ワイヤレス : Cisco 4400 ???? Wireless LAN Controller

Microsoft Internet Authentication Service(IAS)を使用した Unified Wireless Network での PEAP

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 12 月 4 日) | 英語版 (2015 年 12 月 20 日) | フィードバック


目次


概要

このドキュメントでは、RADIUS サーバに Microsoft Internet Authentication Service(IAS)を使用した Cisco Unified Wireless Network で Microsoft Challenge Handshake Authentication Protocol(MS-CHAP)バージョン 2 認証を使用した Protected Extensible Authentication Protocol(PEAP)を設定する際の設定例を紹介しています。

前提条件

要件

このドキュメントではテストを行うための特定の設定のみが取り上げられており、読者に Windows 2003 と Cisco コントローラのインストールに関する基本知識があることが前提となっています。

このドキュメントは、PEAP – MS CHAP 認証に必要な MS サーバの設定を読者に例示することを目的としています。 このセクションで示す Microsoft サーバの設定はラボでテスト済みで、期待通りに動作することが確認されています。 Microsoft サーバを設定する上で問題がある場合は、Microsoft に連絡してください。 Cisco TAC では、Microsoft Windows サーバの設定に関するサポートは行っていません。

Cisco 4400 シリーズ コントローラ用の初期インストールおよび構成情報に関しては、クイックスタートガイドを参照して下さい: Cisco 4400 シリーズ ワイヤレス LAN コントローラ

Microsoft Windows 2003 のインストールおよび設定のガイドについては、『Installing Windows Server 2003 R2』を参照してください。leavingcisco.com

開始する前に、テスト ラボの各サーバに Microsoft Windows Server 2003 SP1 のオペレーティング システムをインストールし、すべての Service Pack をアップデートしておいてください。 コントローラと Lightweight Access Point(LAP; Lightweight アクセス ポイント)をインストールし、最新のソフトウェア更新プログラムが設定されていることを確認します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア バージョン 4.0 が稼働している Cisco 4400 シリーズ コントローラ

  • Cisco 1131 Lightweight Access Point Protocol(LWAPP)AP

  • Internet Authentication Service (IAS)、Certificate Authority(CA; 認証局)、DHCP、および Domain Name System(DNS; ドメイン ネーム システム)のサービスを搭載した Windows 2003 Enterprise Server(SP1)

  • Windows XP Professional SP2(および最新の Service Pack)と Cisco Aironet 802.11a/b/g Wireless Network Interface Card(NIC; ネットワーク インターフェイス カード)

  • Aironet Desktop Utility バージョン 4.0

  • Cisco 3560 スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

PEAP の概要

PEAP では、Transport Level Security(TLS)を使用して、ワイヤレス ラップトップなど認証対象の PEAP クライアントと Microsoft Internet Authentication Service (IAS) や任意の RADIUS サーバなどの PEAP オーセンティケータとの間に暗号化チャネルを作成します。 PEAP では認証方式は指定されませんが、PEAP により提供される TLS 暗号化チャネルで動作できる EAP-MSCHAPv2 などの他の EAP 認証プロトコルに対してセキュリティが付加されます。 PEAP の認証プロセスは、主に次の 2 つのフェーズで構成されます。

PEAP フェーズ1: TLS 暗号化チャネル

ワイヤレス クライアントで AP とのアソシエーションが確立されます。 IEEE 802.11 ベースの関連付けでは、クライアントとアクセス ポイント(LAP)でセキュアなアソシエーションが確立される前に、オープン システムや共有秘密鍵による認証が提供されます。 クライアントとアクセス ポイントの間に IEEE 802.11 ベースのアソシエーションが確立されると、AP との TLS セッションがネゴシエートされます。 ワイヤレス クライアントと IAS サーバの間での認証が完了すると、それらの間で TLS セッションがネゴシエートされます。 このネゴシエーションで生成された鍵が、後続のすべての通信の暗号化に使用されます。

PEAP フェーズ 2: EAP 認証による通信

PEAP 認証プロセスの最初の段階で PEAP が作成した TLS チャネルで、EAP ネゴシエーションを含む EAP 通信が発生します。 IAS サーバでは、EAP-MS-CHAP v2 でワイヤレス クライアントの認証が行われます。 LAP とコントローラでは、ワイヤレス クライアントと RADIUS サーバの間でのメッセージの転送だけが行われます。 この WLC と LAP は TLS のエンド ポイントではないため、これらのメッセージの復号化はできません。

PEAP のステージ 1 が発生し、IAS サーバと 802.1X ワイヤレス クライアントの間で TLS チャネルが作成された後、PEAP-MS-CHAP v2 でパスワード ベースの有効なクレデンシャルをユーザが提供した成功時の認証における RADIUS のメッセージ シーケンスは次のようになります。

  1. IAS サーバはクライアントに Identity 要求 メッセージを送ります: EAP-Request/Identity を送信します。

  2. クライアントが ID 応答メッセージ EAP-Response/Identity で応答します。

  3. IAS サーバは MS-CHAP v2 チャレンジメッセージを送信 します: EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Challenge) を送信します。

  4. クライアントが MS-CHAP v2 チャレンジと応答 EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response) で応答します。

  5. IAS サーバはサーバがクライアントの認証に成功したら MS-CHAP v2 成功パケットを送返します: EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Success) を返送します。

  6. クライアントがサーバを正常に認証すると、クライアントは MS-CHAP v2 成功パケット EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success) で応答します。

  7. IAS サーバが認証の成功を示す EAP-TLV を送信します。

  8. クライアントが EAP-TLV ステータスの成功メッセージを返します。

  9. サーバが認証を完了し、EAP-Success メッセージをプレーン テキストで送信します。 クライアントの分離に VLAN が展開されている場合は、このメッセージに VLAN の属性が含まれています。

設定

このドキュメントでは、PEAP MS-CHAP v2 の設定例を紹介しています。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/100397/peap-ias-1.gif

この設定では、Microsoft Windows 2003 Server は次の役割を果たします。

  • ドメイン Wireless.com のドメイン コントローラ

  • DHCP/DNS サーバ

  • 認証局(CA)サーバ

  • Active Directory:ユーザ データベースの管理

  • Internet Authentication Service(IAS):ワイヤレス ユーザの認証

図のように、このサーバはレイヤ 2 スイッチを介して有線ネットワークに接続しています。

Wireless LAN Controller(WLC)と登録済み LAP もレイヤ 2 スイッチを介してネットワークに接続しています。

ワイヤレス クライアント C1 と C2 は、Wi-Fi Protected Access 2(WPA 2)- PEAP MSCHAP v2 認証を使用してワイヤレス ネットワークに接続しています。

目標は、PEAP MSCHAP v2 認証でワイヤレス クライアントを認証するように、Microsoft 2003 Server、Wireless LAN Controller、および Light Weight AP を設定することです。

次のセクションでは、この構成でデバイスを設定する方法を説明します。

設定

このセクションでは、この WLAN に PEAP MS-CHAP v2 認証を設定するために必要な設定を確認しています。

  • Microsoft Windows 2003 Server の設定

  • Wireless LAN Controller(WLC)と Light Weight AP の設定

  • ワイヤレス クライアントの設定

Microsoft Windows 2003 Server の設定から始めます。

Microsoft Windows 2003 Server の設定

Microsoft Windows 2003 Server の設定

ネットワーク設定のセクションで説明されているように、Microsoft Windows 2003 Server はネットワークで次の機能を行うために使用されます。

  • ドメイン コントローラ:ドメイン Wireless

  • DHCP/DNS サーバ

  • 認証局(CA)サーバ

  • Internet Authentication Service(IAS):ワイヤレス ユーザの認証

  • Active Directory:ユーザ データベースの管理

Microsoft Windows 2003 Server を、上記のサービスを行うように設定します。 ドメイン コントローラとしての Microsoft Windows 2003 Server の設定から開始します。

ドメイン コントローラとしての Microsoft Windows 2003 Server の設定

Microsoft Windows 2003 Server をドメイン コントローラとして設定するには、次の手順を実行します。

  1. 『Start』 をクリック し、『Run』 をクリック し、dcpromo.exe を入力しそれから OKTO 開始するを Active Directoryインストール インストール・ウィザード クリックして下さい。

    peap-ias-2.gif

  2. Next をクリックして Active Directory Installation Wizard を実行します。

    /image/gif/paws/100397/peap-ias-3.gif

  3. 新しいドメインを作成するため、オプション Domain Controller for a new domain を選択します。

    peap-ias-4.gif

  4. New をクリックし、ドメイン ツリーの新しいフォレストを作成します。

    /image/gif/paws/100397/peap-ias-5.gif

  5. システムに DNS がインストールされていない場合は、ウィザードにより DNS を設定するためのオプションが提示されます。 このコンピュータでは No, Just Install and Configure DNS を選択します。 [Next] をクリックします。

    /image/gif/paws/100397/peap-ias-6.gif

  6. 新しいドメインの完全な DNS 名を入力します。 この例では、Wireless.com が使用されており、Next をクリックします。

    /image/gif/paws/100397/peap-ias-7.gif

  7. ドメインの NETBIOS 名を入力し、Next をクリックします。 この例では WIRELESS を使用しています。

    /image/gif/paws/100397/peap-ias-8.gif

  8. ドメインのデータベースとログのロケーションを選択します。 [Next] をクリックします。

    /image/gif/paws/100397/peap-ias-9.gif

  9. Sysvol フォルダのロケーションを選択します。 [Next] をクリックします。

    /image/gif/paws/100397/peap-ias-10.gif

  10. ユーザとグループのデフォルトのアクセス許可を選択します。 [Next] をクリックします。

    /image/gif/paws/100397/peap-ias-11.gif

  11. 管理者のパスワードを設定し、Next をクリックします。

    /image/gif/paws/100397/peap-ias-12.gif

  12. Next をクリックして、先ほど設定したドメインのオプションを承認します。

    /image/gif/paws/100397/peap-ias-13.gif

  13. Finish をクリックして Active Directory Installation Wizard を閉じます。

    /image/gif/paws/100397/peap-ias-14.gif

  14. サーバを再起動して変更を有効にします。

    /image/gif/paws/100397/peap-ias-15.gif

この手順では、Microsoft Windows 2003 Server をドメイン コントローラとして設定し、新しいドメイン Wireless.com を作成しました。 次に、サーバ上に DHCP サービスを設定します。

Microsoft Windows 2003 Server での DHCP サービスのインストールと設定

Microsoft 2003 Server 上の DHCP サービスは、ワイヤレス クライアントに IP アドレスを提供するために使用されます。 DHCP サービスをサーバにインストールし設定するには、次の手順を実行します。

  1. Control Panel で Add or Remove Programs をクリックします。

  2. Add/Remove Windows components をクリックします。

  3. Networking Services を選択し、Details をクリックします。

  4. Dynamic Host Configuration Protocol (DHCP) を選択し、OK をクリックします。

    peap-ias-16.gif

  5. Next をクリックして DHCP サービスをインストールします。

    /image/gif/paws/100397/peap-ias-17.gif

  6. Finish をクリックしてインストールを完了します。

    /image/gif/paws/100397/peap-ias-18.gif

  7. DHCP サービスを設定するため、Start > Programs > Administrative tools の順にクリックし、DHCP スナップインをクリックします。

  8. DHCP サーバ(この例では tsweb-lapt.wireless.com)を選択します。

  9. Action をクリックし、Authorize をクリックして DHCP サービスを認可します。

    /image/gif/paws/100397/peap-ias-19.gif

  10. コンソール ツリーで tsweb-lapt.wireless.com を右クリックし、New Scope をクリックし、ワイヤレス クライアントの IP アドレスの範囲を定義します。

  11. New Scope Wizard の Welcome to the New Scope Wizard ページで、Next をクリックします。

    peap-ias-20.gif

  12. Scope Name ページで、DHCP のスコープ名を入力します。 この例では、スコープ名に DHCP-Clients を使用します。 [Next] をクリックします。

    /image/gif/paws/100397/peap-ias-21.gif

  13. IP Address Range ページで、範囲の最初と最後の IP アドレスを入力し、Next をクリックします。

    /image/gif/paws/100397/peap-ias-22.gif

  14. Add Exclusions ページで、DHCP スコープから留保または除外する IP アドレスを指定します。 [Next] をクリックします。

    /image/gif/paws/100397/peap-ias-23.gif

  15. Lease Duration ページでリース期間を指定し、Next をクリックします。

    /image/gif/paws/100397/peap-ias-24.gif

  16. Configure DHCP Options ページで Yes, I want to configure DHCP Option now を選択し、Next をクリックします。

    /image/gif/paws/100397/peap-ias-25.gif

  17. デフォルトのゲートウェイ ルータがある場合は、Router(Default Gateway)ページでそのゲートウェイ ルータの IP アドレスを指定し、Next をクリックします。

    /image/gif/paws/100397/peap-ias-26.gif

  18. Domain Name and DNS Servers ページで、先ほど設定したドメインの名前を入力します。 この例では、Wireless.com を使用します。 サーバの IP アドレスを入力します。 [Add] をクリックします。

    /image/gif/paws/100397/peap-ias-27.gif

  19. [Next] をクリックします。

  20. WINS Server ページで Next をクリックします。

  21. Activate Scope ページで Yes, I want to activate the scope now を選択し、Next をクリックします。

    /image/gif/paws/100397/peap-ias-28.gif

  22. New Scope Wizard を終了するため、Finish をクリックします。

    /image/gif/paws/100397/peap-ias-29.gif

  23. DHCP Snapin ウィンドウで、作成した DHCP スコープがアクティブであることを確認します。

    /image/gif/paws/100397/peap-ias-30.gif

これで、サーバ上で DHCP/DNS がイネーブルになったので、サーバをエンタープライズの認証局(CA)サーバとして設定します。

Microsoft Windows 2003 Server の認証局(CA)サーバとしてのインストールと設定

EAP-MS-CHAPv2 を使用する PEAP は、サーバにある証明書に基づいて RADIUS サーバの検証を行います。 また、クライアント コンピュータの信頼するパブリックな Certification Authority(CA)がサーバ証明書を発行する必要があります(つまり、パブリックな CA 証明書がクライアント コンピュータの証明書ストアの Trusted Root Certification Authority フォルダにすでに存在する必要があります)。 この例では、Internet Authentication Service(IAS)へ証明書を発行する認証局(CA)として、Microsoft Windows 2003 Server を設定します。

サーバ上に証明書サービスをインストールして設定するには、次の手順を実行します。

  1. Control Panel で Add or Remove programs をクリックします。

  2. Add/Remove Windows components をクリックします。

  3. Certificate Services をクリックします。

    /image/gif/paws/100397/peap-ias-31.gif

  4. 認証 サービスをインストールした後警告メッセージに、コンピュータ名前を変更することができません『Yes』 をクリック すれば コンピュータはドメインから加入するか、または取除くことができません。 続けたいと思いますか。

    /image/gif/paws/100397/peap-ias-32.gif

  5. Certificate Authority Type で Enterprise root CA を選択し、Next をクリックします。

    peap-ias-33.gif

  6. CA を識別する名前を入力します。 この例では Wireless-CA を使用しています。 [Next] をクリックします。

    /image/gif/paws/100397/peap-ias-34.gif

  7. 証明書データベース ストレージとして CertLog ディレクトリが作成されます。 [Next] をクリックします。

    /image/gif/paws/100397/peap-ias-35.gif

  8. IIS が有効になっている場合は、これを停止してから次の手順に進む必要があります。 IIS を停止させる必要があるという警告メッセージに対して OK をクリックします。 CA がインストールされた後、自動的に再起動が行われます。

    peap-ias-36.gif

  9. Finish をクリックして、認証局(CA)サービスのインストールを完了します。

    peap-ias-37.gif

次の手順では、Microsoft Windows 2003 Server に Internet Authentication Service をインストールして設定します。

ドメインへのクライアントの接続

次の手順では、クライアントを有線ネットワークに接続させ、新しいドメインからドメイン固有の情報をダウンロードします。 つまり、クライアントをドメインに接続させます。 このためには、次の手順を実行します。

  1. ストレート型のイーサネット ケーブルでクライアントを有線ネットワークに接続します。

  2. クライアントを起動し、そのクライアントのユーザ名/パスワードでログインします。

  3. 『Start』 をクリック して下さい; 『Run』 をクリック して下さい; cmd を入力して下さい; そして『OK』 をクリック して下さい。

  4. コマンド プロンプトで ipconfig と入力し、Enter をクリックして、DHCP が正常に動作しクライアントが DHCP サーバから IP アドレスを受け取ったことを確認します。

  5. クライアントをドメインに参加させるため、My Computer を右クリックし、Properties を選択します。

  6. Computer Name タブをクリックします。

  7. [Change] をクリックします。

  8. 『Domain』 をクリック して下さい; wireless.com を入力して下さい; そして『OK』 をクリック して下さい。

    peap-ias-38.gif

  9. Username に Administrator と入力し、クライアントが参加するドメインのパスワードを入力します。 (これはサーバ上での Active Directory の管理者アカウントです。)

    peap-ias-39.gif

  10. [OK] をクリックします。

    peap-ias-40.gif

  11. Yes をクリックしてコンピュータを再起動させます。

  12. コンピュータが再起動したら、次の情報を使用してログインします。 ユーザ名 = Administrator パスワード = <ドメイン パスワード> ドメイン = wireless

  13. My Computer を右クリックし、Properties をクリックします。

  14. Computer Name タブをクリックし、Wireless.com ドメインにいることを確認します。

    /image/gif/paws/100397/peap-ias-41.gif

  15. 次の手順では、クライアントがサーバから CA 証明書(信頼)を受信したことを確認します。

  16. 『Start』 をクリック して下さい; 『Run』 をクリック して下さい; mmc を入力し、『OK』 をクリック して下さい。

  17. [File] をクリックし、[Add/Remove] スナップインをクリックします。

    /image/gif/paws/100397/peap-ias-42.gif

  18. [Add] をクリックします。

  19. Certificate を選択し、Add をクリックしします。

    /image/gif/paws/100397/peap-ias-43.gif

  20. Computer account を選択し、Next をクリックします。

    /image/gif/paws/100397/peap-ias-44.gif

  21. Finish をクリックして、デフォルトのローカル コンピュータを承認します。

    /image/gif/paws/100397/peap-ias-45.gif

  22. Close をクリックし、OK をクリックします。

  23. 認証(ローカル コンピュータ)を拡張して下さい; 信頼されたルート認証局を拡張して下さい; そして認証をクリックして下さい。 リストから Wireless を探します。

    /image/gif/paws/100397/peap-ias-46.gif

  24. 別のクライアントをさらにドメインに追加するには、この手順を繰り返します。

Microsoft Windows 2003 Server での Internet Authentication Service のインストールと証明書の要求

この設定では、PEAP 認証を使用してワイヤレス クライアントを認証するために、Internet Authentication Service(IAS)を RADIUS サーバとして使用します。

次の手順を実行して、サーバ上に IAS をインストールして設定します。

  1. Control Panel で Add or Remove Programs をクリックします。

  2. Add/Remove Windows components をクリックします。

  3. Networking Services を選択し、Details をクリックします。

  4. 『Internet Authentication Service』 を選択 して下さい; 『OK』 をクリック して下さい; そして『Next』 をクリック して下さい。

    /image/gif/paws/100397/peap-ias-47.gif

  5. Finish をクリックして、IAS のインストールを完了します。

    /image/gif/paws/100397/peap-ias-48.gif

  6. 次の手順では、Internet Authentication Service(IAS)に対応するコンピュータの証明書をインストールします。

  7. 『Start』 をクリック して下さい; 『Run』 をクリック して下さい; mmc を入力して下さい; そして『OK』 をクリック して下さい。

    /image/gif/paws/100397/peap-ias-49.gif

  8. ファイル メニューで Console をクリックし、Add/Remove スナップインを選択します。

  9. Add をクリックし、スナップインを追加します。

    /image/gif/paws/100397/peap-ias-50.gif

  10. スナップインのリストから Certificates を選択し、Add をクリックしします。

    /image/gif/paws/100397/peap-ias-51.gif

  11. Computer account を選択し、Next をクリックします。

    /image/gif/paws/100397/peap-ias-52.gif

  12. Local computer を選択し、Finish をクリックします。

    /image/gif/paws/100397/peap-ias-53.gif

  13. Close をクリックし、OK をクリックします。

  14. 認証(ローカル コンピュータ)を拡張して下さい; 個人的なフォルダを右クリックして下さい; 新しい認証を『All Tasks』 を選択 し、次に要求して下さい

    peap-ias-54.gif

  15. Welcome to the Certificate Request WizardNext をクリックします。

    /image/gif/paws/100397/peap-ias-55.gif

  16. Domain Controller 証明書テンプレートを選択し(DC 以外のサーバでコンピュータ証明書を要求する場合は Computer 証明書テンプレートを選択し)、Next をクリックします。

    peap-ias-56.gif

  17. 証明書の名前と説明を入力します。

    /image/gif/paws/100397/peap-ias-57.gif

  18. Finish をクリックして、証明書要求ウィザードを完了します。

    /image/gif/paws/100397/peap-ias-58.gif

    peap-ias-59.gif

Internet Authentication Service での PEAP-MS-CHAP v2 認証の設定

IAS をインストールし、IAS の証明書を要求できたので、IAS に認証の設定を行います。

次の手順を実行します。

  1. Start > Programs > Administrative Tools の順にクリックしてから、Internet Authentication Service スナップインをクリックします。

  2. Internet Authentication Service (IAS) を右クリックし、Register Service in Active Directory をクリックします。

    /image/gif/paws/100397/peap-ias-60.gif

  3. アクティブ ディレクトリ ダイアログボックスのレジスタ Internet Authentication Service は現われます; 『OK』 をクリック して下さい。 これで、IAS が Active Directory 内のユーザを認証できるようになります。

    peap-ias-61.gif

  4. 次のダイアログ ボックスで OK をクリックします。

    /image/gif/paws/100397/peap-ias-62.gif

  5. MS IAS サーバに、ワイヤレス LAN コントローラを AAA クライアントとして追加します。

  6. [RADIUS Clients] を右クリックし、[New RADIUS Client] を選択します。

    /image/gif/paws/100397/peap-ias-63.gif

  7. クライアント名(ここでは WLC)を入力し、WLC の IP アドレスを入力します。 [Next] をクリックします。

    peap-ias-64.gif

  8. Next ページで、Client-Vendor の下で、規格を『RADIUS』 を選択 して下さい; 共有秘密を入力して下さい; そして『Finish』 をクリック して下さい。

  9. WLC が AAA クライアントとして IAS に追加されていることに注意してください。

    /image/gif/paws/100397/peap-ias-65.gif

  10. クライアントのリモート アクセス ポリシーを作成します。

  11. そのためには、Remote Access Policies を右クリックし、New Remote Access Policy を選択します。

    /image/gif/paws/100397/peap-ias-66.gif

  12. リモート アクセス ポリシー名を入力します。 この例では、PEAP という名前を使用します。 次に [Next] をクリックします。

    /image/gif/paws/100397/peap-ias-67.gif

  13. 要件に応じてポリシーの属性を選択します。 この例では、Wireless を選択します。

    peap-ias-68.gif

  14. 次のページで User を選択し、このリモート アクセス ポリシーをユーザのリストに適用します。

    peap-ias-69.gif

  15. Authentication Methods で、Protected EAP (PEAP) を選択し、Configure をクリックします。

    /image/gif/paws/100397/peap-ias-70.gif

  16. Protected EAP Properties ページで、Certificate Issued ドロップダウン メニューから該当する証明書を選択し、OK をクリックします。

    /image/gif/paws/100397/peap-ias-71.gif

  17. リモート アクセス ポリシーの詳細を確認し、Finish をクリックします。

    /image/gif/paws/100397/peap-ias-72.gif

  18. リモート アクセス ポリシーがリストに追加されました。

    /image/gif/paws/100397/peap-ias-73.gif

  19. ポリシーを右クリックして、Properties をクリックします。 If a connection request matches the specified conditions の下で Grant remote access permission を選択します。

    /image/gif/paws/100397/peap-ias-74.gif

Active Directory へのユーザの追加

この設定では、Active Directory にユーザ データベースが維持されます。

Active Directory のデータベースにユーザを追加するには、次の手順を実行します。

  1. Active Directory Users and Computers コンソールツリーでは、ユーザを右クリックして下さい; 『New』 をクリック して下さい; そして『User』 をクリック して下さい。

    /image/gif/paws/100397/peap-ias-75.gif

  2. [New Object – User] ダイアログボックスで、ワイヤレス ユーザの名前を入力します。 この例では、First name フィールドに Client 1、User logon name フィールドに Client 1 を使用しています。 [Next] をクリックします。

    peap-ias-76.gif

  3. [New Object – User] ダイアログボックスで、[Password] および [Confirm password] フィールドに任意のパスワードを入力します。 [User must change password at next logon] チェックボックスをオフにし、[Next] をクリックします。

    /image/gif/paws/100397/peap-ias-77.gif

  4. [New Object – User] ダイアログボックスで、[Finish] をクリックします。

    /image/gif/paws/100397/peap-ias-78.gif

  5. 追加のユーザ アカウントを作成するには、ステップ 2 ~ 4 を繰り返します。

ユーザに無線アクセスを許可する

次の手順を実行します。

  1. Active Directory Users and Computers コンソールツリーで、ユーザ フォルダをクリックして下さい; WirelessUser を右クリックして下さい; 『Properties』 をクリック して下さい; そして Dial-in タブに行って下さい。

  2. Allow access を選択し、OK をクリックします。

    /image/gif/paws/100397/peap-ias-79.gif

Wireless LAN Controller と Lightweight AP の設定

次に、この設定に合せてワイヤレス デバイスを設定します。 これには、Wireless LAN Controller(WLC)、Lightweight AP、およびワイヤレス クライアントの設定が含まれます。

MS IAS RADIUS サーバで RADIUS 認証を行うための WLC の設定

まず、MS IAS を認証サーバに使用するように WLC を設定します。 ユーザ クレデンシャルを外部 RADIUS サーバに転送するには、WLC を設定する必要があります。 そうすると、外部 RADIUS サーバは、ユーザのクレデンシャルを検証し、ワイヤレス クライアントにアクセス権を付与します。 そのためには、Security > RADIUS Authentication ページで MS IAS サーバを RADIUS サーバとして追加します。

次の手順を実行します。

  1. コントローラの GUI から [Security]、[RADIUS]、[Authentication] を選択して、[RADIUS Authentication Servers] ページを表示します。 次に、[New] をクリックして、新しい RADIUS サーバを定義します。

    /image/gif/paws/100397/peap-ias-80.gif

  2. [RADIUS Authentication Servers > New] ページで RADIUS サーバのパラメータを定義します。 RADIUS サーバ IP アドレス、共有秘密、ポート番号、サーバ ステータスなどのパラメータがあります。 [Network User] チェックボックスと [Management] チェックボックスでは、管理ユーザとネットワーク ユーザに RADIUS ベースの認証を適用するかどうかを指定します。 この例では、MS IAS を 10.77.244.198 という IP アドレスを持つ RADIUS サーバとして使用しています。

    /image/gif/paws/100397/peap-ias-81.gif

  3. [Apply] をクリックします。

  4. MS IAS サーバが Radius サーバとして WLC に追加され、ワイヤレス クライアントの認証に使用できるようになりました。

WLAN でのクライアントの設定

ワイヤレス クライアントの接続先の SSID(WLAN)を設定します。 この例では、PEAP という名前の SSID を作成します。

クライアントが EAP ベースの認証(ここでは PEAP-MSCHAPv2)を実行し、AES を暗号化メカニズムとして使用するように、レイヤ 2 認証に WPA2 を定義します。 他の値はすべてデフォルトのままにします。

このドキュメントでは、WLAN を管理インターフェイスにバインドしています。 ネットワークに複数の VLAN がある場合、独立した VLAN を作成してそれを SSID にバインドすることができます。 WLC に VLAN を設定する方法については、『無線 LAN コントローラでの VLAN の設定例』を参照してください。

WLC に WLAN を設定するには、次の手順を実行します。

  1. コントローラの GUI で [WLANs] をクリックして、[WLANs] ページを表示します。 このページには、コントローラに存在する WLAN の一覧が表示されます。

  2. 新しい WLAN を作成するには、[New] をクリックします。 WLAN の WLAN ID と WLAN SSID を入力し、[Apply] をクリックします。

    /image/gif/paws/100397/peap-ias-82.gif

  3. 新しい WLAN を作成すると、新しい WLAN に対する [WLAN] > [Edit] ページが表示されます。 このページでは、General Policies、RADIUS Servers、Security Policies、802.1x Parameters など、その WLAN に固有のさまざまなパラメータを定義できます。

    peap-ias-90.gif

  4. WLAN を有効にするには、General Policies の下の Admin Status にチェックマークを入れます。 AP にビーコン フレームで SSID をブロードキャストさせる場合は、Broadcast SSID にチェックマークを入れます。

  5. Layer 2 Security で、WPA1+WPA2 を選択します。 これで、WLAN で WPA が有効になります。 ページを下にスクロールし、WPA policy を選択します。 この例では、WPA2 と AES 暗号化を使用しています。 [RADIUS Servers] のプルダウン メニューから、適切な RADIUS サーバを選択します。 この例では、10.77.244.198(MS IAS サーバの IP アドレス)を使用しています。 WLAN ネットワークの要件に基づいて、その他のパラメータを変更できます。

    /image/gif/paws/100397/peap-ias-91.gif

  6. [Apply] をクリックします。

    peap-ias-92.gif

ワイヤレス クライアントの設定

ワイヤレス クライアントでの PEAP-MS-CHAP v2 認証の設定

次の例では、Cisco Aironet Desktop Utility(ADU)を使用してワイヤレス クライアントを設定する方法について説明しています。 クライアント アダプタの設定を行う前に、使用するファームウェアとユーティリティのバージョンが最新であることを確認してください。 最新バージョンのファームウェアとユーティリティは、Cisco.com の Wireless ダウンロード ページにあります。

ADU で Cisco Aironet 802.11a/b/g ワイヤレス クライアント アダプタを設定するには、次の手順を実行します。

  1. Aironet Desktop Utility を開きます。

  2. Profile Management をクリックし、New をクリックしてプロファイルを定義します。

  3. General タブでプロファイル名と SSID を入力します。 この例では、WLC に設定した SSID(PEAP)を使用します。

    /image/gif/paws/100397/peap-ias-85.gif

  4. Security タブを選択して下さい; 『WPA/WPA2/CCKM』 を選択 して下さい; WPA/WPA2/CCKM EAP の下で、型は [EAP-MSCHAPv2] を『PEAP』 を選択 し、『Configure』 をクリック します。

    peap-ias-93.gif

  5. Validate Server Certificate を選択し、Trusted Root Certificate Authorities ドロップダウン メニューで Wireless-CA を選択します。

    /image/gif/paws/100397/peap-ias-88.gif

  6. OK をクリックし、プロファイルを有効にします。

    Protected EAP-Microsoft Challenge Handshake Authentication Protocol version 2(PEAP-MSCHAPv2; 保護された EAP-Microsoft チャレンジ ハンドシェーク認証プロトコル)を Microsoft XP SP2 で使用していて、ワイヤレス カードを Microsoft Wireless Zero Configuration(WZC)で管理する場合には、Microsoft のホットフィックス KB885453 を適用する必要があります。 このホットフィックスにより、PEAP ファスト レジュームに関連した認証上のいくつかの問題が防止されます。

確認とトラブルシューティング

設定が期待通りに動作することを確認するには、ワイヤレス クライアント Client1 上のプロファイル PEAP-MSCHAPv2 を有効にします。

/image/gif/paws/100397/peap-ias-94.gif

プロファイル PEAP-MSCHAPv2 が ADU 上で有効になると、クライアントでは 802.11 オープン認証が実行され、次に PEAP-MSCHAPv2 認証が実行されます。 PEAP-MSCHAPv2 認証の成功例を次に示します。

発生するイベントのシーケンスを理解するには、デバッグ コマンドを使用します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

ワイヤレス LAN コントローラでの次のデバッグ コマンドが有用です。

  • debug dot1x events enable:802.1x イベントのデバッグを設定

  • debug aaa events enable:AAA イベントのデバッグを設定

  • debug mac addr <mac address>:MAC のデバッグを設定、debug mac コマンドを使用

  • debug dhcp message enable:DHCP エラー メッセージのデバッグを設定

debug dot1x events enable コマンドと debug client <mac address> コマンドの出力例を次に示します。

debug dot1x events enable

Tue Dec 18 06:58:45 2007: 00:40:96:ac:e6:57 Received EAPOL START from 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:45 2007: 00:40:96:ac:e6:57 Sending EAP-Request/Identity to 
   mobile 00:40:96:ac:e6:57 (EAP Id 2)
Tue Dec 18 06:58:45 2007: 00:40:96:ac:e6:57 Received Identity Response (count=2) from 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 3)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 3, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 4)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 4, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 5)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 5, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 6)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 6, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 7)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 7, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 8)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 8, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 9)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 9, EAP Type 25)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 10)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 10, EAP Type 25)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 11)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 11, EAP Type 25)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 12)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 12, EAP Type 25)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Accept for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Creating a new PMK Cache 
   Entry for station 00:40:96:ac:e6:57 (RSN 0)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP-Success to 
   mobile 00:40:96:ac:e6:57 (EAP Id 13)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending default RC4 key to 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending Key-Mapping RC4 key to 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received Auth Success while in 
   Authenticating state for mobile 00:40:96:ac:e6:57

debug mac addr <MAC Address>

Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Association received from 
   mobile 00:40:96:ac:e6:57 on AP 00:0b:85:51:5a:e0
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 STA: 00:40:96:ac:e6:57 - 
   rates (8): 12 18 24 36 48 72 96 108 0 0 0 0 0 0 0 0
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN (20) 
   Change state to START (0)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 START (0) 
   Initializing policy
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 START (0) 
   Change state to AUTHCHECK (2)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 AUTHCHECK (2) 
   Change state to 8021X_REQD (3)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 8021X_REQD (3) 
   Plumbed mobile LWAPP rule on AP 00:0b:85:51:5a:e0
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Changing state for 
   mobile 00:40:96:ac:e6:57 on AP 00:0b:85:51:5a:e0 from Associated to Associated
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Stopping deletion of 
   Mobile Station: 00:40:96:ac:e6:57 (callerId: 48)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Sending Assoc Response to 
   station 00:40:96:ac:e6:57 on BSSID 00:0b:85:51:5a:e0 (status 0)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Changing state for 
   mobile 00:40:96:ac:e6:57 on AP 00:0b:85:51:5a:e0 from Associated to Associated
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 Removed NPU entry.
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 dot1x - moving 
   mobile 00:40:96:ac:e6:57 into Connecting state
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Sending EAP-
   Request/Identity to mobile 00:40:96:ac:e6:57 (EAP Id 1)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Received EAPOL START from 
   mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 EAP State update from 
   Connecting to Authenticating for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 dot1x - 
   moving mobile 00:40:96:ac:e6:57 into Authenticating state
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=3) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 3)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 3, EAP Type 25)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=4) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 4)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 4, EAP Type 25)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=5) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 5)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 5, EAP Type 25)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=6) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 6)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 9, EAP Type 25)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=10) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 10)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 10, EAP Type 25)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=11) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 11)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 11, EAP Type 25)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Processing Access-Accept for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Creating a new PMK Cache Entry for station 00:40:96:ac:e6:57 (RSN 0)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending EAP-Success to mobile 00:40:96:ac:e6:57 (EAP Id 12)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending default RC4 key to mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending Key-Mapping RC4 key to mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 
   8021X_REQD (3) Change state to L2AUTHCOMPLETE (4)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 
   L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:0b:85:51:5a:e0
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 
   L2AUTHCOMPLETE (4) Change state to RUN (20)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN 
   (20) Reached PLUMBFASTPATH: from line 4041
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN 
   (20) Replacing Fast Path rule
  type = Airespace AP Client
  on AP 00:0b:85:51:5a:e0, slot 0, interface = 2
  ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN (20) 
  Card = 0 (slot 0), InHandle = 0x00000000, 
   OutHandle = 0x00000000, npuCryptoFlag = 0x0000
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN 
   (20) Successfully plumbed mobile rule (ACL ID 255)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN 
   (20) Reached RETURN: from line 4041
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Entering Backend 
   Auth Success state (id=12) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Received Auth Success 
   while in Authenticating state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 dot1x - 
   moving mobile 00:40:96:ac:e6:57 into Authenticated state

PEAP 認証のために、Cisco Secure ACS での認証に Microsoft Supplicant を使用する場合、クライアントの認証がうまくいかない可能性があります。 最初の接続は正しく認証されるのに、後続の高速接続の認証でうまく接続が行われません。 これは既知の問題です。 この問題の詳細と修正方法はここ から利用できます。leavingcisco.com


関連情報


Document ID: 100397