クラウドおよびシステム管理 : Cisco アクセス レジストラ

Cisco Access Registrar およびLEAP の設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco Networking Service Access Registrar(AR)3.0 は、Light Extensible Authentication Protocol(LEAP)(EAP-Cisco Wireless)をサポートしています。 このドキュメントでは、Cisco AR への LEAP 認証のためのワイヤレス Aironet クライアント ユーティリティおよび Cisco Aironet 340、350、または 1200 シリーズ アクセス ポイント(AP)の設定方法について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Aironet か。 340、350、または 1200 シリーズ アクセス ポイント

  • Cisco LEAP のための APファームウェア 11.21 またはそれ以降

  • Cisco Aironet 340 か 350 シリーズ ネットワーク インターフェイス カード(NIC)

  • Cisco LEAP のためのファームウェアのバージョン 4.25.30 またはそれ以降

  • Cisco LEAP のための Network Driver Interface Specification (NDIS) 8.2.3 またはそれ以降

  • Aironetクライアント ユーティリティ(ACU)バージョン 5.02 または それ 以降

  • Cisco Network Registrar 3.0 またはそれ以降が Cisco LEAP および MAC 認証 要求を実行し、認証するために必要となります

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

EAP Cisco Wireless (Cisco LEAP) の設定

このセクションは Cisco AR サーバ、AP およびさまざまなクライアントの Cisco LEAP の基本設定をカバーします。

手順説明

LEAP を設定するこれらの手順に従って下さい:

  1. Cisco AR サーバのポートを変更して下さい。

    AP は User Datagram Protocol (UDP; ユーザ データグラム プロトコル) ポート 1812 (認証)および 1813 の RADIUS 情報を送信 します(会計)。 Cisco AR が UDP ポート 1645 および 1646 でデフォルトで受信するので、Cisco AR を UDP ポート 1812 および 1813 で受信するために設定して下さい。

    1. cd /radius/advanced/ports コマンドを発行して下さい。

    2. ポート 1812 を追加する add 1812 コマンドを発行して下さい。

    3. 会計をすることを計画する場合ポート 1813 を追加する add 1813 コマンドを発行するため。

    設定を保存し、次にサービスを再開して下さい。

  2. AP を Cisco AR サーバに追加するために、これらのコマンドを発行して下さい:

    • cd /Radius/Clients

    • ap350-1 を追加して下さい

    • cd ap350-1

    • IP アドレス 171.69.89.1 を設定 して下さい

    • sharedsecret cisco を設定 して下さい

  3. Wired Equivalent Privacy (WEP) キー セッション タイムアウトを設定するために、これらのコマンドを発行して下さい:

    注: 802.1X は再認証 オプションを規定 します。 Cisco LEAP アルゴリズムはユーザ向けの切れ、新しい WEP セッションキーを発行するこのオプションを電流 WEP セッションキー利用します。

    • cd /Radius/Profiles

    • ap プロファイルを追加して下さい

    • cd ap プロファイル

    • cd 属性

    • セッション タイムアウト 600 を設定 して下さい

  4. プロファイルを使用するユーザグループを作成することはステップ 3 で、発行しますこれらのコマンドを追加しました:

    • cd /Radius/Usergroups

    • ap グループを追加して下さい

    • cd ap グループ

    • 一定 baseprofile ap プロファイル

    このユーザグループのユーザはプロファイルを受継ぎ、次々とセッション タイムアウトを受け取ります。

  5. ユーザー一覧のユーザを作成し、ユーザをステップ 4 で定義されるユーザグループに追加するためにこれらのコマンドを発行して下さい:

    • cd /Radius/Userlists

    • ap ユーザを追加して下さい

    • cd ap ユーザ

    • user1 を追加して下さい

    • cd user1

    • set password Cisco

    • 一定グループ ap グループ

  6. ローカル認証および許可サービスを UserService 「apuserservice」を使用し、サービス タイプ「eap LEAP」を設定 するために作成するためにこれらのコマンドを発行して下さい:

    • cd /Radius/Services

    • aplocalservice を追加して下さい

    • cd aplocalservice

    • セット型 eap LEAP

    • UserService apuserservice を設定 して下さい

  7. ユーザサービス「apuserservice」を定義されるステップ 5 でユーザー一覧を使用するために作成するためにこれらのコマンドを発行して下さい:

    • cd /Radius/Services

    • apuserservice を追加して下さい

    • cd aplocalservice

    • set type local

    • userlist ap ユーザを設定 して下さい

  8. Cisco AR がステップ 6 で定義されるサービスに使用することデフォルトの認証および許可を、発行しますこれらのコマンドを保守して下さい設定 するために:

    • cd /radius

    • defaultauthenticationservice aplocalservice を設定 して下さい

    • defaultauthorizationservice aplocalservice を設定 して下さい

  9. 設定をリロードするために保存し、これらのコマンドを発行して下さい:

    • save

    • リロード

AP でのEAP Cisco (Cisco LEAP) の有効化

手順説明

AP の Cisco LEAP を有効に するために次の手順に従って下さい:

  1. AP に参照して下さい。

  2. Summary Status ページから、『Setup』 をクリック して下さい。

  3. Services メニューでは、Security > Authentication Server の順にクリック して下さい。

  4. 802.1X プロトコル バージョン ドロップダウン メニューのこの AP で動作するために 802.1X のバージョンを選択して下さい。

  5. サーバ Name/IP テキストボックスの Cisco AR の IP アドレスを設定して下さい。

  6. サーバタイプ ドロップダウン メニューが RADIUS に設定 されることを確認して下さい。

  7. 1812 にポート テキストボックスを変更して下さい。 これは Cisco AR と使用するべき正しい IP ポート番号です。

  8. Cisco AR で使用される値で共有秘密 テキストボックスを設定して下さい。

  9. EAP Authentication チェックボックスを選択して下さい。

  10. そう望まれたらタイムアウト テキストボックスを修正して下さい。 これは Cisco AR の認証要求のタイムアウト値です。

  11. Security Setup 画面に戻るために『OK』 をクリック して下さい。

    また説明する RADIUS をする場合会計 セットアップページのポートが Cisco AR で一致することを確認して下さい(1813)のために設定 される設定されるポートと。

  12. Radio Data Encryption (WEP) をクリックします。

  13. WEPキー 1 テキストボックスの 40ビットまたは 128ビットのキー値を入力することによってブロードキャスト WEPキーを設定して下さい。

  14. 使用するために認証種別を選択して下さい。 、少くとも、Network-EAP チェックボックスが選択されることを確かめて下さい。

  15. Use of Data Encryption ドロップダウン メニューが OPTIONAL または FULL ENCRYPTION に設定 されることを確認して下さい。 オプションのは同じ AP の非 WEP および WEP クライアントの使用を可能にします。 これが不確かな動作モードであることに注意して下さい。 Full Encryption を時可能な限り使用して下さい。

  16. 終わるために『OK』 をクリック して下さい。

ACU 6.00 の設定

手順説明

ACU を設定するために次の手順に従って下さい:

  1. ACU を開きます。

  2. ツールバーで『Profile Manager』 をクリック して下さい。

  3. 新しいプロファイルを作成するために『Add』 をクリック して下さい。

  4. Profile Name をテキストボックスで入力し、次に『OK』 をクリック して下さい。

  5. SSID1 テキストボックスの適切な Service Set Identifier (SSID)で入力して下さい。

  6. 『Network Security』 をクリック して下さい。

  7. ネットワーク セキュリティ型ドロップダウン メニューから『LEAP』 を選択 して下さい。

  8. [Configure] をクリックします。

  9. 必要に応じてパスワード設定を設定して下さい。

  10. [OK] をクリックします。

  11. Network Security 画面で『OK』 をクリック して下さい。

Cisco AR からのトレース

Cisco AR のトレース出力を得るためにトレース /r 5 を発行して下さい。 AP デバッグを必要とする場合、Telnet によって AP に接続し、eap_diag1_on および eap_diag2_on コマンドを発行できます。

06/28/2004 16:31:49: P1121: Packet received from 10.48.86.230
06/28/2004 16:31:49: P1121: Checking Message-Authenticator
06/28/2004 16:31:49: P1121: Trace of Access-Request packet
06/28/2004 16:31:49: P1121: identifier = 5
06/28/2004 16:31:49: P1121: length = 146
06/28/2004 16:31:49: P1121: 
   reqauth = e5:4f:91:27:0a:91:82:6b:a4:81:c1:cc:c8:11:86:0b
06/28/2004 16:31:49: P1121: User-Name = user1
06/28/2004 16:31:49: P1121: NAS-IP-Address = 10.48.86.230
06/28/2004 16:31:49: P1121: NAS-Port = 37
06/28/2004 16:31:49: P1121: Service-Type = Login
06/28/2004 16:31:49: P1121: Framed-MTU = 1400
06/28/2004 16:31:49: P1121: Called-Station-Id = 000d29e160f2
06/28/2004 16:31:49: P1121: Calling-Station-Id = 00028adc8f2e
06/28/2004 16:31:49: P1121: NAS-Identifier = frinket
06/28/2004 16:31:49: P1121: NAS-Port-Type = Wireless - IEEE 802.11
06/28/2004 16:31:49: P1121: EAP-Message = 02:02:00:0a:01:75:73:65:72:31
06/28/2004 16:31:49: P1121: 
   Message-Authenticator = f8:44:b9:3b:0f:33:34:a6:ed:7f:46:2d:83:62:40:30
06/28/2004 16:31:49: P1121: Cisco-AVPair = ssid=blackbird
06/28/2004 16:31:49: P1121: Using Client: ap1200-1 (10.48.86.230)
06/28/2004 16:31:49: P1121: Using Client ap1200-1 (10.48.86.230) as the NAS
06/28/2004 16:31:49: P1121: Authenticating and Authorizing with 
   Service ap-localservice
06/28/2004 16:31:49: P1121: Response Type is Access-Challenge, 
   skipping Remote Session Management.
06/28/2004 16:31:49: P1121: Response Type is Access-Challenge, 
   skipping Local Session Management.
06/28/2004 16:31:49: P1121: Adding Message-Authenticator to response
06/28/2004 16:31:49: P1121: Trace of Access-Challenge packet
06/28/2004 16:31:49: P1121: identifier = 5
06/28/2004 16:31:49: P1121: length = 61
06/28/2004 16:31:49: P1121: 
   reqauth = 60:ae:19:8d:41:5e:a8:dc:4c:25:1b:8d:49:a3:47:c4
06/28/2004 16:31:49: P1121: EAP-Message = 
   01:02:00:15:11:01:00:08:66:27:c3:47:d6:be:b3:67:75:73:65:72:31
06/28/2004 16:31:49: P1121: Message-Authenticator = 
   59:d2:bc:ec:8d:85:36:0b:3a:98:b4:90:cc:af:16:2f
06/28/2004 16:31:49: P1121: Sending response to 10.48.86.230
06/28/2004 16:31:49: P1123: Packet received from 10.48.86.230
06/28/2004 16:31:49: P1123: Checking Message-Authenticator
06/28/2004 16:31:49: P1123: Trace of Access-Request packet
06/28/2004 16:31:49: P1123: identifier = 6
06/28/2004 16:31:49: P1123: length = 173
06/28/2004 16:31:49: P1123: 
   reqauth = ab:f1:0f:2d:ab:6e:b7:49:9e:9e:99:00:28:0f:08:80
06/28/2004 16:31:49: P1123: User-Name = user1
06/28/2004 16:31:49: P1123: NAS-IP-Address = 10.48.86.230
06/28/2004 16:31:49: P1123: NAS-Port = 37
06/28/2004 16:31:49: P1123: Service-Type = Login
06/28/2004 16:31:49: P1123: Framed-MTU = 1400
06/28/2004 16:31:49: P1123: Called-Station-Id = 000d29e160f2
06/28/2004 16:31:49: P1123: Calling-Station-Id = 00028adc8f2e
06/28/2004 16:31:49: P1123: NAS-Identifier = frinket
06/28/2004 16:31:49: P1123: NAS-Port-Type = Wireless - IEEE 802.11
06/28/2004 16:31:49: P1123: EAP-Message = 
   02:02:00:25:11:01:00:18:5e:26:d6:ab:3f:56:f7:db:21:96:f3:b0:fb:ec:6b:
   a7:58:6f:af:2c:60:f1:e3:3c:75:73:65:72:31
06/28/2004 16:31:49: P1123: Message-Authenticator = 
   21:da:35:89:30:1e:e1:d6:18:0a:4f:3b:96:f4:f8:eb
06/28/2004 16:31:49: P1123: Cisco-AVPair = ssid=blackbird
06/28/2004 16:31:49: P1123: Using Client: ap1200-1 (10.48.86.230)
06/28/2004 16:31:49: P1123: Using Client ap1200-1 (10.48.86.230) as the NAS
06/28/2004 16:31:49: P1123: Authenticating and Authorizing 
   with Service ap-localservice
06/28/2004 16:31:49: P1123: Calling external service ap-userservice 
   for authentication and authorization
06/28/2004 16:31:49: P1123: Getting User user1's UserRecord
   from UserList ap-users
06/28/2004 16:31:49: P1123: User user1's MS-CHAP password matches
06/28/2004 16:31:49: P1123: Processing UserGroup ap-group's check items
06/28/2004 16:31:49: P1123: User user1 is part of UserGroup ap-group
06/28/2004 16:31:49: P1123: Merging UserGroup ap-group's BaseProfiles
   into response dictionary
06/28/2004 16:31:49: P1123: Merging BaseProfile ap-profile
   into response dictionary
06/28/2004 16:31:49: P1123: Merging attributes into the Response Dictionary:
06/28/2004 16:31:49: P1123: Adding attribute Session-Timeout, value = 600
06/28/2004 16:31:49: P1123: Merging UserGroup ap-group's Attributes 
   into response Dictionary
06/28/2004 16:31:49: P1123: Merging attributes into the Response Dictionary:
06/28/2004 16:31:49: P1123: Removing all attributes except for 
   EAP-Message from response - they will be sent back in the Access-Accept
06/28/2004 16:31:49: P1123: Response Type is Access-Challenge, 
   skipping Remote Session Management.
06/28/2004 16:31:49: P1123: Response Type is Access-Challenge, 
   skipping Local Session Management.
06/28/2004 16:31:49: P1123: Adding Message-Authenticator to response
06/28/2004 16:31:49: P1123: Trace of Access-Challenge packet
06/28/2004 16:31:49: P1123: identifier = 6
06/28/2004 16:31:49: P1123: length = 44
06/28/2004 16:31:49: P1123: 
   reqauth = 28:2e:a3:27:c6:44:9e:13:8d:b3:60:01:7f:da:8b:62
06/28/2004 16:31:49: P1123: EAP-Message = 03:02:00:04
06/28/2004 16:31:49: P1123: Message-Authenticator = 
   2d:63:6a:12:fd:91:9e:7d:71:9d:8b:40:04:56:2e:90
06/28/2004 16:31:49: P1123: Sending response to 10.48.86.230
06/28/2004 16:31:49: P1125: Packet received from 10.48.86.230
06/28/2004 16:31:49: P1125: Checking Message-Authenticator
06/28/2004 16:31:49: P1125: Trace of Access-Request packet
06/28/2004 16:31:49: P1125: identifier = 7
06/28/2004 16:31:49: P1125: length = 157
06/28/2004 16:31:49: P1125: 
   reqauth = 72:94:8c:34:4c:4a:ed:27:98:ba:71:33:88:0d:8a:f4
06/28/2004 16:31:49: P1125: User-Name = user1
06/28/2004 16:31:49: P1125: NAS-IP-Address = 10.48.86.230
06/28/2004 16:31:49: P1125: NAS-Port = 37
06/28/2004 16:31:49: P1125: Service-Type = Login
06/28/2004 16:31:49: P1125: Framed-MTU = 1400
06/28/2004 16:31:49: P1125: Called-Station-Id = 000d29e160f2
06/28/2004 16:31:49: P1125: Calling-Station-Id = 00028adc8f2e
06/28/2004 16:31:49: P1125: NAS-Identifier = frinket
06/28/2004 16:31:49: P1125: NAS-Port-Type = Wireless - IEEE 802.11
06/28/2004 16:31:49: P1125: EAP-Message = 
   01:02:00:15:11:01:00:08:3e:b9:91:18:a8:dd:98:ee:75:73:65:72:31
06/28/2004 16:31:49: P1125: Message-Authenticator = 
   8e:73:2b:a6:54:c6:f5:d9:ed:6d:f0:ce:bd:4f:f1:d6
06/28/2004 16:31:49: P1125: Cisco-AVPair = ssid=blackbird
06/28/2004 16:31:49: P1125: Using Client: ap1200-1 (10.48.86.230)
06/28/2004 16:31:49: P1125: Using Client ap1200-1 (10.48.86.230) as the NAS
06/28/2004 16:31:49: P1125: Authenticating and Authorizing 
   with Service ap-localservice
06/28/2004 16:31:49: P1125: Merging attributes into the Response Dictionary:
06/28/2004 16:31:49: P1125: Adding attribute Session-Timeout, value = 600
06/28/2004 16:31:49: P1125: Restoring all attributes to response 
   that were removed in the last Access-Challenge
06/28/2004 16:31:49: P1125: No default Remote Session Service defined.
06/28/2004 16:31:49: P1125: Adding Message-Authenticator to response
06/28/2004 16:31:49: P1125: Trace of Access-Accept packet
06/28/2004 16:31:49: P1125: identifier = 7
06/28/2004 16:31:49: P1125: length = 142
06/28/2004 16:31:49: P1125: 
   reqauth = 71:f1:ef:b4:e6:e0:c2:4b:0a:d0:95:47:35:3d:a5:84
06/28/2004 16:31:49: P1125: Session-Timeout = 600
06/28/2004 16:31:49: P1125: EAP-Message = 
02:02:00:25:11:01:00:18:86:5c:78:3d:82:f7:69:c7:96:70:35:31:bb:51:a7:ba:f8:48:8c:
45:66:00:e8:3c:75:73:65:72:31
06/28/2004 16:31:49: P1125: Message-Authenticator = 7b:48:c3:17:53:67:44:f3:af:5e:17:27:3d:3d:23:5f
06/28/2004 16:31:49: P1125: Cisco-AVPair = 6c:65:61:70:3a:73:65:73:73:69:6f:6e:2d:6b:65:79:3d:04:f2:c5:2a:de:fb:4e:1e:8a:8d
:b8:1b:e9:2c:f9:9a:3e:83:55:ff:ae:54:57:4b:60:e1:03:05:fd:22:95:4c:b4:62
06/28/2004 16:31:49: P1125: Sending response to 10.48.86.230

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 28901