページのこのプロファイルに特定のパラメータを設定して下さい。

   • ローカルEAP認証認証方法としてEAP-FASTを選択して下さい。

   • 必要なローカル必要な認証およびクライアント認証の隣でチェックボックスを有効にして下さい。

   • この資料がサード・パーティCAのサーバを使用するので認証の発行元としてベンダーを選択して下さい。

   • クライアントからの着信の認証がコントローラのCA証明に対して検証されるCA証明に対するチェックの隣でチェックボックスを有効にして下さい。

   • 着信の認証のCommon Name (CN)にコントローラのCA証明のCNに対して検証されてほしい場合確認の認証CNの識別のチェックボックスをチェックして下さい。 デフォルトの設定は「無効」です。 コントローラを着信のデバイス認証が今でも有効な、切れなかったことを確認することを許可するためには、チェックの認証の日付の妥当性検査チェックボックスをチェックして下さい。

   Apply をクリックします。

   

7. EAP-FASTの認証を用いるローカルEAPのプロファイルはWLCで今作成されます。

   

8. 次のステップはWLCのEAP-FASTの特定のパラメータを設定することです。 WLCのセキュリティのページで、ローカルをEAP > EAP-FASTのパラメータEAP-FASTの方式のパラメータのページに移動するためにクリックして下さい。

   この例が認証を使用してEAP-FASTを説明したものですので匿名のプロビジョニングするのチェックボックスのチェックを外して下さい。 デフォルトで他のパラメータをすべて残して下さい。 Apply をクリックします。

   

LDAPサーバの細部でWLCを設定して下さい

WLCがローカルEAPのプロファイルおよび関連情報で設定されるので、次のステップはLDAPサーバの細部でWLCを設定することです。 WLCのこれらのステップを完了して下さい:

1. 選り抜きWLCのセキュリティのページではAAA >左側のタスクのペインからのLDAP LDAPのServer Configurationページに移動するため。 LDAPサーバを追加するためには、新しいクリックして下さい。 LDAPサーバは>新しいページ現われます。

   

2. LDAPサーバのEditページでは、LDAPサーバ、ポート番号、イネーブルのサーバステータスのIPアドレスのようなLDAPサーバの細部を等指定して下さい。

   • 他のどの設定されたLDAPサーバに関連してもこのサーバの優先順位の順序を指定するためにサーバインデックス(優先順位)ドロップダウンボックスから番号を選択して下さい。 17までのサーバを設定できます。 コントローラが最初のサーバに達することができない場合リストの第2 1つを等試みます。

   • サーバのIP AddressフィールドでLDAPサーバのIPアドレスを入力して下さい。

   • Port NumberフィールドでLDAPサーバのTCPポート番号を入力して下さい。 有効範囲は1から65535であり、デフォルト値は389です。

   • ユーザベースDNのフィールドでは、すべてのユーザのリストが含まれているLDAPサーバでサブツリーの識別名(DN)を入力して下さい。 たとえば、ou=organizationalのユニット、.ou=nextの組織ユニットおよびo=corporation.com。 ユーザが含まれているツリーはベースDNである場合、o=corporation.comかdc=corporationのdc=comを入力して下さい。

     この例では、ユーザはWireless.comのドメインの一部としてそれから作成されるOrganizational Unit (OU)のldapuserの下にいます。

     ユーザベースDNはユーザ情報(EAP-FASTの認証方式によるユーザのクレデンシャル)が見つけられるフル・パスを指す必要があります。 この例では、ユーザはベースDN OU=ldapuser、DC=Wireless、DC=comの下にいます。

     OUのより多くの細部、またユーザコンフィギュレーションはこの資料のドメインコントローラのセクションの作成のユーザで、説明されます。

   • ユーザ属性のフィールドでは、ユーザ名が含まれているユーザ・レコードでアトリビュートの名前を入力して下さい。

     ユーザ・オブジェクトオブジェクト・タイプフィールドでは、ユーザとしてレコードを識別するLDAPのobjectTypeのアトリビュートの値を入力して下さい。 多くの場合、ユーザ・レコードにいくつかがユーザにユニーク、他のオブジェクト・タイプと共有されるいくつかであるobjectTypeのアトリビュートの複数の値があります。

     注：  Windowsの一部として2003のサポートツール来るLDAPブラウザのユーティリティのダイレクトリサーバからのこれら二つのフィールドの値を得ることができます。 このMicrosoftのLDAPブラウザのツールはLDPと呼ばれます。 このツールの助けによって、ユーザベースDN、この特定のユーザのユーザ属性およびユーザ・オブジェクトオブジェクト・タイプフィールドを知ることができます。 これらのユーザ別の属性を知っているのにLDPの使用についての詳細な情報は使用LDPでこの資料のユーザ属性のセクションを識別するために説明されています。

   • すべてのLDAPのトランザクションにセキュアTLSのトンネルを使用してほしい場合サーバモードのドロップダウンボックスからセキュアを選択して下さい。 さもなければ、デフォルト設定であるどれも選択しないで下さい。

   • サーバタイムアウトのフィールドでは、再送信間の秒数を入力して下さい。 有効範囲は2から30秒であり、デフォルト値は2秒です。

   • このLDAPサーバを有効にするためにイネーブルのサーバステータスのチェックボックスをチェックしますかまたはディセーブルにするためにチェックを外して下さい。 デフォルト値は無効です。

   • 変更を保存するために適用しますクリックして下さい。

     既にこの情報で設定される例はここにあります:

   

   LDAPサーバについての細部がWLCで設定されるので、次のステップはWLCが他のどのデータベースもよりもむしろユーザの信任状をLDAPのデータベースに最初に見るように優先順位の後部のデータベースでLDAPを設定することです。

優先順位の後部のデータベースでLDAPを設定して下さい

優先順位の後部のデータベースでLDAPを設定するためにWLCのこれらのステップを完了して下さい:

1. セキュリティのページで、ローカルをEAP >認証優先順位クリックして下さい。 優先順位の順序>ローカルAuthのページでは、ユーザの信任状を保存できる2つのデータベースを見つけることができます(ローカルおよびLDAP)。

   LDAPを優先順位のデータベースとして作り、LDAPを左側のユーザの信任状ボックスから選択し、クリックするため>ボタンLDAPを右側の優先順位の順序ボックスに移動するため。

   

2. この例は明確にLDAPが左側ボックスで選択され、>ボタンが選択されることを説明したものです。 結果として、LDAPは優先順位を決定する右側のボックスに移動されます。 LDAPのデータベースは認証優先順位のデータベースとして選択されます。

   Apply をクリックします。

   

   注： LDAPおよびローカルが両方上のLDAPおよび下部ののローカルの適切なユーザの信任状ボックスに現われる場合、LDAPのバックエンドのデータベースを使用しているクライアントを認証するローカルEAPの試みはローカルユーザデータベースにおよびLDAPサーバが到達可能ではない場合失敗します。 ユーザがない場合、認証の試みは拒否されます。 ローカルが上にある場合、ローカルEAPはAUTHENTICATE USINGにローカルユーザデータベースだけ試みます。 それはLDAPのバックエンドのデータベースに失敗しません。

ローカルEAP認証でWLCのWLANを設定して下さい

WLCの最後のステップはバックエンドのデータベースとしてLDAPと認証方式としてローカルEAPを使用するWLANを設定することです。 次のステップを実行します。

1. コントローラメインメニューから、WLANの設定ページに移動するためにWLANをクリックして下さい。 WLANsページで、新しいWLANを作成するために新しいクリックして下さい。 この例は新しいWLAN LDAPを作成します。

   加えますWLANの> EditのページのWLANのパラメータを設定することがありますクリックして下さい。

2. WLANではページを、有効にしますこのWLANのステータスを編集して下さい。 他のすべての必要なパラメータを設定して下さい。

   

3. このWLANのためのセキュリティ関連のパラメータを設定するためにセキュリティをクリックして下さい。 この例は104ビットダイナミックWEPによって802.1xとしてレイヤ2セキュリティを使用します。

   注： この資料はダイナミックWEPと802.1xを一例として使用します。 それはWPA/WPA2のようなセキュア認証方式を、使用するために推奨しましたあります。

4. WLANセキュリティの設定ページで、theAAAサーバタブをクリックして下さい。 AAAサーバページでは、ローカルEAP認証認証方法を有効にし、EAPのProfile Nameのパラメータに対応するドロップダウンボックスからLDAPを選択して下さい。 これはこの例で作成されるローカルEAPのプロファイルです。

   

5. (WLCで前もって設定された)ドロップダウンボックスからLDAPサーバ選択して下さい。 LDAPサーバがWLCから到達可能であることを確かめて下さい。

   Apply をクリックします。

   

6. 新しいWLANのldaphas WLCで設定されて。 このWLANはローカルEAP認証(EAP-FASTこの場合)およびクエリーのクライアントをクライアントのクレデンシャルの確認のためのLDAPのバックエンドのデータベース認証します。

   

LDAPサーバを設定して下さい

ローカルEAPがWLCで設定されるので、次のステップは正常な認証の検証に無線クライアントを認証するのにバックエンドのデータベースとして役立つLDAPサーバを設定することです。

LDAPサーバの設定の第一歩はユーザを認証するためにWLCがこのデータベースを問い合わせることができるようにLDAPサーバのユーザデータベースを作成することです。

ドメインコントローラのユーザの作成

この例では、新しいOUのldapuserは作成され、ユーザuser2はこのOUの下で作成されます。 LDAPのアクセスのためのこのユーザの設定によって、WLCはユーザ認証のためにこのLDAPのデータベースを問い合わせることができます。

この例で使用されるドメインはwireless.comです。

OUの下でユーザデータベースを作成して下さい

このセクションはドメインの新しいOUを作成しこのOUの新規ユーザを作成する方法を説明します。

1. ドメインコントローラで、Active Directory Users and Computersのマネジメントコンソールを起動させるためにStart > Programs > Administrative Tools > Active Directory UsersおよびComputersをクリックして下さい。

2. ドメイン名(この例のwireless.com、)を右クリックし、そしてコンテキストメニューから新しいOUを作成するためにNew > Organizational Unitを選択して下さい。

   

3. 名前をこのOUに割り当て、「OK」をクリックして下さい。

   

新しいOUのldapuserがLDAPサーバで作成されるので、次のステップはこのOUの下でユーザuser2を作成することです。 これを実現させるためには、これらのステップを完了して下さい:

1. 作成される新しいOUを右クリックして下さい。 新規ユーザを作成するために結果として生じるコンテキストメニューからNew > Userを選択して下さい。

   

2. User Setupページでは、この例に示すように必要フィールドを記入して下さい。 この例にユーザのログオン名前としてuser2があります。

   これはクライアントを認証するためのLDAPのデータベースで確認されるユーザ名です。 この例は名および名字としてabcdを使用します。 Next をクリックします。

   

3. パスワードを入力し、パスワードを確認して下さい。 パスワードを決してオプション切れないし、次にクリックします選択しないで下さい。

   

4. [Finish] をクリックする。

   新規ユーザuser2はOUのldapuserの下で作成されます。 ユーザの信任状は次のとおりです:

   • username: user2

   • password: Laptop123

   

OUの下のユーザが作成されるので、次のステップはLDAPのアクセスのためのこのユーザを設定することです。

LDAPのアクセスのためのユーザを設定して下さい

LDAPのアクセスのためのユーザを設定するためにこのセクションでステップを実行して下さい。

Windowsの2003年のサーバの匿名のバインドする機能を有効にして下さい

LDAPのWindowsに2003年のADアクセスするあらゆるサードパーティアプリケーションに関しては匿名のバインドする機能はWindows 2003年で有効にする必要があります。 デフォルトで、匿名LDAPオペレーションはWindowsで2003人のドメインコントローラ許可されません。

匿名のバインドする機能を有効にするためにこれらのステップを実行して下さい:

1. ADSIを編集します位置のStart > Run >タイプからのツールを起動させて下さい: ADSI Edit.msc。 このツールはWindowsの一部2003のサポートツールです。

2. ADSIではウィンドウを、拡張しますルートドメイン(設定[tsweb-laptを編集して下さい。Wireless.com])。

   CN=Services > CN=のWindows NT > CN=Directoryサービスを拡張して下さい。 CN=Directoryサービス容器を右クリックし、コンテキストメニューから特性を選択して下さい。

   

3. CN=DirectoryではPropertiesウィンドウを保守し、アトリビュートのフィールドの下でdsHeuristicsのアトリビュートをクリックし、編集します選択して下さい。 このアトリビュートのストリングアトリビュートのエディタウィンドウでは、値0000002を入力し、適用し、承諾しますクリックして下さい。 匿名のバインドする機能はWindowsの2003年のサーバで有効になります。

   注： 最後の(第7)文字はLDAPサービスにバインドできる方法を制御するものです。 「匿名LDAPオペレーションが無効であることを0"または第7文字は意味しません。 「2"へ第7文字を設定することは匿名のバインドする機能を有効にします。

   

   注： このアトリビュートが既に値を示している場合、左から第7文字だけ変更していることを確かめて下さい。 これは匿名のバインドを有効にするために変更される必要がある唯一の文字です。 たとえば、現在の値が「0010000"なら、「0010002"にそれを変更する必要があります。 現在の値が7文字以下ある場合、使用されなかった場所にゼロを置く必要があります: 「001" 「は0010002"になります。

ユーザ「user2」に認めます匿名のログオンアクセスを

次のステップはユーザuser2へ匿名のログオンアクセスを認めることです。 これを実現させるためにこれらのステップを完了して下さい:

1. Active Directory Users and Computersを開いて下さい。

2. ビューが進んだ機能チェックされることを確かめて下さい。

3. ユーザuser2にナビゲートし、それを右クリックして下さい。 コンテキストメニューからPropertiesを選択して下さい。 このユーザは名「abcd」と識別されます。

   

4. abcdのPropertiesウィンドウのセキュリティに行って下さい。

   

5. 追加します結果として生じるウィンドウでクリックして下さい。

6. ボックスを選択し、ダイアログを確認するために入力の下で匿名のログオンをオブジェクト名入力して下さい。

   

7. ACLでは、匿名のログオンにユーザのいくつかの特性セットにアクセスできることに注意します。 [OK] をクリックします。 匿名のログオンアクセスはこのユーザで認められます。

   

OUのリストの内容のアクセス権を与えること

次のステップはユーザが見つけられることOUの匿名のログオンへ少なくともリストの内容のアクセス権を与えることです。 この例では、「user2」はOU 「ldapuser」にあります。 これを実現させるためにこれらのステップを完了して下さい:

1. Active Directory Users and Computersでは、OUのldapuserを右クリックし、Propertiesを選択して下さい。

   

2. セキュリティをクリックし、次に進みました。

   

3. Add をクリックします。 開くダイアログでは、匿名のログオンを入力して下さい。

   

4. ダイアログを確認して下さい。 これは新しいダイアログのウィンドウを開きます。

5. ドロップダウンボックスに適用では、このオブジェクトだけを選択し、リストの内容を許可しますチェックボックスを有効にして下さい。

   

ユーザ属性を識別するLDPの使用

このGUIのツールはユーザがあらゆるLDAP互換性があるディレクトリに対してオペレーションを(のようなの削除接続して下さい、バインドして下さい、検索して下さい、修正して下さい、追加して下さい)行うことを許可するアクティブディレクトリのようなLDAPのクライアントです。 LDPはセキュリティ記述子および複製のメタデータのようなメタデータと共にアクティブディレクトリで、保存されるビューオブジェクトに使用されます。

LDP GUIのツールは製品CDからWindowsサーバ2003のサポートツールをインストールするとき含まれています。 このセクションはLDPのユーティリティを使用してユーザuser2に関連付けられる特定の属性を識別するために説明します。 いくつかのこれらの属性はユーザ属性のタイプおよびユーザ・オブジェクトオブジェクト・タイプのようなWLCのLDAPサーバのコンフィギュレーションパラメータを、記入するのに利用しています。

1. Windowsの2003年のサーバで(同じLDAPサーバで)、Start > Runをクリックし、LDPのブラウザにアクセスするためにLDPを入力して下さい。

2. LDPのメイン・ウィンドウで、接続>接続応答をクリックし、LDAPサーバにLDAPサーバのIPアドレスの入力によって接続して下さい。

   

3. LDAPサーバに接続されて、Viewをメインメニューから選択し、ツリーをクリックして下さい。

   

4. 結果として生じるツリー表示のウィンドウで、ユーザのBaseDNを入力して下さい。 この例では、user2はドメインWireless.comの下のOU 「ldapuser」の下にあります。 従って、ユーザuser2向けのBaseDNはdc=wireless OU=ldapuser dc=comです。 [OK] をクリックします。

   

5. LDPのブラウザの左側は指定BaseDN (OU=ldapuser、dc=wirelessのdc=com)の下で現われる全体のツリーを表示します。 ユーザuser2を見つけるためにツリーを拡張して下さい。 このユーザはユーザの名を表すCN値と識別することができます。 この例では、それはCN=abcdです。 ダブルクリックCN=abcd。 LDPのブラウザの右側のペインでは、LDPはuser2と関連付けられたすべての属性を表示します。 この例はこのステップを説明したものです:

   

   この例では、右の囲まれたフィールドを観察して下さい。

6. この資料のLDAPサーバのセクションの細部の設定WLCに言及されているように、ユーザ属性のフィールドで、ユーザ名が含まれているユーザ・レコードでアトリビュートの名前を入力して下さい。

   このLDPの出力から、ユーザ名「user2」が含まれているsAMAccountNameが1アトリビュートであることがわかります。 従って、sAMAccountNameのアトリビュートを入力して下さいWLCのユーザ属性のフィールドに対応する。

7. ユーザ・オブジェクトオブジェクト・タイプフィールドでは、ユーザとしてレコードを識別するLDAPのobjectTypeのアトリビュートの値を入力して下さい。 多くの場合、ユーザ・レコードにいくつかがユーザにユニーク、他のオブジェクト・タイプと共有されるいくつかであるobjectTypeのアトリビュートの複数の値があります。

   LDPの出力では、CN=Personはユーザとしてレコードを識別する1つの値です。 従って、WLCでユーザ・オブジェクトの型属性として人を指定して下さい。

無線クライアントを設定して下さい

最後のステップはクライアントおよびサーバの認証でEAP-FASTの認証のための無線クライアントを設定することです。 これを実現させるためにこれらのステップを完了して下さい:

1. Cisco Aironetのデスクトップユーティリティ(ADU)を起動させて下さい。 ADUのメイン・ウィンドウで、プロファイル管理を>新しい新しい無線クライアントのプロファイルを作成するためにクリックして下さい。

   

2. Profile Nameを指定し、このプロファイルにSSIDの名前を割り当てて下さい。 このSSIDの名前はWLCで設定される同じであるはずです。 この例では、SSIDの名前はLDAPです。

   

3. Securityタブをクリックし、レイヤ2セキュリティとして802.1x/EAPを選択して下さい。 EAP-FASTをEAPの方式として選択し、設定しますクリックして下さい。

4. EAP-FASTの設定ページで、TLSのクライアント認証をEAP-FASTの認証方式のドロップダウンボックスから選択し、設定しますクリックして下さい。

   

5. TLSのクライアント認証のコンフィギュレーションウィンドウでは:

   • 検証のサーバの識別のチェックボックスを有効にし、信頼されたルート認証局としてクライアントで(生成するでこの資料のクライアントのセクションのためのルートCA認証を説明される)インストールされるCA認証を選択して下さい。

   • クライアント認証としてクライアントで(生成するでこの資料のクライアントのセクションのためのデバイス認証を説明される)インストールされるデバイス認証を選択して下さい。

   • [OK] をクリックします。

     この例はこのステップを説明したものです:

   

無線クライアントのプロファイルは作成されます。

検証

設定がきちんと機能するかどうか確かめるためにこれらのステップを実行して下さい。

1. ADUのLDAP SSIDをアクティブにして下さい。

2. 次のウィンドウで必要とされるようにはいまたは良くクリックして下さい。 ADUで正常であるためにクライアント認証、またアソシエーションのすべてのステップを参照できるはずです。

このセクションを使用して、設定が正しく動作していることを確認します。 WLC CLIのモードを使用して下さい。

• WLCがLDAPサーバと通信し、ユーザを見つけられるかどうか確かめるためにはWLC CLIからのデバッグAAA LDAPのenableコマンドを指定して下さい。 この例は正常な通信LDAPのプロセスを説明したものです:

  注： このセクションの出力の一部はスペース考察による第2ラインに移動されました。

  (Ciscoコントローラ) >debug AAA LDAPのイネーブル

  Sun Jan 27 09:23:46 2008: AuthenticationRequest: 0xba96514                                                                              
  Sun Jan 27 09:23:46 2008:       Callback.....................................0x8                                                                                
  344900      
  Sun Jan 27 09:23:46 2008:       protocolType.................................0x0
  0100002
  Sun Jan 27 09:23:46 2008:       proxyState...................................00:
  40:96:AC:E6:57-00:00
  Sun Jan 27 09:23:46 2008:       Packet contains 2 AVPs (not shown)
  Sun Jan 27 09:23:46 2008: ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE
  ' (1)
  Sun Jan 27 09:23:46 2008: LDAP server 1 changed state to INIT
  Sun Jan 27 09:23:46 2008: ldapInitAndBind [1] called lcapi_init (rc = 0 - Succes
  s)
  Sun Jan 27 09:23:46 2008: ldapInitAndBind [1] called lcapi_bind (rc = 0 - Succes
  s)
  Sun Jan 27 09:23:46 2008: LDAP server 1 changed state to CONNECTED
  Sun Jan 27 09:23:46 2008: LDAP server 1 now active
  Sun Jan 27 09:23:46 2008: LDAP_CLIENT: UID Search (base=OU=ldapuser,DC=wireless,
  DC=com, pattern=(&(objectclass=Person)(sAMAccountName=user2)))
  Sun Jan 27 09:23:46 2008: LDAP_CLIENT: Returned msg type 0x64
  Sun Jan 27 09:23:46 2008: ldapAuthRequest [1] called lcapi_query base="OU=ldapus
  er,DC=wireless,DC=com" type="Person" attr="sAMAccountName" user="user2" (rc = 0
  - Success)
  Sun Jan 27 09:23:46 2008: LDAP ATTR> dn = CN=abcd,OU=ldapuser,DC=Wireless,DC=com
   (size 38)
  Sun Jan 27 09:23:46 2008: Handling LDAP response Success
  

  このデバッグ出力の強調表示された情報から、LDAPサーバがWLCで指定されるユーザ属性のWLCによって問い合わせられ、LDAPのプロセスが正常であることは明らかです。

• ローカルEAP認証が正常であるかどうか確かめるためには、WLC CLIからのデバッグAAAのローカルauthのeapの方式のイベントのenableコマンドを指定して下さい。 次に例を示します。

  (Ciscoコントローラ) >debug AAAのローカルauthのeapの方式のイベントのイネーブル

  Sun Jan 27 09:38:28 2008: eap_fast.c-EVENT: New context 
  (EAP handle = 0x1B000009)
  
  Sun Jan 27 09:38:28 2008: eap_fast.c-EVENT: Allocated new EAP-FAST context 
  (handle = 0x22000009)
  
  Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Process Response 
  (EAP handle = 0x1B000009)
  
  Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Received Identity
  
  Sun Jan 27 09:38:28 2008: eap_fast_tlv.c-AUTH-EVENT: Adding PAC A-ID TLV 
  (436973636f0000000000000000000000)
  
  Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Sending Start
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-AUTH-EVENT: Process Response, type: 0x2b
  
  Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Process Response 
  (EAP handle = 0x1B000009)
  
  Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: 
  Received TLS record type: Handshake in state: Start
  
  Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Local certificate found
  
  Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Reading Client Hello handshake
  
  Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: 
  TLS_DHE_RSA_AES_128_CBC_SHA proposed...
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: Proposed ciphersuite(s):
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_RSA_WITH_AES_128_CBC_SHA
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_RSA_WITH_RC4_128_SHA
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: Selected ciphersuite:
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  
  Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Building Provisioning Server Hello
  
  Sun Jan 27 09:38:29 2008: eap_fast_crypto.c-EVENT: 
  Starting Diffie Hellman phase 1 ...
  
  Sun Jan 27 09:38:30 2008: eap_fast_crypto.c-EVENT: 
  Diffie Hellman phase 1 complete
  
  Sun Jan 27 09:38:30 2008: eap_fast_auth.c-AUTH-EVENT: DH signature length = 128
  
  Sun Jan 27 09:38:30 2008: eap_fast_auth.c-AUTH-EVENT: Sending Provisioning Serving Hello
  
  Sun Jan 27 09:38:30 2008: eap_fast.c-EVENT: Tx packet fragmentation required
  
  Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
  EAP Fast NoData (0x2b)
  
  Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
  EAP Fast NoData (0x2b)
  
  Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
  EAP Fast NoData (0x2b)
  
  Sun Jan 27 09:38:32 2008: eap_fast.c-AUTH-EVENT: Process Response, type: 0x2b
  
  Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Reassembling TLS record
  
  Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Sending EAP-FAST Ack
  
  ............................................................................
  
  ..............................................................................
  
  ..............................................................................
  
  Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
  Received TLS record type: Handshake in state: Sent provisioning Server Hello
  
  Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
  Reading Client Certificate handshake
  
  Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Added certificate 1 to chain
  
  Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Added certificate 2 to chain
  
  Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Successfully validated received certificate
  
  Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: Rx'd I-ID: 
  "EAP-FAST I-ID" from Peer Cert
  
  Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
  Reading Client Key Exchange handshake
  
  Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
  Starting Diffie Hellman phase 2 ...
  
  Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
  Diffie Hellman phase 2 complete.
  
  Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
  Reading Client Certificate Verify handshake
  
  Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
  Sign certificate verify succeeded (compare)
  
  ............................................................................................
  
  ............................................................................................
  
  ............................................................................................
  
  .............................................................................................

• デバッグAAAのローカルauth dbのenableコマンドはまた非常に役立ちます。 次に例を示します。

  (Ciscoコントローラ) >debug AAAのローカルauth dbのイネーブル

  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: EAP: Received an auth request
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Creating new context
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Local auth profile name for context 'ldapuser'
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Created new context eap session handle fb000007
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: (EAP:8) Sending the Rxd EAP packet 
  (id 2) to EAP subsys
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Found matching context for id - 8
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: (EAP) Sending user credential 
  request username 'user2' to LDAP
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Found context matching MAC address - 8
  
  
  ........................................................................................
  
  ........................................................................................
  
  ........................................................................................
  
  ........................................................................................
  
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Sending the Rxd EAP packet 
  (id 12) to EAP subsys
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: Found matching context for id - 8
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) ---> [KEY AVAIL] send_len 64, recv_len 0
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) received keys waiting for success
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: Found matching context for id - 8
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Received success event
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Processing keys success
  

• ローカル認証に使用するべきWLCにインストールされた認証を表示するためにWLC CLIからの提示ローカルauthの認証のコマンドを発行します。 次に例を示します。

  (Ciscoコントローラ) >showのローカルauthの認証

  Certificates available for Local EAP authentication:
  
  
  
  Certificate issuer .............................. vendor
  
    CA certificate:
  
      Subject: DC=com, DC=Wireless, CN=wireless
  
       Issuer: DC=com, DC=Wireless, CN=wireless
  
        Valid: 2008 Jan 23rd, 15:50:27 GMT to 2013 Jan 23rd, 15:50:27 GMT
  
    Device certificate:
  
      Subject: O=cisco, CN=ciscowlc123
  
       Issuer: DC=com, DC=Wireless, CN=wireless
  
        Valid: 2008 Jan 24th, 12:18:31 GMT to 2010 Jan 23rd, 12:18:31 GMT
  
  
  
  Certificate issuer .............................. cisco
  
    CA certificate:
  
      Subject: O=Cisco Systems, CN=Cisco Manufacturing CA
  
       Issuer: O=Cisco Systems, CN=Cisco Root CA 2048
  
        Valid: 2005 Jun 10th, 22:16:01 GMT to 2029 May 14th, 20:25:42 GMT
  
     Device certificate:
  
               Not installed.

• CLIのモードからのWLCのローカル認証の設定を表示するために、提示ローカルauthのconfigコマンドを発行します。 次に例を示します。

  (Ciscoコントローラ) >showのローカルauthのconfig

  User credentials database search order:
  
      Primary ..................................... LDAP
  
  
  
  Timer:
  
      Active timeout .............................. 300
  
  
  
  Configured EAP profiles:
  
      Name ........................................ ldapuser
  
        Certificate issuer ........................ vendor
  
        Peer verification options:
  
          Check against CA certificates ........... Enabled
  
          Verify certificate CN identity .......... Disabled
  
          Check certificate date validity ......... Disabled
  
        EAP-FAST configuration:
  
          Local certificate required .............. Yes
  
          Client certificate required ............. Yes
  
        Enabled methods ........................... fast 
  
        Configured on WLANs ....................... 2 
  
  
  
  EAP Method configuration:
  
      EAP-FAST:
  
  --More-- or (q)uit
  
        Server key ................................ <hidden>
  
        TTL for the PAC ........................... 10
  
        Anonymous provision allowed ............... No
  
        .............................................
  
        .............................................
  
        Authority Information ..................... Cisco A-ID

トラブルシューティング

次のコマンドを使用すると、設定のトラブルシューティングを行えます。

• デバッグAAAのローカルauthのeapの方式のイベントのイネーブル

• debug aaa all enable

• debug dot1x packet enable

NetPro ディスカッション フォーラム - 特集対話

関連情報

• Wireless LANのコントローラおよび外部のRADIUSサーバの設定例のEAP-FASTの認証
• Microsoft Internet Authentication Service（IAS）を使用した Unified Wireless Network での PEAP
• ACS と Active Directory グループのマッピングに基づく WLC を使用したダイナミック VLAN 割り当ての設定例
• CiscoのWireless LANのコントローラ設定のガイド-セキュリティソリューションを設定すること
• CiscoのWireless LANのコントローラ設定のガイド-コントローラソフトウェアおよびコンフィギュレーションを管理すること
• WLAN コントローラ（WLC）での EAP 認証の設定例
• 無線 LAN コントローラ（WLC）の設計と機能に関する FAQ
• EAP-FAST 認証を使用する Cisco Secure Services Client
• 無線 LAN コントローラ（WLC）に関する FAQ
• コントローラWireless LANコントローラ(WLC)エラーおよびシステムメッセージFAQ
• テクニカルサポート&ドキュメンテーション - シスコシステムズ