ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

MS IAS Radius サーバでの Cisco Airespace VSA の設定例

2010 年 4 月 5 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 4 月 26 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
Airespace VSA 用の MS IAS の設定
      MS IAS の AAA クライアントとして WLC を 設定するには
      MS IAS でリモート アクセス ポリシーを設定するには
      設定例
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Cisco Airespace Vendor Specific Attributes(VSA)をサポートするための、Microsoft Internet Authentication Service(MS IAS)サーバの設定方法について説明します。Cisco Airespace VSA のベンダー コードは 14179 です。



前提条件

要件

この設定を試みる前に、次の要件が満たされていることを確認します。

  • MS IAS サーバの設定についての知識

  • Lightweight Access Point(LAP; Lightweight アクセス ポイント)および Cisco Wireless LAN Controller (WLC; ワイヤレス LAN コントローラ)の設定についての知識

  • Cisco Unified Wireless Security ソリューションについての知識



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • IAS がインストールされた Microsoft Windows 2000 サーバ

  • ソフトウェア バージョン 4.0.206.0 が稼動している Cisco 4400 WLC

  • Cisco 1000 シリーズ LAP

  • ファームウェア 2.5 が稼動する 802.11 a/b/g ワイヤレス クライアント アダプタ

  • Aironet Desktop Utility(ADU)バージョン 2.5

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

注:このドキュメントは、Cisco Airespace VSA をサポートするために必要な MS-IAS の設定を読者に例示することを目的としています。このドキュメントで説明している MS IAS サーバの設定は、ラボでテスト済みで、期待通りに動作することが確認されています。MS IAS サーバを設定するうえで問題が発生した場合は、Microsoft に連絡してください。Cisco TAC では、Microsoft Windows サーバの設定に関するサポートは行っていません。

このドキュメントでは、WLC では基本動作が設定されており、WLC に LAP が登録されていることを前提としています。WLC で LAP との基本動作を初めて設定する場合は、『ワイヤレス LAN コントローラ(WLC)への Lightweight AP(LAP)の登録』を参照してください。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



背景説明

一般的な WLAN システムでは、Service Set Identifier(SSID)に関連付けられたすべてのクライアントに適用されるスタティックなポリシーが各 WLAN に存在します。この方式は強力ですが、異なる QoS ポリシーやセキュリティ ポリシーを継承するために各クライアントを異なる SSID に関連付ける必要があるので、さまざまな制約があります。

ただし、Cisco Wireless LAN ソリューションでは、アイデンティティ ネットワーキングがサポートされています。この場合、ネットワーク上で 1 つの SSID のみをアドバタイズすることによって、特定のユーザがそれぞれのポリシーに基づいた異なる QoS ポリシーまたはセキュリティ ポリシーを継承できるようになります。特定のポリシーを制御するには、アイデンティティ ネットワーキングの次の機能を使用します。

  • Quality of Service(QoS):RADIUS Access Accept に含まれている場合、その QoS レベルの値によって、WLAN プロファイルに設定された QoS 値が上書きされます。

  • ACL:RADIUS Access Accept に、Access Control List(ACL;アクセス コントロール リスト)属性が含まれている場合、システムによって、認証後にクライアント ステーションに ACL 名が適用されます。これは、インターフェイスに割り当てられた ACL を上書きします。

  • VLAN:RADIUS Access Accept に VLAN Interface-Name または VLAN-Tag が含まれている場合、システムによって、クライアントが特定のインターフェイスに割り当てられます。

  • WLAN ID:RADIUS Access Accept に WLAN ID が含まれている場合、システムによって、認証後にクライアント ステーションに WLAN ID が適用されます。WLAN ID は、IPSec を除く、すべての認証のインスタンスの WLC によって送信されます。Web 認証では、WLC が AAA サーバからの認証応答で WLAN ID を受信したときに、WLAN の ID と一致しなかった場合には、認証は拒否されます。他のタイプのセキュリティ方式では、これは実行されません。

  • DSCP 値:RADIUS Access Accept に含まれる場合、WLAN プロファイルに設定された DSCP 値が上書きされます。

  • 802.1p タグ:RADIUS Access Accept に含まれる場合、WLAN プロファイルに設定されたデフォルト値が上書きされます。

注:サポートされている VLAN 機能は、MAC フィルタリング、802.1X、および Wi-Fi Protected Access(WPA)のみです。Web 認証または IPSec はサポートされていません。インターフェイス名に対応するために、オペレーティング システムのロカール MAC フィルタ データベースが拡張されています。その結果、ローカル MAC フィルタでは、クライアントに割り当てる必要があるインターフェイスを指定できるようになりました。別個の RADIUS サーバも使用できますが、Security メニューを使用して、その RADIUS サーバを定義する必要があります。

アイデンティティ ネットワーキングの詳細は、「ID ネットワーキングの設定」を参照してください。



Airespace VSA 用の MS IAS の設定

Airespace VSA 用に MS IAS を設定するには、次の手順に従います。

  1. MS IAS の AAA クライアントとして WLC を 設定するには

  2. MS IAS でリモート アクセス ポリシーを設定するには

注:VSA はリモート アクセス ポリシーに設定されます。



MS IAS の AAA クライアントとして WLC を 設定するには

WLC を MS IAS 上の AAA クライアントとして設定するには、次の手順に従います。

  1. [Programs] > [Administrative Tools] > [Internet Authentication Service] の順に選択し、Microsoft 2000 サーバ上で IAS を起動します。

    airespace-vsa-msias-config1.gif

  2. [Clients] フォルダを右クリックし、[New Client] を選択して、新しい RADIUS クライアントを追加します。

  3. [Add Client] ウィンドウで、クライアントの名前を入力し、プロトコルとして [RADIUS] を選択します。次に、[Next] をクリックします。

    この例では、クライアントの名前は WLC-1 です。

    注:デフォルトでは、プロトコルは RADIUS に設定されています。

    airespace-vsa-msias-config2.gif

  4. [Add RADIUS Client] ウィンドウで、クライアント IP アドレス、クライアントのベンダー、および秘密共有鍵を入力します。クライアント情報を入力したら、[Finish] をクリックします。

    この例では、クライアントの名前は WLC-1 であり、IP アドレスは 172.16.1.30、クライアントのベンダーは Cisco、秘密共有鍵は cisco123 と、それぞれ設定されています。

    airespace-vsa-msias-config3.gif

    この情報によって、IAS サーバの AAA クライアントとして、WLC-1 と名付けられた WLC が 追加されます。

    airespace-vsa-msias-config4.gif

次の手順では、リモート アクセス ポリシーを作成し、VSA を設定します。



MS IAS でリモート アクセス ポリシーを設定するには

次の手順に従って、MS IAS に新しいリモート アクセス ポリシーを作成します。

  1. [Remote Access Policies] を右クリックし、[New Remote Access Policy] を選択します。

    [Policy Name] ウィンドウが表示されます。

  2. ポリシーの名前を入力し、[Next] をクリックします。

    airespace-vsa-msias-config5.gif

  3. 次のウィンドウで、リモート アクセス ポリシーが適用される条件を選択します。[Add] をクリックし、条件を選択します。

    airespace-vsa-msias-config6.gif

  4. [Attribute types] メニューから、次の属性を選択します。

    • [Client-IP-Address]:AAA クライアントの IP アドレスを入力します。この例では、WLC から送信されるパケットにポリシーが適用されるように、WLC の IP アドレスが入力されています。

      airespace-vsa-msias-config7.gif

    • [Windows Groups]:ポリシーが適用される Windows グループ(ユーザグループ)を選択します。次に例を示します。

      airespace-vsa-msias-config8.gif

      airespace-vsa-msias-config9.gif

    この例では、2 つの条件が選択されています。さらに条件を増やすには、同じように条件を追加し、[Next] をクリックします。

    [Permissions] ウィンドウが表示されます。

  5. [Permissions] ウィンドウで、[Grant remote access permission] を選択します。

    このオプションを選択すると、(手順 2 で)指定された条件に一致するユーザには、アクセスが提供されます。

    airespace-vsa-msias-config10.gif

  6. [Next] をクリックします。

  7. 次の手順に従って、ユーザ プロファイルを設定します。

    条件に基づいて、アクセスを拒否または許可するユーザを指定した場合であっても、ユーザ単位でポリシーの条件が上書きされる場合には、従来どおりプロファイルを使用する必要があります。

    airespace-vsa-msias-config11.gif

    1. ユーザ プロファイルを設定するには、[User Profile] ウィンドウで、[Edit Profile] をクリックします。

      [Edit Dial-in Profile] ウィンドウが表示されます。

      airespace-vsa-msias-config12.gif

    2. [Authentication] タブをクリックし、WLAN に使用する認証方式を選択します。

      この例では、[Unencrypted Authentication (PAP,SPAP)] が選択されています。

      airespace-vsa-msias-config13.gif

    3. [Advanced] タブをクリックします。デフォルトのパラメータをすべて削除し、[Add] をクリックします。

      airespace-vsa-msias-config14.gif

    4. [Add Attributes] ウィンドウから、[Service-Type] を選択し、次のウィンドウで [Login] の値を選択します。

      airespace-vsa-msias-config15.gif

    5. 次に、RADIUS の属性リストから、[Vendor-Specific] を選択します。

      airespace-vsa-msias-config16.gif

    6. 次のウィンドウで、[Add] をクリックして、新しい VSA を追加します。

      [Vendor-Specific Attribute Information] ウィンドウが表示されます。

    7. [Specify network access server vendor] の下で、[Enter Vendor Code] を選択します。

    8. Airespace VSA のベンダー コードを入力します。Cisco Airespace VSA のベンダー コードは 14179 です。

    9. この属性は、RADIUS RFC の VSA 仕様に準拠しているため、[Yes. It conforms.] を選択します。

      airespace-vsa-msias-config17.gif

    10. [Configure Attribute] をクリックします。

    11. [Configure VSA (RFC compliant)] ウィンドウで、ベンダーに割り当てられる属性番号、属性の形式、および属性値を入力します。実際の値は、使用する VSA によって異なります。

      ユーザごとに、次のように WLAN-ID を設定します。

      • 属性名:Airespace-WLAN-Id

      • ベンダーに割り当てられる属性番号:1

      • 属性の形式:Integer/Decimal(整数/10 進数)

      • :WLAN-ID

      例 1

      airespace-vsa-msias-config18.gif

      ユーザごとに、次のように QoS を設定します。

      • 属性名:Airespace-QoS-Level

      • ベンダーに割り当てられる属性番号:2

      • 属性の形式:Integer/Decimal(整数/10 進数)

      • :0 - Silver、1 - Gold、2 - Platinum、3 - Bronze

      例 2

      airespace-vsa-msias-config19.gif

      ユーザごとに、次のように DSCP を設定します。

      • 属性名:Airespace-DSCP

      • ベンダーに割り当てられる属性番号:3

      • 属性の形式:Integer/Decimal(整数/10 進数)

      • :DSCP 値

      例 3

      airespace-vsa-msias-config20.gif

      ユーザごとに、次のように 802.1p タグを設定します。

      • 属性名:Airespace-802.1p-Tag

      • ベンダーに割り当てられる属性番号:4

      • 属性の形式:Integer/Decimal(整数/10 進数)

      • :802.1p-Tag

      例 4

      airespace-vsa-msias-config21.gif

      ユーザごとに、次のように VLAN を設定します。

      • 属性名:Airespace-Interface-Name

      • ベンダーに割り当てられる属性番号:5

      • 属性の形式:String(文字列)

      • :インターフェイス名

      例 5

      airespace-vsa-msias-config22.gif

      ユーザごとに、次のように ACL を設定します。

      • 属性名:Airespace-ACL-Name

      • ベンダーに割り当てられる属性番号:6

      • 属性の形式:String(文字列)

      • :ACL 名

      例 6

      airespace-vsa-msias-config23.gif

  8. VSA の設定が完了したら、[OK] をクリックします。やがて、ユーザ プロファイル ウィンドウが表示されます。

  9. [Finish] をクリックして、設定を完了します。

    リモート アクセス ポリシーの下に新しいポリシーが表示されています。

    airespace-vsa-msias-config24.gif



設定例

この例では、WLAN は Web 認証用に設定されています。ユーザは、MS IAS RADIUS サーバによって認証されます。RADIUS サーバは、ユーザごとに QoS ポリシーを割り当てるように設定されています。

airespace-vsa-msias-config25.gif

ウィンドウに表示されているように、Web 認証がイネーブルにされています。認証サーバは 172.16.1.1 で、WLAN では、AAA Override もイネーブルにされています。この WLAN のデフォルトの QoS は、Silver に設定されています。

IAS RADIUS サーバでは、RADIUS Access Accept 要求に Bronze の QoS 属性を返すように、リモート アクセス ポリシーが設定されています。これは、QoS 属性専用に VSA を設定するときに実施されます。

airespace-vsa-msias-config19.gif

MS IAS サーバでのリモート アクセス ポリシーの設定方法に関する詳細については、このドキュメントの「MS IAS でリモート アクセス ポリシーを設定するには」を参照してください。

MS IAS サーバで、このセットアップ用に WLC および LAP が設定されると、ワイヤレス クライアントでは、接続に Web 認証を使用できます。



確認

このセクションでは、設定が正常に動作していることを確認します。

ユーザが自分のユーザ ID とパスワードを使用して WLAN に接続するときに、WLC は MS IAS RADIUS サーバにクレデンシャルを渡します。サーバは、リモート アクセス ポリシーで設定された条件やユーザ プロファイルに基づいて、ユーザを認証します。ユーザ認証に成功した場合には、RADIUS サーバは、AAA Override 値も含む RADIUS Accept 要求を返します。この場合には、ユーザの QoS ポリシーが返されます。

認証中に発生するイベントのシーケンスを参照するために、debug aaa all enable コマンドを発行できます。次に出力例を示します。

(Cisco Controller) > debug aaa all enable
Wed Apr 18 18:14:24 2007: User admin authenticated 
Wed Apr 18 18:14:24 2007: 28:1f:00:00:00:00 Returning AAA Error 'Success' (0) for 
                          mobile 28:1f:00:00:00:00 
Wed Apr 18 18:14:24 2007: AuthorizationResponse: 0xbadff97c 
Wed Apr 18 18:14:24 2007:       structureSize................................70 
Wed Apr 18 18:14:24 2007:       resultCode...................................0 
Wed Apr 18 18:14:24 2007:       protocolUsed.................................0x00000008 
Wed Apr 18 18:14:24 2007:       proxyState...................................
                                28:1F:00:00:00:00-00:00 
Wed Apr 18 18:14:24 2007:       Packet contains 2 AVPs: 
Wed Apr 18 18:14:24 2007:           AVP[01] Service-Type.............................
                                    0x00000006 (6) (4 bytes) 
Wed Apr 18 18:14:24 2007:           AVP[02] Airespace / WLAN-Identifier..............
                                    0x00000000 (0) (4 bytes) 
Wed Apr 18 18:14:24 2007: User admin authenticated 
Wed Apr 18 18:14:24 2007: 29:1f:00:00:00:00 Returning AAA Error 'Success' (0) for mobile 29:1f:00:00:00:00 
Wed Apr 18 18:14:24 2007: AuthorizationResponse: 0xbadff97c 
Wed Apr 18 18:14:24 2007:       structureSize................................70 
Wed Apr 18 18:14:24 2007:       resultCode...................................0 
Wed Apr 18 18:14:24 2007:       protocolUsed.................................0x00000008 
Wed Apr 18 18:14:24 2007:       proxyState...................................29:1F:00:00:00:00-00:00 
Wed Apr 18 18:14:24 2007:       Packet contains 2 AVPs: 
Wed Apr 18 18:14:24 2007:           AVP[01] Service-Type.............................
                                    0x00000006 (6) (4 bytes) 
Wed Apr 18 18:14:24 2007:           AVP[02] Airespace / WLAN-Identifier..............
                                    0x00000000 (0) (4 bytes) 
Wed Apr 18 18:15:08 2007: Unable to find requested user entry for User-VLAN10 
Wed Apr 18 18:15:08 2007: AuthenticationRequest: 0xa64c8bc 
Wed Apr 18 18:15:08 2007:       Callback.....................................0x8250c40 
Wed Apr 18 18:15:08 2007:       protocolType.................................0x00000001 
Wed Apr 18 18:15:08 2007:       proxyState...................................
                                00:40:96:AC:E6:57-00:00 
Wed Apr 18 18:15:08 2007:       Packet contains 8 AVPs (not shown) 
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Successful transmission of Authentication Packet 
                          (id 26) to 172.16.1.1:1812, proxy state 00:40:96:ac:e6:57-96:ac 
Wed Apr 18 18:15:08 2007: 00000000: 01 1a 00 68 00 00 00 00 00 00 00 00 00 00 00 00 
                          ...h............ 
Wed Apr 18 18:15:08 2007: 00000010: 00 00 00 00 01 0d 55 73 65 72 2d 56 4c 41 4e 31 
                          ......User-VLAN1 
Wed Apr 18 18:15:08 2007: 00000020: 30 02 12 fa 32 57 ba 2a ba 57 38 11 bc 9a 5d 59 
                          0...2W.*.W8...]Y 
Wed Apr 18 18:15:08 2007: 00000030: ed ca 23 06 06 00 00 00 01 04 06 ac 10 01 1e 20 
                          ..#.............
Wed Apr 18 18:15:08 2007: 00000040: 06 57 4c 43 32 1a 0c 00 00 37 63 01 06 00 00 00 
                          .WLC2....7c.....
Wed Apr 18 18:15:08 2007: 00000050: 01 1f 0a 32 30 2e 30 2e 30 2e 31 1e 0d 31 37 32 
                          ...20.0.0.1..172 
Wed Apr 18 18:15:08 2007: 00000060: 2e 31 36 2e 31 2e 33 30 .16.1.30 
Wed Apr 18 18:15:08 2007: 00000000: 02 1a 00 46 3f cf 1b cc e4 ea 41 3e 28 7e cc bc 
                          ...F?.....A>(~..
Wed Apr 18 18:15:08 2007: 00000010: 00 e1 61 ae 1a 0c 00 00 37 63 02 06 00 00 00 03 
                          ..a.....7c...... 
Wed Apr 18 18:15:08 2007: 00000020: 06 06 00 00 00 01 19 20 37 d0 03 e6 00 00 01 37 
                          ........7......7 
Wed Apr 18 18:15:08 2007: 00000030: 00 01 ac 10 01 01 01 c7 7a 8b 35 20 31 80 00 00 
                          ........z.5.1... 
Wed Apr 18 18:15:08 2007: 00000040: 00 00 00 00 00 1b ...... 
Wed Apr 18 18:15:08 2007: ****Enter processIncomingMessages: response code=2 
Wed Apr 18 18:15:08 2007: ****Enter processRadiusResponse: response code=2 
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Access-Accept received from RADIUS server 172.16.1.1 for mobile 
00:40:96:ac:e6:57 receiveId = 0 
Wed Apr 18 18:15:08 2007: AuthorizationResponse: 0x9802520 
Wed Apr 18 18:15:08 2007:       structureSize................................114 
Wed Apr 18 18:15:08 2007:       resultCode...................................0 
Wed Apr 18 18:15:08 2007:       protocolUsed.................................0x00000001 
Wed Apr 18 18:15:08 2007:       proxyState...................................00:40:96:AC:E6:57-00:00 
Wed Apr 18 18:15:08 2007:       Packet contains 3 AVPs: 
Wed Apr 18 18:15:08 2007:           AVP[01] Airespace / QOS-Level....................
                                    0x00000003 (3) (4 bytes) 
Wed Apr 18 18:15:08 2007:           AVP[02] Service-Type.............................
                                    0x00000001 (1) (4 bytes) 
Wed Apr 18 18:15:08 2007:           AVP[03] Class.................................... 
                                    DATA (30 bytes)
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Applying new AAA override for station 00:40:96:ac:e6:57
Wed Apr 18 18:15:08 2007: 00:40:96:ac:e6:57 Override values for station 00:40:96:ac:e6:57 
           source: 48, valid bits: 0x3 
           qosLevel: 3, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 
           dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 
           vlanIfName: '', aclName: '
Wed Apr 18 18:15:12 2007: AccountingMessage Accounting Start: 0xa64c8bc 
Wed Apr 18 18:15:12 2007:       Packet contains 13 AVPs: 
Wed Apr 18 18:15:12 2007:           AVP[01] User-Name................................
                                    User-VLAN10 (11 bytes) 
Wed Apr 18 18:15:12 2007:           AVP[02] Nas-Port................................. 
                                    0x00000001 (1) (4 bytes) 
Wed Apr 18 18:15:12 2007:           AVP[03] Nas-Ip-Address........................... 
                                    0xac10011e (-1408237282) (4 bytes) 
Wed Apr 18 18:15:12 2007:           AVP[04] NAS-Identifier........................... 
                                    0x574c4332 (1464615730) (4 bytes) 
Wed Apr 18 18:15:12 2007:           AVP[05] Airespace / WLAN-Identifier..............
                                    0x00000001 (1) (4 bytes) 
Wed Apr 18 18:15:12 2007:           AVP[06] Acct-Session-Id..........................
                                    4626602c/00:40:96:ac:e6:57/16 (29 bytes) 
Wed Apr 18 18:15:12 2007:           AVP[07] Acct-Authentic........................... 
                                    0x00000001 (1) (4 bytes) 
Wed Apr 18 18:15:12 2007:           AVP[08] Tunnel-Type.............................. 
                                    0x0000000d (13) (4 bytes) 
Wed Apr 18 18:15:12 2007:           AVP[09] Tunnel-Medium-Type.......................
                                    0x00000006 (6) (4 bytes) 
Wed Apr 18 18:15:12 2007:           AVP[10] Tunnel-Group-Id..........................
                                    0x3230 (12848) (2 bytes) 
Wed Apr 18 18:15:12 2007:           AVP[11] Acct-Status-Type.........................
                                    0x00000001 (1) (4 bytes) 
Wed Apr 18 18:15:12 2007:           AVP[12] Calling-Station-Id.......................
                                    20.0.0.1 (8 bytes) 
Wed Apr 18 18:15:12 2007:           AVP[13] Called-Station-Id........................ 
                                    172.16.1.30 (11 bytes)

出力結果から、ユーザが認証されていることが確認できます。また、RADIUS の Accept メッセージとともに、AAA Override 値が返されています。この例では、ユーザには Bronze の QoS ポリシーが与えられています。

これは、WLC GUI でも同じように確認できます。次に例を示します。

airespace-vsa-msias-config26.gif

注:SSID のデフォルトの QoS プロファイルは Silver です。ただし、AAA Override が選択されており、MS IAS サーバで、ユーザが Bronze の QoS プロファイルに設定されているため、デフォルトの QoS は上書きされます。



トラブルシューティング

WLC で debug aaa all enable コマンドを使用すると、設定のトラブルシューティングを行うことができます。稼動中のネットワークにおけるこのデバッグの出力例は、このドキュメントの「確認」セクションで参照できます。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。



関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 91392