ワイヤレス : Cisco 4400 シリーズ ワイヤレス LAN コントローラ

ACS と Active Directory グループのマッピングに基づく WLC を使用したダイナミック VLAN 割り当ての設定例

2008 年 4 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2011 年 6 月 19 日) | 英語版 (2008 年 9 月 15 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
      Windows ユーザ データベースを使用したグループ マッピングに関する ACS の制約
設定
      ネットワーク ダイアグラム
      設定
Active Directory と Windows ユーザ データベースの設定
      ネットワーク内のサーバをドメイン コントローラとして設定
      ドメイン内での Active Directory ユーザとグループの作成
      ドメインのメンバとしての ACS サーバの追加
Cisco Secure ACS の設定
      Windows ユーザ データベース認証とグループ マッピングを使用するための ACS の設定
      ダイナミック VLAN 割り当てを行うための ACS の設定
ワイヤレス LAN コントローラの設定
      WLC での認証サーバの詳細の設定
      WLC でのダイナミック インターフェイス(VLAN)の設定
      WLAN(SSID)の設定
無線クライアントの設定
確認
トラブルシューティング
      トラブルシューティングのためのコマンド
Cisco サポート コミュニティ - 特集対話
関連情報

概要

このドキュメントでは、Microsoft(R) Windows Active Directory(AD)データベースを使用して無線クライアントを認証する方法、AD グループと Cisco Secure Access Control Server(ACS)グループの間のマッピングを設定する方法、およびマッピングされた ACS グループに設定されている VLAN に認証されたクライアントをダイナミックに割り当てる方法について説明しています。 このドキュメントでは、ACS Solution Engine は使用せず、ACS ソフトウェア製品のみを使用して AD グループのマッピングを行う方法について説明しています。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • ワイヤレス LAN コントローラ(WLC)および Lightweight アクセス ポイント(LAP)に関する基本的な知識があること

  • Cisco Secure ACS に関する実践的な知識があること

  • ワイヤレス ネットワークとワイヤレスのセキュリティ問題に関する全般的な知識があること

  • ダイナミック VLAN 割り当てに関する実践的で設定ができる知識があること

    詳細については、『ダイナミック VLAN 割り当て』を参照してください。

  • Microsoft Windows AD サービスに加え、ドメイン コントローラと DNS の概念に関する基本的な知識があること

  • Lightweight AP Protocol(LWAPP; Lightweight AP プロトコル)に関する基本的な知識があること

    詳細については、『Lightweight アクセス ポイント プロトコル(LWAPP)の概要』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア リリース 4.0.217.0 が稼働している Cisco 2000 シリーズ WLC

  • Cisco 1000 シリーズ LAP Cisco 802.11a/b/g

  • ファームウェア リリース 3.6 が稼働している無線クライアント アダプタ

  • バージョン 3.6 が稼働している Cisco Aironet Desktop Utility(ADU)

  • バージョン 4.1 が稼働している Cisco Secure ACS

  • ドメイン コントローラとして設定された Microsoft Windows 2003 Server

  • バージョン 12.1 が稼働している Cisco 2950 シリーズ スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

Cisco Secure ACS リリース 4.1 for Windows は、内部データベースを含む複数のデータベースの中の 1 つを使用して無線ユーザを認証します。 また、複数の種類のデータベースを使用してユーザを認証するように ACS を設定することもできます。 ユーザの認証を複数の外部ユーザ データベースに転送するように ACS を設定できます。 ACS は外部のユーザ データベースをサポートしているので、ユーザ データベース内のユーザ エントリを複製する必要はありません。

無線ユーザに対して、次のような外部データベースを使用して認証を実行できます。

  • Windows データベース

  • Novell NetWare Directory Services(NDS)

  • 汎用の Lightweight Directory Access Protocol(LDAP)

  • Open Database Connectivity(ODBC)に準拠したリレーショナル データベース

  • LEAP Proxy Remote Access Dial-In User Service(RADIUS)サーバ

  • Rivest, Shamir, and Adelman(RSA)SecurID トークン サーバ

  • RADIUS に準拠したトークン サーバ

ACS の内部および外部データベースでサポートされる認証プロトコルについては、『ACS 認証とユーザデータベースの互換表』を参照してください。

このドキュメントでは、外部の Windows データベースを使用する無線ユーザの認証について説明しています。

外部データベースを使用してユーザを認証するように ACS を設定するには、次のいずれかの方法を使用します。

  • 特定ユーザの割り当てによる方法:外部ユーザ データベースを使用して特定のユーザを認証するように ACS を設定できます。 これを行うには、そのユーザが ACS 内部データベースに存在している必要があり、User Setup の Password Authentication リストで、ACS がそのユーザの認証に使用する外部ユーザ データベースを指定する必要があります。

  • Unknown User Policy による方法:ACS 内部データベースに存在しないユーザの認証を、外部ユーザ データベースを使用して行うように ACS を設定できます。 この方式を使用する場合、ACS 内部データベースで新しいユーザを定義する必要はありません。

このドキュメントでは、Unknown User Policy 方式による無線ユーザの認証について説明しています。

ACS では Windows データベースに対してユーザの認証を行う際に、Windows データベースにユーザ クレデンシャルを転送します。 Windows データベースでは、そのユーザ クレデンシャルを照合し、認証に成功した場合は ACS に通知します。

認証に成功すると、ACS は Windows データベースからそのユーザのグループ情報を収集します。 ACS はこのグループ情報を取得すると、ダイナミック VLAN を無線ユーザに割り当てるために、収集した Windows データベース グループ情報のユーザを、対応するマッピング済み ACS グループに関連付けます。 つまり、Windows データベースを ACS グループにマッピングして、マッピング済み ACS グループで設定されている VLAN に、認証済みユーザをダイナミックに割り当てるように ACS を設定できます。

また、最初の認証に成功した後は、ACS 上でダイナミックにユーザを作成することもできます。 一度認証に成功したユーザは、データベースへのポインタとともに ACS にキャッシュされます。 これにより、ACS は以降の認証でデータベース リスト全体を検索する必要がなくなります。

Windows ユーザ データベースを使用したグループ マッピングに関する ACS の制約

ACS には、Windows ユーザ データベースにより認証が行われるユーザのグループ マッピングに関して、次の制約があります。

  • ACS でサポートされるのは、500 個以下の Windows グループに所属しているユーザのマッピングだけです。

  • ACS で実行できるのは、そのユーザを認証したドメイン内でユーザが所属しているローカル グループおよびグローバル グループを使用したグループ マッピングだけです。

設定

このドキュメントの例では、Windows AD の外部データベースを使用して無線クライアントを認証するように Cisco Secure ACS を設定しています。 その後、認証されたユーザに対して ACS グループと AD グループをマッピングし、特定の AD グループのユーザを、対応するマッピング済み ACS グループで指定されている VLAN に割り当てます。

次のセクションでは、これを行うためにデバイスを設定する方法について説明しています。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

vlan-acs-ad-config1.gif

ネットワーク ダイアグラム

設定

このドキュメントでは、次の設定を使用しています。

  • Microsoft Windows ドメイン名: wireless.com

  • AD ユーザ: user1 および user2

  • AD ユーザ:AD グループ vlan 10 に割り当てられた user1

  • AD ユーザ: AD グループ vlan 20 に割り当てられた user2

  • AD グループ: ACS グループ Group 10 にマッピングされた vlan 10。このグループの認証済みユーザを sales VLAN に割り当てるように、Group 10 を設定

  • AD グループ: ACS グループ Group 20 にマッピングされた vlan 20。このグループの認証済みユーザを admin VLAN に割り当てるように、Group 20 を設定

これらの前提は、この設定を実行する前に実施済みです。

  • LAP はすでに WLC に登録されています。

  • 無線クライアントに IP アドレスを割り当てるために、内部 DHCP サーバか外部 DHCP サーバをコントローラ上に設定する方法については、すでに理解されているものと想定しています。 コントローラで内部 DHCP サーバを設定する方法については、『DHCP の設定』を参照してください。

  • このドキュメントでは、無線側で必要な設定について説明しており、有線ネットワークの設定はすでに完了しているものと想定しています。

ACS と AD のグループ マッピングに基づいて、WLC でダイナミック VLAN 割り当てを行うには、次の手順を実行する必要があります。

  1. Active Directory と Windows ユーザ データベースの設定

  2. Cisco Secure ACS の設定

  3. ワイヤレス LAN コントローラの設定

Active Directory と Windows ユーザ データベースの設定

無線クライアントの認証に使用する AD および Windows ユーザ データベースを設定するには、次の手順を実行する必要があります。

  1. ネットワーク内のサーバをドメイン コントローラとして設定

  2. ドメイン内での Active Directory ユーザとグループの作成

  3. ドメインのメンバとしての ACS サーバの追加

ネットワーク内のサーバをドメイン コントローラとして設定

ドメイン コントローラの設定には、新しい AD 構造の作成に加え、サーバでの DNS サービスのインストールと設定が含まれます。

このドキュメントでは、ドメイン コントローラとして設定された Windows 2003 サーバで wireless.com というドメインを作成しています。

この AD 作成プロセスの一部として、Windows 2003 サーバに DNS サーバをインストールし、wireless.com がその IP アドレスに解決されるように、この DNS サーバを設定します。 また、インターネットに接続するように外部 DNS サーバを設定することもできます。

詳細な設定手順については、『ドメイン コントローラとしての Windows 2003 のインストールと設定』を参照してください。

ドメイン内での Active Directory ユーザとグループの作成

次に、wireless.com ドメイン内にユーザとグループを作成します。 このユーザ名を使用して認証を行う無線クライアントは、このユーザのグループ名がマッピングされている ACS グループの設定に基づいて VLAN に割り当てられます。

AD ユーザとグループを作成するには、この『Microsoft Support document』の「Adding Users and Computers to the Active Directory Domain」セクションのステップ 1 と 2 を参照してください。

このドキュメントの「設定」セクションですでに述べたように、2 人の AD ユーザ user1 および user2 を作成し、それぞれ AD グループ vlan10 および vlan20 にマッピングします。

ドメインのメンバとしての ACS サーバの追加

wireless.com ドメインに ACS サーバを追加するには、この『Microsoft Support document』の「Adding Users and Computers to the Active Directory Domain」セクションのステップ 1 と 2 を参照してください。

注:このセクションでは、ACS ソフトウェアが稼働している Windows マシンをドメインに追加する方法についてのみ説明しています。 この手順は、ドメインのメンバとして ACS Solution Engine 追加する場合には適用できません。

Cisco Secure ACS の設定

このセットアップのために ACS を設定するには、次の手順を実行します。

  1. Windows ユーザ データベース認証とグループ マッピングを使用するための ACS の設定

  2. ダイナミック VLAN 割り当てを行うための ACS の設定

Windows ユーザ データベース認証とグループ マッピングを使用するための ACS の設定

ACS サーバを wireless.com ドメインに追加した後は、Windows ユーザ データベース認証を使用するように ACS を設定し、外部 Windows AD データベースを ACS グループにマッピングします。 指定されたデータベースを使用して認証を行う不明なユーザは、自動的にこのグループに所属し、このグループの権限を継承します。

すでに述べたように、この例では AD グループ vlan 10 および vlan 20 をそれぞれ ACS グループ Group 10 および Group 20 にマッピングしています。

注:信頼性の高いユーザ認証とグループ マッピングを行うには、ACS サーバを設定する前に、『Windows 認証設定』の章で説明されている作業を実行してください。

ACS での Windows 外部ユーザ データベースの設定

ACS の GUI から、次の手順を実行します。

  1. ナビゲーション バーで External User Databases をクリックします。

    vlan-acs-ad-config2.gif

    ACS の GUI
    ※ 画像をクリックすると、大きく表示されます。

  2. External User Databases ページで Database Configuration をクリックします。

    vlan-acs-ad-config3.gif

    External User Databases ページ
    ※ 画像をクリックすると、大きく表示されます。

    ACS に、外部ユーザ データベースの種類が一覧表示されます。

  3. Windows Database をクリックします。

    vlan-acs-ad-config4.gif

    External User Databases ページ
    ※ 画像をクリックすると、大きく表示されます。

    Windows データベースの設定が存在しない場合は、Database Configuration Creation テーブルが表示されます。 そうでない場合は、External User Database Configuration ページが表示されます。

  4. Configure をクリックします。

    vlan-acs-ad-config5.gif

    External User Databases ページ
    ※ 画像をクリックすると、大きく表示されます。

    Windows User Database Configuration ページには、いくつかのオプションが表示されています。

  5. 必要なオプションを設定します。 Windows User Database Configuration ページの設定はすべてオプションであり、サポートされている特定の機能を許可して有効にする必要がない限りは、有効にする必要はありません。

    注:この設定例では必要ないため、このドキュメントではこれらのオプションを手動で設定することはありません。

    詳細については、『Windows ユーザ データベースの設定オプション』を参照してください。

  6. Submit をクリックして、この設定を完了します。

    作成した Windows ユーザ データベースの設定が ACS に保存されます。 これを Unknown User Policy に追加するか、このデータベースを認証に使用するように特定のユーザ アカウントを割り当てます。 このドキュメントでは、この設定を Unknown User Policy に追加しています。

Windows データベースを使用した Unknown User Policy の設定

Unknown User Policy は、認証転送の一種です。 つまり、この機能は認証プロセスでの追加ステップです。 ACS 内部データベースにユーザ名が存在しない場合、ACS は受信したユーザ名とパスワードの認証要求を、通信するように設定されている外部データベースに転送します。 外部データベースは、認証要求で使用されている認証プロトコルをサポートしている必要があります。

詳細については、『未知ユーザ ポリシー』を参照してください。

この例の場合、ACS は無線クライアントから WLC を経由して受信した認証要求を、前のセクションで設定した Windows データベースに転送する必要があります。 これを行うには、次の手順を使用して、Unknown User グループを外部 Windows データベース(wireless.com)にマッピングする必要があります。

  1. ナビゲーション バーで External User Databases をクリックします。 次に、Unknown User Policy をクリックします。

    vlan-acs-ad-config6.gif

    External User Databases ページ
    ※ 画像をクリックすると、大きく表示されます。

  2. 不明ユーザの認証を許可するには、次の手順で Unknown User Policy を有効にします。

    1. Check the following external user databases オプションを選択します。

    2. Windows Database in the External Databases リストを選択し、-->(右矢印)をクリックして、Selected Databases リストに移動します。 Selected Databases リストからデータベースを削除するには、データベースを選択し、<--(左矢印)をクリックして、External Databases リストに戻します。

  3. Submit をクリックします。

    vlan-acs-ad-config7.gif

    External User Databases ページ
    ※ 画像をクリックすると、大きく表示されます。

    作成した Unknown User Policy の設定が ACS に保存され、実装されます。

ACS グループと Windows グループのマッピングの作成

ACS の GUI から次の手順を実行します。

  1. ナビゲーション バーで External User Databases をクリックします。 次に、Database Group Mappings をクリックします。

    vlan-acs-ad-config8.gif

    External User Databases ページ
    ※ 画像をクリックすると、大きく表示されます。

  2. グループ マッピングを設定する外部ユーザ データベース名をクリックします。

    この例では、Windows データベースを使用します。

  3. 表示された Domain Configurations ページで New configuration をクリックします。

    Define New Domain Configuration ページが表示されます。

  4. このページの Detected Domains ボックスに、WIRELESS という名前の Windows ユーザ データベースが表示されている必要があります。Submit をクリックします。

    WIRELESS という新しい Windows ドメインが Domain Configurations ページのドメイン一覧に表示されます。

  5. WIRELESS ドメインをクリックします。

    vlan-acs-ad-config9.gif

    External User Databases ページ
    ※ 画像をクリックすると、大きく表示されます。

    Group Mappings for the Domain: WIRELESS 表が表示されます。

  6. Add mapping をクリックします。

    vlan-acs-ad-config10.gif

    External User Databases ページ
    ※ 画像をクリックすると、大きく表示されます。

    Create new group mapping for Domain:WIRELESS ページが開きます。 グループ リストに、WIRELESS データベースから派生しているグループ名が表示されます。 このグループ セットには、この無線ドメインの AD で作成したグループ vlan10 と vlan20 が表示されている必要があります。

    vlan-acs-ad-config11.gif

    External User Databases ページ
    ※ 画像をクリックすると、大きく表示されます。

  7. グループ リストから vlan10 を選択し、Add to selected をクリックします。

  8. ACS group ドロップダウン ボックスで、AD グループ vlan 10 に属するユーザをマッピングするグループとして Group10 を選択します。

  9. Submit をクリックします。

    vlan-acs-ad-config12.gif

    External User Databases ページ
    ※ 画像をクリックすると、大きく表示されます。

    ACS リストにマッピングされたグループは、データベース グループ列の最下部に表示されます。 各グループ セットの最後にあるアスタリスク(*)は、外部ユーザ データベースで認証されたユーザが、そのセット以外のグループにも所属している可能性があることを示しています。

  10. ステップ 6 〜 9 を繰り返して、AD グループ vlan20 を ACS グループ Group20 にマッピングします。

    vlan-acs-ad-config13.gif

    External User Databases ページ
    ※ 画像をクリックすると、大きく表示されます。

ダイナミック VLAN 割り当てを行うための ACS の設定

ダイナミック VLAN 割り当ては、ユーザが入力したクレデンシャルに基づいてワイヤレス ユーザを特定の VLAN に割り当てる機能です。 ユーザを特定の VLAN に割り当てるタスクは、Cisco Secure ACS などの RADIUS 認証サーバによって処理されます。たとえば、この機能を利用すると、キャンパス ネットワーク内を移動するワイヤレス ホストを同じ VLAN に割り当てることができます。

注:このドキュメントでは、Cisco Airespace [VSA (Vendor-Specific)] アトリビュートを使用し、ACS のグループ設定に基づいて、認証に成功したユーザを(VLAN ID ではなく)VLAN インターフェイス名に割り当てます。

ダイナミック VLAN 割り当てを行うように ACS を設定するには、次の手順を実行します。

  1. ACS に WLC を AAA クライアントとして追加する

  2. Cisco Airespace VSA アトリビュート オプションを使用して ACS グループを設定する

ACS に WLC を AAA クライアントとして追加する

ダイナミック VLAN 割り当てを行うように ACS を設定するには、RADIUS サーバで AAA クライアントを WLC に設定する必要があります。 このドキュメントでは、WLC がすでに AAA クライアントとして ACS に追加されていることを前提としています。 ACS に AAA クライアントを追加する方法については、『ACS への AAA クライアントの追加』を参照してください。

注:このドキュメントの例では、Add AAA Client ページの Authenticate Using プルダウン メニューで RADIUS (Airespace) オプションを設定する必要があり、ACS に対する AAA クライアントとして WLC を設定します。

Cisco Airespace VSA アトリビュート オプションを使用して ACS グループを設定する

次の手順を実行します。

  1. ACS の GUI のナビゲーション バーで Group Setup をクリックし、新規グループを設定します。

  2. Group ドロップダウン ボックスで(この例のとおり)Group 20 を選択し、Edit Settings をクリックします。

    vlan-acs-ad-config14.gif

    Group Setup ページ
    ※ 画像をクリックすると、大きく表示されます。

  3. Group 20 の設定編集ページで、Jump To ドロップダウン ボックスをクリックし、RADIUS (Cisco Airespace) を選択して、Airespace VSA アトリビュート設定を設定します。

    vlan-acs-ad-config15.gif

    Group Setup ページ
    ※ 画像をクリックすると、大きく表示されます。

    注:グループ設定にこのアトリビュートが表示されない場合は、ACS のインターフェイス設定画面にインターフェイス名が表示されるように RADIUS (Airespace) 設定を編集します。

  4. Cisco Airespace RADIUS Attributes セクションで、Air-Interface-Name を有効にし、認証が成功した場合にこの ACS グループから返すインターフェイス名として admin と入力します。

    vlan-acs-ad-config16.gif

    Group Setup ページ
    ※ 画像をクリックすると、大きく表示されます。

  5. 認証に成功した場合に Group10 設定がインターフェイス名として sales を返すようにこれらの手順を繰り返します。

  6. Submit+ Restart をクリックします。

ワイヤレス LAN コントローラの設定

このセットアップのために WLC を設定するには、次の手順を実行する必要があります。

  1. WLC での認証サーバの詳細の設定

  2. WLC でのダイナミック インターフェイス(VLAN)の設定

  3. WLAN(SSID)の設定

WLC での認証サーバの詳細の設定

このセットアップのために WLC を設定するには、次の手順を実行します。

  1. コントローラの GUI で、Security をクリックします。

  2. RADIUS (ACS) Authentication Server 設定ページで、RADIUS サーバの IP アドレス、および RADIUS サーバと WLC の間で使用する共有秘密鍵を入力します。

    この共有秘密鍵は、ACS の Network Configuration > AAA Clients > Add Entry で設定されたキーと一致している必要があります。 このドキュメントでは、10.77.244.196/27 という IP アドレスを持つ ACS サーバを使用しています。

WLC でのダイナミック インターフェイス(VLAN)の設定

この手順では、WLC でダイナミック インターフェイスを設定する方法について説明しています。 ダイナミック VLAN 割り当てが成功するためには、ACS サーバの VSA アトリビュート設定で指定された VLAN インターフェイス名が WLC でも設定されている必要があります。

このドキュメントでは、「sales」という名前と VLAN ID = 10 を持つ VLAN インターフェイスと、「admin」という名前と VLAN ID = 20 を持つ VLAN インターフェイスを WLC で設定しています。

注:ACS サーバの VSA アトリビュートと同じ VLAN インターフェイス名を設定する必要があります。

次の手順を実行します。

  1. ダイナミック インターフェイスの設定は、コントローラの GUI の Controller > Interfaces ウィンドウで行います。

    vlan-acs-ad-config17.gif

    Interfaces ページ
    ※ 画像をクリックすると、大きく表示されます。

    vlan-acs-ad-config18.gif

    Interfaces > New ページ
    ※ 画像をクリックすると、大きく表示されます。

  2. Apply をクリックします。

  3. Interfaces > Edit ページで、このウィンドウに示されているように、VLAN ID、IP アドレス、ネットマスク、ゲートウェイ アドレス情報を設定します。

    注:クライアントへの IP アドレスの割り当てには、常に DHCP サーバを使用することを推奨いたします。 その場合は、プライマリ DHCP サーバのアドレス フィールドで、DHCP サーバの IP アドレスを指定します。

    vlan-acs-ad-config19.gif

    Interfaces > Edit ページ
    ※ 画像をクリックすると、大きく表示されます。

  4. Apply をクリックします。

  5. ステップ 1 〜 2 を繰り返して、vlan id 10 を使用する「sales」インターフェイスを作成します。

WLAN(SSID)の設定

このドキュメントに関連するこれらの変更を使用して WLC 上で WLAN を設定する方法については、『RADIUS サーバおよびワイヤレス LAN コントローラを使用したダイナミック VLAN 割り当ての設定例』の「WLAN(SSID)の設定」セクションを参照してください。

  • このドキュメントでは、WLC で SSID: ADS1 を設定し、10.77.244.196 という IP アドレスを持つ ACS サーバを使用しています。

  • このドキュメントの例では、認証に成功した場合に無線クライアントを特定の VLAN に割り当てるのは、適切な Windows データベース グループにマッピングされた ACS グループの仕事です。 WLAN は WLC 上で特定のダイナミック インターフェイスにマッピングされている必要はありません。 WLC で WLAN がダイナミック インターフェイスにマッピングされている場合でも、RADIUS サーバはこのマッピングを無視し、その WLAN からアクセスしているユーザを、ACS サーバの VSA Attributes セクションで指定された VLAN 名に割り当てます。

    WLC の設定を RADIUS サーバで無視するために、Allow AAA Override チェック ボックスにチェックマークを付けます。 設定されている WLAN(SSID)ごとにコントローラで Allow AAA Override を有効にします。 このドキュメントの例では、WLAN ADS 1 は管理インターフェイスのみにマッピングされています。 ただし、AAA Override コマンドとダイナミック VLAN 割り当て手順により、このインターフェイスから WLAN へのマッピングは無視され、ユーザは ACS の Windows データベース グループ マッピング設定で指定された VLAN に割り当てられます。

無線クライアントの設定

SSID 名を ADS1 に設定することを除いた無線クライアント ユーティリティの設定方法については、『無線クライアント ユーティリティの設定』を参照してください。

確認

ADU で設定した ADS1 ユーザ プロファイルをアクティブにします。 設定に基づいて、クライアントはユーザ名とパスワードの入力を求められます。

この例では、クライアントの認証と RADIUS サーバによる VLAN への割り当てを実行するために、クライアント側からの次のユーザ名とパスワードを使用します。

  • ユーザ名:user2

  • パスワード:Jamesbond007

次に、Enter Wireless Network Password ダイアログ ボックスの logon to フィールドで、wireless.com を指定します。

無線クライアントの認証に成功し、ドメイン コントローラを検出して、ドメインに参加し、ADS1 SSID を使用して WLAN ネットワークへの関連付けが完了したら、RADIUS サーバ グループ設定によって送信された VSA アトリビュートに従ってクライアントが適切な VLAN に割り当てられたことを確認する必要があります。

これを行うには、次の手順を実行します。

  1. コントローラの GUI で、Wireless > AP の順に選択します。 Access Points (APs) ウィンドウの左にある Clients をクリックします。

    クライアントの統計情報が関連ステータスとともに表示されます。

    vlan-acs-ad-config20.gif

    Clients ページ
    ※ 画像をクリックすると、大きく表示されます。

  2. WLC のクライアント ページで WLAN ADS1 の Details をクリックします。

    vlan-acs-ad-config21.gif

    Client Properties ページ
    ※ 画像をクリックすると、大きく表示されます。

    詳細ページで、user :user2 が認証され、ADS1 SSID を通じて関連付けられ、ACS と AD グループのマッピングに従って VLAN 20 を持つ admin VLAN インターフェイスに割り当てられていることを確認します。

  3. これらの手順を繰り返して、user:user1 が ADS1 SSID を通じて認証されることを確認します。

    このユーザのクライアント詳細ページは、クライアントの認証に成功して関連付けられた後、次のようになります。

    vlan-acs-ad-config22.gif

    Client > Detail ページ
    ※ 画像をクリックすると、大きく表示されます。

    詳細ページで、user :user1 が認証され、ADS1 SSID を通じて関連付けられ、ACS と AD グループのマッピングに従って VLAN 10 を持つ「sales」VLAN インターフェイスに割り当てられていることを確認します。

    注:VLAN 間で通信を行うには、マルチレイヤ スイッチで VLAN 間ルーティングを設定します。 この説明は、このドキュメントの範囲外です。 スイッチの設定の詳細については、『複数の VLAN を使用するためのスイッチの設定』を参照してください。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明しています。 ACS で AAA デバッグ情報をログに記録して取得する方法については、『Cisco Secure ACS for Windows の AAA デバッグ情報』を参照してください。

トラブルシューティングのためのコマンド

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug aaa events enable:このコマンドを使用すると、コントローラを介して RADIUS アトリビュートがクライアントに正常に転送されたことを確認できます。 デバッグ出力に次の部分が含まれている場合は、RADIUS アトリビュートの転送に成功したことを意味しています。

    このドキュメントの設定例に基づくこのコマンドの出力を次に示します。

    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 131) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from
    RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 132) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 133) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=2
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=2
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Applying new AAA override for
    station 00:40:96:af:3e:93
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into 
    chain for station 00:40:96:af:3e:93
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Applying override policy from source
     Override Summation:
    
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 256, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', a
    Fri Oct  5 15:47:39 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
    station 00:40:96:af:3e:93
    

    このデバッグ出力が示すように、WLC は、無線クライアントと RADIUS サーバ 10.77.244.196 の間で認証要求と応答を転送しています。 サーバは無線クライアントを正常に認証しています(このことは、Access-Accept メッセージによって確認できます)。 認証に成功した後、RADIUS サーバは VLAN interface name: sales を送信しています。したがって、無線クライアントは「sales」VLAN にダイナミックに割り当てられます。

  • debug dot1x aaa enable:このコマンドを使用すると、無線クライアントと認証サーバ(ACS)の間で行われる dot1x 認証全体をデバッグできます。

  • debug aaa all enable:すべての AAA メッセージのデバッグを設定します。

    このドキュメントの設定例に基づくこのコマンドの出力を次に示します。

    (Cisco Controller) >Fri Oct  5 16:17:18 2007: AuthenticationRequest: 0xac4be5c
    Fri Oct  5 16:17:18 2007:       Callback.....................................0x8
    29a960
    Fri Oct  5 16:17:18 2007:       protocolType.................................0x0
    0040001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:00
    Fri Oct  5 16:17:18 2007:       Packet contains 12 AVPs (not shown)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of 
    Authentication Packet (id 137) to 10.77.244.196:1812, 
    proxy state 00:40:96:af:3e:93-96:af
    .................................................................................
    ..................................................................................
    ..................................................................................
    
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
    Fri Oct  5 16:17:18 2007: AuthorizationResponse: 0x9845500
    Fri Oct  5 16:17:18 2007:       structureSize................................130
    
    Fri Oct  5 16:17:18 2007:       resultCode...................................255
    
    Fri Oct  5 16:17:18 2007:       protocolUsed.................................0x0
    0000001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:00
    Fri Oct  5 16:17:18 2007:       Packet contains 3 AVPs (not shown)
    ..............................................................................
    ..............................................................................
    ..............................................................................
    ..............................................................................
    
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from
    RADIUS server 10.77.244.196 for mobi)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of
    Authentication Packet (id 139) to 10.77.244.196:1812, 
    proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 16:17:18 2007: 00000000: 01 8b 00 bb 54 4c 75 3a  e5 b9 d2 c0 28 f2 9
    3 b3  ....TLu:....(...
    Fri Oct  5 16:17:18 2007: 00000010: f2 81 50 65 01 10 77 69  72 65 6c 65 73 73 5
    c 75  ..Pe..wireless\u
    Fri Oct  5 16:17:18 2007: 00000020: 73 65 72 31 1f 13 30 30  2d 34 30 2d 39 36 2
    d 41  ser1..00-40-96-A
    Fri Oct  5 16:17:18 2007: 00000030: 46 2d 33 45 2d 39 33 1e  18 30 30 2d 30 42 2
    d 38  F-3E-93..00-0B-8
    Fri Oct  5 16:17:18 2007: 00000040: 35 2d 35 42 2d 46 42 2d  44 30 3a 41 44 53 3
    1 05  5-5B-FB-D0:ADS1.
    Fri Oct  5 16:17:18 2007: 00000050: 06 00 00 00 01 04 06 0a  4d f4 d4 20 06 57 4
    c 43  ........M....WLC
    Fri Oct  5 16:17:18 2007: 00000060: 31 1a 0c 00 00 37 63 01  06 00 00 00 02 06 0
    6 00  1....7c.........
    Fri Oct  5 16:17:18 2007: 00000070: 00 00 02 0c 06 00 00 05  14 3d 06 00 00 00 1
    3 4f  .........=.....O
    Fri Oct  5 16:17:18 2007: 00000080: 20 01 05 00 1e 11 01 00  08 85 8e 81 b0 7d b
    f ee  .............}..
    Fri Oct  5 16:17:18 2007: 00000090: b1 77 69 72 65 6c 65 73  73 5c 75 73 65 72 3
    1 18  .wireless\user1
    ................................................................................
    .................................................................................
    ..................................................................................
    Fri Oct  5 16:17:18 2007: 00000050: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 7
    3 65  1.;.....5leap:se
    Fri Oct  5 16:17:18 2007: 00000060: 73 73 69 6f 6e 2d 6b 65  79 3d 84 e7 c5 3c 3
    3 bd  ssion-key=...<3.
    Fri Oct  5 16:17:18 2007: 00000070: a8 bf 7a 43 9d 6e bb c8  a8 2c 5d c6 91 d6 f
    3 21  ..zC.n...,]....!
    Fri Oct  5 16:17:18 2007: 00000080: df 1e 0e 28 c1 ef a5 31  a7 cd 62 da 1a 1f 0
    0 00  ...(...1..b.....
    Fri Oct  5 16:17:18 2007: 00000090: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 7
    4 79  ....auth-algo-ty
    Fri Oct  5 16:17:18 2007: 000000a0: 70 65 3d 65 61 70 2d 6c  65 61 70 19 17 43 4
    1 43  pe=eap-leap..CAC
    
          ....
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=2
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=2
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
    Fri Oct  5 16:17:18 2007: AuthorizationResponse: 0x9845500
    Fri Oct  5 16:17:18 2007:       structureSize................................228
    
    Fri Oct  5 16:17:18 2007:       resultCode...................................0
    Fri Oct  5 16:17:18 2007:       protocolUsed.................................0x0
    0000001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:02
    Fri Oct  5 16:17:18 2007:       Packet contains 5 AVPs:
    Fri Oct  5 16:17:18 2007:           AVP[01] Airespace / Interface-Name..........
    .....sales (5 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[02] EAP-Message.........................
    .....DATA (46 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[03] Cisco / LEAP-Session-Key............
    .....DATA (16 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[04] Class...............................
    .....CACS:0/5943/a4df4d4/1 (21 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[05] Message-Authenticator...............
    .....DATA (16 bytes)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Applying new AAA override for
    station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into 
    chain for station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Applying override policy from source
     Override Summation:
    
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 256, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', a
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
    station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: AccountingMessage Accounting Interim: 0xac4b1f0
    Fri Oct  5 16:17:18 2007:       Packet contains 20 AVPs:
    Fri Oct  5 16:17:18 2007:           AVP[01] User-Name...........................
    .....wireless\user1 (14 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[02] Nas-Port............................
    .....0x00000001 (1) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[03] Nas-Ip-Address......................
    .....0x0a4df4d4 (172881108) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[04] Class...............................
    .....CACS:0/5943/a4df4d4/1 (21 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[05] NAS-Identifier......................
    .....0x574c4331 (1464615729) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[06] Airespace / WLAN-Identifier.........
    .....0x00000002 (2) (4 bytes)
    ......................................................................................
    .......................................................................................
    .......................................................................................
    


Cisco サポート コミュニティ - 特集対話

Cisco サポート コミュニティでは、フォーラムに参加して情報交換することができます。現在、このドキュメントに関連するトピックについて次のような対話が行われています。


関連情報