セキュリティ : Cisco Secure Access Control Server for Windows

NAC: ACS を使用する LDAP 統合の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2012 年 11 月 28 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、MAB 用に設定されたシスコ デバイスを有効にするようにビーコンおよび ACS を設定するための設定手順の例を示します。このように設定することで、802.1X 以外に対応するデバイスを認証済みネットワーク内で効果的かつ効率的に認証できます。

シスコ製スイッチには、MAC 認証バイパス(MAB)と呼ばれる機能が実装されています。802.1X を介して認証できない、802.1X 対応のネットワーク内のエンドポイントに適応するには、この MAB 機能と ACS でのサポートが必要です。 この機能は、802.1X 対応のネットワークに接続を試行し、802.1X 機能を備えていない(たとえば、ファンクショナル 802.1X サプリカントがない)エンドポイントが、アドミッションの前に認証され、その接続全体に基本ネットワーク使用ポリシーが適用されるように保証します。

MAB では、識別されたデバイスが 802.1X プロトコルに加わることができない場合に、MAC アドレスをプライマリ クレデンシャルとして使用することをそのデバイスに許可するようにネットワークを設定できます。 MAB を効果的に導入し、活用するためには、環境には 802.1X 認証が行えないデバイスを識別し、これらのデバイスの移動、追加、および変更に関する最新のデータベースを管理する方法が必要となります。 デバイスが、MAC による認証が完了しどの時点でも有効であるように保証するには、このリストを手動で、またはいくつかの代替手段を通じて、認証サーバ(ACS)に登録し管理する必要があります。

ビーコン エンドポイント プロファイラは、エンドポイント プロファイリングおよび動作監視機能によって、認証されていないエンドポイントとその中で 802.1X サプリカントを保持していないエンドポイントの識別、およびさまざまな規模のネットワーク内におけるこれらのエンドポイントの有効性の管理を自動化できます。 ビーコン システムは、標準の LDAP インターフェイスを通じて、MAB を介して認証されるエンドポイントの外部データベースまたはディレクトリとして機能できます。 MAB 要求がエッジ インフラストラクチャから受信されると、ACS はビーコン システムにクエリして、ビーコンが把握している最新情報に基づいて特定のエンドポイントのネットワークへの加入を許可すべきかどうかを判断し、手動設定が必要となるのを防ぐことができます。

NAC: ACS 5.x 以降を使用した LDAP 統合の設定例」では、さらなる詳細と ACS 5.x 以降を使用した同様の設定例を確認できます。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • 12.2(25)SEE2 を実行する Cisco 3750 スイッチ

  • Cisco Secure Access Control Server for Windows 4.1

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

MAB は、802.1X 導入以降の環境でプリンタ、IP Phone、ファクス機、およびその他の 802.1X 非対応のデバイスを動的にサポートするために不可欠な機能です。 MAB 機能がない場合は、802.1X 認証を試行しないように静的に、またはかなり限定されたポリシー オプションを提供するその他の機能を使用して、802.1X 非対応のエンドポイントに接続を提供するネットワーク アクセス ポートをプロビジョニングする必要があります。 明らかに、これでは大規模なエンタープライズ環境において本質的に拡張性に欠けています。 すべてのアクセス ポートにおいて MAB と 802.1X を組み合わせて使用すると、802.1X 非対応のエンドポイントを環境内の任意の場所に移動でき、信頼できる(セキュリティで保護された)ネットワークへの接続を維持できます。 ネットワークに加入したデバイスは認証されるため、デバイスごとに異なるポリシーを適用できます。

さらに、訪問者や契約作業員が所有するラップトップなどの環境内で把握されていない 802.1X 非対応のアンドポイントにも、必要な場合は、限定されたネットワークへのアクセス権を提供できます。

名前が示すとおり、MAC 認証バイパスは、エンドポイントの MAC アドレスをプライマリ クレデンシャルとして使用します。 アクセス ポートで MAC 認証バイパスを有効にすると、エンドポイントが接続し 802.1X 認証チャレンジへの応答に失敗した場合、ポートは MAB モードに復帰します。 エンドポイントの MAB を試行したスイッチは、ステーションの MAC を使用して ACS への標準 RADIUS 要求を作成します。 その後、ネットワークへの接続を試行し、エンドポイントがネットワークにアドミッションする前に、ACS にエンドポイントの認証を要求します。

設定

フローチャート図

シスコのドキュメントから流用したこのフローチャートは、新しいエンドポイントがネットワークへ接続試行するために、シスコ エッジ インフラストラクチャで MAB と 802.1X 認証をどのように組み合わせて使用するかを示しています。

このドキュメントでは、このフローチャートのワークフローを使用します。

図 1: 認証フロー

nac-ldap-acs-config-01.gif

ACS は、MAC アドレス ユーザ要求を認証するために、専用の内部データベースまたは外部 LDAP サーバのいずれかを使用するように設定できます。 ビーコン エンドポイント プロファイラはデフォルトで十分に LDAP に対応しているため、ACS はこれを使用して標準 LDAP 機能を通じて MAC アドレス ユーザ要求を認証できます。 ビーコンは、ネットワーク上のエンドポイントの検出とプロファイリングを自動化するため、ACS はその MAC のネットワークへの加入を許可すべきかどうか、さらにどのエンドポイント グループに割り当てるべきかを判断するために LDAP を介してビーコンにクエリできます。 これにより、MAC 認証バイパスは大幅に自動化され強化されるため、特に大規模なエンタープライズ環境において有用です。

ビーコンが提供する動作監視機能を通じて、MAB 対応のプロファイルに反した動作が監視されたデバイスは、4 つの LDAP 対応プロファイルから移行され、その後、次回の定期的な再認証試行に失敗します。

MAB 用のビーコン エンドポイント プロファイラ システムの設定

MAB をサポートするために ACS との統合をビーコン システムに設定するのは、デフォルトで LDAP 機能が有効なため簡単に実行できます。 主な設定タスクは、環境内で MAB 認証する必要のあるエンドポイントを含むプロファイルを識別し、これらのプロファイルを LDAP 対応にすることです。 通常、ビーコン プロファイル(組織が所有するデバイスを含む)には、802.1X を介して認証できないことがわかっているポートで確認した際にネットワーク アクセスが提供されています。 これらは、一般的な例としてプリンタ、IP Phone、管理可能 UPS などが含まれるプロファイルです。

たとえば、ビーコンによってプロファイルされたプリンタが Printers という名前のプロファイルに含まれ、IP Phone が IP Phones という名前のプロファイルに含まれる場合、それらのプロファイルに含まれるエンドポイントが MAB を通じて環境内の既知の IP Phone とプリンタとして正常に認証されるように、これらのプロファイルを LDAP に対して有効にする必要があります。 プロファイルを LDAP に対して有効にする場合は、この例に示すように、エンドポイント プロファイル設定で [LDAP] オプション ボタンを選択する必要があります。

図 2: プロファイルの LDAP に対する有効化

nac-ldap-acs-config-02.gif

ACS が LDAP を通じてビーコンに対する MAC 認証を代理実行する場合、クエリは 2 つのサブクエリから構成され、どちらも有効なヌル以外の結果を返す必要があります。 ビーコンへの最初のクエリでは、MAC がビーコンにとって既知かどうか、たとえば、それが検出されビーコン データベースに追加されているかどうかを確認します。 まだエンドポイントがビーコンによって検出されていない場合は、エンドポイントは不明と見なされます。 2 番目のクエリは、ビーコンが未検出のエンドポイントの場合は、データベースに存在しないため必要ありません。 エンドポイントが検出済みでビーコン データベースに存在する場合は、次のクエリでエンドポイントの現在のプロファイルを判別します。 エンドポイントがまだプロファイルされていないか、LDAP に対して有効な 5 以外のプロファイルに含まれる場合は、不明な結果が ACS に返され、ビーコンによるエンドポイントの認証は失敗します。 結果としてデバイスのネットワークへのアクセスが拒否されるか、不明またはゲスト デバイスに適したポリシーが適用されるかは、ACS の設定方法によって決まります。

MAC がビーコンによって検出され LDAP 対応プロファイルに含まれるエンドポイントである場合のみ、エンドポイントはビーコンによって既知でプロファイルされているという応答が ACS に返されます。 最も重要な点は、これらのエンドポイント場合、ビーコンが現在のプロファイル名を提供しているため、ACS は既知のエンドポイントを Cisco SecureAccess グループに割り当てることができます。 これによって、必要に応じて、ビーコン LDAP 対応プロファイルごとに個別のポリシーと同様のきめ細かさでポリシーを判別できます。

MAB 用の ACS 設定と外部ユーザ データベースとしてのビーコンの使用

MAB 用に ACS を設定し、ビーコンを外部ユーザ データベースとして使用するには、3 つの個別の手順を実行する必要があります。 このドキュメントで示す順序は MAB 設定全体を実行する際に効率的なワークフローに準じてしますが、すでに設定されたその他の認証モードが稼働しているシステムでは異なる場合があります。

Cisco SecureGroup の設定

前述のとおり、ネットワークへ接続しようとしている特定のエンドポイントに対して MAB を試行すると、ACS は、ビーコンがその MAC を検出済みであるか、ビーコンがどのプロファイルにその MAC アドレスを含めているかを判別するために、LDAP 上のビーコンにクエリします。

ACS とともに Cisco SecureGroup メカニズムが、MAB を通じてビーコンによって検出されプロファイルされたエンドポイントの認証とポリシーの適用、およびビーコンによって把握されておらず現在プロファイルされていないデバイスの認証の失敗の両方に使用されます。

たとえば、ACS 設定で、ビーコンによって検出されプロファイルされたエンドポイントの場合は BeaconKnownDevices と呼ばれるグループを追加し、ビーコンによって現在把握されていないデバイスの場合は別のグループ BeaconUnknownDevices を追加することができます。 ビーコンはその MAC を検出していないか、または現在 LDAP 対応のプロファイルにそれをプロファイリングしていません。 このドキュメントで後述しますが、グループによって、エンドポイントがネットワークへの接続を試行したときにポリシーを適用できます。

このドキュメントで概説する例では、BeaconKnown と BeaconUnknown の 2 つのグループだけが設定されています。 ただし、ビーコンによって検出およびプロファイルされたエンドポイント用に複数の SecureGroup を作成したり、ビーコン内の LDAP 対応プロファイルごとに 1 つずつ作成したりすることができ、それぞれに VLAN 割り当てなどの異なるポリシー パラメータを指定できます。 さらに、BeaconUnkown デバイス グループを設定し、6 ビーコンによってまだ検出されておらず LDAP 対応プロファイルに含められていないエンドポイントに対してすべてのアクセスを拒否することもできます。 これは、BeaconUnknownDevices グループ設定ウィンドウのパラメータで、[Group Disabled] チェックボックスをオンにすることで実行できます。

ACS でのグループの作成は、ACS インターフェイスの [Group Setup] ボタンの選択で開始されます。 使用可能なグループのいずれかを選択し、さらに [Rename Group] ボタンを選択して、この例に示すように、グループ名を KnownBeaconDevices に変更します。 [Submit] をクリックして変更を保存します。

図 3: Cisco SecureGroup の設定

nac-ldap-acs-config-03.gif

[Edit Settings] を選択して、グループの設定を編集します。 必要に応じて、BeaconKnownDevices グループのパラメータを編集します。 このドキュメントの例の目的では、変更するグループ パラメータはページ下部の IETF Radius 属性だけです。

特に、このグループ(ビーコンによって MAB 用に選択され LDAP 対応のプロファイルにプロファイリングされた MAC アドレス)に対して認証されるデバイスは、適切な VLAN 上のネットワークへのエンドポイントのアドミッションを有効にするために認証スイッチに返されるポリシー パラメータを持つように指定します。 これを実行するには、図 4 に示すとおり、エンドポイントが必要な VLAN に配置されるように、RADIUS 属性 064 Tunnel-Type、065 Tunnel-Medium-Type、および 081 Tunnel-Private-Group-ID を設定します。

各 RADIUS 属性の横にあるチェックボックスがオンになっていることを確認します。

図 4: グループ VLAN 属性

nac-ldap-acs-config-04.gif

ここで示す例では、ビーコンによって認証され ACS BeaconKnownDevices グループに割り当てられたエンドポイントは、ネットワークへの接続時に VLAN 10(例のネットワーク設定で許可された VLAN)に配置され、ビーコンを外部ユーザ データベースとして使用する ACS によって正常に MAB 認証されます。

同様に、示されるとおり、ビーコンによって現在は把握されていないデバイス用に BeaconUnknownDevices グループが作成されています。 これらのデバイスにネットワークへのアクセス権を付与しない場合は、フォーム上部の [Group Disabled] チェックボックスをオンにします。 ビーコンによって未検出で、現在ビーコンによって LDAP 対応プロファイルにプロファイリングされていないエンドポイントは、MAB に失敗しネットワークに加入されません。

この図は、[Group Disabled] チェックボックスを使用する以外の代替の方法を示しています。 この場合、ビーコンが認証できないエンドポイントが有効なグループに割り当てられますが、既知のエンドポイントとは異なるポリシーが適用されます。 図 5 を参照してください。

図 5: BeaconUnknownDevices の VLAN パラメータ

/image/gif/paws/107285/nac-ldap-acs-config-05.gif

この例では、不明なデバイスはネットワークに加入されますが、ゲストまたは制限された VLAN(VLAN 7)に分類されます。 例のネットワークでは、VLAN 7 はゲスト VLAN で、エンドポイントはインターネットへのアクセスのみ許可され、内部リソースへのアクセスは禁止されます。

ACS は、ビーコンによって検出またはプロファイルされていないエンドポイントの MAC に認証をビーコンから要求されると、MAC をこのグループに入れ、その結果を MAB が有効な認証スイッチに返します。

ACS 外部ユーザ データベースの設定

ACS は、アクセス スイッチからビーコンへの MAB 要求を LDAP を介してプロキシするように設定する必要があります。 これには、ACS 設定にビーコン システムを汎用 LDAP 外部ユーザ データベースとして含める必要があります。 ここで概説する手順では、9 ビーコン エンドポイント プロファイラ システムを、ACS が MAB 要求を受信したときにクエリする外部ユーザ データベースとして追加する方法を示します。 グローバル ナビゲーション ペインで [External User Database] を選択し、図 6 に示す [External User Database] ウィンドウを表示します。

図 6: 外部 DB 設定メイン画面

/image/gif/paws/107285/nac-ldap-acs-config-06.gif

ビーコンをギア部ユーザ データベースとして設定する最初のタスクは、ビーコン システムを汎用 LDAP 外部ユーザ データベースとして追加することです。 [Database Configuration] を選択して、図 7 に示すウィンドウを表示します。

図 7: ACS 外部ユーザ データベースの設定

/image/gif/paws/107285/nac-ldap-acs-config-07.gif

[Generic LDAP] を選択し、ACS 設定でビーコン エンドポイント プロファイラ システムを外部ユーザ DB として追加するためのフォームを開きます。 汎用 LDAP タイプの新しい外部ユーザ データベース設定を作成できる以下のウィンドウが表示されます。

図 8: データベース設定の作成

nac-ldap-acs-config-08.gif

[Create New Configuration] ボタンを選択し、ビーコンの汎用 LDAP データベースを作成します。 以下のウィンドウが表示され、新しい外部データベースに名前を付けることができます。

図 9: ビーコン外部ユーザ データベースの命名

nac-ldap-acs-config-09.gif

設定内の他の外部データベースから簡単に見分けられるような、ビーコン汎用 LDAP 外部データベースの名前を入力します。 [Submit] を選択します。ビーコンデータベース情報を使用して MAC アドレスを認証する目的で、11 ACS とビーコン間の通信を有効にするために必須の LDAP パラメータのエントリに移動します。

図 10 は、ACS 設定に追加されるビーコン汎用 LDAP 外部ユーザ データベースに関して入力する必要のある一般的な LDAP 設定パラメータを示しています。 これらのパラメータは、LDAP を介してビーコンにクエリするために必要な情報を ACS に提供する点に注意してください。 ACS とビーコン エンドポイント プロファイラ間の通信を容易にするため、これらのパラメータはこの図に示すとおり正確に入力する必要があります。

図 10: ビーコンの一般的な LDAP 設定

/image/gif/paws/107285/nac-ldap-acs-config-10.gif

注: LDAP バインド パスワードには、パスワード GBSbeacon を使用してください。 パスワードは、図 11 に示すフォームの下部で入力します。

図 11: ビーコン サーバのパラメータ

nac-ldap-acs-config-11.gif

ビーコンを外部ユーザ データベースとして設定するための 2 番目のタスクは、不明なユーザのポリシーの設定です。 不明なユーザのポリシーによって、ACS は、自身のデータベースに情報がなく、MAC アドレスが MAB の対象であるユーザの認証要求を受信したときには、常にビーコン データベースをクエリします。

典型的な ACS 導入では、既存の外部ユーザ データベースを設定でき、不明なユーザ クレデンシャルが送信されたときにそれらのデータベースをクエリするようにすでに設定されています。 スイッチが個々の MAC アドレスの MAB を要求する場合は、ビーコン外部ユーザ データベースをクエリするために、それをリストに追加する必要があります。

以下の図は、不明なユーザのポリシーを設定し、外部ユーザ データベースをクエリするためにビーコンを追加するワークフローの概略を示しています。 ワークフローを開始するため、図 6 に示す [External User Database] ページで [Unknown User Policy] リンクを選択します。

図 12: 不明なユーザのポリシーの設定

/image/gif/paws/107285/nac-ldap-acs-config-12.gif

前の手順で ACS に追加したビーコン汎用 LDAP データベースを [External Databases] リストで選択し左へ移動します(例では、Beacon_Helium)。 [Selected Databases] へ移動するには [->] を使用します。 [Check the following external user databases] オプション ボタンが選択されていることを確認します。 これによって、スイッチが認証用の MAC アドレスを ACS に送信すると、ACS は必ずビーコンをクエリして、エンドポイントが既知であり、既知の場合は現在プロファイルを持っているかどうかを判別します。

ビーコンを外部ユーザ データベースとして追加するための最後の設定タスクは、データベース グループ マッピングを完了することです。 基本的にこのマッピングは、スイッチによって試行された各 MAB の結果、ACS によって,エンドポイントが CiscoSecure グループに割り当てられるように、作成された CiscoSecure グループ(たとえば、BeaconKnownDevices、BeaconUnknownDevices)とビーコンに対して作成され成功した LDAP クエリおよび失敗した LDAP クエリを相互に結合します。 これによって、ACS は、エンドポイントにネットワークへの加入を許可すべきかどうか、許可する場合はどのようなポリシー(VLAN 属性など)にするべきかを、スイッチに応答できます。

マッピングを設定するために、図 6 に示すメイン [External User Databases] ページで [Database Group Mappings] を選択します。

図 13: データベース グループ マッピング

nac-ldap-acs-config-13.gif

前の手順で作成したビーコン外部ユーザ データベース(前の例では、Beacon_Helium)をリンクとともに選択します。これにより、図 14 に示すウィンドウが表示されます。 これらの設定手順の最初のセクションで説明したとおり、ビーコン システム設定内の LDAP 対応のビーコン プロファイルはすべて、ACS 内でマッピングを作成するために選択可能な DS グループに分類されています。 LDAP 対応のビーコン プロファイルの名前が ACS インターフェイスで表示されない場合は、ACS LDAP 設定に問題があることを示しています。 このセクションの前に概説したビーコンを外部ユーザ データベースとして設定する手順、特に LDAP パラメータを参照してください。

これは、ビーコン内の個々の LDAP 対応プロファイルを ACS 内で設定された CiscoSecure グループにマッピングできるインターフェイスである点に注意してください。 このインターフェイスでは、個々のビーコン LDAP 対応プロファイルを単一の CiscoSecure グループにマッピングできます。 この例では、LDAP 対応ビーコン プロファイルで既知のデバイスに対して単一のグループ、 BeaconKnownDevices のみが作成されています。 ただし、デバイスの現在のビーコン プロファイルに応じて異なる方法で認証を正常に処理するために、それぞれ専用のポリシー パラメータを持つ複数のグループを作成することができます。

たとえば、BeaconKnownIPPhones の CiscoSecure グループを作成して、ネットワークに接続し MAB を通じて認証するときに、ビーコンの IP Phone プロファイル内のエンドポイントを電話 VLAN に割り当てる VLAN 属性を返すようにすることができます。

図 14: プロファイルとグループのマッピング

nac-ldap-acs-config-14.gif

DS グループ(LDAP 対応のビーコン プロファイル)を選択し、そのプロファイル内のエンドポイントをドロップダウン メニュー内の必要な CiscoSecure グループに割り当てます。 前出の例では、現在ビーコンの Apple ユーザ プロファイル内にある MAC アドレスは、MAB を介して認証され、BeaconKnownDevices に分類され、結果としてネットワークへ接続するときに認証に成功しユーザ VLAN に配置されます。

[Submit] を選択して、ビーコン外部ユーザ データベースに対して不明なユーザを認証するときの ACS の現在のグループ マッピングのリストを表示します。

図 15: グループ マッピングの一覧表示

nac-ldap-acs-config-15.gif

このビューには、前述の手順で明示的に作成されたマッピングがリストされています。 明示的にグループにマッピングされていない DS グループ(ビーコン LDAP 対応プロファイル)は、ビーコンが未検出または LDAP 対応プロファイルに含まれていないエンドポイントを含んでおり、他のすべての組み合わせの集合に分類されます。 基本的に、これによって、ビーコンが情報を提供できないエンドポイントを CiscoSecure グループ(たとえば、BeaconUnknownDevices)に含めることができます。 前述のとおり、このグループは、結果として MAB に失敗するように一括して無効にしたり、前出の例のように、ビーコンによって把握されていないエンドポイントには限定された接続のみを提供するように設計したりできます。

他のすべての組み合わせを CiscoSecure グループ(BeaconUnkownDevices)に割り当てることができます。[All other combinations] リンクをクリックすると以下のウィンドウが表示されます。

図 16: 他のすべての組み合わせへのグループの割り当て

/image/gif/paws/107285/nac-ldap-acs-config-16.gif

ネットワーク アクセス プロファイルの設定

ビーコン エンドポイント プロファイラ システムをプロキシとして使用するための MAB 用の ACS 設定で最後に必要な手順が、802.1X フォールバックに対応するようにネットワーク アクセス プロファイルを設定することです。 MAB が設定され以前に完了した設定に従って動作するように ACS 設定を完了するために、必要なネットワーク アクセス プロファイルを設定します。以下に概説する手順を実行してください。

追加するネットワーク アクセス プロファイルは、テンプレート プロファイルです。 グローバル ナビゲーション ページで、[Network Access Profiles] を選択します。 その後、[Add Template Profile] を選択すると、以下のフォームが表示されます。

図 17: テンプレート ネットワーク アクセス プロファイルの追加

/image/gif/paws/107285/nac-ldap-acs-config-17.gif

ネットワーク アクセス プロファイルに、他と区別しやすい名前を付け、必要に応じて説明を追加します。 このプロファイルのテンプレートは、ドロップダウン リストから選択されます。 Agentless Host for L2 (802.1x Fallback) が選択され [Active] チェックボックスがオンになっていることを確認します。 終了したら、[Submit] ボタンをクリックして、ネットワーク アクセス プロファイルを保存します。

[Submit] をクリックすると、以下のフォームが表示され、図に示すように、作成したプロファイルのパラメータを編集できます。

図 18: MAB 用 NAP の編集

nac-ldap-acs-config-18.gif

ビーコン システムをクレデンシャル検証データベースとして使用するため、新たに設定したプロファイルの認証ポリシーを設定する必要があります。 新たに作成したネットワーク アクセス プロファイル(例では、802.1x FallBack)の [Policies] 列の [Authenticatio] リンクを選択します。 以下のフォームが表示されます。

図 19: MAB 用データベースの選択

nac-ldap-acs-config-19.gif

最初に [Available Databases] テーブルからビーコン外部ユーザ データベースを選択し、[->] ボタンを使用して、それを [Selected Databases] に追加します。 フォームの [Authenticate MAC] セクションまでスクロール ダウンし、[LDAP Server] オプション ボタンを選択します。 ドロップダウン リストから [Beacon] を選択します。 最後に、次の図に示すように、デフォルト アクション用に [BeaconUnknownDevice] グループを選択します。

図 20: ビーコン LDAP サーバの指定

nac-ldap-acs-config-20.gif

この手順で、ビーコンを外部ユーザ データベースとして使用する MAC 認証バイパスに必要な ACS 設定は完了です。 すべての設定の変更を実行コンフィギュレーションにコミットするために、ACS サービスを再起動します。

スイッチが正しく設定されていれば、システムはいつでも MAB をテストできます。 現在 LDAP 対応ビーコン プロファイル内にあるエンドポイントはネットワークから切断して、BeaconKnownDevices グループに指定されたポリシー パラメータを使用して再度加入を許可することができます。

MAC 認証バイパス用のスイッチ設定

以下のスイッチ設定は、MAC 認証バイパスが有効な 802.1X 認証、および ACS から返された RADIUS 属性を適用するために必要な動的 VLAN 割り当ての設定例を示しています。

アクセス ポイント グループ
switch#show running-config 
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log datetime
service password-encryption
service sequence-numbers
!
!
aaa new-model
aaa authentication login default line
aaa authentication enable default enable
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
!
aaa session-id common
switch 1 provision ws-c3750g-24ts
ip subnet-zero
ip routing
no ip domain-lookup
!
!
!
!
!
!
dot1x system-auth-control
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
interface Port-channel1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,7,9,10
!
interface Port-channel2
description LAG/trunk to einstein
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,9,10
switchport mode trunk
!
interface Port-channel3
description "LAG to Edison"
switchport access vlan 5
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,9,11
switchport mode trunk
!
interface GigabitEthernet1/0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,7,9,10
channel-group 1 mode passive
!
interface GigabitEthernet1/0/2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,7,9,10
channel-group 1 mode passive
!
interface GigabitEthernet1/0/3
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,7,9,10
channel-group 1 mode passive
!
interface GigabitEthernet1/0/4
switchport access vlan 7
switchport mode access
!
interface GigabitEthernet1/0/5
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/6
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,7,9
switchport mode trunk
switchport nonegotiate
!
interface GigabitEthernet1/0/7
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,9,10
switchport mode trunk
channel-group 2 mode active
!
interface GigabitEthernet1/0/8
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,9,10
switchport mode trunk
channel-group 2 mode active
!
interface GigabitEthernet1/0/9
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/10
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/11
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/12
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/13
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/14
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/15
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/16
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/17
switchport access vlan 5
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,9,11
switchport mode trunk
channel-group 3 mode active
spanning-tree portfast
!
interface GigabitEthernet1/0/18
switchport access vlan 5
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,9,11
switchport mode trunk
channel-group 3 mode active
spanning-tree portfast
!
interface GigabitEthernet1/0/19
switchport mode access
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout quiet-period 10
dot1x timeout reauth-period 60
dot1x timeout tx-period 10
dot1x timeout supp-timeout 10
dot1x max-req 1
dot1x reauthentication
dot1x auth-fail max-attempts 1
spanning-tree portfast
!
interface GigabitEthernet1/0/20
switchport mode access
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout quiet-period 10
dot1x timeout reauth-period 60
dot1x timeout tx-period 10
dot1x timeout supp-timeout 10
dot1x max-req 1
dot1x reauthentication
dot1x auth-fail max-attempts 1
spanning-tree portfast
!
interface GigabitEthernet1/0/21
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/22
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/23
switchport access vlan 10
spanning-tree portfast
!
interface GigabitEthernet1/0/24
switchport access vlan 10
spanning-tree portfast
!
interface GigabitEthernet1/0/25
!
interface GigabitEthernet1/0/26
!
interface GigabitEthernet1/0/27
!
interface GigabitEthernet1/0/28
!
interface Vlan1
no ip address
shutdown
!
interface Vlan5
ip address 10.1.1.10 255.255.255.0
!
interface Vlan9
ip address 10.9.0.1 255.255.0.0
!
interface Vlan10
ip address 10.10.0.1 255.255.0.0
ip helper-address 10.1.1.1
ip helper-address 10.10.0.204
!
interface Vlan11
ip address 10.11.0.1 255.255.0.0
ip helper-address 10.1.1.1
ip helper-address 10.10.0.204
!
ip default-gateway 10.1.1.1
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.30.0.0 255.255.0.0 10.10.0.2
ip route 10.40.0.0 255.255.0.0 10.10.0.2
ip http server
ip http secure-server
!
!
snmp-server community public RW
snmp-server host 10.1.1.191 public
radius-server host 10.10.0.100 auth-port 1645 acct-port 1646 key 7
05090A1A245F5E1B0C0612
radius-server source-ports 1645-1646
!
control-plane
!
!
line con 0
password 7 02020D550C240E351F1B
line vty 0 4
password 7 00001A0803790A125C74
line vty 5 15
password 7 00001A0803790A125C74
!
end

確認

現在、この設定に使用できる確認手順はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 107285