ワイヤレス : Cisco 4400 シリーズ ワイヤレス LAN コントローラ

ワイヤレス LAN コントローラでの EAP-FAST および LDAP サーバを使用したローカル EAP 認証の設定例

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2012 年 9 月 26 日) | 英語版 (2015 年 12 月 20 日) | フィードバック


目次


概要

このドキュメントでは、Wireless LAN Controller(WLC)での Extensible Authentication Protocol (EAP) - Flexible Authentication via Secure Tunneling (FAST) Local EAP 認証の設定方法を説明します。 また、ユーザ クレデンシャルを受信しユーザを認証するために Lightweight Directory Access Protocol(LDAP)サーバをローカル EAP のバックエンド データベースとして設定する方法も説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 4400 シリーズ ファームウェア 4.2 を実行する WLC

  • Cisco Aironet 1232AG シリーズ Lightweight アクセス ポイント(LAP)

  • Microsoft Windows 2003 サーバ(ドメイン コントローラとして設定)、LDAP サーバ(認証局サーバとして設定)

  • ファームウェア リリース 4.2 が稼働する Cisco Aironet 802.11a/b/g クライアント アダプタ

  • ファームウェア バージョン 4.2 が稼働する Cisco Aironet Desktop Utility(ADU)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

ワイヤレス LAN コントローラのローカル EAP 認証は、ワイヤレス LAN コントローラ バージョン 4.1.171.0 で導入されました。

ローカル EAP 認証方法を使用すると、ユーザとワイヤレス クライアントをコントローラでローカルに認証できます。 この機能は、バックエンド システムが中断したり外部認証サーバが停止したりした場合でもワイヤレス クライアントとの接続を維持する必要があるリモート オフィスでの使用を想定して作られています。 ローカル EAP を有効にすると、コントローラは認証サーバおよびローカル ユーザ データベースとして機能するため、外部認証サーバへの依存が排除されます。 ローカル EAP は、ローカル ユーザ データベースまたは LDAP バックエンド データベースからユーザのクレデンシャルを取得してユーザを認証します。 ローカル EAP では、コントローラとワイヤレス クライアント間で、LEAP、EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC 認証方式がサポートされます。

ローカル EAP は、ユーザのクレデンシャルを取得する際にバックエンド データベースとして LDAP を使用する場合があります。

LDAP バックエンド データベースでは、コントローラは、特定のユーザのクレデンシャル(ユーザ名とパスワード)について LDAP サーバに照会することができます。 このクレデンシャルはユーザの認証に使用されます。

LDAP バックエンド データベースでは次のローカル EAP 方式がサポートされています。

  • EAP-FAST/GTC

  • EAP-TLS

  • PEAPv1/GTC

LEAP、EAP-FAST/MSCHAPv2、および PEAPv0/MSCHAPv2 もサポートされていますが、平文のパスワードを返すように LDAP サーバが設定されている場合にのみサポートされます。 たとえば、Microsoft Active Directory は、平文のパスワードを返さないため、サポートされません。 平文のパスワードを返すように LDAP サーバを設定できない場合、LEAP、EAP-FAST/MSCHAPv2、および PEAPv0/MSCHAPv2 はサポートされません。

注: コントローラで RADIUS サーバが設定されている場合は、コントローラはまず RADIUS サーバを使用してワイヤレス クライアントを認証しようとします。 ローカル EAP が試されるのは、RADIUS サーバがタイムアウトしたため、または RADIUS サーバが設定されていないために、RADIUS サーバが検出されない場合のみです。 4 台の RADIUS サーバが設定されている場合、コントローラは最初の RADIUS サーバを使用してクライアントの認証を試行し、次に 2 番目の RADIUS サーバ、その次にローカル EAP を試行します。 その後クライアントが手動で再認証を試みると、コントローラは 3 番目の RADIUS サーバを試行し、次に 4 番目の RADIUS サーバ、その次にローカル EAP を試行します。

この例では、WLC のローカル EAP 方式として EAP-FAST を使用します。この WLC は LDAP バックエンド データベースにワイヤレス クライアントのユーザ クレデンシャルを照会するように設定されています。

設定

このドキュメントでは、クライアント側とサーバ側の両方で証明書を使用する EAP-FAST を使用します。 このため、Microsoft 認証局(CA)サーバを使用してクライアントとサーバの証明書が生成されます。

ユーザ クレデンシャルは LDAP サーバに保存されるので、クレデンシャルの検証が正常に完了するとコントローラはユーザ クレデンシャルを取得するため LDAP サーバに対して照会を実行し、ワイヤレス クライアントを認証します。

このドキュメントは次の設定がすでに完了していることを前提としています。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/100590/ldap-eapfast-config1.gif

設定

この設定を実装するには、次の作業を実行します。

WLC でのローカル EAP 認証方式としての EAP-FAST の設定

前述したように、このドキュメントではクライアント側とサーバ側の両方で証明書を使用する EAP-FAST をローカル EAP 認証方式として使用します。 最初に次の証明書をサーバ(この場合は WLC)とクライアントにダウンロードしてインストールします。

WLC とクライアントでそれぞれ CA サーバからこれらの証明書をダウンロードする必要があります。

  • デバイス証明書(WLC とクライアントそれぞれに 1 つずつ)

  • 公開キー インフラストラクチャ(PKI)のルート証明書(WLC)と CA 証明書(クライアント)

WLC のデバイス証明書の生成

CA サーバから WLC のデバイス証明書を生成するには、次の手順を実行します。 このデバイス証明書は、WLC がクライアントを認証するときに使用します。

  1. CA サーバにネットワーク接続している PC で、http://<CA サーバの IP アドレス>/certsrv に移動します。 CA サーバに管理者としてログインします。

    ldap-eapfast-config2.gif

  2. [Request a certificate] を選択します。

    ldap-eapfast-config3.gif

  3. [Request a Certificate] ページで [advanced certificate request] をクリックします。

    /image/gif/paws/100590/ldap-eapfast-config4.gif

  4. [Advanced Certificate Request] ページで [Create and submit a request to this CA] をクリックします。 [Advanced Certificate Request] フォームが表示されます。

    ldap-eapfast-config5.gif

  5. [Advanced Certificate Request] フォームの [Certificate Template] で [Web Server] を選択します。 次に、このデバイス証明書の名前を指定します。

    この例では証明書名 ciscowlc123 を使用します。 要件に基づいてその他の識別情報を入力します。

  6. [Key Options] セクションで [Mark Keys as Exportable] オプションを選択します。 場合によっては、Web サーバ テンプレートを選択するときにこのオプションがグレー表示になっており、このオプションを有効または無効にできないことがあります。 このような場合はブラウザ メニューで [Back] をクリックして前のページに戻ってからこのページに再度進みます。 これで [Mark Keys as Exportable] オプションが選択可能になります。

    ldap-eapfast-config6.gif

  7. その他の必須フィールドをすべて設定して [Submit] をクリックします。

    ldap-eapfast-config7.gif

  8. 証明書要求プロセスを許可するため、次に表示されるウィンドウで [Yes] をクリックします。

    ldap-eapfast-config8.gif

  9. [Certificate Issued] ウィンドウが表示され、証明書要求プロセスが正常に完了したことが示されます。 次に、発行された証明書をこの PC の証明書ストアにインストールします。 [Install this certificate] をクリックします。

    ldap-eapfast-config9.gif

  10. CA サーバへの要求が生成された PC に新しい証明書が正常にインストールされました。

    ldap-eapfast-config10.gif

  11. 次に、証明書ストアからこの証明書をファイルとしてハードディスクにエクスポートします。 この証明書ファイルは後で WLC に証明書をダウンロードするために使用されます。

    証明書ストアから証明書をエクスポートするには、Internet Explorer ブラウザを開いて [Tools] > [Internet Options] をクリックします。

    /image/gif/paws/100590/ldap-eapfast-config11.gif

  12. [Content] > [Certificates] をクリックし、証明書がデフォルトでインストールされる証明書ストアに移動します。

    /image/gif/paws/100590/ldap-eapfast-config12.gif

  13. デバイス証明書は通常 [Personal] 証明書リストにインストールされます。 新たにインストールした証明書がこのリストに表示されます。 証明書を選択して [Export] をクリックします。

    ldap-eapfast-config13.gif

  14. 次に表示されるウィンドウで [Next] をクリックします。 [Certificate Export Wizard] ウィンドウで [Yes, export the private key] オプションを選択します。 [Next] をクリックします。

    ldap-eapfast-config14.gif

  15. エクスポート ファイル フォーマットとして [.PFX] を選択し、[Enable strong protection] オプションを選択します。 [Next] をクリックします。

    ldap-eapfast-config15.gif

  16. [Password] ウィンドウにパスワードを入力します。 この例では、パスワードとして cisco を使用しています。

    ldap-eapfast-config16.gif

  17. 証明書ファイル(.PFX ファイル)をハード ディスクに保存します。 [Next] をクリックしてエクスポート プロセスを完了します。

    /image/gif/paws/100590/ldap-eapfast-config17.gif

    ldap-eapfast-config18.gif

WLC へのデバイス証明書のダウンロード

WLC デバイス証明書が .PFX ファイルとして作成されました。次に、このファイルをコントローラにダウンロードします。 Cisco WLC は PEM フォーマットの証明書だけを受け入れます。 したがって、最初に openSSL プログラムを使用して .PFX または PKCS12 フォーマットのファイルを PEM ファイルに変換する必要があります。

openSSL プログラムを使用した PFX 証明書から PEM フォーマットへの変換

証明書を PEM フォーマットに変換する openSSL がインストールされている PC に証明書をコピーできます。 openSSL プログラムの bin フォルダで openssl.exe ファイルの次のコマンドを入力します。

注: openSSL は OpenSSL Web サイトからダウンロードできます。leavingcisco.com

openssl>pkcs12 -in ciscowlc123.pfx  -out ciscowlc123.pem


!--- ciscowlc123 is the name used in this example for the exported file. 
!--- You can specify any name to your certificate file.
 
Enter Import Password : cisco

!--- This is the same password that is mentioned in step 16 of the previous section.

 MAC verified Ok
 Enter PEM Pass phrase   :  cisco

!--- Specify any passphrase here. This example uses the PEM passphrase as cisco.

 Verifying - PEM pass phrase : cisco

証明書ファイルが PEM フォーマットに変換されます。 次に、PEM フォーマットのデバイス証明書を WLC にダウンロードします。

注: この操作を行うには、ダウンロードする PEM ファイルがある PC に TFTP サーバ ソフトウェアが必要です。 この PC は WLC に接続している必要があります。 TFTP サーバの現行ベース ディレクトリが、PEM ファイルが保存されるロケーションとして指定されている必要があります。

WLC への変換後の PEM フォーマット デバイス証明書のダウンロード

この例では、WLC の CLI を使用したダウンロード プロセスについて説明します。

  1. コントローラの CLI にログインします。

  2. transfer download datatype eapdevcert コマンドを入力します。

  3. transfer download serverip 10.77.244.196 コマンドを入力します。

    10.77.244.196 が TFTP サーバの IP アドレスです。

  4. transfer download filename ciscowlc.pem コマンドを入力します。

    ciscowlc123.pem はこの例で使用されるファイル名です。

  5. 証明書のパスワードを設定するため transfer download certpassword コマンドを入力します。

  6. transfer download start コマンドを入力して更新後の設定を確認します。

    現在の設定を確認してダウンロード プロセスを開始するプロンプトが表示されたら、y と答えます。

    このダウンロード コマンドの出力例を次に示します。

    (Cisco Controller) >transfer download start
    
    Mode............................................. TFTP
    Data Type........................................ Vendor Dev Cert
    TFTP Server IP................................... 10.77.244.196
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................
    TFTP Filename.................................... ciscowlc.pem
    
    This may take some time.
    Are you sure you want to start? (y/N) y
    TFTP EAP CA cert transfer starting.
    Certificate installed.
    Reboot the switch to use the new certificate.
    Enter the reset system command to reboot the controller. 
         The controller is now loaded with the device certificate.
  7. reset system コマンドを入力してコントローラをリブートします。 これで、コントローラにデバイス証明書がロードされました。

WLC への PKI のルート証明書のインストール

デバイス証明書が WLC にインストールされました。次に、PKI のルート証明書を CA サーバから WLC にインストールします。 次の手順を実行します。

  1. CA サーバにネットワーク接続している PC で、http://<CA サーバの IP アドレス>/certsrv に移動します。 CA サーバに管理者としてログインします。

    ldap-eapfast-config19.gif

  2. [Download a CA certificate, certificate chain, or CRL] をクリックします。

    /image/gif/paws/100590/ldap-eapfast-config20.gif

  3. 表示されるページで、[CA certificate] ボックスに CA サーバで使用可能な現行の CA 証明書が表示されることを確認します。 [Encoding method] で [DER] を選択し、[Download CA certificate] をクリックします。

    ldap-eapfast-config21.gif

  4. 証明書を .cer ファイルとして保存します。 この例ではファイル名として certnew.cer が使用されています。

  5. 次に .cer ファイルを PEM フォーマットに変換してコントローラにダウンロードします。 以下の手順を実行するには、「WLC へのデバイス証明書のダウンロード」と同じ手順を使用しますが、次の点を変更します。

    • openSSL の「-in」には certnew.cer ファイルを指定し、「-out」には certnew.pem ファイルを指定します。

      このプロセスでは PEM パスフレーズとインポート パスワードは不要です。

    • .cer ファイルを .pem ファイルに変換する openSSL コマンドは次のとおりです。

      x509 -in certnew.cer -inform DER -out certnew.pem -outform PEM

    • WLC への変換後の PEM フォーマット デバイス証明書のダウンロード」のステップ 2 で証明書を WLC にダウンロードするコマンドは次のとおりです。

      (Cisco Controller)>transfer download datatype eapcacert

    • WLC にダウンロードするファイルは certnew.pem です。

WLC に証明書がインストールされたかどうかをコントローラ GUI から次のように確認できます。

  • WLC GUI で [Security] をクリックします。 [Security] ページの左側に表示されるタスクから [Advanced] > [IPSec Certs] をクリックします。 インストールされている CA 証明書を表示するため [CA Certificate] をクリックします。 次に例を示します。

    ldap-eapfast-config22.gif

  • デバイス証明書が WLC にインストールされているかどうかを確認するには、WLC GUI で [Security] をクリックします。 [Security] ページの左側に表示されるタスクから [Advanced] > [IPSec Certs] をクリックします。 インストールされているデバイス証明書を表示するため [ID Certificate] をクリックします。 次に例を示します。

    ldap-eapfast-config23.gif

クライアントのデバイス証明書の生成

デバイス証明書と CA 証明書が WLC にインストールされました。次に、クライアントに対してこれらの証明書を生成します。

クライアントのデバイス証明書を生成するには、次の手順を実行します。 この証明書は、クライアントが WLC への認証を行うときに使用されます。 このドキュメントでは、Windows XP Professional クライアントの証明書を生成する手順を説明します。

  1. 証明書をインストールする必要があるクライアントで http://<CA サーバの IP アドレス>/certsrv に移動します。 CA サーバにドメイン名\ユーザ名としてログインします。 ユーザ名はこの XP マシンを使用しているユーザの名前であり、このユーザは CA サーバと同じドメインの一部としてすでに設定されている必要があります。

    ldap-eapfast-config24.gif

  2. [Request a certificate] を選択します。

    ldap-eapfast-config25.gif

  3. [Request a Certificate] ページで [advanced certificate request] をクリックします。

    /image/gif/paws/100590/ldap-eapfast-config26.gif

  4. [Advanced Certificate Request] ページで [Create and submit a request to this CA] をクリックします。 [Advanced Certificate Request] フォームが表示されます。

    ldap-eapfast-config27.gif

  5. [Advanced Certificate Request] フォームの [Certificate Template] ドロップダウン メニューから [User] を選択します。

    [Key Options] セクションで次のパラメータを選択します。

    [Key Size] フィールドにキー サイズを入力します。 この例では 1024 を使用しています。

    [Mark Keys as Exportable] オプションにチェックマークを付けます。

    /image/gif/paws/100590/ldap-eapfast-config28.gif

  6. その他の必須フィールドをすべて設定して [Submit] をクリックします。

    ldap-eapfast-config29.gif

  7. 要求に基づいてクライアントのデバイス証明書が生成されます。 [Install the certificate] をクリックして証明書を証明書ストアにインストールします。

    ldap-eapfast-config30.gif

  8. クライアントの IE ブラウザの [Tools] > [Internet Options] > [Content] > [Certificates] にある [Personal] 証明書リストに、インストールしたクライアントのデバイス証明書が表示されます。

    /image/gif/paws/100590/ldap-eapfast-config31.gif

    クライアントのデバイス証明書がクライアントにインストールされました。

クライアントのルート CA 証明書の生成

次に、クライアントの CA 証明書を生成します。 クライアント PC で次の手順を実行します。

  1. 証明書をインストールする必要があるクライアントで http://<CA サーバの IP アドレス>/certsrv に移動します。 CA サーバにドメイン名\ユーザ名としてログインします。 ユーザ名はこの XP マシンを使用しているユーザの名前であり、このユーザは CA サーバと同じドメインの一部としてすでに設定されている必要があります。

    ldap-eapfast-config32.gif

  2. 表示されるページで、[CA certificate] ボックスに CA サーバで使用可能な現行の CA 証明書が表示されることを確認します。 エンコード方式として [Base 64] を選択します。 次に [Download CA certificate] をクリックし、ファイルを .cer ファイルとしてクライアントの PC に保存します。 この例ではファイル名として rootca.cer が使用されています。

    /image/gif/paws/100590/ldap-eapfast-config33.gif

  3. 次に、.cer フォーマットで保存した CA 証明書をクライアントの証明書ストアにインストールします。 rootca.cer ファイルをダブルクリックして [Install Certificate] をクリックします。

    ldap-eapfast-config34.gif

  4. [Next] をクリックしてクライアントのハード ディスクから証明書ストアに証明書をインポートします。

    ldap-eapfast-config35.gif

  5. [Automatically select the certificate store based on the type of the certificate] を選択し、[Next] をクリックします。

    ldap-eapfast-config36.gif

  6. [Finish] をクリックしてインポート プロセスを完了します。

    /image/gif/paws/100590/ldap-eapfast-config37.gif

  7. デフォルトでは、CA 証明書はクライアントの IE ブラウザの [Tools] > [Internet Options] > [Content] > [Certificates] の [Trusted Root Certification Authorities] リストにインストールされます。 次に例を示します。

    /image/gif/paws/100590/ldap-eapfast-config38.gif

EAP-FAST ローカル EAP 認証に必要なすべての証明書が WLC とクライアントにインストールされます。 次に WLC でローカル EAP 認証を設定します。

WLC でのローカル EAP の設定

WLC でローカル EAP 認証を設定するため、WLC GUI モードで次の手順を実行します。

  1. [Security] > [Local EAP] をクリックします。

    /image/gif/paws/100590/ldap-eapfast-config39.gif

  2. ローカル EAP プロファイルを設定するため [Local EAP] の [Profiles] をクリックします。

    ldap-eapfast-config40.gif

  3. [New] をクリックして新しいローカル EAP プロファイルを作成します。

  4. このプロファイルの名前を設定して [Apply] をクリックします。 この例ではプロファイル名 ldap が使用されます。 WLC で作成されたローカル EAP プロファイルが表示されます。

    ldap-eapfast-config41.gif

  5. [Local EAP Profiles] ページの [Profile Name] フィールドに表示される、作成した ldap プロファイルをクリックします。 [Local EAP Profiles > Edit] ページが表示されます。

    /image/gif/paws/100590/ldap-eapfast-config42.gif

  6. [Local EAP Profiles > Edit] ページでこのプロファイル固有のパラメータを設定します。

    • ローカル EAP 認証方式として [EAP-FAST] を選択します。

    • [Local Certificate Required] と [Client Certificate Required] の横のチェックボックスにチェックマークを付けます。

    • このドキュメントではサードパーティ CA サーバを使用するため、[Certificate Issuer] で [Vendor] を選択します。

    • [Check against CA certificates] の横のチェックボックスにチェックマークを付け、クライアントから受け取る証明書をコントローラの CA 証明書と照合して検証するように設定します。

    • 受信する証明書の通常名(CN)をコントローラの CA 証明書の CN と照合して検証する場合は、[Verify Certificate CN Identity] チェックボックスにチェックマークを付けます。 デフォルト設定は「無効」です。 コントローラで受信するデバイス証明書が有効であり有効期限切れではないことを検証できるようにするため、[Check Certificate Date Validity] チェックボックスにチェックマークを付けます。

      注: 証明書の日付が有効であるかどうかは、コントローラで設定されている現行 UTC(GMT)時刻と照合して確認されます。 時間帯オフセットは無視されます。

    [Apply] をクリックします。

    ldap-eapfast-config43.gif

  7. EAP-FAST 認証を使用するローカル EAP プロファイルが WLC に作成されます。

    /image/gif/paws/100590/ldap-eapfast-config44.gif

  8. 次に、WLC で EAP-FAST 固有のパラメータを設定します。 [WLC Security] ページで [Local EAP] > [EAP-FAST Parameters] をクリックし、[EAP-FAST Method Parameters] ページに進みます。

    この例では証明書を使用した EAP-FAST について説明するため、[Anonymous Provision] チェックボックスのチェックマークを外します。 他のパラメータはすべてデフォルトのままにします。 [Apply] をクリックします。

    ldap-eapfast-config45.gif

WLC での LDAP サーバの詳細の設定

WLC にはローカル EAP プロファイルと関連情報が設定されたので、次に WLC で LDAP サーバの詳細を設定します。 WLC で次の手順を実行します。

  1. WLC の [Security] ページの左側にあるタスク ペインで [AAA] > [LDAP] を選択し、LDAP サーバ設定ページに進みます。 LDAP サーバを追加するには、[New] をクリックします。 [LDAP Servers > New] ページが表示されます。

    /image/gif/paws/100590/ldap-eapfast-config46.gif

  2. [LDAP Servers Edit] ページで LDAP サーバの詳細(LDAP サーバの IP アドレス、ポート番号、サーバ有効化ステータスなど)を指定します。

    • [Server Index (Priority)] ドロップダウン ボックスから番号を選択し、その他の設定済みの LDAP サーバト関連したこのサーバの優先順位を指定します。 サーバは最大 17 個まで設定できます。 コントローラが最初のサーバに接続できない場合、リスト内の 2 番目のサーバへの接続を試行する、というようになります。

    • [Server IP Address] フィールドに LDAP サーバの IP アドレスを入力します。

    • [Port Number] フィールドに LDAP サーバの TCP ポート番号を入力します。 有効な範囲は 1 ~ 65535 で、デフォルト値は 389 です。

    • [User Base DN] フィールドに、すべてのユーザのリストを含む LDAP サーバ内のサブツリーの識別名(DN)を入力します。 たとえば、ou=organizational unit, .ou=next organizational unit および o=corporation.com などです。 ユーザを含むツリーがベース DN である場合、o=corporation.com または dc=corporation, dc=com と入力します。

      この例ではユーザは組織単位(OU)ldapuser に含まれています。この組織単位は Wireless.com ドメインの一部として作成されています。

      ユーザ ベース DN は、ユーザ情報(EAP-FAST 認証方式に基づくユーザ クレデンシャル)が保存されている場所のフル パスを指し示している必要があります。 この例ではユーザはベース DN OU=ldapuser, DC=Wireless, DC=com に含まれています。

      OU とユーザ設定の詳細については、このドキュメントの「ドメイン コントローラでのユーザの作成」で説明します。

    • [User Attribute] フィールドに、ユーザ名を含むユーザ レコード内の属性の名前を入力します。

      [User Object Type] フィールドに、対象のレコードをユーザとして特定する LDAP objectType 属性の値を入力します。 多くの場合、ユーザ レコードには objectType 属性の値が複数あり、そのうちのいくつかはユーザに固有であり、また、いくつかは他のオブジェクト タイプと共有されています。

      注:  Windows 2003 サポート ツールとして提供される LDAP ブラウザ ユーティリティを使用してディレクトリ サーバからこの 2 つのフィールドの値を取得できます。 この Microsoft LDAP ブラウザ ツールは LDP と呼ばれます。 このツールを使用して、特定ユーザの [User Base DN]、[User Attribute]、および [User Object Type] フィールドの値を確認できます。 LDP を使用したユーザ固有属性の確認の詳細については、このドキュメントの「Using LDP to Identify the User Attributes」を参照してください。

    • すべての LDAP トランザクションでセキュア TLS トンネルを使用するように設定するには、[Server Mode] ドロップダウン ボックスから [Secure] を選択します。 それ以外の場合はデフォルト設定である [None] を選択します。

    • [Server Timeout] フィールドに再送信の間隔(秒数)を入力します。 有効な範囲は 2 ~ 30 秒であり、デフォルト値は 2 秒です。

    • [Enable Server Status] チェックボックスにチェックマークを付けてこの LDAP サーバを有効にします。無効にする場合はチェックマークを外します。 デフォルト値は無効です。

    • [Apply] をクリックして、変更を確定します。

      上記の情報を使用した設定の例を次に示します。

    ldap-eapfast-config47.gif

    WLC で LDAP サーバの詳細が設定されました。次に、WLC が他のデータベースよりも前に LDAP データベースでユーザ クレデンシャルを最初に検索するようにするため、LDAP を優先バックエンド データベースとして設定します。

優先バックエンド データベースとしての LDAP の設定

LDAP を優先バックエンド データベースとして設定するには WLC で次の手順を実行します。

  1. [Security] ページで [Local EAP] > [Authentication Priority] をクリックします。 [Priority Order > Local-Auth] ページに、ユーザ クレデンシャルを保存できる 2 つのデータベース(ローカルと LDAP)が表示されます。

    LDAP を優先順位 データベースとして作り、LDAP を左側 ユーザ 資格情報 ボックスから選択し、右側の優先順位順序ボックスに LDAP を移動するために > ボタンをクリックするため。

    /image/gif/paws/100590/ldap-eapfast-config48.gif

  2. この例は明確に LDAP が左側 ボックスで選択され、> ボタンが選択されることを説明したものです。 この結果、LDAP は優先順位を決定する右側のボックスに移動します。 LDAP データベースが認証優先データベースとして選択されました。

    [Apply] をクリックします。

    ldap-eapfast-config49.gif

    注: [LDAP] と [LOCAL] の両方が右側の [User Credentials] ボックスに表示され、[LDAP] が上で [LOCAL] が下にある場合、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合にはローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 [LOCAL] が最上位にある場合、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

WLC でのローカル EAP 認証を使用する WLAN の設定

WLC で最後に行う操作は、バックエンド データベースとして LDAP を使用し、認証方式としてローカル EAP を使用する WLAN の設定です。 次の手順を実行します。

  1. コントローラのメイン メニューで [WLANs] をクリックし、[WLANs] 設定ページに移動します。 [WLANs] ページで [New] をクリックし、新しい WLAN を作成します。 この例では新しい WLAN ldap を作成します。

    [Apply] をクリックします。次に、[WLANs > Edit] ページで WLAN パラメータを設定します。

  2. WLAN 編集ページでこの WLAN の [Status] を有効にします。 その他の必要なパラメータをすべて設定します。

    ldap-eapfast-config51.gif

  3. [Security] をクリックして、この WLAN のセキュリティ関連パラメータを設定します。 この例ではレイヤ 2 セキュリティ 802.1x と 104 ビット ダイナミック WEP が使用されています。

    注: このドキュメントでは例としてダイナミック WEP と 802.1x を使用します。 実際にはより安全な認証方式(WPA/ WPA2 など)を使用することを推奨します。

  4. WLAN セキュリティ設定ページで [AAA servers] タブをクリックします。 [AAA Servers] ページで [Local EAP Authentication] を有効にし、[EAP Profile Name] パラメータのドロップダウン ボックスから [ldap] を選択します。 これは、この例で作成したローカル EAP プロファイルです。

    ldap-eapfast-config52.gif

  5. ドロップダウン ボックスから LDAP サーバ(WLC で以前に設定されたサーバ)を選択します。 WLC から LDAP サーバに到達できることを確認します。

    [Apply] をクリックします。

    /image/gif/paws/100590/ldap-eapfast-config53.gif

  6. WLC で新しい WLAN ldap が設定されました。 この WLAN はローカル EAP 認証(この場合は EAP-FAST)を使用してクライアントを認証し、クライアント クレデンシャルの検証のために LDAP バックエンド データベースを照会します。

    /image/gif/paws/100590/ldap-eapfast-config54.gif

LDAP サーバの設定

WLC でローカル EAP が設定されました。次に、バックエンド データベースとして機能する LDAP サーバが、証明書検証が正常に完了した後でワイヤレス クライアントを認証するように設定します。

LDAP サーバ設定手順の最初のステップとして、LDAP サーバでユーザ データベースを作成します。これにより、WLC はユーザ認証時にこのデータベースを照会できます。

ドメイン コントローラでのユーザの作成

この例では新しい OU ldapuser が作成され、この OU の中にユーザ user2 が作成されました。 このユーザに対して LDAP アクセスを設定することで、WLC はユーザ認証でこの LDAP データベースを照会できます。

この例で使用するドメインは wireless.com です。

OU でのユーザ データベースの作成

この項では、ドメインに新しい OU を作成し、この OU の中に新しいユーザを作成する手順を説明します。

  1. ドメイン コントローラで [Start] > [Programs] > [Administrative Tools] > [Active Directory Users and Computers] をクリックし、[Active Directory Users and Computers] 管理コンソールを起動します。

  2. 新しい OU を作成するため、ドメイン名(この例では wireless.com)を右クリックし、コンテキスト メニューから [New] > [Organizational Unit] を選択します。

    ldap-eapfast-config55.gif

  3. この OU に名前を割り当てて、[OK] をクリックします。

    /image/gif/paws/100590/ldap-eapfast-config56.gif

LDAP サーバに新しい OU ldapuser が作成されました。次にこの OU の中にユーザ user2 を作成します。 これを行うには、次の手順を実行します。

  1. 作成した新しい OU 上で右クリックします。 表示されるコンテキスト メニューから [New] > [User] を選択し、新しいユーザを作成します。

    /image/gif/paws/100590/ldap-eapfast-config57.gif

  2. 次の例に示すように、ユーザ設定ページで必須フィールドに情報を入力します。 次の例では [User logon name] に user2 が設定されています。

    これは、クライアント認証時に LDAP データベースで検証されるユーザ名です。 次の例では [First name] と [Last name] に abcd が設定されています。 [Next] をクリックします。

    ldap-eapfast-config58.gif

  3. パスワードを入力し、確認のためのパスワードを入力します。 [Password never expires] オプションを選択して [Next] をクリックします。

    ldap-eapfast-config59.gif

  4. [Finish] をクリックします。

    新しいユーザ user2 が OU ldapuser に作成されます。 このユーザのクレデンシャルを次に示します。

    • ユーザ名: user2

    • パスワード: Laptop123

    ldap-eapfast-config60.gif

これで OU の中にユーザが作成されました。次に、このユーザの LDAP アクセスを設定します。

ユーザの LDAP アクセスの設定

ユーザの LDAP アクセスを設定するには、ここで説明する手順を実行します。

Windows 2003 サーバでの匿名バインド機能の有効化

すべてのサードパーティ アプリケーションが LDAP で Windows 2003 AD にアクセスできるようにするには、Windows 2003 で匿名バインド機能が有効になっている必要があります。 デフォルトでは、Windows 2003 ドメイン コントローラでは匿名 LDAP 操作は許可されていません。

匿名バインド機能を有効にするには、次の手順を実行します。

  1. ADSI Edit ツールを起動するため、[Start] > [Run] > [Type] で ADSI Edit.msc と入力します。 このツールは、Windows 2003 サポート ツールの 1 つです。

  2. [ADSI Edit] ウィンドウでルート ドメイン(Configuration [tsweb-lapt.Wireless.com])を展開します。

    [CN=Services] > [CN=Windows NT] > [CN=Directory Service] を展開します。 [CN=Directory Service] コンテナを右クリックし、コンテキスト メニューから [Properties] を選択します。

    /image/gif/paws/100590/ldap-eapfast-config61.gif

  3. [CN=Directory Service Properties] ウィンドウで [Attribute] フィールドの下にある [dsHeuristics] 属性をクリックし、[Edit] を選択します。 この属性の [String Attribute Editor] ウィンドウに値 0000002 を入力して [Apply] をクリックし、[OK] をクリックします。 Windows 2003 サーバで匿名バインド機能が有効になりました。

    注: 最後(7 番目)の文字が、LDAP サービスへのバインド方法を制御します。 7 番目の文字が「0」または 7 番目の文字がない場合は、匿名 LDAP 操作が無効になっています。 7 番目の文字を「2」に設定すると匿名バインド機能が有効になります。

    /image/gif/paws/100590/ldap-eapfast-config62.gif

    注: この属性にすでに値が含まれている場合は、左から 7 番目の文字だけを変更してください。 匿名バインドを有効にするために変更が必要なのはこの文字だけです。 たとえば現行値が「0010000」の場合は「0010002」に変更する必要があります。 現行値が 7 文字よりも短い場合は、未使用の位置に 0 を追加する必要があります。 たとえば「001」は「0010002」になります。

ユーザ「user2」への ANONYMOUS LOGON アクセス権限の付与

次に、ANONYMOUS LOGON アクセス権限をユーザ user2 に付与します。 これを行うには、次の手順を実行します。

  1. [Active Directory Users and Computers] を開きます。

  2. [View Advanced Features] にチェックマークが付いていることを確認します。

  3. ユーザ user2 にナビゲートして右クリックします。 コンテキスト メニューから [Properties] を選択します。 このユーザの名前は「abcd」です。

    ldap-eapfast-config63.gif

  4. [abcd Properties] ウィンドウの [Security] に移動します。

    /image/gif/paws/100590/ldap-eapfast-config64.gif

  5. 表示されるウィンドウで [Add] をクリックします。

  6. [Enter the object names to select] ボックスに ANONYMOUS LOGON と入力し、ダイアログを確認します。

    /image/gif/paws/100590/ldap-eapfast-config65.gif

  7. ACL で ANONYMOUS LOGON がユーザの一部のプロパティ セットにアクセスできることがわかります。 [OK] をクリックします。 ANONYMOUS LOGON アクセス権限がこのユーザに付与されます。

    /image/gif/paws/100590/ldap-eapfast-config66.gif

OU での List Contents 権限の付与

次に、ユーザが含まれている OU で ANONYMOUS LOGONList Contents 権限を付与します。 この例では OU「ldapuser」にユーザ「user2」が含まれています。 これを行うには、次の手順を実行します。

  1. [Active Directory Users and Computers] で OU ldapuser を右クリックして [Properties] を選択します。

    /image/gif/paws/100590/ldap-eapfast-config67.gif

  2. [Security] をクリックし、次に [Advanced] をクリックします。

    /image/gif/paws/100590/ldap-eapfast-config68.gif

  3. [Add] をクリックします。 表示されるダイアログに ANONYMOUS LOGON と入力します。

    ldap-eapfast-config69.gif

  4. ダイアログの内容を確認します。 新しいダイアログ ウィンドウが表示されます。

  5. [Apply onto] ドロップダウン ボックスで [This object only] を選択し、[List Contents] の [Allow] チェックボックスにチェックマークを付けます。

    /image/gif/paws/100590/ldap-eapfast-config70.gif

LDP を使用したユーザ属性の確認

この GUI ツールは、ユーザがすべての LDAP 互換ディレクトリ(Active Directory など)に対して操作(接続、バインド、変更、追加、削除など)を実行できるようにする LDAP クライアントです。 LDP では、Active Directory に格納されているオブジェクトとそのメタデータ(セキュリティ記述子やレプリケーション メタデータなど)を表示できます。

LDP GUI ツールは、製品 CD から Windows Server 2003 Support Tools をインストールするとインストールされます。 この項では、LDP ユーティリティを使用してユーザ user2 に関連付けられている特定の属性を確認する方法について説明します。 一部の属性は、WLC で LDAP サーバ設定パラメータ(ユーザ属性タイプ、ユーザ オブジェクトタイプなど)の値を入力するときに使用されます。

  1. Windows 2003 サーバ(同じ LDAP サーバ上でも)で [Start] > [Run] をクリックし、LDP と入力して、LDP ブラウザにアクセスします。

  2. LDP メイン ウィンドウで [Connection] > [Connect] をクリックし、LDAP サーバの IP アドレスを入力して LDAP サーバに接続します。

    /image/gif/paws/100590/ldap-eapfast-config71.gif

  3. LDAP サーバに接続したら、メイン メニューから [View] を選択して [Tree] をクリックします。

    ldap-eapfast-config72.gif

  4. 表示される [Tree View] ウィンドウで、ユーザの BaseDN を入力します。 この例では、user2 はドメイン Wireless.com の OU「ldapuser」に含まれています。 したがってユーザ user2 の BaseDN は OU=ldapuser, dc=wireless, dc=com となります。 [OK] をクリックします。

    /image/gif/paws/100590/ldap-eapfast-config73.gif

  5. LDP ブラウザの左側に、指定した BaseDN(OU=ldapuser, dc=wireless, dc=com)の下にツリー全体が表示されます。 ツリーを展開してユーザ user2 を見つけます。 このユーザは、ユーザの名前を表す CN 値で識別されます。 この例では CN=abcd です。 [CN=abcd] をダブルクリックします。 LDP ブラウザの右側のペインに、user2 に関連付けられているすべての属性が表示されます。 次の例でこの手順を説明します。

    ldap-eapfast-config74.gif

    この例の右側にある円で囲まれたフィールドに注目してください。

  6. このドキュメントの「WLC での LDAP サーバの詳細の設定」で説明するように、[User Attribute] フィールドには、ユーザ レコードでユーザ名を含む属性の名前を入力します。

    この LDP 出力では、sAMAccountName がユーザ名「user2」を含む属性です。 したがって、WLC の [User Attribute] フィールドに対応する [sAMAccountName] 属性を入力します。

  7. [User Object Type] フィールドに、対象のレコードをユーザとして特定する LDAP objectType 属性の値を入力します。 多くの場合、ユーザ レコードには objectType 属性の値が複数あり、そのうちのいくつかはユーザに固有であり、また、いくつかは他のオブジェクト タイプと共有されています。

    LDP 出力の CN=Person は、このレコードをユーザとして示す値の 1 つです。 したがって WLC で [User Object Type] 属性に Person を指定します。

ワイヤレス クライアントの設定

最後に、クライアント証明書とサーバ証明書を使用する EAP-FAST 認証を実行するようにワイヤレス クライアントを設定します。 これを行うには、次の手順を実行します。

  1. Cisco Aironet Desktop Utility(ADU)を起動します。 ADU のメイン ウィンドウで [Profile Management] > [New] をクリックし、新しいワイヤレス クライアント プロファイルを作成します。

    ldap-eapfast-config75.gif

  2. プロファイル名を指定し、このプロファイルに SSID 名を割り当てます。 この SSID 名は WLC で設定されている SSID 名と同じでなければなりません。 この例では SSID 名は ldap です。

    ldap-eapfast-config76.gif

  3. [Security] タブをクリックし、レイヤ 2 セキュリティとして [802.1x/EAP] を選択します。 EAP メソッドとして [EAP-FAST] を選択し、[Configure] をクリックします。

  4. EAP-FAST 設定ページの [EAP-FAST Authentication Method] ドロップダウン ボックスから [TLS Client Certificate] を選択し、[Configure] をクリックします。

    ldap-eapfast-config77.gif

  5. TLS クライアント証明書設定ウィンドウで次の操作を実行します。

    • [Validate Server Identity] チェックボックスにチェックマークを付け、[Trusted Root Certification Authority] でクライアントにインストールされている CA 証明書(このドキュメントの「クライアントのルート CA 証明書の生成」を参照)を選択します。

    • クライアント証明書として、クライアントにインストールされているデバイス証明書(このドキュメントの「クライアントのデバイス証明書の生成」を参照)を選択します。

    • [OK] をクリックします。

      次の例でこの手順を説明します。

    ldap-eapfast-config78.gif

ワイヤレス クライアント プロファイルが作成されます。

確認

設定が正しく機能するかどうかを確認するには、次の手順を実行します。

  1. ADU で ldap SSID をアクティブにします。

  2. 次に表示されるウィンドウで、必要に応じて [Yes] または [OK] をクリックします。 ADU に、クライアントの認証と関連付けを適切に行うための手順がすべて表示されます。

ここでは、設定が正常に動作していることを確認します。 WLC CLI モードを使用します。

  • WLC が LDAP サーバと通信してユーザを検出できるようにするため、WLC CLI から debug aaa ldap enable コマンドを指定します。 次の例に、正常な通信 LDAP プロセスを示します。

    注: ここに示す出力の一部は、スペースを考慮して 2 行で表示されています。

    (Cisco Controller) >debug aaa ldap enable

    Sun Jan 27 09:23:46 2008: AuthenticationRequest: 0xba96514
    Sun Jan 27 09:23:46 2008:       Callback.....................................0x8
    344900      
    Sun Jan 27 09:23:46 2008:       protocolType.................................0x0
    0100002
    Sun Jan 27 09:23:46 2008:       proxyState...................................00:
    40:96:AC:E6:57-00:00
    Sun Jan 27 09:23:46 2008:       Packet contains 2 AVPs (not shown)
    Sun Jan 27 09:23:46 2008: ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
    Sun Jan 27 09:23:46 2008: LDAP server 1 changed state to INIT
    Sun Jan 27 09:23:46 2008: ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
    Sun Jan 27 09:23:46 2008: ldapInitAndBind [1] called lcapi_bind (rc = 0 - Success)
    Sun Jan 27 09:23:46 2008: LDAP server 1 changed state to CONNECTED
    Sun Jan 27 09:23:46 2008: LDAP server 1 now active
    Sun Jan 27 09:23:46 2008: LDAP_CLIENT: UID Search (base=OU=ldapuser,DC=wireless,
    DC=com, pattern=(&(objectclass=Person)(sAMAccountName=user2)))
    Sun Jan 27 09:23:46 2008: LDAP_CLIENT: Returned msg type 0x64
    Sun Jan 27 09:23:46 2008: ldapAuthRequest [1] called lcapi_query base="OU=ldapus
    er,DC=wireless,DC=com" type="Person" attr="sAMAccountName" user="user2" (rc = 0
    - Success)
    Sun Jan 27 09:23:46 2008: LDAP ATTR> dn = CN=abcd,OU=ldapuser,DC=Wireless,DC=com
     (size 38)
    Sun Jan 27 09:23:46 2008: Handling LDAP response Success
    

    上記のデバッグ出力で強調表示されている情報から、WLC で指定されているユーザ属性を使用して WLC が LDAP サーバに対して照会を実行し、LDAP プロセスが正常に完了したことがわかります。

  • ローカル EAP 認証が正常に完了したかどうかを確認するには、WLC CLI から debug aaa local-auth eap method events enable コマンドを指定します。 次に例を示します。

    (Cisco Controller) >debug aaa local-auth eap method events enable

    Sun Jan 27 09:38:28 2008: eap_fast.c-EVENT: New context 
    (EAP handle = 0x1B000009)
    
    Sun Jan 27 09:38:28 2008: eap_fast.c-EVENT: Allocated new EAP-FAST context 
    (handle = 0x22000009)
    
    Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Process Response 
    (EAP handle = 0x1B000009)
    
    Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Received Identity
    
    Sun Jan 27 09:38:28 2008: eap_fast_tlv.c-AUTH-EVENT: Adding PAC A-ID TLV 
    (436973636f0000000000000000000000)
    
    Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Sending Start
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-AUTH-EVENT: Process Response, type: 0x2b
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Process Response 
    (EAP handle = 0x1B000009)
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: 
    Received TLS record type: Handshake in state: Start
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Local certificate found
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Reading Client Hello handshake
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: 
    TLS_DHE_RSA_AES_128_CBC_SHA proposed...
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: Proposed ciphersuite(s):
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_RSA_WITH_AES_128_CBC_SHA
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_RSA_WITH_RC4_128_SHA
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: Selected ciphersuite:
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Building Provisioning Server Hello
    
    Sun Jan 27 09:38:29 2008: eap_fast_crypto.c-EVENT: 
    Starting Diffie Hellman phase 1 ...
    
    Sun Jan 27 09:38:30 2008: eap_fast_crypto.c-EVENT: 
    Diffie Hellman phase 1 complete
    
    Sun Jan 27 09:38:30 2008: eap_fast_auth.c-AUTH-EVENT: DH signature length = 128
    
    Sun Jan 27 09:38:30 2008: eap_fast_auth.c-AUTH-EVENT: Sending Provisioning Serving Hello
    
    Sun Jan 27 09:38:30 2008: eap_fast.c-EVENT: Tx packet fragmentation required
    
    Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
    EAP Fast NoData (0x2b)
    
    Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
    EAP Fast NoData (0x2b)
    
    Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
    EAP Fast NoData (0x2b)
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-AUTH-EVENT: Process Response, type: 0x2b
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Reassembling TLS record
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Sending EAP-FAST Ack
    
    ............................................................................
    
    ..............................................................................
    
    ..............................................................................
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
    Received TLS record type: Handshake in state: Sent provisioning Server Hello
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
    Reading Client Certificate handshake
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Added certificate 1 to chain
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Added certificate 2 to chain
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Successfully validated received certificate
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: Rx'd I-ID: 
    "EAP-FAST I-ID" from Peer Cert
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
    Reading Client Key Exchange handshake
    
    Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
    Starting Diffie Hellman phase 2 ...
    
    Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
    Diffie Hellman phase 2 complete.
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
    Reading Client Certificate Verify handshake
    
    Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
    Sign certificate verify succeeded (compare)
    
    ............................................................................................
    
    ............................................................................................
    
    ............................................................................................
    
    .............................................................................................
  • debug aaa local-auth db enable コマンドも非常に便利です。 次に例を示します。

    (Cisco Controller) >debug aaa local-auth db enable

    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: EAP: Received an auth request
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Creating new context
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Local auth profile name for context 'ldapuser'
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Created new context eap session handle fb000007
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: (EAP:8) Sending the Rxd EAP packet 
    (id 2) to EAP subsys
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Found matching context for id - 8
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: (EAP) Sending user credential 
    request username 'user2' to LDAP
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Found context matching MAC address - 8
    
    
    ........................................................................................
    
    ........................................................................................
    
    ........................................................................................
    
    ........................................................................................
    
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Sending the Rxd EAP packet 
    (id 12) to EAP subsys
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: Found matching context for id - 8
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) ---> [KEY AVAIL] send_len 64, recv_len 0
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) received keys waiting for success
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: Found matching context for id - 8
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Received success event
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Processing keys success
    
  • WLC にインストールされておりローカル認証に使用される証明書を確認するには、WLC CLI から show local-auth certificates コマンドを実行します。 次に例を示します。

    (Cisco Controller) >show local-auth certificates

    Certificates available for Local EAP authentication:
    
    
    
    Certificate issuer .............................. vendor
    
      CA certificate:
    
        Subject: DC=com, DC=Wireless, CN=wireless
    
         Issuer: DC=com, DC=Wireless, CN=wireless
    
          Valid: 2008 Jan 23rd, 15:50:27 GMT to 2013 Jan 23rd, 15:50:27 GMT
    
      Device certificate:
    
        Subject: O=cisco, CN=ciscowlc123
    
         Issuer: DC=com, DC=Wireless, CN=wireless
    
          Valid: 2008 Jan 24th, 12:18:31 GMT to 2010 Jan 23rd, 12:18:31 GMT
    
    
    
    Certificate issuer .............................. cisco
    
      CA certificate:
    
        Subject: O=Cisco Systems, CN=Cisco Manufacturing CA
    
         Issuer: O=Cisco Systems, CN=Cisco Root CA 2048
    
          Valid: 2005 Jun 10th, 22:16:01 GMT to 2029 May 14th, 20:25:42 GMT
    
       Device certificate:
    
                 Not installed.
  • CLI モードで WLC のローカル認証設定を確認するには、show local-auth config コマンドを実行します。 次に例を示します。

    (Cisco Controller) >show local-auth config

    User credentials database search order:
    
        Primary ..................................... LDAP
    
    
    
    Timer:
    
        Active timeout .............................. 300
    
    
    
    Configured EAP profiles:
    
        Name ........................................ ldapuser
    
          Certificate issuer ........................ vendor
    
          Peer verification options:
    
            Check against CA certificates ........... Enabled
    
            Verify certificate CN identity .......... Disabled
    
            Check certificate date validity ......... Disabled
    
          EAP-FAST configuration:
    
            Local certificate required .............. Yes
    
            Client certificate required ............. Yes
    
          Enabled methods ........................... fast 
    
          Configured on WLANs ....................... 2 
    
    
    
    EAP Method configuration:
    
        EAP-FAST:
    
    --More-- or (q)uit
    
          Server key ................................ <hidden>
    
          TTL for the PAC ........................... 10
    
          Anonymous provision allowed ............... No
    
          .............................................
    
          .............................................
    
          Authority Information ..................... Cisco A-ID

トラブルシューティング

設定のトラブルシューティングを行うには、次のコマンドを使用できます。

  • debug aaa local-auth eap method events enable

  • debug aaa all enable

  • debug dot1x packet enable

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 100590