ワイヤレス : Cisco 4400 ???? Wireless LAN Controller

ワイヤレス LAN コントローラおよび外部 RADIUS サーバを使用する EAP-FAST 認証の設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2012 年 11 月 28 日) | 英語版 (2015 年 12 月 20 日) | フィードバック


目次

PAC

概要

このドキュメントでは、外部 RADIUS サーバで使用する拡張認証プロトコル(EAP)Flexible Authentication via Secure Tunneling(FAST)認証のためにワイヤレス LAN コントローラ(WLC)を設定する方法について説明します。 この設定例では、ワイヤレス クライアントを認証するために、Cisco Secure Access Control Server(ACS)を外部 RADIUS サーバとして使用しています。

このドキュメントでは、ワイヤレス クライアントにプロビジョニングする Anonymous and Authenticated In-Band(Automatic)Protected Access Credential(PAC)のために ACS を設定する方法について説明します。 Manual/Out-of-Band PAC プロビジョニングを設定するには、「手動 PAC プロビジョニング」および「手動プロビジョニングの PAC ファイル生成」で詳細を参照してください。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • Lightweight アクセス ポイント(LAP)および Cisco WLC の設定に関する基礎知識

  • Lightweight アクセス ポイント プロトコル(LWAPP)に関する基礎知識

  • Cisco Secure ACS などの外部 RADIUS サーバの設定方法に関する知識

  • 一般的な EAP フレームワークに関する実践的な知識

  • MS-CHAPv2 および EAP-GTC などのセキュリティ プロトコルに関する基本的な知識、デジタル証明書に関する知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア 4.0.217.0 が稼働している Cisco 2000 シリーズ WLC

  • Cisco Aironet 1000 シリーズ LAP

  • バージョン 4.1 が稼働している Cisco Secure ACS

  • Cisco Aironet 802.11 a/b/g クライアント アダプタ

  • ファームウェア バージョン 3.6 が稼働する Cisco Aironet Desktop Utility(ADU)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

EAP-FAST プロトコルは、パブリックにアクセス可能な新しい IEEE 802.1X EAP タイプです。これは、強力なパスワード ポリシーを適用できないユーザがデジタル証明書を必要としない 802.1X EAP タイプを展開できるように、シスコが開発しました。

EAP-FAST プロトコルは、Transport Level Security(TLS)トンネルで EAP トランザクションを暗号化するクライアント サーバ型のセキュリティ アーキテクチャです。 EAP-FAST トンネルは、ユーザに固有な強力なシークレットに基づいて確立されます。 これらの強力なシークレットは、PAC と呼ばれます。これは、ACS だけが認識するマスター キーを使用することで ACS により生成されます。

EAP-FAST は 3 つのフェーズで実行されます。

  • フェーズ 0(自動 PAC プロビジョニング フェーズ):EAP-FAST フェーズ 0 は、オプション フェーズで、ネットワーク アクセスを要求するユーザのために EAP-FAST エンドユーザ クライアントに PAC を提供するトンネル セキュア方法です。 エンドユーザ クライアントに PAC を提供することが、フェーズ 0 の唯一の目的です。

    フェーズ 0 を使用せずに PAC をクライアントに手動でプロビジョニングできるため、フェーズ 0 はオプションです。

    詳細については、このドキュメントの「PAC プロビジョニング モード」を参照してください。

  • フェーズ 1:フェーズ 1 では、ACS およびエンドユーザ クライアントは、ユーザの PAC クレデンシャルに基づいて TLS トンネルを確立します。 このフェーズでは、ネットワーク アクセスの取得を試行するユーザ用の PAC がエンドユーザ クライアントに提供されていることと、期限の切れていないマスター キーに PAC が基づいていることが必要です。 EAP-FAST のフェーズ 1 ではネットワーク サービスは有効になりません。

  • フェーズ 2:フェーズ 2 では、ユーザ認証クレデンシャルが、TLS 内で EAP-FAST によりサポートされる内部 EAP 方式を使用して、クライアントと RADIUS サーバ間の PAC を使用して作成された RADIUS に安全に渡されます。 内部 EAP 方式として EAP-GTC、TLS および MS-CHAP がサポートされています。 その他の EAP タイプは EAP-FAST ではサポートされていません。

詳細は、『EAP-FAST の動作の仕組み』を参照してください。

PAC

PAC は、ACS および EAP-FAST エンドユーザ クライアントを有効にし、互いを認証して EAP-FAST フェーズ 2 で使用する TLS トンネルを確立する強力な共有秘密です。 ACS は、アクティブ マスター キーとユーザ名を使用して PAC を生成します。

PAC は、次のもので構成されています。

  • PAC-Key:クライアント(およびクライアント デバイス)とサーバの ID にバインドされている共有秘密情報。

  • PAC Opaque:クライアントがキャッシュしてサーバに渡す暗号化されたフィールド。 サーバは、PAC-Key およびクライアント ID を復号化して、クライアントとの相互認証を行います。

  • PAC-Info:クライアントがさまざまな PAC をキャッシュできるように、少なくともサーバの ID が含まれています。 PAC の有効期限などの情報が含まれていることもあります。

PAC プロビジョニング モード

前述のように、フェーズ 0 はオプション フェーズです。

EAP-FAST は、PAC でクライアントをプロビジョニングする 2 つのオプションを提供します。

  • 自動 PAC プロビジョニング(EAP-FAST フェーズ 0 またはインバンド PAC プロビジョニング)

  • 手動(アウトオブバンド)PAC プロビジョニング

インバンド/自動 PAC プロビジョニングは、セキュア ネットワーク接続を介して新規 PAC をエンドユーザ クライアントに送信します。 自動プロビジョニングをサポートするように ACS とエンドユーザ クライアントを設定した場合、自動 PAC プロビジョニングにネットワーク ユーザまたは ACS 管理者の介入は必要ありません。

最新の EAP-FAST バージョンは、次に示す 2 種類のインバンド PAC プロビジョニング設定オプションをサポートします。

  • 匿名インバンド PAC プロビジョニング

  • 認証付きインバンド PAC プロビジョニング

このドキュメントでは、これらのインバンド PAC プロビジョニング方式およびこれらの設定方法について説明します。

アウトオブバンド/手動 PAC プロビジョニングでは、ACS 管理者が PAC ファイルを生成し、それを該当するネットワーク ユーザに配布する必要があります。 ユーザは PAC ファイルでエンドユーザ クライアントを設定する必要があります。

ネットワーク図および設定

この構成では、Cisco 2006 WLC と LAP はハブ経由で接続されています。 外部 RADIUS サーバ(Cisco Secure ACS)も同じハブに接続します。 すべてのデバイスは同じサブネット内にあります。 最初に AP をコントローラに登録します。 EAP-FAST 認証用に WLC を設定する必要があります。 AP に接続するクライアントは、AP とのアソシエーションに EAP-FAST 認証を使用します。 RADIUS 認証を実行するには、Cisco Secure ACS を使用します。

eapfast-wlc-rad-config1.gif

EAP-FAST 認証用の WLC の設定

WLC の EAP-FAST 認証を設定するには、次の手順を実行します。

  1. 外部 RADIUS サーバによる RADIUS 認証用の WLC の設定

  2. EAP-FAST 認証用の WLAN を設定する

外部 RADIUS サーバによる RADIUS 認証用の WLC の設定

ユーザ クレデンシャルを外部 RADIUS サーバに転送するには、WLC を設定する必要があります。 そうすると、外部 RADIUS サーバは、EAP-FAST を使用してユーザのクレデンシャルを検証し、ワイヤレス クライアントにアクセス権を付与します。

外部 RADIUS サーバ用に WLC を設定するには、次の手順を実行します。

  1. コントローラの GUI から [Security]、[RADIUS]、[Authentication] を選択して、[RADIUS Authentication Servers] ページを表示します。 次に、[New] をクリックして、RADIUS サーバを定義します。

  2. [RADIUS Authentication Servers] > [New] ページで RADIUS サーバのパラメータを定義します。 次のパラメータがあります。

    • RADIUS サーバの IP アドレス

    • 共有秘密

    • ポート番号

    • サーバ ステータス

    このドキュメントでは、10.77.244.196 という IP アドレスを持つ ACS サーバを使用しています。

    /image/gif/paws/99791/eapfast-wlc-rad-config2.gif

  3. [Apply] をクリックします。

EAP-FAST 認証用の WLAN を設定する

次に、EAP-FAST 認証のためにワイヤレス ネットワークに接続するときにクライアントが使用する WLAN を設定し、ダイナミック インターフェイスに割り当てます。 この例で設定される WLAN 名は eap fast です。 この例では、この WLAN を管理インターフェイスに割り当てます。

eap fast WLAN およびその関連パラメータを設定するには、次の手順を実行します。

  1. コントローラの GUI で [WLANs] をクリックして、[WLANs] ページを表示します。

    このページには、コントローラに存在する WLAN の一覧が表示されます。

  2. [New] をクリックして新規の WLAN を作成します。

    /image/gif/paws/99791/eapfast-wlc-rad-config3.gif

  3. [WLANs] > [New] ページで、eap fast WLAN SSID 名、プロファイル名および WLAN ID を設定します。 次に、[Apply] をクリックします。

    eapfast-wlc-rad-config4.gif

  4. 新しい WLAN を作成すると、新しい WLAN に対する [WLAN] > [Edit] ページが表示されます。 このページでは、その WLAN に固有のさまざまなパラメータを定義できます。 このページには、[General Policies]、[RADIUS Servers]、[Security Policies]、[802.1x] パラメータがあります。

  5. WLAN を有効にするには、[General Policies] の下の [Admin Status] チェックボックスをオンにします。

  6. AP にビーコン フレームで SSID をブロードキャストさせる場合は、[Broadcast SSID] にチェックボックスをオンにします。 WLC の設定を RADIUS サーバで無視するために、[Allow AAA Override] チェック ボックスをオンにします。

  7. [RADIUS Servers] のプルダウン メニューから、適切な RADIUS サーバを選択します。 [Security Policies] で、[Layer 2 Security] ドロップダウン メニューから [802.1x] を選択します。 認証に RADIUS サーバを使用するその他の認証方式(WPA/WPA2、802.1x)を使用することもできます。

    この例では、この WLAN のレイヤ 2 セキュリティとしてダイナミック WEP 暗号化の 802.1x を使用します。 WLAN ネットワークの要件に基づいて、その他のパラメータを変更できます。

    /image/gif/paws/99791/eapfast-wlc-rad-config5.gif

  8. [Apply] をクリックします。

    コントローラで EAP 認証用に行う必要がある EAP 設定はこれだけです。 EAP-FAST に固有なその他すべての設定は、RADIUS サーバおよび認証が必要なクライアントで行う必要があります。

EAP-FAST 認証のための RADIUS サーバの設定

RADIUS サーバの EAP-FAST 認証を設定するには、次の手順を実行します。

  1. EAP-FAST クライアント認証用のユーザ データベースの作成

  2. AAA クライアントとしての WLC の RADIUS サーバへの追加

  3. 匿名インバンド PAC プロビジョニングによる RADIUS サーバへの EAP-FAST 認証の設定

  4. RADIUS サーバの EAP-FAST 認証に認証付きインバンド PAC プロビジョニングを設定する

EAP-FAST クライアント認証用のユーザ データベースの作成

ACS で EAP-FAST クライアント用のユーザ データベースを作成するには、次の手順を実行します。 この例では、EAP-FAST クライアントのユーザ名およびパスワードをそれぞれ wireless と wireless に設定します。

  1. ナビゲーション バーの ACS GUI から、[User Setup] を選択します。 新規ユーザ wireless を作成し、[Add/Edit] をクリックして、このユーザの [Edit] ページに移動します。

    /image/gif/paws/99791/eapfast-wlc-rad-config6.gif

  2. [User Setup] の [Edit] ページで、この例に示すように、[Real Name]、[Description]、[Password] を設定します。

    このドキュメントでは、[Password Authentication] オプションで [ACS Internal Database] を使用しています。

  3. [Password Authentication] ドロップダウン ボックスから [ACS Internal Database] を選択します。

    /image/gif/paws/99791/eapfast-wlc-rad-config7.gif

  4. その他の必須パラメータをすべて設定して [Submit] をクリックします。

AAA クライアントとしての WLC の RADIUS サーバへの追加

ACS サーバでコントローラを AAA クライアントとして定義するには、次の手順を実行します。

  1. ACS の GUI で [Network Configuration] をクリックします。 [Network Configuration] ページの [Add AAA client] セクションで、[Add Entry] をクリックして、AAA クライアントとして WLC を RADIUS サーバに追加します。

    eapfast-wlc-rad-config8.gif

  2. [AAA Client] ページで、WLC の名前、IP アドレス、共有秘密、および認証方式(RADIUS または Cisco Airespace)を定義します。 ACS 以外の他の認証サーバについては、メーカーのマニュアルを参照してください。

    WLC と ACS サーバで設定する共有秘密キーは一致している必要があります。 共有秘密では、大文字と小文字が区別されます。

  3. [Submit+Apply] をクリックします。

    eapfast-wlc-rad-config9.gif

匿名インバンド PAC プロビジョニングによる RADIUS サーバへの EAP-FAST 認証の設定

匿名インバンド プロビジョニング

これは、2 つのインバンド プロビジョニング方式の 1 つです。これにより、ACS は、クライアントに新しい PAC を提供するために、エンドユーザ クライアントとセキュア接続を確立します。 このオプションでは、エンドユーザ クライアントと ACS の間で匿名の TLS ハンドシェイクが可能になります。

この方式は、ピアが ACS サーバを認証する前に、Authenticated Diffie-HellmanKey Agreement Protocol(ADHP)トンネル内で機能します。

ACS では、ユーザの EAP-MS-CHAPv2 認証が必要です。 ユーザ認証が成功すると、ACS はエンドユーザ クライアントとの Diffie-Hellman トンネルを確立します。 ACS はユーザ用の PAC を生成し、この ACS に関する情報とともにこのトンネル内でエンドユーザ クライアントに送信します。 このプロビジョニング方式は、認証方式としてフェーズ 0 で EAP-MSCHAPv2、フェーズ 2 で EAP-GTC を使用します。

非認証サーバがプロビジョニングされるため、プレーン テキスト パスワードは使用できません。 そのため、トンネル内では MS-CHAP クレデンシャルだけを使用できます。 MS-CHAPv2 は、その後の認証セッションのためにピアの ID をプローブし、PAC を受け取るときに使用されます(EAP-MS-CHAP は内部方式としてのみ使用されます)。

RADIUS サーバ内で匿名インバンド プロビジョニング用に EAP-FAST 認証を設定するには、次の手順を実行します。

  1. RADIUS サーバの GUI で [System Configuration] をクリックします。 [System Configuration] ページで、[Global Authentication Setup] を選択します。

    /image/gif/paws/99791/eapfast-wlc-rad-config10.gif

  2. [Global Authentication setup] ページで [EAP-FAST Configuration] をクリックし、EAP-FAST 設定のページに進みます。

    /image/gif/paws/99791/eapfast-wlc-rad-config11.gif

  3. [EAP-FAST Settings] ページから、[Allow EAP-FAST] チェックボックスをオンにして、RADIUS サーバで EAP-FAST を有効にします。

  4. アクティブおよびリタイア マスター キーの TTL(存続可能時間)の値を目的に合わせて設定するか、この例で示すようにデフォルト値に設定します。

    アクティブおよびリタイア マスター キーについては、「マスター キー」を参照してください。 また、詳細については、「マスター キーおよび PAC TTLs」を参照してください。

    [Authority ID Info] フィールドは、この ACS サーバのテキスト ID を表し、認証先の ACS サーバをエンド ユーザが判別するために使用できます。 このフィールドの入力は必須です。

    [Client initial display message] フィールドは、EAP-FAST クライアントを使用して認証するユーザに送信するメッセージを指定します。 最大長は 40 文字です。 ユーザに初期メッセージが示されるのは、エンドユーザ クライアントがその表示をサポートしている場合だけです。

  5. ACS で匿名インバンド PAC プロビジョニングを実行する場合、[Allow anonymous in-band PAC provisioning] チェックボックスをオンにします。

    [Allowed inner methods]:このオプションにより、EAP-FAST TLS トンネル内で実行できる内部 EAP 方式が決まります。 匿名インバンド プロビジョニングを実行する場合は、下位互換性を確保するために EAP-GTC と EAP-MS-CHAP を有効にする必要があります。 [Allow anonymous in-band PAC provisioning] を選択する場合は、EAP-MS-CHAP(フェーズ 0)および EAP-GTC(フェーズ 2)を選択する必要があります。

  6. [Submit + Restart] をクリックします。

    次の画面は、このセクションの手順を示しています。

    /image/gif/paws/99791/eapfast-wlc-rad-config12.gif

RADIUS サーバの EAP-FAST 認証に認証付きインバンド PAC プロビジョニングを設定する

認証付きインバンド プロビジョニング

EAP-FAST は、機能が拡張されて、PAC プロビジョニングが実行される認証済みトンネル(サーバ証明書を使用)をサポートするようになりました。 このモードでは、TLS サーバ側の認証とともに EAP-FAST フェーズ 0 を使用してエンドユーザ クライアントに PAC をプロビジョニングします。 このオプションを選択する場合は、ACS にサーバ証明書と信頼できるルート CA をインストールする必要があります。

EAP-FAST および特にサーバ証明書に対する機能拡張となる、新しい暗号スイートが使用されます。 トンネル セットアップの一部としてサーバが認証されるため、トンネル内部であまり強力でない EAP 方式(EAP-GTC など)を使用して、サプリカントの認証を提供できます。

デフォルトでは、ACS は、TLS サーバ側の認証をサポートします。 ただし、クライアントがユーザ証明書を ACS に送信する場合、相互 TLS 認証が実行され、内部方式はバイパスされます。

  1. 匿名インバンド プロビジョニング」設定の手順 1 ~ 4 を繰り返し、RADIUS サーバでその他の EAP-FAST 設定を行います。

  2. ACS で匿名インバンド PAC プロビジョニングを実行する場合、[Allow authenticated in-band PAC provisioning] チェックボックスをオンにします。

    1. [Accept client on authenticated provisioning]:このオプションを使用できるのは、[Allow authenticated in-band PAC provisioning] オプションが選択されている場合だけです。 サーバがプロビジョニング フェーズの終わりに必ず Access-Reject を送信するため、クライアントはトンネル PAC を使用して再認証を受ける必要があります。 このオプションでは、ACS がプロビジョニング フェーズの終わりにクライアントに Access-Accept を送信できます。

    2. ACS で EAP-FAST クライアントの認可 PAC をプロビジョニングせずに、必ず EAP-FAST のフェーズ 2 を実行する場合、[Allow Stateless session resume option] チェックボックスをオフにします。

    3. [Allowed inner methods]:[Allow authenticated in-band PAC provisioning] を選択した場合、認証フェーズの内部方式はネゴシエート可能です(EAP-GTC はデフォルトでフェーズ 0 で使用されます)。 1 つ以上の内部方式を選択します。

      • EAP-GTC — EAP ファースト認証の EAP-GTC を有効に するために、このボックスをチェックして下さい。

      • [EAP-MS-CHAPv2]:EAP FAST 認証で EAP-MS-CHAPv2 を有効にするには、このチェックボックスをオンにします。

      • EAP-TLS — EAP ファースト認証の EAP-TLS を有効に するために、このボックスをチェックして下さい。

      ACS は必ず、最初に有効になった EAP 方式を実行します。 たとえば、[EAP-GTC] と [EAP-MS-CHAPv2] を選択する場合、最初に有効になる EAP 方式は EAP-GTC です。

    次の例では、認証付きインバンド PAC プロビジョニングに固有のすべての設定を示します。

    eapfast-wlc-rad-config13.gif

  3. [Submit + Restart] をクリックします。

認証付きインバンド プロビジョニングのための ACS でのサーバ証明書の設定

EAP-FAST は、機能が拡張されて、PAC プロビジョニングが実行される認証済みトンネル(サーバ証明書を使用)をサポートするようになりました。

このオプションを選択する場合は、ACS にサーバ証明書と信頼できるルート CA を設定する必要があります。

ACS でのサーバ証明書の設定に使用できる方式はいくつかあります。 このドキュメントでは、ACS で自己署名証明書を生成して、クライアントの信頼できる認証局リストにインポートする方法について説明します。

ACS での自己署名証明書の生成

ACS は、PEAP、EAP-FAST、HTTPS など、デジタル証明書の使用を必要とする TLS/SSL 関連のプロトコルをサポートしています。 自己署名証明書を使用すると、管理者は、ACS 用の証明書を取得しインストールするために、CA と連携せずに要件を満たすことができます。

ACS で自己署名証明書を生成するには、次の手順を実行します。

  1. RADIUS サーバの GUI で [System Configuration] をクリックします。 [System Configuration] ページで、[ACS Certificate Setup] を選択します。

    /image/gif/paws/99791/eapfast-wlc-rad-config14.gif

  2. [ACS Certificate Setup] リストには、ACS で証明書を設定するさまざまなオプションがリストされます。 この例では、[Generate Self-Signed Certificate] を選択します。

    eapfast-wlc-rad-config15.gif

    [Generate Self-Signed Certificate Edit] ページが表示されます。

  3. このページから、次の手順を実行します。

    1. [Certificate subject] ボックスに、cn=XXXX の形式で証明書の件名を入力します。

    2. [Certificate file] ボックスに、証明書ファイルのフル パスとファイル名を入力します。 [Key length] ボックスで、キーの長さを選択します。

    3. [Private key file] ボックスに、秘密キー ファイルのフル パスとファイル名を入力します。

    4. [Private key password] ボックスに、秘密キーのパスワードを入力します。 [Retype private key password] ボックスに、秘密キーのパスワードを再入力します。

    5. [Digest to sign with] ボックスで、キーの暗号化に使用するハッシュ ダイジェスト(この例では [SHA1])を選択します。

    6. ページの送信時に自己署名証明書をインストールするには、[Install generated certificate] オプションを選択します。

      [Install generated certificate] オプションを選択する場合は、新しい設定を有効にするため、このフォームの送信後に ACS サービスを再起動する必要があります。 [Install generated certificate] オプションをオフにした場合は、次の手順で [Submit] をクリックしたときに証明書ファイルと秘密キー ファイルが生成され保存されます。 ただし、これらは、ローカル マシン ストレージにはインストールされません。

    次に、[Editing a Self-Signed Certificate] ページの例を示します。

    /image/gif/paws/99791/eapfast-wlc-rad-config16.gif

    ここで入力するフィールド値(ts-web)は、この例の値です。 フィールドの値または名前を変更して、ACS で自己署名証明書を生成します。 すべてのフィールドに入力する必要があります。

クライアントへの自己署名証明書のインポート

クライアントが、有効な証明書を使用するサーバとして認証するには、ACS で生成される自己署名証明書をクライアントのルート認証局リストにインポートする必要があります。

クライアントで次の手順を実行します。

  1. ACS クライアントに証明書をコピーします。

  2. .cer ファイルを右クリックして、[install certificate] をクリックします。

    eapfast-wlc-rad-config17.gif

  3. [Next] をクリックします。

  4. [Place all certificates in the following store] を選択して、[Browse] をクリックします。

    [Select Certificate Store] ウィンドウがポップアップ表示されます。

  5. [Select Certificate Store] ウィンドウから、[Show physical stores] チェックボックスをオンにします。

  6. 証明書ツリーから [Trusted Root Certification Authorities] を展開し、[Local Computer] を選択して、[OK] をクリックします。

    eapfast-wlc-rad-config18.gif

  7. [Next]、[Finish]、[OK] をクリックします。

    インポートが成功したことを示す、証明書のインポート ウィザードが表示されます。

    /image/gif/paws/99791/eapfast-wlc-rad-config19.gif

EAP-FAST 認証用のクライアントの設定

EAP-FAST 認証用にクライアントを設定するには、次の手順を実行します。

  1. 匿名インバンド プロビジョニング用にクライアントを設定する

  2. 認証付きインバンド プロビジョニング用にクライアントを設定する

匿名インバンド プロビジョニング用にクライアントを設定する

匿名インバンド プロビジョニング用にワイヤレス クライアントを設定するには、次の手順を実行します。

  1. [Aironet Desktop Utility] ウィンドウから、[Profile Management] > [New] をクリックして、EAP-FAST ユーザのプロファイルを作成します。

    前述のように、このドキュメントでは、ワイヤレス クライアントの eap fast として WLAN/SSID 名を使用します。

    eapfast-wlc-rad-config20.gif

  2. [Profile Management] ウィンドウの [General] タブをクリックし、この例に示すように、プロファイル名、クライアント名、および SSID 名を設定します。 次に、[OK] をクリックします。

    eapfast-wlc-rad-config21.gif

  3. [Security] タブをクリックして、[Set Security Option] で [802.1x] を選択し、[802.1x EAP Type] で [EAP-FAST] を指定します。 [Configure] をクリックして、EAP-FAST を設定します。

    eapfast-wlc-rad-config22.gif

  4. [Configure EAP-FAST] ウィンドウから、[Allow Automatic PAC Provisioning] チェック ボックスをオンにします。 匿名 PAC プロビジョニングを設定する場合、EAP-MS-CHAP は、フェーズ 0 の内部方式だけで使用されます。

  5. [EAP-FAST Authentication Method] ドロップダウンボックスの認証方式として、[MSCHAPv2 User Name and Password] を選択します。 [Configure] をクリックします。

    eapfast-wlc-rad-config23.gif

  6. [Configure MSCHAPv2 User Name and Password] ウィンドウから、適切なユーザ名とパスワード設定を選択します。

    この例では、[Manually Prompt for User Name and Password] を選択します。

    同じユーザ名およびパスワードを ACS に登録する必要があります。 以前説明したように、この例では、ユーザ名として wireless、パスワードとして wireless を使用しています。

    また、これは匿名インバンド プロビジョニングであることに注意してください。 そのため、クライアントは、サーバ証明書を確認できません。 [Validate Server Identity] チェックボックスがオフになっていることを確認します。

  7. [OK] をクリックします。

    eapfast-wlc-rad-config24.gif

認証付きインバンド プロビジョニング用にクライアントを設定する

認証付きインバンド プロビジョニング用にワイヤレス クライアントを設定するには、次の手順を実行します。

  1. このドキュメントの「匿名インバンド プロビジョニング用にクライアントを設定する」セクションの手順 1 ~ 3 を繰り返します。

  2. [Configure EAP-FAST] ウィンドウから、[Allow Automatic PAC Provisioning] チェック ボックスをオンにします。

    認証付きインバンド PAC プロビジョニングでは、クライアントは、認証方式として [EAP-FAST Authentication Method] ドロップダウン ボックスから ACS 側で許可されている任意の内部方式(EAP-GTC、EAP-MSCHAPv2、TLS クライアント証明書)を選択できます。

    この例では、[EAP-FAST Authentication Method] で [GTC Token/Password] を選択します。

  3. [Configure] をクリックします。

    eapfast-wlc-rad-config25.gif

  4. GTC の設定ウィンドウから、認証時のプロンプトにスタティック パスワードまたはトークンのいずれかを使用できます。

    この例では、スタティック ユーザ名とパスワードを使用します。 同じユーザ名およびパスワードを ACS に登録する必要があります。 以前説明したように、この例では、ユーザ名として wireless、パスワードとして wireless を使用しています。

  5. また、これは認証付きインバンド プロビジョニング設定です。 そのため、[Validate Server Identity] チェックボックスをオンにします。 また、[Trusted Root Certification Authorities] ドロップダウン ボックスをスクロールダウンして、ACS からインポートされた自己署名証明書(この例の場合は ts-web)を選択します。 [Trusted Root Certification Authority] として証明書を選択します。 [OK] をクリックします。

    eapfast-wlc-rad-config26.gif

インバンド プロビジョニングの確認

EAP-FAST 設定が正しく機能するかどうかを確認するには、次の手順を実行します。

  1. プロファイル eap fast を選択し、[Activate] をクリックして、ワイヤレス クライアント プロファイルをアクティブにします。

    /image/gif/paws/99791/eapfast-wlc-rad-config27.gif

  2. 認証方式として MS-CHAP ver2 を有効にしている場合(匿名の場合、前述のように、これだけが有効な方式です)、クライアントにより、ユーザ名およびパスワードを求めるプロンプトが表示されます。

    /image/gif/paws/99791/eapfast-wlc-rad-config28.gif

  3. ユーザの EAP-FAST 処理中、RADIUS サーバから PAC を要求するように、クライアントにより求められます。 [YES] をクリックすると、PAC プロビジョニングが開始します。

    eapfast-wlc-rad-config29.gif

    フェーズ 0 で PAC プロビジョニングに成功した後、フェーズ 1 および 2 が実行され、認証手順が正常に実行されます。

    /image/gif/paws/99791/eapfast-wlc-rad-config30.gif

  4. 認証付きインバンド プロビジョニングでは、[EAP-FAST Authentication Method] で [GTC/Token] を有効にしている場合、トークンを入力するよう求められます。 前述のように、この例では、ユーザ クレデンシャルとして wireless を使用します。 [OK] をクリックします。

    /image/gif/paws/99791/eapfast-wlc-rad-config31.gif

    クライアントが受け取る PAC ファイルが、EAP-FAST の設定ページに表示されます。

    eapfast-wlc-rad-config32.gif

    この PAC は、PAC/Master Key TTL 値の設定により、このユーザのその後の認証セッションに使用できます。

  5. [Manage] をクリックし、ここで示される PAC 管理ツリーをブラウズして、PAC ファイルの内容を表示します。 wireless PAC ファイルをダブルクリックして、PAC ファイルの内容を表示します。

    /image/gif/paws/99791/eapfast-wlc-rad-config33.gif

    これは、PAC ファイルの内容です。

    eapfast-wlc-rad-config34.gif

確認

RADIUS サーバがワイヤレス クライアントから認証要求を受け取り、検証するかを確認できます。 そのためには、ACS サーバで Passed Authentications レポートと Failed Attempts レポートを調べます。 これらのレポートは、ACS サーバの [Reports and Activities] で見ることができます。

次に、RADIUS サーバ認証が実際に成功した場合の例を示します。 ただし、EAP-FAST のフェーズ 0 によって有効になるネットワーク サービスはありません。そのため、EAP-FAST フェーズ 0 トランザクションは、成功した場合でも、ACS Failed Attempts ログに記録されます。 「EAP-FAST user was provisioned with new PAC」メッセージが表示された場合、PAC がクライアントに正常にプロビジョニングされています。

/image/gif/paws/99791/eapfast-wlc-rad-config35.gif

これらの debug コマンドは、トラブルシューティングに役に立つ場合があります。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug dot1x events enable:すべての dot1x イベントのデバッグを有効にします。 これは、正常な認証に基づくデバッグ出力の例です。

    (Cisco Controller)>debug dot1x events enable
    
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP
    -Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAP Response packet with mi
    smatching id (currentid=2, eapid=1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    ..............................................................................
    ..............................................................................
    ...............................................................................
    ................................................................................
    
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 43)
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:01 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    0
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3689 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    1
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3696 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received Identity Response (count=3)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 19 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 3)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 23)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 23, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 26)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 26, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 27, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 20 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 3)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 24 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Accept for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Creating a new PMK Cache Entry for s
    tation 00:40:96:af:3e:93 (RSN 0)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP-Success to mobile 00:40:
    96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending default RC4 key to mobile 00
    :40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending Key-Mapping RC4 key to mobil
    e 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Auth Success while in Authe
    nticating state for mobile 00:40:96:af:3e:93
    

    次に、認証が失敗した場合の debug dot1x events enable コマンドの出力例を示します。

    (Cisco Controller) >debug dot1x events enable
    
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Requ
    est/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 11 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 11)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 11, EAP Type 3)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 12)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 12, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 13, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 802.1x 'quiteWhile' Timer expired fo
    r station 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 quiet timer completed for mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 15)
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 16)
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 17)
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 18)
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
  • debug dot1x packet enable:802.1x パケット メッセージのデバッグを有効にします。 これは、正常な認証に基づくデバッグ出力の例です。

    (Cisco Controller) debug dot1x packet enable
    
     00:40:96:af:3e:93 Sending 802
    .11 EAPOL message  to mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 02 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1b 02 02 00 1b  01 50 45 41 50 2d 3
    0 30  .........PEAP-00
                          00000010: 2d 34 30 2d 39 36 2d 41  46 2d 33 45 2d 39 33
      -40-96-AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 26 01 19 00 26  11 01 00 08 52 97 b
    2 df  ...&...&....R...
                          00000010: 38 d2 ce 74 50 45 41 50  2d 30 30 2d 34 30 2d 39
      8..tPEAP-00-40-9
                      00000020: 36 2d 41 46 2d 33 45 2d  39 33                    6-
    AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 06 02 19 00 06  03 2b
          .........+
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:14 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:14 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:15 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:15 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 02 72 01 1b 02 72  2b 81 00 00 02 68 1
    6 03  ...r...r+....h..
                          00000010: 01 00 4a 02 00 00 46 03  01 47 1c bd b1 3a a8 8e
      ..J...F..G...:..
                      00000020: de fc 62 51 e0 fe 93 c2  1d 21 08 51 59 ba c6 90  ..
    bQ.....!.QY...
                  00000030: ad 14 1b bc
    Mon Oct 22 20:41:17 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    36) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:17 2007: 00000000: 01 00 01 4c 02 1b 01 4c  2b 01 16 03 01 01 0
    6 10  ...L...L+.......
                          00000010: 00 01 02 01 00 f4 92 8c  54 b1 34 ae 1e 13 a3 63
      ........T.4....c
                      00000020: 03 35 e9 33 e6 45 01 6a  87 18 ba 3d 03 0f 5f a5  .5
    .3.E.j...=.._.
                  00000030: 1d 3a ae fa
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:46 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 45 01 1d 00 45  2b 81 00 00 00 3b 1
    4 03  ...E...E+....;..
                          00000010: 01 00 01 01 16 03 01 00  30 cc 1f c4 54 ac a2 88
      ........0...T...
                      00000020: 14 11 92 c4 5a 78 2c 57  06 57 77 d7 6b 4e b1 db  ..
    ..Zx,W.Ww.kN..
    eived 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 1f 00 6b  2b 01 17 03 01 00 6
    0 8b  ...k...k+.....`.
                          00000010: 25 2f c6 1a 61 de af 51  a4 1d ae 9e 8c e8 45 80
      %/..a..Q......E.
                      00000020: e0 14 69 01 d8 ab eb 08  af 21 44 44 70 9c 25 d2  ..
    i......!DDp.%.
                  00000030: 39 6f 75 ce
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 5b 01 20 00 5b  2b 01 17 03 01 00 5
    0 0a  ...[...[+.....P.
                          00000010: 7e da 91 4e d7 ae 6b 87  7c 31 7f 7a 3c af 67 71
      ~..N..k.|1.z<.gq
                      00000020: 8a a1 0b aa 0a ac 6f b5  e8 65 83 3b d1 39 bd 1b  ..
    ....o..e.;.9..
                  00000030: f4 dd f9 68
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    7) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2b 02 20 00 2b  2b 01 17 03 01 00 2
    0 73  ...+...++......s
                          00000010: 02 d6 0e d3 55 57 7c 0c  58 f0 7c 1f 5e 61 09 40
      ....UW|.X.|.^a.@
                      00000020: 00 85 0b 8e 11 b5 23 1b  fc 27 77 71 ad b8 ed     ..
    ....#..'wq...
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 01 21 00 6b  2b 01 17 03 01 00 6
    0 c8  ...k.!.k+.....`.
                          00000010: c4 69 43 5d ad 34 88 05  24 d7 7e 90 e3 65 87 37
      .iC].4..$.~..e.7
                      00000020: 9c 94 2f 99 5d be ca 82  1a 11 89 68 44 08 4c ef  ..
    /.]......hD.L.
                  00000030: 56 89 18 7a
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 21 00 6b  2b 01 17 03 01 00 6
    0 16  ...k.!.k+.....`.
                          00000010: 04 f2 92 41 da 4c 9c 4a  64 d8 88 9e 4b ac b9 76
      ...A.L.Jd...K..v
                      00000020: a0 94 2a 7c 5f 7b 9b be  8b 07 e1 42 79 f1 4f 06  ..
    *|_{.....By.O.
                  00000030: 8e 50 c8 25
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 01 1b 01 22 01 1b  2b 01 17 03 01 01 1
    0 0f  ....."..+.......
                          00000010: 9b 84 da 57 60 8b a7 f6  e2 09 33 38 0c d8 fc 1f
      ...W`.....38....
                      00000020: 5f 2f 6a 59 72 4a a7 db  3a 5d 32 5c ac ed 1d d0  _/
    jYrJ..:]2\....
                  00000030: 46 6a 1c 93
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 7
    9) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 4b 02 22 00 4b  2b 01 17 03 01 00 4
    0 3f  ...K.".K+.....@?
                          00000010: 93 1f aa c6 2f 61 f8 45  84 f5 60 bd 35 87 8e 3a
      ..../a.E..`.5..:
                      00000020: 6b 96 7c 9a f6 79 91 73  c1 e9 68 78 82 88 29 07  k.
    |..y.s..hx..).
                  00000030: 8f 71 ef 09
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 04 04 22 00 04
          ....."..
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:48 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 
                  00000030: 2c 14 ca 45
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 00 00 04 03 20 00 04
          ........
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 39 01 00 0d ca  b3 f9 35 00 0a 60 b
    a 20  ...9......5..`..
                          00000010: 82 55 76 30 27 6f 92 2e  ee ce 49 c8 c2 5c 24 01
      .Uv0'o....I..\$.
                      00000020: 33 8e 39 fb a6 f4 fa 72  09 8b ae 1a d5 ab 84 73  3.
    9....r.......s
                  00000030: e9 b9 28 85
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 2c 01 00 0d ca  b3 f9 35 00 0a 60 b
    b 2b  ...,......5..`.+
                          00000010: fa 79 fc 30 50 de dd a0  95 95 cb 50 25 19 0a 80
      .y.0P......P%...
                      00000020: 1e e8 3e bf 8b 7a e3 a1  37 2a 07 8d ef 24 72 47  ..
    >..z..7*...$rG
  • debug aaa events enable:すべての aaa イベントのデバッグ出力を有効にします。 次に、失敗した認証プロセスの debug 出力例を示します。

    (Cisco Controller) >debug aaa events enable
    
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 145) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code=11
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=11
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIU
    S server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 146) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    ..................................................................................
    ..................................................................................
    ..................................................................................
    ..................................................................................
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=3
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Reject received from RADIUS s
    erver 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:42 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 149) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    

トラブルシューティング

トラブルシューティングのヒント

  • 匿名インバンド プロビジョニングでクライアント プロファイルの [Validate Server Identity] チェックボックスがオフになっていることを確認します。

  • 匿名インバンド プロビジョニングでクライアント プロファイルの [EAP-MSCHAPver2] が認証方式として選択されていることを確認します。 これは、匿名インバンド プロビジョニングのフェーズ 0 での唯一適切な EAP 内部方式です。

  • 認証時にクライアント側で入力されたユーザ クレデンシャルが、ACS ですでに設定されていることを確認します。

  • WLAN(SSID)のドロップダウン メニューで RADIUS サーバが選択されていることを確認します。

  • Wi-Fi Protected Access(WPA)を使用している場合は、最新の Windows XP SP2 用 Microsoft WPA ホットフィックスをインストールする必要があります。 また、クライアント サプリカント用のドライバを最新バージョンにアップグレードする必要があります。

  • 「[SECURITY] 1x_ptsm.c 391: MAX EAPOL-Key M3 retransmissions reached」エラー メッセージは、カードがその ID の要求に応答していないことを示します。 WLC CLI で次のコマンドを使用する場合は、コントローラでクライアントの 802.1x 情報を待機するための EAP タイマーを長くできます。

    • config advanced eap identity-request-timeout 120 c

    • config advanced eap identity-request-retries 20

    • config advanced eap request-timeout 120

    • config advanced eap request-retries 20 save config

トラブルシューティングのための ACS RADIUS サーバからのパッケージ ファイルの抽出

ACS を外部 RADIUS サーバとして使用する場合は、このセクションの説明を使用してトラブルシューティングを行うことができます。 package.cab は、ACS を効率よくトラブルシューティングするために必要なすべてのファイルを含む ZIP ファイルです。 CSSupport.exe ユーティリティを使用して package.cab を作成したり、手動でファイルを収集したりできます。

パッケージ ファイルの作成方法および Wireless Control System(WCS)からの抽出方法については、『Cisco Secure ACS for Windows のバージョン情報および AAA デバッグ情報の取得』の「package.cab ファイルの作成」セクションを参照してください。


関連情報


Document ID: 99791