ワイヤレス / モビリティ : WLAN セキュリティ

RADIUS サーバによる Wireless LAN コントローラのロビー管理者の認証

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は RADIUSサーバが付いているワイヤレス LAN コントローラ(WLC)のロビー管理者を認証するために必要となるコンフィギュレーションのステップを説明したものです。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • WLC の基本パラメータの設定方法に関する知識

  • Cisco Secure ACS のような RADIUSサーバを、設定する方法のナレッジ

  • WLC のゲストユーザのナレッジ

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • バージョン 7.0.216.0 が稼働する Cisco 4400 ワイヤレス LAN コントローラ。

  • この設定では、ソフトウェア バージョン 4.1 が稼働する Cisco Secure ACS を RADIUS サーバとして使用します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

WLC のロビー管理者、別名ロビー大使は、ワイヤレス LAN コントローラ(WLC)のゲストユーザ ユーザー アカウントを作成し、管理できます。 ロビー大使は限られた設定特権があり、ゲスト アカウントを管理するのに使用される Webページだけアクセスできます。 ロビー大使はゲストユーザ ユーザー アカウントがアクティブのままになること時間数を規定できます。 指定時間経過の後で、ゲストユーザ ユーザー アカウントは自動的に切れます。

配置ガイドを参照して下さい: ゲストユーザに関する詳細については Ciscoワイヤレス LAN コントローラを使用する Cisco ゲスト アクセス

WLC のゲストユーザ ユーザー アカウントを作成するために、ロビー管理者としてコントローラにログインする必要があります。 属性に基づくロビー管理者が RADIUSサーバによって戻ったようにユーザが WLC にどのように認証されるかこの資料に説明されています。

注: 認証がまた実行されたことができるロビー管理者は WLC でローカルで設定されたロビー管理者 アカウントに基づいていました。 コントローラでロビー管理者 アカウントをローカルで作成する方法の情報に関しては Lobby Ambassador アカウントを作成することを参照して下さい。

設定

このセクションではこの資料に説明がある目的で WLC および Cisco Secure ACS を設定する、方法の情報が表示されます。

設定

このドキュメントでは、次の設定を使用します。

  • WLC のマネージメントインターフェイス IP アドレスは 10.77.244.212/27 です。

  • RADIUSサーバの IP アドレスは 10.77.244.197/27 です。

  • 共有秘密 キーは Access Point (AP)および RADIUSサーバで使用する cisco123 です。

  • RADIUSサーバで設定されるロビー管理者のユーザ名 および パスワードは両方 lobbyadmin です。

この資料の設定例では、lobbyadmin としてユーザ名 および パスワードのコントローラにログイン して いるあらゆるユーザ ロビー管理者のロールは割り当てられます。

WLC の設定

必要な WLC 設定を開始する前に、コントローラがバージョン 4.0.206.0 またはそれ以降を実行するようにして下さい。 これはユーザ名が RADIUS データベースで保存されるときコントローラの Webインターフェイスが LobbyAdmin ユーザ向けの間違った Webページを表示する Cisco バグ ID CSCsg89868登録ユーザのみ)が原因です。 LobbyAdmin は LobbyAdmin インターフェイスの代りに読み取り専用 インターフェイスと示されます。

この不具合は WLC バージョン 4.0.206.0 で解決されました。 従ってコントローラ バージョンが 4.0.206.0 またはそれ以降であることを、確認して下さい。 適切なバージョンにコントローラをアップグレードする方法に関する説明に関してはワイヤレス LAN コントローラ(WLC)ソフトウェアアップグレードを参照して下さい。

Admin auth を経て半径 フラグがコントローラで有効に なるようにコントローラ 管理 認証を RADIUSサーバと行うために、して下さい。 これは show radius summary コマンド出力から確認することができます。

第一歩はコントローラの RADIUSサーバ 情報を設定し、コントローラと RADIUSサーバ間のレイヤ3 到達可能性を確立することです。

コントローラの RADIUSサーバ 情報を設定して下さい

ACS についての詳細で WLC を設定するためにこれらのステップを完了して下さい:

  1. WLC GUI から、Security タブを選択し、ACS サーバの IP アドレスおよび共有秘密を設定して下さい。

    WLC が ACS と通信するためには、この共有秘密が ACS 上の共有秘密と一致している必要があります。

    注:  ACS 共有秘密は大文字/小文字の区別があります。 従って、共有秘密 情報を正しく入力することを確かめて下さい。

    この図は例を示します:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/97073-auth-lobbyadmin-radius-01.gif

  2. ACS がステップ 1.の図に示すように WLC ユーザを管理するように管理 チェックボックスをチェックして下さい。 次に、[Apply] をクリックします。

  3. ping コマンドの助けによってコントローラと設定された RADIUS サーバ間のレイヤ3 到達可能性を確認して下さい。 この PING オプションは Security>RADIUS Authentication タブで WLC GUI で設定された RADIUS サーバ ページでまた利用できます。

    このダイアグラムは RADIUSサーバからの成功したping 応答を示します。 従って、レイヤ3 到達可能性はコントローラと RADIUSサーバ間で利用できます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/97073-auth-lobbyadmin-radius-02.gif

RADIUS サーバの設定

RADIUSサーバを設定するためにこれらのセクションのステップを完了して下さい:

  1. WLC を AAA クライアントとして RADIUS サーバに追加する

  2. ロビー管理者のための適切な RADIUS IETF 型属性を設定して下さい

WLC を AAA クライアントとして RADIUS サーバに追加する

RADIUSサーバの AAA クライアントとして WLC を追加するためにこれらのステップを完了して下さい。 上記されるように、この資料は RADIUSサーバとして ACS を使用します。 この設定では、任意の RADIUS サーバを使用できます。

ACS の AAA クライアントとして WLC を追加するためにこれらのステップを完了して下さい:

  1. ACS GUI から、Network Configuration タブを選択して下さい。

  2. AAA Clients の下で [Add Entry] をクリックします。

  3. Add AAA Client ウィンドウで、WLC のホスト名、WLC の IP アドレス、および共有秘密キーを入力します。 ステップ 5.の下でダイアグラム例を参照して下さい。

  4. Authenticate Using ドロップダウン メニューから、RADIUS (Cisco Aironet) を選択します。

  5. 設定を保存するには、Submit + Restart をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/97073-auth-lobbyadmin-radius-03.gif

ロビー管理者のための適切な RADIUS IETF 型属性を設定して下さい

コントローラの管理 ユーザを RADIUSサーバによってロビー管理者として認証するために、管理上のコールバックに IETF RADIUSサービス 型属性が設定されていると RADIUS データベースにユーザを追加して下さい。 このアトリビュートは特定のユーザにコントローラのロビー管理者のロールを割り当てます。

この資料はロビー管理者として例ユーザ lobbyadmin を示したものです。 このユーザを設定するために、ACS のこれらのステップを完了して下さい:

  1. ACS GUI から、User Setup タブを選択して下さい。

  2. このウィンドウ例が表示するように ACS に追加されるべきユーザ名を入力して下さい:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/97073-auth-lobbyadmin-radius-04.gif

  3. Add/Edit をクリックして、User Edit ページに移動します。

  4. ユーザ Edit ページで、このユーザの本名、説明およびパスワード詳細を提供して下さい。

    この例では、使用されるユーザ名 および パスワードは両方 lobbyadmin です。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/97073-auth-lobbyadmin-radius-05.gif

  5. 設定 する IETF RADIUS特性にスクロールし、型属性チェックボックスをチェックして下さい。

  6. 管理上のコールバックをサービス タイプ プルダウン メニューから選択し、『SUBMIT』 をクリック して下さい。

    このユーザにロビー管理者のロールを割り当てるこれはアトリビュートです。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/97073-auth-lobbyadmin-radius-06.gif

    場合によっては、この Service-Type アトリビュートがユーザ設定で表示されないことがあります。 このような場合、見えるようにするためにこれらのステップを完了して下さい:

    1. ACS の GUI から、IETF アトリビュートを有効にするために、[User Configuration] ウィンドウで [Interface Configuration] > [RADIUS (IETF)] の順に選択します。

      これは Settings ページ RADIUS (IETF)に連れて来ます。

    2. RADIUS (IETF) の設定ページでは、ユーザ設定やグループ設定で表示する必要がある IETF アトリビュートを指定できます。 この設定では、[User] カラムで [Service-Type] にチェックマークを付けて、[Submit] をクリックします。

      このウィンドウは例を表示します:

      http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/97073-auth-lobbyadmin-radius-07.gif

      注: この例ではユーザ単位での認証を指定していますが、 ユーザが属するグループ単位で認証を行うこともできます。 このような場合このアトリビュートがグループ設定の下で目に見えるように、Group チェックボックスをチェックして下さい。

      注: グループ単位で認証を行う場合は、特定のグループにユーザを割り当て、そのグループのユーザにアクセス特権を与えるようにグループ設定の IETF アトリビュートを設定する必要もあります。 グループを設定・管理する方法の詳細な情報に関してはユーザグループ 管理を参照して下さい。

確認

このセクションでは、設定が正常に機能していることを確認します。

設定がきちんと機能することを確認するために、GUI (HTTP/HTTPS)モードによって WLC にアクセスして下さい。

注: 従ってロビー大使はコントローラ CLIインターフェイスにアクセス、コントローラ GUI からのだけゲストユーザ ユーザー アカウントを作成できます。

ログインプロンプトが現われるとき、ACS で設定されるようにユーザ名 および パスワードを入力して下さい。 正しいコンフィギュレーションがある場合ロビー管理者として WLC に認証に成功されます。 ロビー管理者の GUI が認証の成功をどのように守るかこの例に示されています:

http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/97073-auth-lobbyadmin-radius-08.gif

注: ロビー管理者はゲストユーザ 管理から離れてその他のオプションがないことがわかります。

それを、Telnet 読み取りと書き込み 管理者としてコントローラに CLI モードから確認するため。 コントローラ CLI で debug aaa all enable コマンドを発行して下さい。

(Cisco Controller) >debug aaa all enable

(Cisco Controller) >
*aaaQueueReader: Aug 26 18:07:35.072: ReProcessAuthentication previous proto 28,
 next proto 20001
*aaaQueueReader: Aug 26 18:07:35.072: AuthenticationRequest: 0x3081f7dc
*aaaQueueReader: Aug 26 18:07:35.072:   Callback.....................................0x10756dd0
*aaaQueueReader: Aug 26 18:07:35.072:   protocolType.................................0x00020001
*aaaQueueReader: Aug 26 18:07:35.072:   proxyState...................................00:00:00:40:
00:00-00:00
*aaaQueueReader: Aug 26 18:07:35.072:   Packet contains 5 AVPs (not shown)
*aaaQueueReader: Aug 26 18:07:35.072: apfVapRadiusInfoGet: WLAN(0) dynamic int attributes srcAddr:
0x0, gw:0x0, mask:0x0, vlan:0, dpPort:0, srcPort:0
*aaaQueueReader: Aug 26 18:07:35.073: 00:00:00:40:00:00 Successful transmission of Authentication 
Packet (id 39) to 10.77.244.212:1812, proxy state 00:00:00:40:00:00-00:01
*aaaQueueReader: Aug 26 18:07:35.073: 00000000: 01 27 00 47 00 00 00 00  00 00 00 00 00 00 00 00  
.'.G............
*aaaQueueReader: Aug 26 18:07:35.073: 00000010: 00 00 00 00 01 0c 6c 6f  62 62 79 61 64 6d 69 6e  
......lobbyadmin
*aaaQueueReader: Aug 26 18:07:35.073: 00000020: 02 12 5f 5b 5c 12 c5 c8  52 d3 3f 4f 4f 8e 9d 38 
 .._[\...R.?OO..8
*aaaQueueReader: Aug 26 18:07:35.073: 00000030: 42 91 06 06 00 00 00 07  04 06 0a 4e b1 1a 20 09  
B..........N....
*aaaQueueReader: Aug 26 18:07:35.073: 00000040: 57 4c 43 34 34 30 30 WLC4400
*radiusTransportThread: Aug 26 18:07:35.080: 00000000: 02 27 00 40 7e 04 6d 533d ed 79 9c b6 99 d1 
f8  .'.@~.mS=.y.....
*radiusTransportThread: Aug 26 18:07:35.080: 00000010: d0 5a 8f 4f 08 06 ff ffff ff 06 06 00 00 00 
0b  .Z.O............
*radiusTransportThread: Aug 26 18:07:35.080: 00000020: 19 20 43 41 43 53 3a 302f 61 65 32 36 2f 61 
34  ..CACS:0/ae26/a4
*radiusTransportThread: Aug 26 18:07:35.080: 00000030: 65 62 31 31 61 2f 6c 6f62 62 79 61 64 6d 69 
6e  eb11a/lobbyadmin
*radiusTransportThread: Aug 26 18:07:35.080: ****Enter processIncomingMessages: response code=2
*radiusTransportThread: Aug 26 18:07:35.080: ****Enter processRadiusResponse: response code=2
*radiusTransportThread: Aug 26 18:07:35.080: 00:00:00:40:00:00 Access-Accept received from RADIUS 
server 10.77.244.212 for mobile 00:00:00:40:00:00 receiveId = 0
*radiusTransportThread: Aug 26 18:07:35.080: AuthorizationResponse: 0x13c73d50
*radiusTransportThread: Aug 26 18:07:35.080:    structureSize................................118
*radiusTransportThread: Aug 26 18:07:35.080:    resultCode...................................0
*radiusTransportThread: Aug 26 18:07:35.080:    protocolUsed.................................0x00000001
*radiusTransportThread: Aug 26 18:07:35.080:    proxyState...................................00:00:00:40:00:00-00:00
*radiusTransportThread: Aug 26 18:07:35.080:    Packet contains 3 AVPs:
*radiusTransportThread: Aug 26 18:07:35.080:        AVP[01] Framed-IP-Address........................0xffffffff (-1) (4 bytes)
*radiusTransportThread: Aug 26 18:07:35.080:        AVP[02] Service-Type.............................0x0000000b (11) (4 bytes)
*radiusTransportThread: Aug 26 18:07:35.080:        AVP[03] Class....................................
CACS:0/ae26/a4eb11a/lobbyadmin (30 bytes)
*emWeb: Aug 26 18:07:35.084: Authentication succeeded for lobbyadmin

この出力の強調表示された情報では、型属性 11 (管理上のコールバック)がロビー管理者として ACS サーバおよびユーザからのコントローラにログオンされる渡されることがわかります。

これらのコマンドは追加ヘルプであるかもしれません:

  • デバッグ AAA 詳細 イネーブル

  • debug aaa events enable

  • debug aaa packets enable

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

トラブルシューティング

ロビー大使特権のコントローラにログインするとき、「アカウントである 0" ライフ時間値でゲストユーザ ユーザー アカウントを作成できません決して切らさない。 この場合、ライフタイム値を 0 エラーメッセージである場合もありません受け取ります。

これは WLC バージョン 4.0 と主にある Cisco バグ ID CSCsf32392登録ユーザのみ)が原因です。 この不具合は WLC バージョン 4.1 で解決されました。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 97073