ワイヤレス : Cisco 4400 シリーズ ワイヤレス LAN コントローラ

ACS と Active Directory グループのマッピングに基づく WLC を使用したダイナミック VLAN 割り当ての設定例

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 4 月 23 日) | 英語版 (2015 年 12 月 20 日) | フィードバック


目次


概要

この資料に Microsoft を使用して無線クライアントを認証する方法を説明されていますか。 Windows Active Directory (AD) データベース、AD グループと Cisco Secure Access Control Server (ACS)グループの間でマッピング する グループをおよびマッピング された ACS グループで設定される VLAN に認証されたクライアントを設定する方法を動的に割り当てる方法を。 このドキュメントでは、ACS Solution Engine は使用せず、ACS ソフトウェア製品のみを使用して AD グループのマッピングを行う方法について説明しています。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • ワイヤレス LAN コントローラ(WLC)および Lightweight アクセス ポイント(LAP)に関する基本的な知識があること

  • Cisco Secure ACS に関する実践的な知識があること

  • ワイヤレス ネットワークとワイヤレスのセキュリティ問題に関する全般的な知識があること

  • ダイナミック VLAN 割り当てに関する実践的で設定ができる知識があること

    詳細については、「ダイナミック VLAN 割り当て」を参照してください。

  • Microsoft Windows AD サービスに加え、ドメイン コントローラと DNS の概念に関する基本的な知識があること

  • Lightweight AP Protocol(LWAPP; Lightweight AP プロトコル)に関する基本的な知識があること

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア リリース 4.0.217.0 が稼働している Cisco 2000 シリーズ WLC

  • Cisco 1000 シリーズ LAP Cisco 802.11a/b/g

  • ファームウェア リリース 3.6 が稼働している無線クライアント アダプタ

  • バージョン 3.6 が稼働している Cisco Aironet Desktop Utility(ADU)

  • バージョン 4.1 が稼働している Cisco Secure ACS

  • ドメイン コントローラとして設定された Microsoft Windows 2003 Server

  • バージョン 12.1 が稼働している Cisco 2950 シリーズ スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

Cisco Secure ACS リリース 4.1 for Windows は、内部データベースを含む複数のデータベースの中の 1 つを使用して無線ユーザを認証します。 また、複数の種類のデータベースを使用してユーザを認証するように ACS を設定することもできます。 ユーザの認証を複数の外部ユーザ データベースに転送するように ACS を設定できます。 ACS は外部のユーザ データベースをサポートしているので、ユーザ データベース内のユーザ エントリを複製する必要はありません。

無線ユーザに対して、次のような外部データベースを使用して認証を実行できます。

  • Windows データベース

  • Novell NetWare Directory Services(NDS)

  • 汎用の Lightweight Directory Access Protocol(LDAP)

  • Open Database Connectivity(ODBC)に準拠したリレーショナル データベース

  • LEAP Proxy Remote Access Dial-In User Service(RADIUS)サーバ

  • Rivest, Shamir, and Adelman(RSA)SecurID トークン サーバ

  • RADIUS に準拠したトークン サーバ

ACS の内部および外部データベースでサポートされる認証プロトコルについては、「ACS 認証とユーザデータベースの互換表」を参照してください。

このドキュメントでは、外部の Windows データベースを使用する無線ユーザの認証について説明しています。

外部データベースを使用してユーザを認証するように ACS を設定するには、次のいずれかの方法を使用します。

  • 特定ユーザの割り当てによる方法:外部ユーザ データベースを使用して特定のユーザを認証するように ACS を設定できます。 これを行うには、そのユーザが ACS 内部データベースに存在している必要があり、User Setup の Password Authentication リストで、ACS がそのユーザの認証に使用する外部ユーザ データベースを指定する必要があります。

  • Unknown User Policy による方法:ACS 内部データベースに存在しないユーザの認証を、外部ユーザ データベースを使用して行うように ACS を設定できます。 この方式を使用する場合、ACS 内部データベースで新しいユーザを定義する必要はありません。

このドキュメントでは、Unknown User Policy 方式による無線ユーザの認証について説明しています。

ACS では Windows データベースに対してユーザの認証を行う際に、Windows データベースにユーザ クレデンシャルを転送します。 Windows データベースでは、そのユーザ クレデンシャルを照合し、認証に成功した場合は ACS に通知します。

認証に成功すると、ACS は Windows データベースからそのユーザのグループ情報を収集します。 ACS はこのグループ情報を取得すると、ダイナミック VLAN を無線ユーザに割り当てるために、収集した Windows データベース グループ情報のユーザを、対応するマッピング済み ACS グループに関連付けます。 つまり、Windows データベースを ACS グループにマッピングして、マッピング済み ACS グループで設定されている VLAN に、認証済みユーザをダイナミックに割り当てるように ACS を設定できます。

また、最初の認証に成功した後は、ACS 上でダイナミックにユーザを作成することもできます。 一度認証に成功したユーザは、データベースへのポインタとともに ACS にキャッシュされます。 これにより、ACS は以降の認証でデータベース リスト全体を検索する必要がなくなります。

Windows ユーザ データベースを使用したグループ マッピングに関する ACS の制約

ACS には、Windows ユーザ データベースにより認証が行われるユーザのグループ マッピングに関して、次の制約があります。

  • ACS でサポートされるのは、500 個以下の Windows グループに所属しているユーザのマッピングだけです。

  • ACS で実行できるのは、そのユーザを認証したドメイン内でユーザが所属しているローカル グループおよびグローバル グループを使用したグループ マッピングだけです。

設定

この例では、ユーザが Windows AD で設定され、特定の AD グループにマップされています。 Windows AD の外部データベースを使用して無線クライアントを認証するように Cisco Secure ACS を設定しています。 その後、認証されたユーザの ACS グループに AD がマッピングされ、特定の AD グループのユーザが、対応するマッピング済み ACS グループで指定されている VLAN に割り当てられます。

次のセクションでは、これを行うためにデバイスを設定する方法について説明しています。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/99121/vlan-acs-ad-config23.gif

設定

このドキュメントでは、次の設定を使用します。

  • Microsoft Windows ドメイン名: lab.wireless

  • AD ユーザ: wireless123

  • AD ユーザ: AD グループに割り当てられた wireless123vlan 20

  • AD グループ: ACS グループにマッピングされた vlan 20Group 20(Group 20 は、このグループの認証済みユーザを WLC のインターフェイス vlan20 に割り当てるように設定されています)

  • ドメイン コントローラACS サーバは同一マシン上で設定されています。

これらの前提は、この設定を実行する前に実施済みです。

  • LAP はすでに WLC に登録されています。

  • 無線クライアントに IP アドレスを割り当てるために、内部 DHCP サーバか外部 DHCP サーバをコントローラ上に設定する方法については、すでに理解されているものと想定しています。 コントローラで内部 DHCP サーバを設定する方法については、「DHCP の設定」を参照してください。

  • このドキュメントでは、無線側で必要な設定について説明しており、有線ネットワークの設定はすでに完了しているものと想定しています。

ACS と AD のグループ マッピングに基づいて、WLC でダイナミック VLAN 割り当てを行うには、次の手順を実行する必要があります。

  1. Active Directory と Windows ユーザ データベースの設定

  2. Cisco Secure ACS の設定

  3. ワイヤレス LAN コントローラの設定

Active Directory と Windows ユーザ データベースの設定

無線クライアントの認証に使用する AD および Windows ユーザ データベースを設定するには、次の手順を実行する必要があります。

  1. ネットワーク内のサーバをドメイン コントローラとして設定

  2. ドメイン内での Active Directory ユーザとグループの作成

  3. ドメインのメンバとしての ACS サーバの追加

ネットワーク内のサーバをドメイン コントローラとして設定

ドメイン コントローラの設定には、新しい AD 構造の作成に加え、サーバでの DNS サービスのインストールと設定が含まれます。

このドキュメントでは、ドメイン コントローラとして設定された Windows 2003 サーバで lab.wireless というドメインを作成しています。

lab.wireless をその IP アドレスに解決し、ドメインでその他の名前解決プロセスを行うため、この AD 作成プロセスの一部として、Windows 2003 サーバに DNS サーバをインストールします。 また、インターネットに接続するように外部 DNS サーバを設定することもできます。

注: DNS サーバをサーバ マシンにインストールするため、Windows 2003 CD があることを確認します。

詳細な設定手順については、『ドメイン コントローラとしての Windows 2003 のインストールと設定』を参照してください。

ドメイン内での Active Directory ユーザとグループの作成

次に、lab.wireless ドメイン内にユーザとグループを作成します。 AD ユーザとグループを作成するには、この Microsoft サポート文書の「Adding Users and Computers to the Active Directory Domain」の項のステップ 1 と 2 を参照してください。

このドキュメントの「設定」セクションで説明するように、ユーザ wireless123 が作成され、AD グループ vlan20 にマッピングされます。

ドメインのメンバとしての ACS サーバの追加

lab.wireless ドメインに ACS サーバを追加するには、この Microsoft サポート文書の「Adding Users and Computers to the Active Directory Domain」の項のステップ 1 と 2 を参照してください。

注: このセクションでは、ACS ソフトウェアが稼働している Windows マシンをドメインに追加する方法についてのみ説明しています。 この手順は、ドメインのメンバとして ACS Solution Engine 追加する場合には適用できません。

Cisco Secure ACS の設定

このセットアップのために ACS を設定するには、次の手順を実行します。

  1. Windows ユーザ データベース認証とグループ マッピングを使用するための ACS の設定

  2. ダイナミック VLAN 割り当てを行うための ACS の設定

Windows ユーザ データベース認証とグループ マッピングを使用するための ACS の設定

ACS サーバを lab.wireless ドメインに追加した後は、Windows ユーザ データベース認証を使用するように ACS を設定し、外部 Windows AD データベースを ACS グループにマッピングします。 指定されたデータベースを使用して認証を行う不明なユーザは、自動的にこのグループに所属し、このグループの権限を継承します。

前述したように、この例では AD グループ vlan 20 を ACS グループ Group 20 にマッピングしています。

注: 信頼性の高いユーザ認証とグループ マッピングを行うには、ACS サーバを設定する前に、「Windows 認証設定」の章で説明されている作業を実行してください。

ACS での Windows 外部ユーザ データベースの設定

ACS の GUI から、次の手順を実行します。

  1. ナビゲーション バーで [External User Databases] をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config24.gif

  2. [External User Databases] ページで [Database Configuration] をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config25.gif

    ACS に、外部ユーザ データベースの種類が一覧表示されます。

  3. [Windows Database] をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config26.gif

    Windows データベースの設定が存在しない場合は、Database Configuration Creation テーブルが表示されます。 そうでない場合は、External User Database Configuration ページが表示されます。

  4. [Configure] をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config27.gif

    Windows User Database Configuration ページには、いくつかのオプションが表示されています。

  5. 必要なオプションを設定します。 Windows User Database Configuration ページの設定はすべてオプションであり、サポートされている特定の機能を許可して有効にする必要がない限りは、有効にする必要はありません。

    注: この設定例では必要ないため、このドキュメントではこれらのオプションを手動で設定することはありません。

    詳細については、「Windows ユーザ データベースの設定オプション」を参照してください。

  6. Submit をクリックして、この設定を完了します。

    作成した Windows ユーザ データベースの設定が ACS に保存されます。 これを Unknown User Policy に追加するか、このデータベースを認証に使用するように特定のユーザ アカウントを割り当てます。 このドキュメントでは、この設定を Unknown User Policy に追加しています。

Windows データベースを使用した Unknown User Policy の設定

Unknown User Policy は、認証転送の一種です。 つまり、この機能は認証プロセスでの追加ステップです。 ACS 内部データベースにユーザ名が存在しない場合、ACS は受信したユーザ名とパスワードの認証要求を、通信するように設定されている外部データベースに転送します。 外部データベースは、認証要求で使用されている認証プロトコルをサポートしている必要があります。

詳細については、「未知ユーザ ポリシー」を参照してください。

この例の場合、ACS は無線クライアントから WLC を経由して受信した認証要求を、前のセクションで設定した Windows データベースに転送する必要があります。 これを行うには、次の手順を使用して、Unknown User グループを外部 Windows データベース(lab.wireless)にマッピングする必要があります。

  1. ナビゲーション バーで [External User Databases] をクリックします。 次に、[Unknown User Policy] をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config28.gif

  2. 不明ユーザの認証を許可するには、次の手順で Unknown User Policy を有効にします。

    1. [Check the following external user databases] オプションを選択します。

    2. [Windows Database in the External Databases] リストを選択し、 ----> (右矢印ボタン)をクリックして、[External Databases] から [Selected Databases] リストに移動します。 [Selected Databases] リストからデータベースを削除するには、データベースを選択し、<---- (左矢印)をクリックして [External Databases] リストに戻します。

  3. [Submit] をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config29.gif

    作成した Unknown User Policy の設定が ACS に保存され、実装されます。

ACS グループと Windows グループのマッピングの作成

ACS の GUI から次の手順を実行します。

  1. ナビゲーション バーで [External User Databases] をクリックします。 次に、[Database Group Mappings] をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config30.gif

  2. グループ マッピングを設定する外部ユーザ データベース名をクリックします。

    この例では、Windows データベースを使用します。

  3. 表示された [Domain Configurations] ページで [New configuration] をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config31.gif

    注:  デフォルトでは、このページにはドメイン \DEFAULT だけが表示されます。

    [Define New Domain Configuration] ページが表示されます。

  4. このページの [Detected Domains] ボックスに、LAB という名前の Windows ユーザ データベースが表示されているはずです。 [Submit] をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config32.gif

    LAB という新しい Windows ドメインが [Domain Configurations] ページのドメイン一覧に表示されます。

  5. LAB ドメインをクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config33.gif

    ドメインのグループ マッピング: LAB テーブルが表示されます。

  6. [Add mapping] をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config34.gif

    ドメインの新しいグループ マッピングの作成: [LAB] ページが開きます。 グループ リストに、LAB データベースから派生しているグループ名が表示されます。 このグループ セットには、この lab ドメインの AD で作成したグループ vlan20 が表示されているはずです。

    /image/gif/paws/99121/vlan-acs-ad-config35.gif

  7. グループ リストから [vlan20] を選択し、[Add to selected] をクリックします。

  8. [ACS group] ドロップダウン ボックスで、AD グループ vlan 20 に属するユーザをマッピングするグループとして [Group20] を 選択します。

  9. [Submit] をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config36.gif

    ACS リストにマッピングされたグループは、例に示すように、データベース グループ列の最下部に表示されます。 各グループ セットの最後にあるアスタリスク(*)は、外部ユーザ データベースで認証されたユーザが、そのセット以外のグループにも所属している可能性があることを示しています。

    /image/gif/paws/99121/vlan-acs-ad-config37.gif

ダイナミック VLAN 割り当てを行うための ACS の設定

ダイナミック VLAN 割り当ては、ユーザが入力したクレデンシャルに基づいてワイヤレス ユーザを特定の VLAN に割り当てる機能です。 ユーザを特定の VLAN に割り当てるタスクは、Cisco Secure ACS などの RADIUS 認証サーバによって処理されます。 たとえば、この機能を利用すると、キャンパス ネットワーク内を移動するワイヤレス ホストを同じ VLAN に割り当てることができます。

注: このドキュメントでは、Cisco Airespace [VSA (Vendor-Specific)] アトリビュートを使用し、ACS のグループ設定に基づいて、認証に成功したユーザに(VLAN ID ではなく)VLAN インターフェイス名を割り当てます。

ダイナミック VLAN 割り当てを行うように ACS を設定するには、次の手順を実行します。

  1. ACS に WLC を AAA クライアントとして追加する

  2. Cisco Airespace VSA アトリビュート オプションを使用した ACS グループの設定

ACS に WLC を AAA クライアントとして追加する

ダイナミック VLAN 割り当てを行うように ACS を設定するには、RADIUS サーバで AAA クライアントを WLC に設定する必要があります。 このドキュメントでは、WLC がすでに AAA クライアントとして ACS に追加されていることを前提としています。 ACS に AAA クライアントを追加する方法については、「ACS への AAA クライアントの追加」を参照してください。

注: このドキュメントの例では、[Add AAA Client] ページの [Authenticate Using] プルダウン メニューで [RADIUS (Airespace)] オプションを設定する必要があり、ACS に対する AAA クライアントとして WLC を設定します。

Cisco Airespace VSA アトリビュート オプションを使用した ACS グループの設定

次の手順を実行します。

  1. ACS GUI のナビゲーション バーで、左側にある [Group Setup] をクリックし、新規グループを設定します。

  2. Group ドロップダウン ボックスで(この例のとおり)Group 20 を選択し、Edit Settings をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config38.gif

  3. Group 20 の設定編集ページで、Jump To ドロップダウン ボックスをクリックし、RADIUS (Cisco Airespace) を選択して、Airespace VSA アトリビュート設定を設定します。

    /image/gif/paws/99121/vlan-acs-ad-config39.gif

    注: グループ設定にこのアトリビュートが表示されない場合は、ACS のインターフェイス設定画面にインターフェイス名が表示されるように [RADIUS (Airespace)] 設定を編集します。

  4. [Cisco Airespace RADIUS Attributes] セクションで、[Air-Interface-Name] を有効にし、認証が成功した場合にこの ACS グループから返すインターフェイス名として vlan20 と入力します。

    /image/gif/paws/99121/vlan-acs-ad-config40.gif

  5. [Submit + Restart] をクリックします。

ワイヤレス LAN コントローラの設定

このセットアップのために WLC を設定するには、次の手順を実行する必要があります。

  1. WLC での認証サーバの詳細の設定

  2. WLC でのダイナミック インターフェイス(VLAN)の設定

  3. WLAN(SSID)の設定

WLC での認証サーバの詳細の設定

このセットアップのために WLC を設定するには、次の手順を実行します。

  1. コントローラの GUI で、[Security] をクリックします。

  2. [New] をクリックします。

  3. RADIUS (ACS) Authentication Server 設定ページで、RADIUS サーバの IP アドレス、および RADIUS サーバと WLC の間で使用する共有秘密鍵を入力します。

    この共有秘密鍵は、ACS の [Network Configuration] > [AAA Clients] > [Add Entry] で設定されたキーと一致している必要があります。 このドキュメントでは、10.77.244.196/27 という IP アドレスを持つ ACS サーバを使用しています。

  4. [Server Status] が [Enabled] であることを確認します。 [Network User] ボックスをオンにします。 これにより、ネットワーク ユーザがこのサーバに対して認証されます。

WLC でのダイナミック インターフェイス(VLAN)の設定

この手順では、WLC でダイナミック インターフェイスを設定する方法について説明します。 ダイナミック VLAN 割り当てが成功するためには、ACS サーバの VSA アトリビュート設定で指定された VLAN インターフェイス名が WLC でも設定されている必要があります。

このドキュメントでは、「vlan 20」という名前と VLAN ID = 20 を持つ VLAN インターフェイスとを WLC で設定しています。

次の手順を実行します。

  1. ダイナミック インターフェイスの設定は、コントローラの GUI の Controller > Interfaces ウィンドウで行います。

    /image/gif/paws/99121/vlan-acs-ad-config41.gif

  2. [New] をクリックします。

  3. [Interfaces] > [New] ウィンドウで、[Interface Name] に vlan20(ACS で設定されている [Airspace-Interface] パラメータと同じ)を入力し、[VLAN ID] に 20 と入力して、VLAN 20 に割り当てます。

  4. [Apply] をクリックします。

    /image/gif/paws/99121/vlan-acs-ad-config42.gif

  5. [Interfaces] > [Edit] ページで、このウィンドウに示されているように、VLAN 20 サブネットの VLAN ID、IP アドレス、ネットマスク、ゲートウェイ アドレス情報を設定します。

    注:  クライアントへの IP アドレスの割り当てには、常に DHCP サーバを使用することを推奨いたします。 その場合は、プライマリ DHCP サーバのアドレス フィールドで、DHCP サーバの IP アドレスを指定します。

    /image/gif/paws/99121/vlan-acs-ad-config43.gif

  6. [Apply] をクリックします。

WLAN(SSID)の設定

WLC で SSID wirelesslab を設定し、クライアントからのユーザ名とパスワードの入力を促す認証方式を選択します。 次の例では、ユーザ認証方式として LEAP を使用します。 次の手順を実行します。

  1. WLC の GUI で [WLANs] をクリックします。 [New] をクリックします。

  2. プロファイル名を選択し、WLAN SSID として wirelesslab を入力します。

  3. [Apply] をクリックします。

  4. [WLANs] > [Edit] を選択し、[General] タブで WLAN をイネーブルにし、管理サブセットの IP アドレスを割り当てるため [Interface] で [management] を選択します。

    /image/gif/paws/99121/vlan-acs-ad-config44.gif

  5. [Security] をクリックします。 [Layer 2] タブの [Layer 2 Security] で [WPA+WPA2] を選択します。 WPA または WPA2 のいずれかのポリシーを選択できます。 次の例では、認証方式として [WPA2] と [TKIP] 暗号化および [802.1x] を選択します。

    /image/gif/paws/99121/vlan-acs-ad-config45.gif

  6. [AAA Servers] をクリックし、認証サーバとして [10.77.244.196] を選択します。この WLAN のユーザはこのサーバに対して認証されます。

  7. 無線ユーザは管理インターフェイスに割り当てられます。 RADIUS サーバにより提供されるインターフェイスにユーザを割り当てるには、[Advanced] > [Allow AAA Override] を選択します。

    /image/gif/paws/99121/vlan-acs-ad-config46.gif

無線クライアントの設定

ここでは、無線クライアントを設定する方法について説明します。 次の手順を実行します。

  1. [Cisco Aironet Desktop Utility] をクリックします。

  2. [Profile Management] を選択します。

  3. 既存のプロファイルを強調表示し、図 1 に示すように [Modify] を選択します。

    図 1

    /image/gif/paws/99121/vlan-acs-ad-config47.gif

  4. [General] タブでプロファイル名を選択します。 この例では、LAB という名前を使用します。 WLC で使用される SSID wirelesslab を入力します。 図 2 にこの方法を示します。

    図 2

    /image/gif/paws/99121/vlan-acs-ad-config48.gif

  5. [Security] をクリックします。 クライアントで設定されている認証方式は WLC の認証方式と同一である必要があります。 [WPA/WPA2/CCKM] を選択し、EAP タイプとして [LEAP] を選択します(図 3 を参照)。

    図 3

    /image/gif/paws/99121/vlan-acs-ad-config49.gif

  6. [Configure] をクリックし、[Manually Prompt for User Name and Password] を選択します。 図 4 にこれを示します。

    図 4

    /image/gif/paws/99121/vlan-acs-ad-config50.gif

  7. [OK] をクリックします。 次に示すように、ユーザ名とパスワードの入力を促すウィンドウが表示されます。 Windows データベースで設定したユーザ名とパスワードを入力します。 この例では、ユーザ名は wireless123、パスワードは Cisco123 です。 [Log on to] フィールドに、Active Directory で設定したドメインを入力し、[OK] をクリックします。 この例では LAB です。 これらの手順を示しています。

    /image/gif/paws/99121/vlan-acs-ad-config51.gif

確認

ADU で設定した LAB ユーザ プロファイルをアクティブにします。 設定に基づいて、クライアントはユーザ名とパスワードの入力を求められます。

この例では、クライアントの認証と RADIUS サーバによる VLAN への割り当てを実行するために、クライアント側からの次のユーザ名とパスワードを使用します。

  • ユーザ名:wireless123

  • パスワード:cisco123

次に、[Enter Wireless Network Password] ダイアログ ボックスの [logon to] フィールドに、lab.wireless を指定します。

無線クライアントの認証に成功し、ドメイン コントローラを検出してドメインに参加し、wirelesslab SSID を使用した WLAN ネットワークへの関連付けが完了したら、RADIUS サーバ グループ設定によって送信された VSA アトリビュートに従ってクライアントが適切な VLAN に割り当てられたことを確認する必要があります。

これを行うには、次の手順を実行します。

  1. コントローラ GUI で [Monitor] を選択します。 Access Points (APs) ウィンドウの左にある Clients をクリックします。

    クライアントの統計情報が関連ステータスとともに表示されます。

    /image/gif/paws/99121/vlan-acs-ad-config52.gif

  2. この WLC に関連付けられている無線クライアントのリストが表示されます。 ACS で認証されたクライアントをクリックします。

    詳細ページで、user : wireless123 が認証され、wirelesslab SSID を通じて関連付けられていることを確認します。 IP アドレスが 20.0.0.4 で、インターフェイスが vlan20 であることに注意してください。

    /image/gif/paws/99121/vlan-acs-ad-config53.gif

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。 ACS で AAA デバッグ情報をログに記録して取得する方法については、『Cisco Secure ACS for Windows の AAA デバッグ情報』を参照してください。

トラブルシューティングのためのコマンド

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug aaa events enable:このコマンドを使用すると、コントローラを介して RADIUS アトリビュートがクライアントに正常に転送されたことを確認できます。 デバッグ出力に次の部分が含まれている場合は、RADIUS アトリビュートの転送に成功したことを意味しています。

    このドキュメントの設定例に基づくこのコマンドの出力を次に示します。

    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 131) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from
    RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 132) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 133) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=2
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=2
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Applying new AAA override for
    station 00:40:96:af:3e:93
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: vlan20, acl
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into 
    chain for station 00:40:96:af:3e:93
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Applying override policy from source
     Override Summation:
    
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 256, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', a
    Fri Oct  5 15:47:39 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
    station 00:40:96:af:3e:93

    このデバッグ出力が示すように、WLC は、無線クライアントと RADIUS サーバ 10.77.244.196 の間で認証要求と応答を転送しています。 サーバは無線クライアントを正常に認証しています(このことは、Access-Accept メッセージによって確認できます)。 認証に成功した後、RADIUS サーバは VLAN interface name:vlan20 を送信しています。したがって、無線クライアントは VLAN20 にダイナミックに割り当てられます。

  • debug dot1x aaa enable:このコマンドを使用すると、無線クライアントと認証サーバ(ACS)の間で行われる dot1x 認証全体をデバッグできます。

  • debug aaa all enable:すべての AAA メッセージのデバッグを設定します。

    このドキュメントの設定例に基づくこのコマンドの出力を次に示します。

    (Cisco Controller) >Fri Oct  5 16:17:18 2007: AuthenticationRequest: 0xac4be5c
    Fri Oct  5 16:17:18 2007:       Callback.....................................0x8
    29a960
    Fri Oct  5 16:17:18 2007:       protocolType.................................0x0
    0040001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:00
    Fri Oct  5 16:17:18 2007:       Packet contains 12 AVPs (not shown)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of 
    Authentication Packet (id 137) to 10.77.244.196:1812, 
    proxy state 00:40:96:af:3e:93-96:af
    .................................................................................
    ..................................................................................
    ..................................................................................
    
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
    Fri Oct  5 16:17:18 2007: AuthorizationResponse: 0x9845500
    Fri Oct  5 16:17:18 2007:       structureSize................................130
    
    Fri Oct  5 16:17:18 2007:       resultCode...................................255
    
    Fri Oct  5 16:17:18 2007:       protocolUsed.................................0x0
    0000001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:00
    Fri Oct  5 16:17:18 2007:       Packet contains 3 AVPs (not shown)
    ..............................................................................
    ..............................................................................
    ..............................................................................
    ..............................................................................
    
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from
    RADIUS server 10.77.244.196 for mobi)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of
    Authentication Packet (id 139) to 10.77.244.196:1812, 
    proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 16:17:18 2007: 00000000: 01 8b 00 bb 54 4c 75 3a  e5 b9 d2 c0 28 f2 9
    3 b3  ....TLu:....(...
    Fri Oct  5 16:17:18 2007: 00000010: f2 81 50 65 01 10 77 69  72 65 6c 65 73 73 5
    c 75  ..Pe..lab\wireless123
    Fri Oct  5 16:17:18 2007: 00000020: 73 65 72 31 1f 13 30 30  2d 34 30 2d 39 36 2
    d 41  ser1..00-40-96-A
    Fri Oct  5 16:17:18 2007: 00000030: 46 2d 33 45 2d 39 33 1e  18 30 30 2d 30 42 2
    d 38  F-3E-93..00-0B-8
    Fri Oct  5 16:17:18 2007: 00000040: 35 2d 35 42 2d 46 42 2d  44 30 3a 41 44 53 3
    1 05  5-5B-FB-D0:wirelessl23.
    Fri Oct  5 16:17:18 2007: 00000050: 06 00 00 00 01 04 06 0a  4d f4 d4 20 06 57 4
    c 43  ........M....WLC
    Fri Oct  5 16:17:18 2007: 00000060: 31 1a 0c 00 00 37 63 01  06 00 00 00 02 06 0
    6 00  1....7c.........
    Fri Oct  5 16:17:18 2007: 00000070: 00 00 02 0c 06 00 00 05  14 3d 06 00 00 00 1
    3 4f  .........=.....O
    Fri Oct  5 16:17:18 2007: 00000080: 20 01 05 00 1e 11 01 00  08 85 8e 81 b0 7d b
    f ee  .............}..
    Fri Oct  5 16:17:18 2007: 00000090: b1 77 69 72 65 6c 65 73  73 5c 75 73 65 72 3
    1 18  .lab\wireless123
    ................................................................................
    .................................................................................
    ..................................................................................
    Fri Oct  5 16:17:18 2007: 00000050: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 7
    3 65  1.;.....5leap:se
    Fri Oct  5 16:17:18 2007: 00000060: 73 73 69 6f 6e 2d 6b 65  79 3d 84 e7 c5 3c 3
    3 bd  ssion-key=...<3.
    Fri Oct  5 16:17:18 2007: 00000070: a8 bf 7a 43 9d 6e bb c8  a8 2c 5d c6 91 d6 f
    3 21  ..zC.n...,]....!
    Fri Oct  5 16:17:18 2007: 00000080: df 1e 0e 28 c1 ef a5 31  a7 cd 62 da 1a 1f 0
    0 00  ...(...1..b.....
    Fri Oct  5 16:17:18 2007: 00000090: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 7
    4 79  ....auth-algo-ty
    Fri Oct  5 16:17:18 2007: 000000a0: 70 65 3d 65 61 70 2d 6c  65 61 70 19 17 43 4
    1 43  pe=eap-leap..CAC
    
          ....
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=2
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=2
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
    Fri Oct  5 16:17:18 2007: AuthorizationResponse: 0x9845500
    Fri Oct  5 16:17:18 2007:       structureSize................................228
    
    Fri Oct  5 16:17:18 2007:       resultCode...................................0
    Fri Oct  5 16:17:18 2007:       protocolUsed.................................0x0
    0000001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:02
    Fri Oct  5 16:17:18 2007:       Packet contains 5 AVPs:
    Fri Oct  5 16:17:18 2007:           AVP[01] Airespace / Interface-Name..........
    .....vlan20 (5 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[02] EAP-Message.........................
    .....DATA (46 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[03] Cisco / LEAP-Session-Key............
    .....DATA (16 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[04] Class...............................
    .....CACS:0/5943/a4df4d4/1 (21 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[05] Message-Authenticator...............
    .....DATA (16 bytes)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Applying new AAA override for
    station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into 
    chain for station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Applying override policy from source
     Override Summation:
    
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 256, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', a
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
    station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: AccountingMessage Accounting Interim: 0xac4b1f0
    Fri Oct  5 16:17:18 2007:       Packet contains 20 AVPs:
    Fri Oct  5 16:17:18 2007:           AVP[01] User-Name...........................
    .....lab\wireless123 (14 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[02] Nas-Port............................
    .....0x00000001 (1) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[03] Nas-Ip-Address......................
    .....0x0a4df4d4 (172881108) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[04] Class...............................
    .....CACS:0/5943/a4df4d4/1 (21 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[05] NAS-Identifier......................
    .....0x574c4331 (1464615729) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[06] Airespace / WLAN-Identifier.........
    .....0x00000002 (2) (4 bytes)
    ......................................................................................
    .......................................................................................
    .......................................................................................

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 99121