ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

コントローラ上で管理ユーザの RADIUS サーバ認証を行うための設定例

2007 年 1 月 6 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2012 年 11 月 5 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      設定例
      WLC の設定
      ACS の設定
      RADIUS サーバによる管理に加えてローカルで WLC を管理する方法
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、AAA サーバがコントローラ上で管理ユーザを認証できるように、Wireless LAN Controller(WLC)と Access Control Server(ACS)を設定する方法について説明します。 また、Cisco Secure ACS RADIUS サーバから返される Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を使用して、それぞれの管理ユーザに異なる特権を与える方法についても説明します。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • WLC の基本パラメータの設定方法に関する知識

  • Cisco Secure ACS などの RADIUS サーバの設定方法に関する知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • バージョン 4.0.179.11 が稼働する Cisco 2006 Wireless LAN Controller

  • この設定では、ソフトウェア バージョン 3.2 が稼働する Cisco Secure ACS を RADIUS サーバとして使用します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントの目的に従って WLC および ACS を設定する方法について説明します。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

manage-wlc-users-radius-a.gif

ネットワーク構成
※ 画像をクリックすると、大きく表示されます。

この設定例では、次のパラメータを使用します。

  • ACS の IP アドレス — 172.16.1.1/255.255.0.0

  • コントローラの管理インターフェイスの IP アドレス — 172.16.1.30/255.255.0.0

  • アクセス ポイント(AP)と RADIUS サーバで使用する共有秘密キー — cisco

  • ACS で設定する 2 人のユーザのクレデンシャルは次のとおりです。

    • ユーザ名 - acsreadwrite

      パスワード - acsreadwrite

    • ユーザ名 - acsreadonly

      パスワード - acsreadonly

この例では、次のように設定します。

  • ユーザ名とパスワードに acsreadwrite を使用して WLC にログインするユーザには、WLC への完全な管理アクセス権が付与されます。

  • ユーザ名とパスワードに acsreadonly を使用して WLC にログインするユーザには、WLC への読み取り専用アクセス権が付与されます。

設定例

このドキュメントでは、次の設定を使用します。

WLC の設定

コントローラへのログインとコントローラの管理のために RADIUS 認証を実行するには、コントローラで Admin-auth-via-RADIUS フラグが有効になっていることを確認します。

これは show radius summary コマンドの出力で確認できます。 次に出力例を示します。

 (Cisco Controller) >show radius summary
 
 Vendor Id Backward Compatibility.................Disabled 
 
 Credentials Caching..............................Disabled
 
 Call Station Id Type.............................IP Address
 
 Administrative Authentication via RADIUS.........Disabled
 
 Aggressive Failover..............................Enabled
 
 Keywrap..........................................Disabled
 

この show radius summary 出力で強調表示されている部分を見ると、RADIUS による管理者認証が現在無効になっていることが示されています。 これを有効にするには、WLC の CLI から config radius admin-authentication enable コマンドを発行します。

config radius admin-authentication enable コマンドを発行すると、RADIUS による管理者認証が有効になります。 これで、RADIUS サーバを設定して WLC ユーザを管理できるようになります。

この確認が終わったら、コントローラ側で「ACS による管理を受け入れるためのコントローラの設定」セクションの手順を実行します。

ACS による管理を受け入れるためのコントローラの設定

ACS に関する詳細を使用して WLC を設定するには、次の手順を実行します。

  1. WLC の GUI から、Security タブに移動し、ACS サーバの IP アドレスと共有秘密を設定します。 Apply をクリックします。

    WLC が ACS と通信するためには、この共有秘密が ACS 上の共有秘密と一致している必要があります。 次に例を示します。

    manage-wlc-users-radius-1.gif

    設定例
    ※ 画像をクリックすると、大きく表示されます。

  2. ACS で WLC ユーザを管理できるようにするには、ステップ 1 の図に示すように Management にチェックマークを付けます。

    注:コントローラは、RADIUS サーバを介して管理ユーザを認証する前に、コントローラのローカルで定義されている管理ユーザのユーザ名とパスワードを探します。

  3. ACS で管理できるように WLC が設定されているかどうかを確認します。 そのためには、WLC の GUI に移動して Security をクリックします。 次のような GUI ウィンドウが表示されます。

    manage-wlc-users-radius-10.gif

    WLC が設定されているかどうかを確認
    ※ 画像をクリックすると、大きく表示されます。

    RADIUS サーバ 172.16.1.1 の Management チェック ボックスにチェックマークが付いていることを確認します。 これは、ACS が WLC 上で管理ユーザを認証できることを示しています。

ACS の設定

ACS を設定するには、次の手順を実行します。

  1. WLC を AAA クライアントとして RADIUS サーバに追加する

  2. ユーザおよび RADIUS IETF アトリビュートを設定する

  3. 読み取り/書き込みアクセス権を持つユーザを設定する

  4. 読み取り専用アクセス権を持つユーザを設定する

WLC を AAA クライアントとして RADIUS サーバに追加する

このドキュメントでは、ACS を RADIUS サーバとして使用します。 この設定では、任意の RADIUS サーバを使用できます。

WLC を AAA クライアントとして ACS に追加するには、次の手順を実行します。

  1. ACS の GUI から Network Configuration タブに移動します。

  2. AAA Clients の下にある Add Entry をクリックします。

  3. Add AAA Client ウィンドウで、WLC のホスト名、WLC の IP アドレス、および共有秘密キーを入力します。

    この例では、次のように設定します。

    • AAA クライアントのホスト名 - WLC2006

    • AAA クライアント(この例では WLC)の IP アドレス - 172.16.1.30/16

    • 共有秘密キー - cisco

    この共有秘密キーは、WLC 上で設定する共有秘密キーと同じにする必要があります。

  4. Authenticate Using ドロップダウン メニューから、RADIUS (Cisco Aironet) を選択します。

  5. Submit + Restart をクリックして設定を保存します。

    manage-wlc-users-radius-2.gif

    Add AAA Client ウィンドウ
    ※ 画像をクリックすると、大きく表示されます。

ユーザおよび RADIUS IETF アトリビュートを設定する

コントローラへのログインとコントローラの管理のために RADIUS サーバを介してユーザ認証を行うようにするには、RADIUS データベースにユーザを追加し、ユーザの権限に応じて IETF RADIUS アトリビュートの Service-Type アトリビュートを適切な値に設定する必要があります。

  • ユーザに読み取り/書き込み特権を設定するには、Service-Type Attribute を Administrative に設定します。

  • ユーザに読み取り専用特権を設定するには、Service-Type Attribute を NAS-Prompt に設定します。

読み取り/書き込みアクセス権を持つユーザを設定する

最初の例は、WLC への完全なアクセス権を持つユーザの設定を示しています。 したがって、このユーザがコントローラにログインしようとすると、RADIUS サーバは認証を行って、このユーザに完全な管理アクセス権を付与します。

この例で使用するユーザ名とパスワードは acsreadwrite です。

ACS で次の手順を実行します。

  1. ACS の GUI から User Setup タブに移動します。

  2. 次の例に示すように、ACS に追加するユーザ名を入力します。

    manage-wlc-users-radius-3.gif

    ユーザ名を入力
    ※ 画像をクリックすると、大きく表示されます。

  3. Add/Edit をクリックして、User Edit ページに移動します。

  4. User Edit ページで、このユーザの Real Name、Description、および Password の詳細を入力します。

  5. 下にスクロールして IETF RADIUS Attributes の設定に移動し、Service-Type Attribute にチェックマークを付けます。

  6. この例では、ユーザ acsreadwrite に完全なアクセス権を与える必要があるので、Service-Type プルダウン メニューから Administrative を選択して、Submit をクリックします。

    これで、このユーザに WLC への読み取り/書き込みアクセス権が与えられます。

    manage-wlc-users-radius-4.gif

    IETF RADIUS Attributes の設定
    ※ 画像をクリックすると、大きく表示されます。

場合によっては、この Service-Type アトリビュートがユーザ設定で表示されないことがあります。 その場合は、次の手順を実行してこのアトリビュートが表示されるようにします。

  1. ACS の GUI から Interface Configuration > RADIUS (IETF) の順に選択し、User Configuration ウィンドウで IETF アトリビュートを有効にします。

    RADIUS (IETF) の設定ページが表示されます。

  2. RADIUS (IETF) の設定ページでは、ユーザ設定やグループ設定で表示する必要がある IETF アトリビュートを指定できます。 この設定には、User カラムで Service-Type にチェックマークを付けて、Submit をクリックします。 次に例を示します。

    manage-wlc-users-radius-5.gif

    RADIUS (IETF) の設定
    ※ 画像をクリックすると、大きく表示されます。

    注:この例ではユーザ単位での認証を指定していますが、 ユーザが属するグループ単位で認証を行うこともできます。 その場合は、グループ設定でこのアトリビュートが表示されるように、Group チェック ボックスにチェックマークを付けます。 この例では、Group チェック ボックスにチェックマークを付ける必要はありません。

    注:グループ単位で認証を行う場合は、特定のグループにユーザを割り当て、そのグループのユーザにアクセス特権を与えるようにグループ設定の IETF アトリビュートを設定する必要もあります。 グループの設定と管理の詳細については、『グループ管理』を参照してください。

読み取り専用アクセス権を持つユーザを設定する

次の例は、WLC への読み取り専用アクセス権を持つユーザの設定を示しています。 したがって、このユーザがコントローラにログインしようとすると、RADIUS サーバは認証を行ってこのユーザに読み取り専用アクセス権を提供します。

この例で使用するユーザ名とパスワードは acsreadonly です。

ACS で次の手順を実行します。

  1. ACS の GUI から User Setup タブに移動します。

  2. ACS に追加するユーザ名を入力し、Add/Edit をクリックして User Edit ページに移動します。

  3. このユーザの Real Name、Description、および Password を入力します。 次に例を示します。

    manage-wlc-users-radius-6.gif

    ユーザ設定の例
    ※ 画像をクリックすると、大きく表示されます。

  4. 下にスクロールして IETF RADIUS Attributes の設定に移動し、Service-Type Attribute にチェックマークを付けます。

  5. この例では、ユーザ acsreadonly に読み取り専用アクセス権を与える必要があるので、Service-Type プルダウン メニューから NAS Prompt を選択して、Submit をクリックします。

    これで、このユーザに WLC への読み取り専用アクセス権が与えられます。

    manage-wlc-users-radius-7.gif

    IETF RADIUS Attributes の設定
    ※ 画像をクリックすると、大きく表示されます。

RADIUS サーバによる管理に加えてローカルで WLC を管理する方法

WLC 上でローカルに管理ユーザを設定することもできます。 これを行うには、コントローラの GUI から Management > Local Management Users の順に移動します。

Management チェック ボックスにチェックマークが付いていて、管理ユーザが RADIUS サーバ上だけでなく、WLC 上でもローカルに設定されていると仮定します。 このようなシナリオでは、ユーザが WLC にログインしようとすると、WLC は次のように動作します。

  1. WLC は、まずローカルで定義されている管理ユーザを探します。 このユーザがローカルのリストに存在すれば、WLC はこのユーザを認証します。 このユーザがローカルに存在しなければ、WLC は RADIUS サーバを検索します。

  2. 同じユーザがローカルにも RADIUS サーバにも存在し、アクセス特権が異なる場合は、ローカルで指定されている特権でユーザを認証します。 つまり、WLC のローカル設定は RADIUS サーバ上の設定より常に優先されます。

確認

このセクションを使用して、設定が正しく動作していることを確認します。

設定が正しく機能するかどうかを確認するには、CLI または GUI(HTTP/HTTPS)モードで WLC にアクセスします。 ログイン プロンプトが表示されたら、ACS で設定したユーザ名とパスワードを入力します。

設定が正しければ、認証に成功して WLC にログインできます。

また、ACS で指定したとおりのアクセス制限がユーザに適用されているかどうかを確認することもできます。 これを確認するには、HTTP または HTTPS を使用して WLC の GUI にアクセスします(HTTP または HTTPS を使用できるように WLC が設定されていることを確認してください)。

ACS で読み取り/書き込みアクセス権を与えられたユーザは、WLC で設定可能な特権を持っています。 たとえば、読み取り/書き込みユーザは、WLC の WLANs ページで新しい WLAN を作成する特権を持っています。 次に例を示します。 読み取り/書き込みユーザは、New ボタンをクリックして新しい WLAN を作成できます。 読み取り専用のユーザは、これらの設定オプションを使用できません。

manage-wlc-users-radius-8.gif

読み取り/書き込みユーザの場合
※ 画像をクリックすると、大きく表示されます。

読み取り専用ユーザ用がコントローラの WLANs ページにアクセスした場合の例を次に示します。 新しい WLAN を作成するオプションがないことに注意してください。

manage-wlc-users-radius-9.gif

読み取り専用ユーザの場合
※ 画像をクリックすると、大きく表示されます。

このアクセス制限は、WLC の CLI でも検証できます。 次に出力例を示します。

 (Cisco Controller) >?
 
 debug          Manages system debug options.
 help           Help
 linktest       Perform a link test to a specified MAC address.
 logout         Exit this session. Any unsaved changes are lost.
 show           Display switch options and settings.
 

この出力例が示すように、コントローラの CLI で ? を入力すると、現在のユーザが使用できるコマンドの一覧が表示されます。 この出力例に config コマンドが含まれていないことにも注意してください。 これは、読み取り専用ユーザが WLC 上で設定を行う特権を持たないことを示しています。 反対に、読み取り/書き込みユーザは、コントローラ上で(GUI および CLI モードで)設定を行う特権を持っています。

注:RADIUS サーバを介して WLC ユーザが認証された後でも、ページ間を移動する際には HTTP[S] サーバによってクライアントの完全な認証が毎回実行されます。 各ページで認証プロンプトが表示されない理由は、ブラウザのキャッシュにクレデンシャルが保存されて自動的に送信されるためです。

トラブルシューティング

特定の状況下では、コントローラが ACS を介して管理ユーザの認証を行い、認証に成功し(access-accept)、コントローラ上に認証エラーが表示されていないにもかかわらず、 ユーザに対して再び認証プロンプトが表示されることがあります。

このような場合、debug aaa events enable コマンドを使用するだけでは、何が間違っていて、なぜユーザが WLC にログインできないのかを把握できません。 コントローラが再び認証プロンプトを表示するだけです。

この問題の原因としては、ACS でユーザ名とパスワードが正しく設定されていたとしても、特定のユーザやグループの Service-Type アトリビュートを渡すように ACS が設定されていないことが考えられます。

AAA サーバからは access-accept が返されるにもかかわらず、ユーザが必要なアトリビュート(Service-Type アトリビュートなど)を持っていないことは、debug aaa events enable コマンドの出力では確認できません。 debug aaa events enable コマンドの出力例を次に示します。

  (Cisco Controller) >debug aaa events enable
 
 Unable to find requested user entry for acsserver
 
 Mon Nov 13 20:14:33 2006: AuthenticationRequest: 0xa449a8c
 
 Mon Nov 13 20:14:33 2006: Callback.....................................0x8250c40
 
 Mon Nov 13 20:14:33 2006: protocolType.................................0x00020001
 
 Mon Nov 13 20:14:33 2006: proxyState......................1A:00:00:00:00:00-00:00
 
 Mon Nov 13 20:14:33 2006: Packet contains 5 AVPs (not shown)
 
 Mon Nov 13 20:14:33 2006: 1a:00:00:00:00:00 Successful transmission of 
 Authentication Packet (id 8) to 172.16.1.1:1812, proxy state 1a:00:00:00:00:00-00:00
 
 Mon Nov 13 20:14:33 2006: ****Enter processIncomingMessages: response code=2
 
 Mon Nov 13 20:14:33 2006: ****Enter processRadiusResponse: response code=2
 
 Mon Nov 13 20:14:33 2006: 1a:00:00:00:00:00 Access-Accept 
 received from RADIUS server 172.16.1.1 for mobile 1a:00:00:00:00:00 receiveId = 0
 
 Mon Nov 13 20:14:33 2006: AuthorizationResponse: 0x9802520
 
 Mon Nov 13 20:14:33 2006: structureSize................................28
 
 Mon Nov 13 20:14:33 2006: resultCode...................................0
 
 Mon Nov 13 20:14:33 2006: protocolUsed.................................0x00000001
 
 Mon Nov 13 20:14:33 2006: proxyState.......................1A:00:00:00:00:00-00:00
 
 Mon Nov 13 20:14:33 2006: Packet contains 0 AVPs:
 

最初の debug aaa events enable コマンドの出力例では、RADIUS サーバから Access-Accept を受信しているにもかかわらず、WLC に Service-Type アトリビュートが渡されていないことがわかります。 これは、ACS 上でこのアトリビュートがこのユーザに対して設定されていないことが原因です。

この問題については、Cisco Bug ID CSCsg48232登録ユーザ専用)を参照してください。 詳細については、Cisco Bug ID CSCsg48228登録ユーザ専用)も参照してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

この問題を回避するには、ユーザの特権に応じて Service-Type アトリビュートの値を Administrative または NAS-Prompt に設定します。 この設定は ACS 上で行う必要があります。

2 番目の例も、debug aaa events enable コマンドの出力を示しています。 しかし、今回は ACS 上で Service-Type アトリビュートが Administrative に設定されています。

 (Cisco Controller)>debug aaa events enable
 
 Unable to find requested user entry for acsserver
 
 Mon Nov 13 20:17:02 2006: AuthenticationRequest: 0xa449f1c
 
 Mon Nov 13 20:17:02 2006: Callback.....................................0x8250c40
 
 Mon Nov 13 20:17:02 2006: protocolType.................................0x00020001
 
 Mon Nov 13 20:17:02 2006: proxyState.......................1D:00:00:00:00:00-00:00
 
 Mon Nov 13 20:17:02 2006: Packet contains 5 AVPs (not shown)
 
 Mon Nov 13 20:17:02 2006: 1d:00:00:00:00:00 Successful transmission of 
 Authentication Packet (id 11) to 172.16.1.1:1812, proxy state 1d:00:00:00:00:00-00:00
 
 Mon Nov 13 20:17:02 2006: ****Enter processIncomingMessages: response code=2
 
 Mon Nov 13 20:17:02 2006: ****Enter processRadiusResponse: response code=2
 
 Mon Nov 13 20:17:02 2006: 1d:00:00:00:00:00 Access-Accept received 
 from RADIUS server 172.16.1.1 for mobile 1d:00:00:00:00:00 receiveId = 0
 
 Mon Nov 13 20:17:02 2006: AuthorizationResponse: 0x9802520
 
 Mon Nov 13 20:17:02 2006: structureSize................................100
 
 Mon Nov 13 20:17:02 2006: resultCode...................................0
 
 Mon Nov 13 20:17:02 2006: protocolUsed.................................0x00000001
 
 Mon Nov 13 20:17:02 2006: proxyState.......................1D:00:00:00:00:00-00:00
 
 Mon Nov 13 20:17:02 2006: Packet contains 2 AVPs:
 
 Mon Nov 13 20:17:02 2006: AVP[01] Service-Type...........0x00000006 (6) (4 bytes)
 
 Mon Nov 13 20:17:02 2006: AVP[02] Class.........CISCOACS:000d1b9f/ac100128/acsserver (36 bytes)
 

この出力例では、WLC に Service-Type アトリビュートが渡されていることがわかります。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報