ワイヤレス : Cisco 4400 ???? Wireless LAN Controller

Microsoft Internet Authentication Service(IAS)を使用した Unified Wireless Network での PEAP

2008 年 12 月 4 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 2 月 22 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
PEAP の概要
設定
      ネットワーク ダイアグラム
      設定例
Microsoft Windows 2003 Server の設定
      Microsoft Windows 2003 Server の設定
      Microsoft Windows 2003 Server での DHCP サービスのインストールと設定
      Microsoft Windows 2003 Server の認証局(CA)サーバとしてのインストールと設定
      ドメインへのクライアントの接続
      Microsoft Windows 2003 Server での Internet Authentication Service のインストールと証明書の要求
      Internet Authentication Service での PEAP-MS-CHAP v2 認証の設定
      Active Directory へのユーザの追加
      ユーザへのワイヤレス アクセスの許可
Wireless LAN Controller と Lightweight AP の設定
      MS IAS RADIUS サーバで RADIUS 認証を行うための WLC の設定
      WLAN でのクライアントの設定
ワイヤレス クライアントの設定
      ワイヤレス クライアントでの PEAP-MS-CHAP v2 認証の設定
確認とトラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、RADIUS サーバに Microsoft Internet Authentication Service(IAS)を使用した Cisco Unified Wireless Network で Microsoft Challenge Handshake Authentication Protocol(MS-CHAP)バージョン 2 認証を使用した Protected Extensible Authentication Protocol(PEAP)を設定する際の設定例を紹介しています。

前提条件

要件

このドキュメントではテストを行うための特定の設定のみが取り上げられており、読者に Windows 2003 と Cisco コントローラのインストールに関する基本知識があることが前提となっています。

注:このドキュメントは、PEAP – MS CHAP 認証に必要な MS サーバの設定を読者に例示することを目的としています。このセクションで示す Microsoft サーバの設定はラボでテスト済みで、期待通りに動作することが確認されています。Microsoft サーバを設定する上で問題がある場合は、Microsoft に連絡してください。Cisco TAC では、Microsoft Windows サーバの設定に関するサポートは行っていません。

Cisco 4400 シリーズ コントローラの初期インストールと設定については、『クイック スタート ガイド:Cisco 4400 シリーズ Wireless LAN Controller』を参照してください。

Microsoft Windows 2003 のインストールと設定のガイドは、『Installing Windows Server 2003 R2leavingcisco.com にあります。

作業を始める前に、Microsoft Windows Server 2003 SP1 オペレーティングシステムをテスト ラボのすべてのサーバにインストールし、すべての Service Pack の更新を行います。コントローラと Lightweight アクセス ポイント(LAP)をインストールし、最新のソフトウェア更新が設定されていることを確認します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア バージョン 4.0 が稼働している Cisco 4400 シリーズ コントローラ

  • Cisco 1131 Lightweight Access Point Protocol(LWAPP)AP

  • Internet Authentication Service (IAS)、Certificate Authority(CA; 認証局)、DHCP、および Domain Name System(DNS; ドメイン ネーム システム)のサービスを搭載した Windows 2003 Enterprise Server(SP1)

  • Windows XP Professional SP2(および最新の Service Pack)と Cisco Aironet 802.11a/b/g Wireless Network Interface Card(NIC; ネットワーク インターフェイス カード)

  • Aironet Desktop Utility バージョン 4.0

  • Cisco 3560 スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定から作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

PEAP の概要

PEAP では、Transport Level Security(TLS)を使用して、ワイヤレス ラップトップなど認証対象の PEAP クライアントと Microsoft Internet Authentication Service (IAS) や任意の RADIUS サーバなどの PEAP オーセンティケータとの間に暗号化チャネルを作成します。PEAP では認証方式は指定されませんが、PEAP により提供される TLS 暗号化チャネルで動作できる EAP-MSCHAPv2 などの他の EAP 認証プロトコルに対してセキュリティが付加されます。PEAP の認証プロセスは、主に次の 2 つのフェーズで構成されます。

PEAP フェーズ 1:TLS 暗号化チャネル

ワイヤレス クライアントで AP とのアソシエーションが確立されます。IEEE 802.11 ベースの関連付けでは、クライアントとアクセス ポイント(LAP)でセキュアなアソシエーションが確立される前に、オープン システムや共有秘密鍵による認証が提供されます。クライアントとアクセス ポイントの間に IEEE 802.11 ベースのアソシエーションが確立されると、AP との TLS セッションがネゴシエートされます。ワイヤレス クライアントと IAS サーバの間での認証が完了すると、それらの間で TLS セッションがネゴシエートされます。このネゴシエーションで生成された鍵が、後続のすべての通信の暗号化に使用されます。

PEAP フェーズ 2:EAP 認証による通信

PEAP 認証プロセスの最初の段階で PEAP が作成した TLS チャネルで、EAP ネゴシエーションを含む EAP 通信が発生します。IAS サーバでは、EAP-MS-CHAP v2 でワイヤレス クライアントの認証が行われます。LAP とコントローラでは、ワイヤレス クライアントと RADIUS サーバの間でのメッセージの転送だけが行われます。この WLC と LAP は TLS のエンド ポイントではないため、これらのメッセージの復号化はできません。

PEAP のステージ 1 が発生し、IAS サーバと 802.1X ワイヤレス クライアントの間で TLS チャネルが作成された後、PEAP-MS-CHAP v2 でパスワード ベースの有効なクレデンシャルをユーザが提供した成功時の認証における RADIUS のメッセージ シーケンスは次のようになります。

  1. IAS サーバが ID 要求メッセージをクライアントに送信します(EAP-Request/Identity)。

  2. クライアントが ID 応答メッセージを返します(EAP-Response/Identity)。

  3. IAS サーバが MS-CHAP v2 チャレンジメッセージを送信します(EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Challenge))。

  4. クライアントが MS-CHAP v2 のチャレンジと応答で答えます(EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response))。

  5. IAS サーバがクライアントの認証に成功すると、サーバが MS-CHAP v2 成功パケットを返します(EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Success))。

  6. クライアントがサーバの認証に成功すると、クライアントは MS-CHAP v2 成功パケットで答えます(EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success))。

  7. IAS サーバが認証の成功を示す EAP-TLV を送信します。

  8. クライアントが EAP-TLV ステータスの成功メッセージを返します。

  9. サーバが認証を完了し、EAP-Success メッセージをプレーン テキストで送信します。クライアントの分離に VLAN が展開されている場合は、このメッセージに VLAN の属性が含まれています。

設定

このドキュメントでは、PEAP MS-CHAP v2 の設定例を紹介しています。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

peap-ias-1.gif

この設定では、Microsoft Windows 2003 Server は次の役割を果たします。

  • ドメイン Wireless.com のドメイン コントローラ

  • DHCP/DNS サーバ

  • 認証局(CA)サーバ

  • Active Directory:ユーザ データベースの管理

  • Internet Authentication Service(IAS):ワイヤレス ユーザの認証

図のように、このサーバはレイヤ 2 スイッチを介して有線ネットワークに接続しています。

Wireless LAN Controller(WLC)と登録済み LAP もレイヤ 2 スイッチを介してネットワークに接続しています。

ワイヤレス クライアント C1 と C2 は、Wi-Fi Protected Access 2(WPA 2)- PEAP MSCHAP v2 認証を使用してワイヤレス ネットワークに接続しています。

目標は、PEAP MSCHAP v2 認証でワイヤレス クライアントを認証するように、Microsoft 2003 Server、Wireless LAN Controller、および Light Weight AP を設定することです。

次のセクションでは、この構成でデバイスを設定する方法を説明しています。

設定例

このセクションでは、この WLAN に PEAP MS-CHAP v2 認証を設定するために必要な設定を確認しています。

  • Microsoft Windows 2003 Server の設定

  • Wireless LAN Controller(WLC)と Light Weight AP の設定

  • ワイヤレス クライアントの設定

Microsoft Windows 2003 Server の設定から始めます。

Microsoft Windows 2003 Server の設定

Microsoft Windows 2003 Server の設定

ネットワーク設定のセクションで説明されているように、Microsoft Windows 2003 Server はネットワークで次の機能を行うために使用されます。

  • ドメイン コントローラ:ドメイン Wireless

  • DHCP/DNS サーバ

  • 認証局(CA)サーバ

  • Internet Authentication Service(IAS):ワイヤレス ユーザの認証

  • Active Directory:ユーザ データベースの管理

Microsoft Windows 2003 Server を、上記のサービスを行うように設定します。ドメイン コントローラとしての Microsoft Windows 2003 Server の設定から開始します。

ドメイン コントローラとしての Microsoft Windows 2003 Server の設定

Microsoft Windows 2003 Server をドメイン コントローラとして設定するには、次の手順を実行します。

  1. StartRun の順にクリックし、dcpromo.exe と入力して OK をクリックし、Active Directory Installation Wizard を起動します。

    peap-ias-2.gif

  2. Next をクリックして Active Directory Installation Wizard を実行します。

    peap-ias-3.gif

  3. 新しいドメインを作成するため、オプション Domain Controller for a new domain を選択します。

    peap-ias-4.gif

  4. New をクリックし、ドメイン ツリーの新しいフォレストを作成します。

    peap-ias-5.gif

  5. システムに DNS がインストールされていない場合は、ウィザードにより DNS を設定するためのオプションが提示されます。このコンピュータでは No, Just Install and Configure DNS を選択します。Next をクリックします。

    peap-ias-6.gif

  6. 新しいドメインの完全な DNS 名を入力します。この例では、Wireless.com が使用されており、Next をクリックします。

    peap-ias-7.gif

  7. ドメインの NETBIOS 名を入力し、Next をクリックします。この例では WIRELESS を使用しています。

    peap-ias-8.gif

  8. ドメインのデータベースとログのロケーションを選択します。Next をクリックします。

    peap-ias-9.gif

  9. Sysvol フォルダのロケーションを選択します。Next をクリックします。

    peap-ias-10.gif

  10. ユーザとグループのデフォルトのアクセス許可を選択します。Next をクリックします。

    peap-ias-11.gif

  11. 管理者のパスワードを設定し、Next をクリックします。

    peap-ias-12.gif

  12. Next をクリックして、先ほど設定したドメインのオプションを承認します。

    peap-ias-13.gif

  13. Finish をクリックして Active Directory Installation Wizard を閉じます。

    peap-ias-14.gif

  14. サーバを再起動して変更を有効にします。

    peap-ias-15.gif

この手順では、Microsoft Windows 2003 Server をドメイン コントローラとして設定し、新しいドメイン Wireless.com を作成しました。次に、サーバ上に DHCP サービスを設定します。

Microsoft Windows 2003 Server での DHCP サービスのインストールと設定

Microsoft 2003 Server 上の DHCP サービスは、ワイヤレス クライアントに IP アドレスを提供するために使用されます。DHCP サービスをサーバにインストールし設定するには、次の手順を実行します。

  1. Control Panel で Add or Remove Programs をクリックします。

  2. Add/Remove Windows Components をクリックします。

  3. Networking Services を選択し、Details をクリックします。

  4. Dynamic Host Configuration Protocol (DHCP) を選択し、OK をクリックします。

    peap-ias-16.gif

  5. Next をクリックして DHCP サービスをインストールします。

    peap-ias-17.gif

  6. Finish をクリックしてインストールを完了します。

    peap-ias-18.gif

  7. DHCP サービスを設定するため、Start > Programs > Administrative tools の順にクリックし、DHCP スナップインをクリックします。

  8. DHCP サーバ(この例では tsweb-lapt.wireless.com)を選択します。

  9. Action をクリックし、Authorize をクリックして DHCP サービスを認可します。

    peap-ias-19.gif

  10. コンソール ツリーで tsweb-lapt.wireless.com を右クリックし、New Scope をクリックし、ワイヤレス クライアントの IP アドレスの範囲を定義します。

  11. New Scope Wizard の Welcome to the New Scope Wizard ページで、Next をクリックします。

    peap-ias-20.gif

  12. Scope Name ページで、DHCP のスコープ名を入力します。この例では、スコープ名に DHCP-Clients を使用します。Next をクリックします。

    peap-ias-21.gif

  13. IP Address Range ページで、範囲の最初と最後の IP アドレスを入力し、Next をクリックします。

    peap-ias-22.gif

  14. Add Exclusions ページで、DHCP スコープから留保または除外する IP アドレスを指定します。Next をクリックします。

    peap-ias-23.gif

  15. Lease Duration ページでリース期間を指定し、Next をクリックします。

    peap-ias-24.gif

  16. Configure DHCP Options ページで Yes, I want to configure DHCP Option now を選択し、Next をクリックします。

    peap-ias-25.gif

  17. デフォルトのゲートウェイ ルータがある場合は、Router(Default Gateway)ページでそのゲートウェイ ルータの IP アドレスを指定し、Next をクリックします。

    peap-ias-26.gif

  18. Domain Name and DNS Servers ページで、先ほど設定したドメインの名前を入力します。この例では、Wireless.com を使用します。サーバの IP アドレスを入力します。Add をクリックします。

    peap-ias-27.gif

  19. Next をクリックします。

  20. WINS Server ページで Next をクリックします。

  21. Activate Scope ページで Yes, I want to activate the scope now を選択し、Next をクリックします。

    peap-ias-28.gif

  22. New Scope Wizard を終了するため、Finish をクリックします。

    peap-ias-29.gif

  23. DHCP Snapin ウィンドウで、作成した DHCP スコープがアクティブであることを確認します。

    peap-ias-30.gif

これで、サーバ上で DHCP/DNS がイネーブルになったので、サーバをエンタープライズの認証局(CA)サーバとして設定します。

Microsoft Windows 2003 Server の認証局(CA)サーバとしてのインストールと設定

EAP-MS-CHAPv2 を使用する PEAP は、サーバにある証明書に基づいて RADIUS サーバの検証を行います。また、クライアント コンピュータの信頼するパブリックな Certification Authority(CA)がサーバ証明書を発行する必要があります(つまり、パブリックな CA 証明書がクライアント コンピュータの証明書ストアの Trusted Root Certification Authority フォルダにすでに存在する必要があります)。この例では、Internet Authentication Service(IAS)へ証明書を発行する認証局(CA)として、Microsoft Windows 2003 Server を設定します。

サーバ上に証明書サービスをインストールして設定するには、次の手順を実行します。

  1. Control Panel で Add or Remove programs をクリックします。

  2. Add/Remove Windows components をクリックします。

  3. Certificate Services をクリックします。

    peap-ias-31.gif

  4. 警告メッセージ After Installing Certificate Services, the computer cannot be renamed and the computer cannot join or be removed from a domain. Do you want to continue? に対し、Yes をクリックします。

    peap-ias-32.gif

  5. Certificate Authority Type で Enterprise root CA を選択し、Next をクリックします。

    peap-ias-33.gif

  6. CA を識別する名前を入力します。この例では Wireless-CA を使用しています。Next をクリックします。

    peap-ias-34.gif

  7. 証明書データベース ストレージとして CertLog ディレクトリが作成されます。Next をクリックします。

    peap-ias-35.gif

  8. IIS が有効になっている場合は、これを停止してから次の手順に進む必要があります。IIS を停止させる必要があるという警告メッセージに対して OK をクリックします。CA がインストールされた後、自動的に再起動が行われます。

    peap-ias-36.gif

  9. Finish をクリックして、認証局(CA)サービスのインストールを完了します。

    peap-ias-37.gif

次の手順では、Microsoft Windows 2003 Server に Internet Authentication Service をインストールして設定します。

ドメインへのクライアントの接続

次の手順では、クライアントを有線ネットワークに接続させ、新しいドメインからドメイン固有の情報をダウンロードします。つまり、クライアントをドメインに接続させます。クライアントをドメインに接続させるは、次の手順を実行します。

  1. ストレート型のイーサネット ケーブルでクライアントを有線ネットワークに接続します。

  2. クライアントを起動し、そのクライアントのユーザ名/パスワードでログインします。

  3. StartRun の順にクリックし、cmd と入力して、OK をクリックします。

  4. コマンド プロンプトで ipconfig と入力し、Enter をクリックして、DHCP が正常に動作しクライアントが DHCP サーバから IP アドレスを受け取ったことを確認します。

  5. クライアントをドメインに参加させるため、My Computer を右クリックし、Properties を選択します。

  6. Computer Name タブをクリックします。

  7. Change をクリックします。

  8. Domain をクリックし、wireless.com と入力し、OK をクリックします。

    peap-ias-38.gif

  9. Username に Administrator と入力し、クライアントが参加するドメインのパスワードを入力します。(これはサーバ上での Active Directory の管理者アカウントです。)

    peap-ias-39.gif

  10. OK をクリックします。

    peap-ias-40.gif

  11. Yes をクリックしてコンピュータを再起動させます。

  12. コンピュータが再起動したら、次の情報を使用してログインします。ユーザ名 = Administrator、パスワード = <domain password>、ドメイン = Wireless

  13. My Computer を右クリックし、Properties をクリックします。

  14. Computer Name タブをクリックし、Wireless.com ドメインにいることを確認します。

    peap-ias-41.gif

  15. 次の手順では、クライアントがサーバから CA 証明書(信頼)を受信したことを確認します。

  16. StartRun の順にクリックし、mmc と入力して、OK をクリックします。

  17. File をクリックし、Add/Remove スナップインをクリックします。

    peap-ias-42.gif

  18. Add をクリックします。

  19. Certificate を選択し、Add をクリックしします。

    peap-ias-43.gif

  20. Computer Account を選択し、Next をクリックします。

    peap-ias-44.gif

  21. Finish をクリックして、デフォルトのローカル コンピュータを承認します。

    peap-ias-45.gif

  22. Close をクリックし、OK をクリックします。

  23. Certificates (Local Computer)Trusted Root Certification Authorities の順に展開し、Certificates をクリックします。リストから Wireless を探します。

    peap-ias-46.gif

  24. 別のクライアントをさらにドメインに追加するには、この手順を繰り返します。

Microsoft Windows 2003 Server での Internet Authentication Service のインストールと証明書の要求

この設定では、PEAP 認証を使用してワイヤレス クライアントを認証するために、Internet Authentication Service(IAS)を RADIUS サーバとして使用します。

次の手順を実行して、サーバ上に IAS をインストールして設定します。

  1. Control Panel で Add or Remove Programs をクリックします。

  2. Add/Remove Windows Components をクリックします。

  3. Networking Services を選択し、Details をクリックします。

  4. Internet Authentication Service を選択し、OK をクリックし、Next をクリックします。

    peap-ias-47.gif

  5. Finish をクリックして、IAS のインストールを完了します。

    peap-ias-48.gif

  6. 次の手順では、Internet Authentication Service(IAS)に対応するコンピュータの証明書をインストールします。

  7. StartRun の順にクリックし、mmc と入力して、OK をクリックします。

    peap-ias-49.gif

  8. ファイル メニューで Console をクリックし、Add/Remove スナップインを選択します。

  9. Add をクリックし、スナップインを追加します。

    peap-ias-50.gif

  10. スナップインのリストから Certificates を選択し、Add をクリックしします。

    peap-ias-51.gif

  11. Computer account を選択し、Next をクリックします。

    peap-ias-52.gif

  12. Local computer を選択し、Finish をクリックします。

    peap-ias-53.gif

  13. Close をクリックし、OK をクリックします。

  14. Certificates (Local Computer) を展開し、Personal folder を右クリックし、All tasksRequest New Certificate の順に選択します。

    peap-ias-54.gif

  15. Welcome to the Certificate Request WizardNext をクリックします。

    peap-ias-55.gif

  16. Domain Controller 証明書テンプレートを選択し(DC 以外のサーバでコンピュータ証明書を要求する場合は Computer 証明書テンプレートを選択し)、Next をクリックします。

    peap-ias-56.gif

  17. 証明書の名前と説明を入力します。

    peap-ias-57.gif

  18. Finish をクリックして、証明書要求ウィザードを完了します。

    peap-ias-58.gif

    peap-ias-59.gif

Internet Authentication Service での PEAP-MS-CHAP v2 認証の設定

IAS をインストールし、IAS の証明書を要求できたので、IAS に認証の設定を行います。

次の手順を実行します。

  1. Start > Programs > Administrative Tools の順にクリックしてから、Internet Authentication Service スナップインをクリックします。

  2. Internet Authentication Service (IAS) を右クリックし、Register Service in Active Directory をクリックします。

    peap-ias-60.gif

  3. Register Internet Authentication Service in Active Directory ダイアログボックスが表示されるので、OK をクリックします。これで、IAS が Active Directory 内のユーザを認証できるようになります。

    peap-ias-61.gif

  4. 次のダイアログ ボックスで OK をクリックします。

    peap-ias-62.gif

  5. MS IAS サーバに、ワイヤレス LAN コントローラを AAA クライアントとして追加します。

  6. RADIUS Clients 右をクリックし、New RADIUS Client を選択します。

    peap-ias-63.gif

  7. クライアント名(ここでは WLC)を入力し、WLC の IP アドレスを入力します。Next をクリックします。

    peap-ias-64.gif

  8. 次のページの Client-Vendor で RADIUS Standard を選択し、共有秘密鍵を入力し、Finish をクリックします。

  9. WLC が AAA クライアントとして IAS に追加されていることに注意してください。

    peap-ias-65.gif

  10. クライアントのリモート アクセス ポリシーを作成します。

  11. そのためには、Remote Access Policies を右クリックし、New Remote Access Policy を選択します。

    peap-ias-66.gif

  12. リモート アクセス ポリシー名を入力します。この例では、PEAP という名前を使用します。次に Next をクリックします。

    peap-ias-67.gif

  13. 要件に応じてポリシーの属性を選択します。この例では、Wireless を選択します。

    peap-ias-68.gif

  14. 次のページで User を選択し、このリモート アクセス ポリシーをユーザのリストに適用します。

    peap-ias-69.gif

  15. Authentication Methods で、Protected EAP (PEAP) を選択し、Configure をクリックします。

    peap-ias-70.gif

  16. Protected EAP Properties ページで、Certificate Issued ドロップダウン メニューから該当する証明書を選択し、OK をクリックします。

    peap-ias-71.gif

  17. リモート アクセス ポリシーの詳細を確認し、Finish をクリックします。

    peap-ias-72.gif

  18. リモート アクセス ポリシーがリストに追加されました。

    peap-ias-73.gif

  19. ポリシーを右クリックして、Properties をクリックします。If a connection request matches the specified conditions の下で Grant remote access permission を選択します。

    peap-ias-74.gif

Active Directory へのユーザの追加

この設定では、Active Directory にユーザ データベースが維持されます。

Active Directory のデータベースにユーザを追加するには、次の手順を実行します。

  1. Active Directory Users and Computers コンソール ツリーで、Users を右クリックし、New をクリックして、User をクリックします。

    peap-ias-75.gif

  2. New Object – User ダイアログ ボックスで、ワイヤレス ユーザの名前を入力します。この例では、First name フィールドに Client 1、User logon name フィールドに Client 1 を使用しています。Next をクリックします。

    peap-ias-76.gif

  3. New Object – User ダイアログ ボックスで、Password および Confirm password フィールドに任意のパスワードを入力します。User must change password at next logon チェック ボックスのチェックをはずし、Next をクリックします。

    peap-ias-77.gif

  4. New Object – User ダイアログ ボックスで、Finish をクリックします。

    peap-ias-78.gif

  5. 追加のユーザ アカウントを作成するには、手順 2 〜 4 を繰り返します。

ユーザへのワイヤレス アクセスの許可

次の手順を実行します。

  1. Active Directory Users and Computers コンソール ツリーで、Users フォルダをクリックし、WirelessUser を右クリックして、Properties をクリックし、Dial-in タブに移動します。

  2. Allow access を選択し、OK をクリックします。

    peap-ias-79.gif

Wireless LAN Controller と Lightweight AP の設定

次に、この設定に合せてワイヤレス デバイスを設定します。これには、Wireless LAN Controller(WLC)、Lightweight AP、およびワイヤレス クライアントの設定が含まれます。

MS IAS RADIUS サーバで RADIUS 認証を行うための WLC の設定

まず、MS IAS を認証サーバに使用するように WLC を設定します。ユーザ クレデンシャルを外部 RADIUS サーバに転送するには、WLC を設定する必要があります。そうすると、外部 RADIUS サーバは、ユーザのクレデンシャルを検証し、ワイヤレス クライアントにアクセス権を付与します。そのためには、Security > RADIUS Authentication ページで MS IAS サーバを RADIUS サーバとして追加します。

次の手順を実行します。

  1. コントローラの GUI から SecurityRADIUS Authentication を選択して、RADIUS Authentication Servers ページを表示します。次に、New をクリックして、新しい RADIUS サーバを定義します。

    peap-ias-80.gif

  2. RADIUS Authentication Servers > New ページで RADIUS サーバのパラメータを定義します。これらのパラメータには、RADIUS Server IP Address、Shared Secret、Port Number、Server Status などがあります。Network User チェック ボックスと Management チェック ボックスでは、管理ユーザとネットワーク ユーザに RADIUS ベースの認証を適用するかどうかを指定します。この例では、MS IAS を 10.77.244.198 という IP アドレスを持つ RADIUS サーバとして使用しています。

    peap-ias-81.gif

  3. Apply をクリックします。

  4. MS IAS サーバが Radius サーバとして WLC に追加され、ワイヤレス クライアントの認証に使用できるようになりました。

WLAN でのクライアントの設定

ワイヤレス クライアントの接続先の SSID(WLAN)を設定します。この例では、PEAP という名前の SSID を作成します。

クライアントが EAP ベースの認証(ここでは PEAP-MSCHAPv2)を実行し、AES を暗号化メカニズムとして使用するように、レイヤ 2 認証に WPA2 を定義します。他の値はすべてデフォルトのままにします。

注:このドキュメントでは、WLAN を管理インターフェイスにバインドしています。ネットワークに複数の VLAN がある場合、独立した VLAN を作成してそれを SSID にバインドすることができます。WLC に VLAN を設定する方法については、『無線 LAN コントローラでの VLAN の設定例』を参照してください。

WLC に WLAN を設定するには、次の手順を実行します。

  1. コントローラの GUI で WLANs をクリックして、WLANs ページを表示します。このページには、コントローラに存在する WLAN の一覧が表示されます。

  2. 新しい WLAN を作成するには、New をクリックします。WLAN の WLAN ID と WLAN SSID を入力し、Apply をクリックします。

    peap-ias-82.gif

  3. 新しい WLAN を作成すると、新しい WLAN の WLAN > Edit ページが表示されます。このページでは、General Policies、RADIUS Servers、Security Policies、802.1x Parameters など、その WLAN に固有のさまざまなパラメータを定義できます。

    peap-ias-90.gif

  4. WLAN を有効にするには、General Policies の下の Admin Status にチェックマークを入れます。AP にビーコン フレームで SSID をブロードキャストさせる場合は、Broadcast SSID にチェックマークを入れます。

  5. Layer 2 Security で、WPA1+WPA2 を選択します。これで、WLAN で WPA が有効になります。ページを下にスクロールし、WPA policy を選択します。この例では、WPA2 と AES 暗号化を使用しています。RADIUS Servers のプルダウン メニューから、適切な RADIUS サーバを選択します。この例では、10.77.244.198(MS IAS サーバの IP アドレス)を使用しています。他のパラメータは、WLAN ネットワークの要件に基づいて変更できます。

    peap-ias-91.gif

  6. Apply をクリックします。

    peap-ias-92.gif

ワイヤレス クライアントの設定

ワイヤレス クライアントでの PEAP-MS-CHAP v2 認証の設定

次の例では、Cisco Aironet Desktop Utility(ADU)を使用してワイヤレス クライアントを設定する方法について説明しています。クライアント アダプタの設定を行う前に、使用するファームウェアとユーティリティのバージョンが最新であることを確認してください。最新バージョンのファームウェアとユーティリティは、Cisco.com の Wireless ダウンロード ページにあります。

ADU で Cisco Aironet 802.11a/b/g ワイヤレス クライアント アダプタを設定するには、次の手順を実行します。

  1. Aironet Desktop Utility を開きます。

  2. Profile Management をクリックし、New をクリックしてプロファイルを定義します。

  3. General タブでプロファイル名と SSID を入力します。この例では、WLC に設定した SSID(PEAP)を使用します。

    peap-ias-85.gif

  4. Security タブを選択し、WPA/WPA2/CCKM を選択して、WPA/WPA2/CCKM EAP type で PEAP [EAP-MSCHAPv2] と入力し、Configure をクリックします。

    peap-ias-93.gif

  5. Validate Server Certificate を選択し、Trusted Root Certificate Authorities ドロップダウン メニューで Wireless-CA を選択します。

    peap-ias-88.gif

  6. OK をクリックし、プロファイルを有効にします。

    注:Protected EAP-Microsoft Challenge Handshake Authentication Protocol version 2(PEAP-MSCHAPv2; 保護された EAP-Microsoft チャレンジ ハンドシェーク認証プロトコル)を Microsoft XP SP2 で使用していて、ワイヤレス カードを Microsoft Wireless Zero Configuration(WZC)で管理する場合には、Microsoft のホットフィックス KB885453 を適用する必要があります。このホットフィックスにより、PEAP ファスト レジュームに関連した認証上のいくつかの問題が防止されます。

確認とトラブルシューティング

設定が期待通りに動作することを確認するには、ワイヤレス クライアント Client1 上のプロファイル PEAP-MSCHAPv2 を有効にします。

peap-ias-94.gif

プロファイル PEAP-MSCHAPv2 が ADU 上で有効になると、クライアントでは 802.11 オープン認証が実行され、次に PEAP-MSCHAPv2 認証が実行されます。PEAP-MSCHAPv2 認証の成功例を次に示します。

発生するイベントのシーケンスを理解するには、デバッグ コマンドを使用します。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ワイヤレス LAN コントローラでの次のデバッグ コマンドが有用です。

  • debug dot1x events enable:802.1x イベントのデバッグを設定

  • debug aaa events enable:AAA イベントのデバッグを設定

  • debug mac addr <mac address>:MAC のデバッグを設定、debug mac コマンドを使用

  • debug dhcp message enable:DHCP エラー メッセージのデバッグを設定

debug dot1x events enable コマンドと debug client <mac address> コマンドの出力例を次に示します。

debug dot1x events enable

Tue Dec 18 06:58:45 2007: 00:40:96:ac:e6:57 Received EAPOL START from 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:45 2007: 00:40:96:ac:e6:57 Sending EAP-Request/Identity to 
   mobile 00:40:96:ac:e6:57 (EAP Id 2)
Tue Dec 18 06:58:45 2007: 00:40:96:ac:e6:57 Received Identity Response (count=2) from 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 3)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 3, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 4)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 4, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 5)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 5, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 6)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 6, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 7)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 7, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 8)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 8, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 9)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 9, EAP Type 25)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 10)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 10, EAP Type 25)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 11)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 11, EAP Type 25)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 12)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 12, EAP Type 25)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Accept for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Creating a new PMK Cache 
   Entry for station 00:40:96:ac:e6:57 (RSN 0)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP-Success to 
   mobile 00:40:96:ac:e6:57 (EAP Id 13)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending default RC4 key to 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending Key-Mapping RC4 key to 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received Auth Success while in 
   Authenticating state for mobile 00:40:96:ac:e6:57

debug mac addr <MAC Address>

Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Association received from 
   mobile 00:40:96:ac:e6:57 on AP 00:0b:85:51:5a:e0
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 STA: 00:40:96:ac:e6:57 - 
   rates (8): 12 18 24 36 48 72 96 108 0 0 0 0 0 0 0 0
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN (20) 
   Change state to START (0)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 START (0) 
   Initializing policy
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 START (0) 
   Change state to AUTHCHECK (2)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 AUTHCHECK (2) 
   Change state to 8021X_REQD (3)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 8021X_REQD (3) 
   Plumbed mobile LWAPP rule on AP 00:0b:85:51:5a:e0
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Changing state for 
   mobile 00:40:96:ac:e6:57 on AP 00:0b:85:51:5a:e0 from Associated to Associated
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Stopping deletion of 
   Mobile Station: 00:40:96:ac:e6:57 (callerId: 48)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Sending Assoc Response to 
   station 00:40:96:ac:e6:57 on BSSID 00:0b:85:51:5a:e0 (status 0)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Changing state for 
   mobile 00:40:96:ac:e6:57 on AP 00:0b:85:51:5a:e0 from Associated to Associated
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 Removed NPU entry.
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 dot1x - moving 
   mobile 00:40:96:ac:e6:57 into Connecting state
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Sending EAP-
   Request/Identity to mobile 00:40:96:ac:e6:57 (EAP Id 1)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Received EAPOL START from 
   mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 EAP State update from 
   Connecting to Authenticating for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 dot1x - 
   moving mobile 00:40:96:ac:e6:57 into Authenticating state
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=3) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 3)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 3, EAP Type 25)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=4) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 4)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 4, EAP Type 25)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=5) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 5)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 5, EAP Type 25)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=6) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 6)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 9, EAP Type 25)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=10) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 10)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 10, EAP Type 25)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=11) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 11)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 11, EAP Type 25)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Processing Access-Accept for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Creating a new PMK Cache Entry for station 00:40:96:ac:e6:57 (RSN 0)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending EAP-Success to mobile 00:40:96:ac:e6:57 (EAP Id 12)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending default RC4 key to mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending Key-Mapping RC4 key to mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 
   8021X_REQD (3) Change state to L2AUTHCOMPLETE (4)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 
   L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:0b:85:51:5a:e0
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 
   L2AUTHCOMPLETE (4) Change state to RUN (20)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN 
   (20) Reached PLUMBFASTPATH: from line 4041
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN 
   (20) Replacing Fast Path rule
  type = Airespace AP Client
  on AP 00:0b:85:51:5a:e0, slot 0, interface = 2
  ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN (20) 
  Card = 0 (slot 0), InHandle = 0x00000000, 
   OutHandle = 0x00000000, npuCryptoFlag = 0x0000
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN 
   (20) Successfully plumbed mobile rule (ACL ID 255)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN 
   (20) Reached RETURN: from line 4041
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Entering Backend 
   Auth Success state (id=12) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Received Auth Success 
   while in Authenticating state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 dot1x - 
   moving mobile 00:40:96:ac:e6:57 into Authenticated state

注:PEAP 認証のために、Cisco Secure ACS での認証に Microsoft Supplicant を使用する場合、クライアントの認証がうまくいかない可能性があります。最初の接続は正しく認証されるのに、後続の高速接続の認証でうまく接続が行われません。これは既知の問題です。この問題の詳細と修正方法はここ leavingcisco.com から利用できます。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 100397