ワイヤレス : Cisco 5500 シリーズ ワイヤレス コントローラ

RADIUS サーバを使用した外部 Web 認証

2012 年 1 月 19 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2010 年 9 月 28 日) | フィードバック

RADIUS サーバを使用した外部 Web 認証

概要

このドキュメントでは、外部 RADIUS サーバを使用して、外部 Web 認証を実行する方法を説明します。



前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • Lightweight Access Point(LAP)および Cisco WLC の設定に関する基礎知識

  • 外部 Web サーバのセットアップ方法および設定方法に関する知識

  • Cisco Secure ACS の設定方法に関する知識



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア バージョン 5.0.148.0 が稼動する Wireless LAN Controller

  • Cisco 1232 シリーズ LAP

  • Cisco 802.11a/b/g ワイヤレス クライアント アダプタ 3.6.0.61

  • Web 認証ログイン ページをホストする外部 Web サーバ

  • ファームウェア バージョン 4.1.1.24 が稼動する Cisco Secure ACS のバージョン

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

external-web-radius-01.gif

このドキュメントで使用する IP アドレスは次のとおりです。

  • WLC には、IP アドレス 10.77.244.206 を使用

  • IP アドレス 10.77.244.199 で LAP を WLC に登録

  • Web サーバには、IP アドレス 10.77.244.210 を使用

  • Cisco ACS サーバには、IP アドレス 10.77.244.196 を使用

  • クライアントは、WLAN にマッピングされている IP アドレス 10.77.244.208 を管理インターフェイスから受信



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



外部 Web 認証

Web 認証は、インターネット アクセスのためにゲスト ユーザを認証するために使用されるレイヤ 3 認証メカニズムです。このプロセスを使用して認証されるユーザは、認証プロセスを正常に完了するまで、インターネットにアクセスできません。外部 Web 認証プロセスの詳細については、「ワイヤレス LAN コントローラを使用した外部 Web 認証の設定例」ドキュメントの「外部 Web 認証プロセス」セクションを参照してください。

このドキュメントでは、外部 RADIUS サーバを使用して外部 Web 認証を実行する設定例を参照します。



WLC の設定

このドキュメントでは、WLC がすでに設定されており、LAP が WLC に登録されていると想定しています。このドキュメントでは、さらに、基本動作用に WLC が設定されており、WLC に LAP が登録されていることを前提としています。WLC で LAP との基本動作を初めて設定する場合は、「ワイヤレス LAN コントローラ(WLC)への Lightweight AP(LAP)の登録」を参照してください。WLC に登録されている LAP を表示するために、[Wireless] > [All APs] に移動します。

WLC の基本動作用の設定を終えており、1 つ以上の LAP が登録されている場合は、外部 Web サーバを使用する外部 Web 認証用に WLC を設定できます。この例では、Cisco Secure ACS バージョン 4.1.1.24 を RADIUS サーバとして使用しています。まず、この RADIUS サーバ用に WLC を設定し、次に、このセットアップ用に Cisco Secure ACS 上で必要な設定を確認します。



Cisco Secure ACS 用の WLC の設定

WLC 上に RADIUS サーバを追加するには、次の手順を実行します。

  1. WLC の GUI で、[SECURITY] メニューをクリックします。

  2. [AAA] メニューの下で [Radius] > [Authentication] サブメニューに移動します。

  3. [New] をクリックし、RADIUS サーバの IP アドレスを入力します。この例では、サーバの IP アドレスは 10.77.244.196 です。

  4. WLC 内の共有秘密を入力します。共有秘密は、WLC 上と同様に設定する必要があります。

  5. [Shared Secret Format] で [ASCII] または [Hex] のいずれかを選択します。WLC 上で同じ形式を選択する必要があります。

  6. 1812 は、RADIUS 認証に使用するポート番号です。

  7. [Server Status] オプションが [Enabled] に設定されていることを確認します。

  8. ネットワーク ユーザを認証するために、[Network User] の [Enable] ボックスにチェックマークを付けます。

  9. [Apply] をクリックします。

    external-web-radius-02.gif



Web 認証に使用する WLC 上の WLAN の設定

次の手順では、WLC 上で Web 認証用に WLAN を設定します。WLC 上に WLAN を設定するには、次の手順を実行します。

  1. コントローラ GUI の [WLANs] メニューをクリックし、[New] を選択します。

  2. [Type] で [WLAN] を選択します。

  3. プロファイル名と WLAN SSID を入力し、[Apply] をクリックします。

    注:WLAN SSID では大文字と小文字は区別されます。

    external-web-radius-03.gif

  4. [General] タブの下で、[Status] と [Broadcast SSID] の両方の [Enabled] オプションにチェックマークが付いていることを確認します。

    WLAN の設定

    external-web-radius-04.gif

  5. WLAN のインターフェイスを選択します。通常は、この VLAN に含まれている IP アドレスがクライアントに割り当てられるように、一意の VLAN 内に設定されているインターフェイスが WLAN にマッピングされます。この例では、インターフェイスに management を使用します。

  6. [Security] タブを選択します。

  7. [Layer 2] メニューの [Layer 2 Security] で、[None] を選択します。

  8. [Layer 3] メニューの [Layer 3 Security] で、[None] を選択します。[Web Policy] チェックボックスにチェックマークを入れ、[Authentication] を選択します。

    external-web-radius-05.gif

  9. [AAA servers] メニューの下の [Authentication Server] で、この WLC 上に設定した RADIUS サーバを選択します。他のメニューは、デフォルト値のままにする必要があります。

    external-web-radius-06.gif



WLC 上の Web サーバ情報の設定

[Web Authentication] ページをホストする Web サーバは、この WLC 上に設定される必要があります。次の手順を実行して Web サーバを設定します。

  1. [Security] タブをクリックします。[Web Auth] > [Web Login Page] に移動します。

  2. Web 認証タイプを [External] に設定します。

  3. [Web Server IP Address] フィールドに、[Web Authentication] ページをホストするサーバの IP アドレスを入力し、[Add Web Server] をクリックします。この例では、IP アドレスは 10.77.244.196 です。このアドレスは、[External Web Servers] の下に表示されます。

  4. [URL] フィールドに [Web Authentication] ページの URL(この例では http://10.77.244.196/login.html)を入力します。

    external-web-radius-07.gif



Cisco Secure ACS の設定

このドキュメントでは、Cisco Secure ACS サーバがすでにインストールされており、マシン上で稼動していると想定しています。Cisco Secure ACS のセットアップ方法の詳細については、『Cisco Secure ACS 4.2 コンフィギュレーション ガイド』を参照してください。



Cisco Secure ACS 上のユーザ情報の設定

Cisco Secure ACS 上でユーザを設定するには、次の手順を実行してください。

  1. Cisco Secure ACS GUI から [User Setup] を選択し、ユーザ名を入力して、[Add/Edit] をクリックします。この例では、ユーザ名は user1 です。

    external-web-radius-08.gif

  2. デフォルトでは、PAP がクライアントの認証に使用されます。ユーザのパスワードは、[User Setup] > [Password Authentication] > [Cisco Secure PAP] の下で入力します。[Password Authentication] では、必ず [ACS Internal Database] を選択します。

    external-web-radius-09.gif

  3. ユーザは、このユーザの属しているグループに割り当てられる必要があります。[Default Group] を選択します。

  4. [Submit] をクリックします。



Cisco Secure ACS 上の WLC 情報の設定

Cisco Secure ACS 上で WLC 情報を設定するには、次の手順を実行してください。

  1. ACS の GUI で、[Network Configuration] タブをクリックしてから、[Add Entry] をクリックします。

  2. [Add AAA client] 画面が表示されます。

  3. クライアントの名前を入力します。この例では、WLC を使用しています。

  4. クライアントの IP アドレスを入力します。WLC IP アドレスは、10.77.244.206 です。

  5. 共有秘密鍵および鍵形式を入力します。この値は、WLC の [Security] メニューで入力する値と一致している必要があります。

  6. [Key Input Format] で [ASCII] を選択します。この形式は、WLC 上の形式と一致している必要があります。

  7. WLC と RADIUS サーバの間で使用するプロトコルを設定するために [Authenticate Using] で [RADIUS (Cisco Airespace)] を選択します。

  8. [Submit + Apply] をクリックします。

    external-web-radius-10.gif



クライアントの認証プロセス

クライアントの設定

この例では、Cisco Aironet Desktop Utility を使用して Web 認証を実行します。Aironet Desktop Utility を設定するには、次の手順を実行します。

  1. [Start] > [Cisco Aironet] > [Aironet Desktop Utility] から Aironet Desktop Utility を開きます。

  2. [Profile Management] タブをクリックします。

    external-web-radius-19.gif

  3. [Default] プロファイルを選択し、[Modify] をクリックします。

    1. [General] タブをクリックします。

      1. [Profile Name] を設定します。この例では、Default を使用しています。

      2. [Network Names] の下で SSID を設定します。この例では、WLAN1 を使用しています。

        external-web-radius-13.gif

        注:SSID では大文字と小文字が区別されます。また、WLC 上で設定されている WLAN と一致する必要があります。

    2. [Security] タブをクリックします。

      Web 認証のセキュリティとして [None] を選択します。

      external-web-radius-14.gif

    3. [Advanced] タブをクリックします。

      1. [Wireless Mode] メニューの下で、ワイヤレス クライアントが LAP と通信する周波数を選択します。

      2. [Transmit Power Level] の下で、WLC 上で設定されている電力を選択します。

      3. [Power Save Mode] はデフォルト値のままにします。

      4. [Network Type] として [Infrastructure] を選択します。

      5. 互換性を高めるために、[802.11b Preamble] に [Short & Long] を設定します。

      6. [OK] をクリックします。

        external-web-radius-15.gif

  4. クライアント ソフトウェア上にプロファイルが設定されると、クライアントは正常に関連付けられ、管理インターフェイス用に設定されている VLAN プールから IP アドレスが割り当てられます。



クライアントのログイン プロセス

このセクションでは、クライアント ログインの過程を説明します。

  1. ブラウザ ウィンドウを開いて、URL または IP アドレスを入力します。これによって、クライアントに Web 認証ページが表示されます。コントローラが 3.0 よりも前の任意のリリースを稼動している場合、ユーザは Web 認証ページを表示するために https://1.1.1.1/login.html を入力する必要があります。セキュリティ アラート ウィンドウが表示されます。

  2. [Yes] をクリックして、続行します。

  3. [Login] ウィンドウが表示されたら、RADIUS サーバに設定されているユーザ名とパスワードを入力します。ログインが成功すると、2 つのブラウザ ウィンドウが表示されます。大きい方のウィンドウはログインに成功したことを示し、このウィンドウを使用してインターネットをブラウズできます。ゲスト ネットワークの使用が終了してログアウトするには、小さい方のウィンドウを使用します。

    external-web-radius-12.gif



確認

Web 認証が正常に実行されるには、デバイスが適切な方法で設定されていることを確認する必要があります。このセクションでは、プロセスで使用するデバイスを確認する方法を説明します。



ACS の確認

  1. ACS GUI で [User Setup] をクリックしてから [List All Users] をクリックします。

    external-web-radius-17.gif

    [User] の [Status] が [Enabled] であり、「Default」グループがユーザにマッピングされていることを確認します。

    external-web-radius-18.gif

  2. [Network Configuration] タブをクリックし、[AAA Clients] テーブルを参照して、AAA クライアントとして WLC が設定されていることを確認します。

    external-web-radius-20.gif



WLC の確認

  1. WLC GUI の [WLANs] メニューをクリックします。

    1. Web 認証で使用する WLAN がページ上にリストされていることを確認します。

    2. WLAN の [Admin Status] が「Enabled」であることを確認します。

    3. WLAN のセキュリティ ポリシーに「Web-Auth」と示されていることを確認します。

      external-web-radius-21.gif

  2. WLC GUI の [SECURITY] メニューをクリックします。

    1. Cisco Secure ACS(10.77.244.196)がページ上にリストされていることを確認します。

    2. [Network User] ボックスにチェックマークが付いていることを確認します。

    3. [Port] が「1812」で [Admin Status] が「Enabled」であることを確認します。

      external-web-radius-22.gif



トラブルシューティング

Web 認証が成功しない原因はいくつもあります。ドキュメント「ワイヤレス LAN コントローラ(WLC)の Web 認証のトラブルシューティング」に、原因の詳細がわかりやすく説明されています。



トラブルシューティングのためのコマンド

注:これらの debug コマンドを使用する前に、「debug コマンドの重要な情報」を参照してください。

WLC に Telnet 接続し、次のコマンドを発行して、認証をトラブルシューティングします。

  • debug aaa all enable

    Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Successful transmission of Authentic
    ation Packet (id 1) to 10.77.244.196:1812, proxy state 00:40:96:ac:dd:05-00:01
    Fri Sep 24 13:59:52 2010: 00000000: 01 01 00 73 00 00 00 00  00 00 00 00 00 00 0
    0 00  ...s............
    Fri Sep 24 13:59:52 2010: 00000010: 00 00 00 00 01 07 75 73  65 72 31 02 12 93 c
    3 66  ......user1....f
    Fri Sep 24 13:59:52 2010: 00000030: 75 73 65 72 31
          user1
    Fri Sep 24 13:59:52 2010: ****Enter processIncomingMessages: response code=2
    Fri Sep 24 13:59:52 2010: ****Enter processRadiusResponse: response code=2
    Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Access-Accept received from RADIUS s
    erver 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 0
    Fri Sep 24 13:59:52 2010: AuthorizationResponse: 0x12238db0
    Fri Sep 24 13:59:52 2010:       structureSize................................89
    Fri Sep 24 13:59:52 2010:       resultCode...................................0
    Fri Sep 24 13:59:52 2010:       protocolUsed.................................0x0
    0000001
    Fri Sep 24 13:59:52 2010:       proxyState...................................00:
    40:96:AC:DD:05-00:00
    Fri Sep 24 13:59:52 2010:       Packet contains 2 AVPs:
    Fri Sep 24 13:59:52 2010:           AVP[01] Framed-IP-Address...................
    .....0xffffffff (-1) (4 bytes)
    Fri Sep 24 13:59:52 2010:           AVP[02] Class...............................
    .....CACS:0/5183/a4df4ce/user1 (25 bytes)
    Fri Sep 24 13:59:52 2010: Authentication failed for user1, Service Type: 0
    Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Applying new AAA override for statio
    n 00:40:96:ac:dd:05
    Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Override values for station 00:40:96
    :ac:dd:05
                    source: 48, valid bits: 0x1
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
    dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                    vlanIfName: '',
    aclName:
    Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Unable to apply override policy for
    station 00:40:96:ac:dd:05 - VapAllowRadiusOverride is FALSE
    Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Sending Accounting request (0) for s
    tation 00:40:96:ac:dd:05
    Fri Sep 24 13:59:52 2010: AccountingMessage Accounting Start: 0x1500501c
    Fri Sep 24 13:59:52 2010:       Packet contains 12 AVPs:
    Fri Sep 24 13:59:52 2010:           AVP[01] User-Name...........................
    .....user1 (5 bytes)
    Fri Sep 24 13:59:52 2010:           AVP[02] Nas-Port............................
    .....0x00000002 (2) (4 bytes)
    Fri Sep 24 13:59:52 2010:           AVP[03] Nas-Ip-Address......................
    .....0x0a4df4ce (172881102) (4 bytes)
    Fri Sep 24 13:59:52 2010:           AVP[04] Framed-IP-Address...................
    .....0x0a4df4c7 (172881095) (4 bytes)
  • debug aaa detail enable

失敗した認証の試行は、[Reports and Activity] > [Failed Attempts] にあるメニューにリストされます。



関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112134