ワイヤレス : Cisco 5500 シリーズ ワイヤレス コントローラ

FlexConnect 向けワイヤレス BYOD 導入ガイド

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 7 月 10 日) | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

モバイル デバイスは、徐々にコンピュータに近づいて強力になり、消費者間での人気が増しています。 これらの何百万ものデバイスが高速 Wi-Fi を使用する消費者に販売され、ユーザは通信してコラボレーションできるようになっています。 消費者は、これらのモバイル デバイスがもたらす生産性の向上に慣れて、個人的経験を作業空間に持ち込もうとしています。 これによって、職場への個人所有デバイスの持ち込み(BYOD)のソリューションの機能上のニーズが生じます。

このドキュメントでは、BYOD ソリューションのブランチ導入について説明します。 従業員が自分の新しい iPad で企業のサービス セット識別子(SSID)に接続し、自己登録ポータルにリダイレクトされます。 Cisco Identity Services Engine(ISE)は、企業のアクティブ ディレクトリ(AD)に対してユーザを認証し、iPad の MAC アドレスおよびユーザ名が埋め込まれた証明書を、サプリカント プロファイルとともに iPad にダウンロードします。このサプリカント プロファイルによって、dot1x 接続方式として Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)が適用されます。 次にユーザは、ISE での許可ポリシーに基づいて dot1x を使用して接続し、該当するリソースへアクセスできるようになります。

7.2.110.0 より前のリリースの Cisco Wireless LAN Controller ソフトウェアの ISE 機能は、FlexConnect アクセス ポイント(AP)経由で関連付けられるローカル スイッチング クライアントをサポートしていませんでした。 リリース 7.2.110.0 の ISE 機能は、FlexConnect AP のローカル スイッチングおよびクライアントの中央認証をサポートします。 さらに、ISE 1.1.1 と統合されたリリース 7.2.110.0 は、次の BYOD ソリューション機能をワイヤレスに対して提供します。

  • デバイスのプロファイリングとポスチャ
  • デバイスの登録とサプリカントのプロビジョニング
  • 個人用デバイス(プロビジョニングされた iOS または Android デバイス)のオンボーディング

: PC または Mac ワイヤレス ラップトップやワークステーションなどのその他のデバイスもサポートされますが、このガイドには記載されていません。

著者:Cisco TAC エンジニア、Surendra BG、Ramamurthy Bakthavatchalam

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Catalyst スイッチ
  • Cisco Wireless LAN(WLAN)コントローラ
  • Cisco WLAN コントローラ(WLC)ソフトウェア リリース 7.2.110.0 以降
  • 802.11n AP(FlexConnect モード)
  • Cisco ISE ソフトウェア リリース 1.1.1 以降
  • Windows 2008 AD と認証局(CA)
  • DHCP サーバ
  • ドメイン ネーム システム(DNS)サーバ
  • ネットワーク タイム プロトコル(NTP)
  • ワイヤレス クライアント ラップトップ、スマートフォン、タブレット(Apple iOS、Android、Windows、Mac)

: このソフトウェア リリースに関する重要な情報については、Cisco Wireless LAN Controller と Lightweight アクセス ポイント リリース 7.2.110.0 のリリース ノートを参照してください。 ソフトウェアをロードしてテストする前に、Cisco.com サイトにログインして最新のリリース ノートを参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

トポロジ

この図に示すように、これらの機能を適切に実装しテストするには、最低限のネットワーク設定が必要です。

byod-flexconnect-dg-001.gif

このシミュレーションには、FlexConnect AP が導入されたネットワーク、およびローカル DHCP、DNS、WLC、ISE が存在するローカルサイトやリモート サイトが必要です。 FlexConnect AP は、複数の VLAN でのローカル スイッチングをテストするためにトランクに接続されます。

デバイスの登録とサプリカントのプロビジョニング

ネイティブ サプリカントを dot1x 認証に対してプロビジョニングできるようにデバイスを登録する必要があります。 適切な認証ポリシーに基づいて、ユーザはゲスト ページにリダイレクトされ、従業員クレデンシャルで認証されます。 ユーザには、デバイス情報を要求するデバイス登録ページが表示されます。 ここでデバイスのプロビジョニング プロセスが始まります。 オペレーティング システム(OS)がプロビジョニングでサポートされていない場合、そのデバイスを MAC 認証バイパス(MAB)アクセス用にマークするために、ユーザは資産登録ポータルにリダイレクトされます。 OS がサポートされている場合、登録プロセスが開始され、dot1x 認証のためにデバイスのネイティブ サプリカントが設定されます。

資産登録ポータル

資産登録ポータルは、従業員が認証および登録プロセスによってエンドポイントのオンボードを開始できるようにする ISE プラットフォームの要素です。

管理者は、[endpoints identities] ページから資産を削除できます。 それぞれの従業員は、登録した資産の編集、削除、およびブラックリストへの登録を行うことができます。 ブラックリストに登録されたエンドポイントはブラックリスト ID グループに割り当てられ、ブラックリストに登録されたエンドポイントがネットワークにアクセスするのを防ぐための許可ポリシーが作成されます。

自己登録ポータル

中央 Web 認証(CWA)のフローでは、従業員はポータルにリダイレクトされます。そこでは、クレデンシャルを入力して認証され、登録したい特定の資産の詳細を入力できます。 このポータルは「自己登録ポータル」と呼ばれ、デバイス登録ポータルと似ています。 自己登録ポータルでは、従業員は MAC アドレスやエンドポイントのわかりやすい説明を入力できます。

認証とプロビジョニング

従業員が自己登録ポータルを選択すると、プロビジョニング フェーズに進むために、有効な従業員クレデンシャルのセットを指定するよう求められます。 正常に認証されると、エンドポイントはエンドポイント データベースにプロビジョニングされ、エンドポイントの証明書が生成されます。 ページ上のリンクを使用して、従業員は Supplicant Pilot Wizard(SPW)をダウンロードできます。

: BYOD の FlexConnect の最新の機能マトリクスに関しては、シスコの記事FlexConnect 機能マトリクスを参照してください。

iOS(iPhone/iPad/iPod)のプロビジョニング

EAP-TLS 設定では、ISE は、Apple Over-the-Air(OTA)登録プロセスを実行します。

  • 正常に認証されると、評価エンジンがクライアントのプロビジョニング ポリシーを評価し、サプリカント プロファイルが作成されます。
  • サプリカント プロファイルが EAP-TLS 設定用である場合、OTA プロセスは、ISE が自己署名を使用しているか、または不明な CA によって署名されたかを判別します。 いずれかの条件に当てはまる場合、登録プロセスを開始する前に、ユーザは ISE または CA のいずれかの証明書をダウンロードするよう求められます。
  • その他の EAP 方法の場合、ISE は認証の成功時に最終プロファイルを適用します。

Android のプロビジョニング

セキュリティを考慮すると、Android エージェントは Android マーケットプレイス サイトからダウンロードする必要があり、ISE からはプロビジョニングできません。 シスコでは、シスコの Android マーケットプレイス パブリッシャ アカウントを使用して、ウィザードのリリース予定バージョンを Android マーケットプレイスにアップロードします。

次に示すのは、Android のプロビジョニング プロセスです。

  1. シスコは、拡張子が.apk の Android パッケージを作成するためにソフトウェア開発キット(SDK)を使用します。
  2. 次に、パッケージを Android マーケットプレイスにアップロードします。
  3. ユーザは、適切なパラメータを使用してクライアント プロビジョニングでポリシーを設定します。
  4. デバイスの登録後、エンド ユーザは、dot1x 認証に失敗すると、クライアントのプロビジョニング サービスにリダイレクトされます。
  5. プロビジョニングのポータル ページには、SPW をダウンロードできる Android マーケットプレイス ポータルにユーザをリダイレクトするためのボタンがあります。
  6. Cisco SPW が起動し、サプリカントのプロビジョニングを実行します。
    1. SPW によって ISE が検出され、ISE からプロファイルがダウンロードされます。
    2. SPW が EAP-TLS の証明書とキーのペアを作成します。
    3. SPW が ISE に Simple Certificate Enrollment Protocol(SCEP)プロキシ要求コールを発行し、証明書を取得します。
    4. SPW はワイヤレス プロファイルを適用します。
    5. プロファイルが正常に適用されると、SPW は再認証を要求します。
    6. SPW は終了します。

デュアル SSID ワイヤレス BYOD 自己登録

これは、デュアル SSID ワイヤレス BYOD 自己登録の場合のプロセスです。

  1. ユーザはゲスト SSID に関連付けられます。
  2. ユーザがブラウザを開くと ISE CWA ゲスト ポータルにリダイレクトされます。
  3. ユーザは自分の従業員ユーザ名とパスワードをゲスト ポータルに入力します。
  4. ISE がユーザを認証し、ユーザがゲストではなく、従業員であることがわかると [Employee Device Registration] ゲスト ページにリダイレクトされます。
  5. MAC アドレスは、DeviceID の [Device Registration] ゲスト ページに事前入力されます。 ユーザは説明を入力し、必要に応じてアクセプタブル ユース ポリシー(AUP)を受け入れます。
  6. ユーザは [Accept] を選択し、SPW のダウンロードとインストールを開始します。
  7. そのユーザのデバイスのサプリカントは、証明書とともにプロビジョニングされます。
  8. CoA が発生し、デバイスは企業 SSID(CORP)と再度関連付けられ、EAP-TLS(またはそのサプリカントに対して使用される他の認証方式)で認証されます。

シングル SSID ワイヤレス BYOD 自己登録

このシナリオでは企業アクセス用のシングル SSID(CORP)があり、Protected Extensible Authentication Protocol(PEAP)および EAP-TLS の両方をサポートします。 ゲスト SSID はありません。

これは、シングル SSID ワイヤレス BYOD 自己登録のプロセスです。

  1. ユーザは CORP に関連付けられます。
  2. ユーザは、従業員ユーザ名とパスワードを PEAP 認証のサプリカントに入力します。
  3. ISE がユーザを認証し、PEAP 方式に基づいて、[Employee Device Registration] ゲスト ページへのリダイレクトを受け入れる許可ポリシーを提供します。
  4. ユーザはブラウザを開き、[Employee Device Registration] ゲスト ページにリダイレクトされます。
  5. MAC アドレスは、DeviceID の [Device Registration] ゲスト ページに事前入力されます。 ユーザは説明を入力し、AUP を受け入れます。
  6. ユーザは [Accept] を選択し、SPW のダウンロードとインストールを開始します。
  7. そのユーザのデバイスのサプリカントは、証明書とともにプロビジョニングされます。
  8. CoA が発生し、デバイスは CORP SSID に再度関連付けられ、EAP-TLS で認証されます。

機能の設定

設定を開始するには、次の手順を実行します。

  1. このドキュメントでは、WLC バージョンが 7.2.110.0 以降であることを前提とします。

    byod-flexconnect-dg-002.gif

  2. [Security] > [RADIUS] > [Authentication] に移動して、RADIUS サーバを WLC に追加します。

    byod-flexconnect-dg-003.gif

  3. ISE 1.1.1 を WLC に追加します。

    • 共有秘密を入力します。
    • RFC 3576 のサポートを [Enabled] に設定します。

    byod-flexconnect-dg-004.gif

  4. RADIUS アカウンティング サーバと同じ ISE サーバを追加します。

    byod-flexconnect-dg-005.gif

  5. 後で ISE ポリシーで使用する WLC 事前認証 ACL を作成します。 [WLC] > [Security] > [Access Control Lists] > [FlexConnect ACLs] に移動し、(この例では)ACL-REDIRECT という名前の新しい FlexConnect ACL を作成します。

    byod-flexconnect-dg-006.gif

  6. ACL のルールでは、ISE との間のすべてのトラフィックを許可し、サプリカント プロビジョニング中のクライアント トラフィックも許可します。

    1. 最初のルール(シーケンス 1)の場合:

      • [Source] を [Any] に設定します。
      • [IP Address](ISE address)と [Netmask] 255.255.255.255 を設定します。
      • [Action] を [Permit] に設定します。

      byod-flexconnect-dg-007.gif

    2. 2 番目のルール(シーケンス 2)では、送信元 IP(ISE アドレス)/マスク 255.255.255.255 を [Any] に、[Action] を [Permit] に設定します。

      byod-flexconnect-dg-008.gif

  7. (この例では)Flex1 という名前の新しい FlexConnect グループを作成します。

    1. [FlexConnect Group] > [WebPolicies] タブに移動します。
    2. [WebPolicy ACL] フィールドで、[Add] をクリックして [ACL-REDIRECT] または以前に作成した FlexConnect ACL を選択します。
    3. [WebPolicy Access Control Lists] フィールドが入力されていることを確認します。

    byod-flexconnect-dg-009.gif

  8. [Apply] をクリックし、[Save Configuration] をクリックします。

WLAN 設定

WLAN を設定するには、次の手順を実行します。

  1. デュアル SSID の例でオープンな WLAN SSID を作成します。

    • WLAN 名を入力します。 この例では DemoCWA とします。
    • [Status] で [Enabled] オプションを選択します。

    byod-flexconnect-dg-010.gif

  2. [Security] タブ > [Layer 2] タブに移動して次の属性を設定します。

    • [Layer 2 Security]: なし
    • [MAC Filtering]: [Enabled](ボックスをチェックする)
    • [Fast Transition]: [Disabled](ボックスをチェックしない)

    byod-flexconnect-dg-011.gif

  3. [AAA Servers] タブに移動し、次の属性を選択します。

    • [Authentication Server] および [Account Server]: [Enabled]
    • [Server 1]: <ISE の IP address>

    byod-flexconnect-dg-012.gif

  4. [AAA Servers] タブからスクロールダウンします。 [Authentication priority order for web-auth user] で認証に [RADIUS] が使用され、その他は使用されていないことを確認します。

    byod-flexconnect-dg-013.gif

  5. [Advanced] タブに移動し、次の属性を選択します。

    • [Allow AAA Override]: [Enabled]
    • [NAC State]: [Radius NAC]

    byod-flexconnect-dg-014.gif

    : RADIUS Network Admission Control(NAC)は、FlexConnect AP が切断モードの場合、サポートされません。 したがって、FlexConnect AP がスタンドアロン モードで、WLC への接続を失った場合、すべてのクライアントは切断され、SSID はアドバタイズされなくなります。

  6. [Advanced] タブでスクロールダウンして、[FlexConnect Local Switching] を [Enabled] に設定します。

    byod-flexconnect-dg-015.gif

  7. [Apply] をクリックし、[Save Configuration] をクリックします。

    byod-flexconnect-dg-016.gif

  8. シングルおよびデュアル SSID のシナリオ用に Demo1xという名前(この例の場合)の 802.1X WLAN SSID を作成します。

    byod-flexconnect-dg-017.gif

  9. [Security] タブ > [Layer 2] タブに移動して次の属性を設定します。

    • [Layer 2 Security]: [WPA+WPA2]
    • [Fast Transition]: [Disabled](ボックスをチェックしない)
    • [Authentication Key Management]: 802.lX: [Enable]

    byod-flexconnect-dg-018.gif

  10. [Advanced] タブに移動し、次の属性を選択します。

    • [Allow AAA Override]: [Enabled]
    • [NAC State]: [Radius NAC]

    byod-flexconnect-dg-019.gif

  11. [Advanced] タブでスクロールダウンして、[FlexConnect Local Switching] を [Enabled] に設定します。

    byod-flexconnect-dg-020.gif

  12. [Apply] をクリックし、[Save Configuration] をクリックします。

    byod-flexconnect-dg-021.gif

  13. 新しい WLAN が両方とも作成されたことを確認します。

    byod-flexconnect-dg-022.gif

FlexConnectAP の設定

FlexConnect AP を設定するには、次の手順を実行します。

  1. [WLC] > [Wireless] に移動して、ターゲットの FlexConnect AP をクリックします。

    byod-flexconnect-dg-023.gif

  2. [FlexConnect] タブをクリックします。

    byod-flexconnect-dg-024.gif

  3. [VLAN Support] を有効(ボックスをチェック)にして、[Native VLAN ID] を設定し、[VLAN Mappings] をクリックします。

    byod-flexconnect-dg-025.gif

  4. ローカル スイッチングの SSID で [VLAN ID] を21(この例の場合)に設定します。

    byod-flexconnect-dg-026.gif

  5. [Apply] をクリックし、[Save Configuration] をクリックします。

ISE 設定

ISE を設定するには、次の手順を実行します。

  1. ISE サーバにログインします。 <https://ise>.

    byod-flexconnect-dg-027.gif

  2. [Administration] > [Identity Management] > [External Identity Sources] に移動します。

    byod-flexconnect-dg-028.gif

  3. [Active Directory] をクリックします。

    byod-flexconnect-dg-029.gif

  4. [Connection] タブで次を実行します。

    1. [Domain Name] にcorp.rf-demo.com と入力し(この例の場合)、[Identity Store Name] のデフォルトを AD1 に変更します。
    2. [Save Configuration] をクリックします。
    3. [Join] をクリックして、参加するために必要な AD 管理者アカウントのユーザ名とパスワードを指定します。
    4. [Status] は緑色である必要があります。 [Connected to:] を有効にします (ボックスをチェック)。

    byod-flexconnect-dg-030.gif

  5. 現在のドメイン ユーザを使用して AD への基本的な接続テストを実行します。

    byod-flexconnect-dg-031.gif

  6. AD への接続に成功すると、パスワードが正しいことを確認するダイアログが表示されます。

    byod-flexconnect-dg-032.gif

  7. [Administration] > [Identity Management] > [External Identity Sources] に移動します。

    1. [Certificate Authentication Profile] をクリックします。
    2. [Add] をクリックして、新しい証明書認証プロファイル(CAP)を追加します。

    byod-flexconnect-dg-033.gif

  8. この例では CAP の名前を CertAuth と入力します。 [Principal Username X509 Attribute] で [Common Name] を選択します。 次に [Submit] をクリックします。

    byod-flexconnect-dg-034.gif

  9. 新しい CAP が追加されたことを確認します。

    byod-flexconnect-dg-035.gif

  10. [Administration] > [Identity Management] > [Identity Source Sequences] に移動して、[Add] をクリックします。

    byod-flexconnect-dg-036.gif

  11. この例ではシーケンスに TestSequence という名前を指定します。

    byod-flexconnect-dg-037.gif

  12. [Certificate Based Authentication] までスクロールダウンします。

    1. [Select Certificate Authentication Profile] を有効(ボックスをチェック)にします。
    2. [CertAuth](または先に作成した別の CAP プロファイル)を選択します。

    byod-flexconnect-dg-038.gif

  13. [Authentication Search List] までスクロールダウンします。

    1. AD1 を [Available] から [Selected] に移動します。
    2. AD1 を最高の優先度に移動するには、[Up] ボタンをクリックします。

    byod-flexconnect-dg-039.gif

  14. 保存するには [Submit] をクリックします。

    byod-flexconnect-dg-040.gif

  15. 新しい ID ソース シーケンスが追加されたことを確認します。

    byod-flexconnect-dg-041.gif

  16. デバイス ポータルを認証するには AD を使用します。 [ISE] > [Administration] > [Identity Management] > [Identity Source Sequence] に移動して、[MyDevices_Portal_Sequence] を編集します。

    byod-flexconnect-dg-042.gif

  17. [Selected] リストに [AD1] を追加し、[up] ボタンをクリックして [AD1] の優先度を最も上にします。

    byod-flexconnect-dg-043.gif

  18. [Save] をクリックします。

    byod-flexconnect-dg-044.gif

  19. [MyDevices_Portal_Sequence] の [Identity Store sequence] に [AD1] が含まれていることを確認します。

    byod-flexconnect-dg-045.gif

  20. 手順 16-19 を繰り返して [Guest_Portal_Sequence] に [AD1] を追加し、[Save] をクリックします。

    byod-flexconnect-dg-046.gif

  21. [Guest_Portal_Sequence] に [AD1] が含まれていることを確認します。

    byod-flexconnect-dg-047.gif

  22. ネットワーク アクセス デバイス(WLC)に WLC を追加するには、[Administration] > [Network Resources] > [Network Devices] に移動し、[Add] をクリックします。

    byod-flexconnect-dg-048.gif

  23. WLC の名前、IP アドレス、サブネット マスクなどを追加します。

    byod-flexconnect-dg-049.gif

  24. [Authentication Settings] にスクロール ダウンし、[Shared Secret] に入力します。 WLC RADIUS の共有秘密と一致させる必要があります。

    byod-flexconnect-dg-050.gif

  25. [Submit] をクリックします。

  26. [ISE] > [Policy] > [Policy Elements] > [Results] に移動します。

    byod-flexconnect-dg-051.gif

  27. [Results] を [Authorization] まで展開し、[Authorizing Profiles] をクリックしたら [Add] をクリックして新しいプロファイルを追加します。

    byod-flexconnect-dg-052.gif

  28. このプロファイルに次の値を指定します。

    • Name: [CWA]

      byod-flexconnect-dg-053.gif

    • Web 認証を有効にします(ボックスをチェック)。

      • [Web Authentication]: [Centralized]
      • ACL: [ACL-REDIRECT](これは WLC 事前認証 ACL の名称と一致する必要があります)。
      • [Redirect]: デフォルト

      byod-flexconnect-dg-054.gif

  29. [Submit] をクリックして、CWA 許可プロファイルが追加されたことを確認します。

    byod-flexconnect-dg-055.gif

  30. [Add] をクリックして新しい許可プロファイルを作成します。

    byod-flexconnect-dg-056.gif

  31. このプロファイルに次の値を指定します。

    • Name: [Provision]

      byod-flexconnect-dg-057.gif

    • Web 認証を有効にします(ボックスをチェック)。

      • [Web Authentication] の値: [Supplicant Provisioning]

        byod-flexconnect-dg-058.gif

      • ACL: [ACL-REDIRECT](これは WLC 事前認証 ACL の名称と一致する必要があります)。

        byod-flexconnect-dg-059.gif

  32. [Submit] をクリックして、プロビジョニング許可プロファイルが追加されたことを確認します。

    byod-flexconnect-dg-060.gif

  33. [Results] でスクロールダウンして [Client Provisioning] を展開し、[Resources] をクリックします。

    byod-flexconnect-dg-061.gif

  34. [Native Supplicant Profile] を選択します。

    byod-flexconnect-dg-062.gif

  35. この例ではプロファイルに WirelessSP という名前を指定します。

    byod-flexconnect-dg-063.gif

  36. 次の値を入力してください。

    • [Connection Type]: ワイヤレス
    • [SSID]: Demo1x(この値は WLC 802.1x WLAN で設定したものです)
    • [Allowed Protocol]: [TLS]
    • [Key Size]: 1024

    byod-flexconnect-dg-064.gif

  37. [Submit] をクリックします。

  38. [Save] をクリックします。

    byod-flexconnect-dg-065.gif

  39. 新しいプロファイルが追加されたことを確認します。

    byod-flexconnect-dg-066.gif

  40. [Policy] > [Client Provisioning] に移動します。

    byod-flexconnect-dg-067.gif

  41. iOS デバイスのプロビジョニング ルールについて次の値を入力します。

    • [Rule Name]: [iOS]
    • [Identity Groups]: あらゆる

      byod-flexconnect-dg-068.gif

    • [Operating Systems]: [Mac iOS All]

      byod-flexconnect-dg-069.gif

    • [Results]: [WirelessSP](これは先に作成した [Native Supplicant Profile] です)

      byod-flexconnect-dg-070.gif

      • [Results] > [Wizard Profile](ドロップダウン リスト)> [WirelessSP] に移動します。

        byod-flexconnect-dg-071.gif

        byod-flexconnect-dg-072.gif

  42. iOS プロビジョニング プロファイルが追加されたことを確認します。

    byod-flexconnect-dg-073.gif

  43. 最初のルールの右側で [Actions] ドロップダウン リストを見つけて、[Duplicate below] (または [Duplicate above])を選択します。

    byod-flexconnect-dg-074.gif

  44. 新しいルールの名前を [Android] に変更します。

    byod-flexconnect-dg-075.gif

  45. [Advanced] タブに移動しオペレーティング システムを [Android] に変更します。

    byod-flexconnect-dg-076.gif

  46. 他の値は未変更のままにします。

  47. [Save](画面左下)をクリックします。

    byod-flexconnect-dg-077.gif

  48. [ISE] > [Policy] > [Authentication] の順に移動します。

    byod-flexconnect-dg-078.gif

  49. [Wireless_MAB] を含むように条件を修正し、[Wired_MAB] を展開します。

    byod-flexconnect-dg-079.gif

  50. [Condition Name] ドロップダウンをクリックします。

    byod-flexconnect-dg-080.gif

  51. [Dictionaries] > [Compound Condition] を選択します。

    byod-flexconnect-dg-081.gif

  52. [Wireless_MAB] を選択します。

    byod-flexconnect-dg-082.gif

  53. ルールの右側の矢印を選択して展開します。

    byod-flexconnect-dg-083.gif

  54. ドロップダウン リストから次の値を選択します。

    • [Identity Source]: [TestSequence](これは先に作成された値)
    • [If authentication failed]: [Reject]
    • [If user not found]: [Continue]
    • [If process failed]: [Drop]

    byod-flexconnect-dg-084.gif

  55. [Dot1X] ルールで次の値を変更します。

    byod-flexconnect-dg-085.gif

    • [Condition]: [Wireless_802.1X]

      byod-flexconnect-dg-086.gif

    • [Identity Source]: [TestSequence]

      byod-flexconnect-dg-087.gif

  56. [Save] をクリックします。

    byod-flexconnect-dg-088.gif

  57. [ISE] > [Policy] > [Authorization] の順に移動します。

    byod-flexconnect-dg-089.gif

  58. デフォルトの規則([Black List Default]、[Profiled]、[Default] など)はインストール時にすでに設定されています。 最初の 2 つは無視してかまいません。 [Default] ルールは後で編集します。

    byod-flexconnect-dg-090.gif

  59. 2 番目のルール([Profiled Cisco IP Phones])の右側で、[Edit] の横の下矢印をクリックし、[Insert New Rule Below] を選択します。

    byod-flexconnect-dg-091.gif

    新しく [Standard Rule #] が追加されます。

    byod-flexconnect-dg-092.gif

  60. [Rule Name] を [Standard Rule #] から OpenCWA に変更します。 このルールでは、デバイスをプロビジョニングするためにゲスト ネットワークを利用するユーザに対して、オープンな WLAN(デュアル SSID)上で登録プロセスが開始されます。

    byod-flexconnect-dg-093.gif

  61. [Condition(s)] のプラス記号([+])をクリックして、[Select Existing Condition from Library] をクリックします。

    byod-flexconnect-dg-094.gif

  62. [Compound Conditions] > [Wireless_MAB] を選択します。

    byod-flexconnect-dg-095.gif

  63. [AuthZ Profile] でプラス記号([+])をクリックして、[Standard] を選択します。

    byod-flexconnect-dg-096.gif

  64. 標準の [CWA] を選択します(これは先に作成した許可プロファイルです)。

    byod-flexconnect-dg-097.gif

  65. 正しい条件と許可とともにルールが追加されたことを確認します。

    byod-flexconnect-dg-098.gif

  66. (ルールの右側にある)[Done] をクリックします。

    byod-flexconnect-dg-099.gif

  67. 同じルールの右側で、[Edit] の横の下矢印をクリックし、[Insert New Rule Below] を選択します。

    byod-flexconnect-dg-100.gif

  68. この例ではルール名を [Standard Rule #] から PEAPrule に変更します。 このルールは PEAP 用です(シングル SSID シナリオでも使用されます)。Transport Layer Security(TLS)を使用しない 802.1X の認証をチェックし、またネットワーク サプリカント プロビジョニングが、作成済の [Provision] 認証プロファイルを利用して開始されることを確認します。

    byod-flexconnect-dg-101.gif

  69. 条件を [Wireless_802.1X] に変更します。

    byod-flexconnect-dg-102.gif

  70. 条件の右側の歯車のアイコンをクリックし、[Add Attribute/Value] を選択します。 これは、AND 条件であり OR 条件ではありません。

    byod-flexconnect-dg-103.gif

  71. [Network Access] を見つけて選択します。

    byod-flexconnect-dg-104.gif

  72. [AuthenticationMethod] を選択し、次の値を入力します。

    byod-flexconnect-dg-105.gif

    • [AuthenticationMethod]: [Equals]

      byod-flexconnect-dg-106.gif

    • [MSCHAPV2] を選択します。

      byod-flexconnect-dg-107.gif

    次にルールの例を示します。 条件が AND であることを確認してください。

    byod-flexconnect-dg-108.gif

  73. [AuthZ Profile] で、[Standard] > [Provision](以前に作成した許可プロファイル)を選択します。

    byod-flexconnect-dg-109.gif

    byod-flexconnect-dg-110.gif

  74. [Done] をクリックします。

    byod-flexconnect-dg-099.gif

  75. [PEAPrule] の右側で、[Edit] の横の下矢印をクリックし、[Insert New Rule Below] を選択します。

    byod-flexconnect-dg-111.gif

  76. この例ではルール名を [Standard Rule #] から AllowRule に変更します。 このルールは、証明書がインストールされた登録済みデバイスへのアクセスを許可するために使用されます。

    byod-flexconnect-dg-112.gif

  77. [Condition(s)] で [Compound Conditions] を選択します。

    byod-flexconnect-dg-113.gif

  78. [Wireless_802.1X] を選択します。

    byod-flexconnect-dg-114.gif

  79. AND 属性を追加します。

    byod-flexconnect-dg-115.gif

  80. 条件の右側の歯車のアイコンをクリックし、[Add Attribute/Value] を選択します。

    byod-flexconnect-dg-116.gif

  81. [Radius] を見つけて選択します。

    byod-flexconnect-dg-117.gif

  82. [Calling-Station-ID--[31]] を選択します。

    byod-flexconnect-dg-118.gif

  83. [Equals] を選択します。

    byod-flexconnect-dg-119.gif

  84. [CERTIFICATE] に移動し、右矢印をクリックします。

    byod-flexconnect-dg-123.gif

  85. [Subject Alternative Name] を選択します。

    byod-flexconnect-dg-121.gif

  86. [AuthZ Profile] で [Standard] を選択します。

    byod-flexconnect-dg-122.gif

  87. [Permit Access] を選択します。

    byod-flexconnect-dg-123.gif

  88. [Done] をクリックします。

    byod-flexconnect-dg-099.gif

    次にルールの例を示します。

    byod-flexconnect-dg-124.gif

  89. [PermitAccess] を [DenyAccess] に変更するには[Default] ルールを見つけます。

    byod-flexconnect-dg-125.gif

  90. [Default] ルールを編集するには、[Edit] をクリックします。

    byod-flexconnect-dg-126.gif

  91. [PermitAccess] の既存の [AuthZ] プロファイルに移動します。

    byod-flexconnect-dg-127.gif

  92. [Standard] を選択します。

    byod-flexconnect-dg-128.gif

  93. [DenyAccess] を選択します。

    byod-flexconnect-dg-129.gif

  94. [Default] ルールの [if no matches] に [DenyAccess] が指定されていることを確認します。

    byod-flexconnect-dg-130.gif

  95. [Done] をクリックします。

    byod-flexconnect-dg-099.gif

    これは、このテストに必要な主なのルールの例です。 シングル SSID またはデュアル SSID のいずれかに適用されます。

    byod-flexconnect-dg-131.gif

  96. [Save] をクリックします。

    byod-flexconnect-dg-132.gif

  97. ISE サーバを SCEP プロファイルで設定するには、[ISE] > [Administration] > [System] > [Certificates] に移動します。

    byod-flexconnect-dg-133.gif

  98. [Certificate Operations] で [SCEP CA Profiles] をクリックします。

    byod-flexconnect-dg-134.gif

  99. [Add] をクリックします。

    byod-flexconnect-dg-135.gif

  100. このプロファイルについて次の値を入力します。

    • Name: mySCEP(この例の場合)
    • URL: https://<ca-server>/CertSrv/mscep/ (使用している CA サーバの設定で正しいアドレスを確認してください。)

    byod-flexconnect-dg-136.gif

  101. SCEP 接続をテストするには、[Test Connectivity] をクリックします。

    byod-flexconnect-dg-137.gif

  102. この応答は、サーバ接続が正常であることを示しています。

    byod-flexconnect-dg-138.gif

  103. [Submit] をクリックします。

    byod-flexconnect-dg-139.gif

  104. サーバは、CA プロファイルが正常に作成されたと応答します。

    byod-flexconnect-dg-140.gif

  105. SCEP CA プロファイルが追加されたことを確認します。

    byod-flexconnect-dg-141.gif

ユーザ エクスペリエンス:iOS のプロビジョニング

デュアル SSID

このセクションは、デュアル SSID について扱い、プロビジョニング対象のゲストおよび 802.1x WLAN への接続方法について説明します。

デュアル SSID シナリオで iOS をプロビジョニングするには、次の手順を実行します。

  1. iOS デバイスで、[Wi-Fi Networks] に移動して、[DemoCWA](WLC で設定済みのオープンな WLAN)を選択します。

    byod-flexconnect-dg-142.gif

  2. iOS デバイスで Safari ブラウザを開き、到達可能な URL(たとえば、内部または外部 Web サーバ)にアクセスします。 ISE によってポータルにリダイレクトされます。 [Continue] をクリックします。

    byod-flexconnect-dg-143.gif

  3. ログインのためにゲスト ポータルにリダイレクトされます。

    byod-flexconnect-dg-144.gif

  4. AD ユーザ アカウントとパスワードを使用してログインします。 プロンプトが表示されたら CA プロファイルをインストールします。

    byod-flexconnect-dg-145.gif

  5. CA サーバの信頼できる証明書の [Install] をクリックします。

    byod-flexconnect-dg-146.gif

  6. プロファイルが完全にインストールされたら [Done] をクリックします。

    byod-flexconnect-dg-147.gif

  7. ブラウザに戻り、[Register] をクリックします。 デバイスの MAC アドレスを含む[Device ID] をメモします。

    byod-flexconnect-dg-148.gif

  8. [Install] をクリックして、検証済のプロファイルをインストールします。

    byod-flexconnect-dg-149.gif

  9. [Install Now] をクリックします。

    byod-flexconnect-dg-150.gif

  10. プロセスが完了したら、[WirelessSP] のプロファイルでプロファイルがインストールされていることを確認します。 [Done] をクリックします。

    byod-flexconnect-dg-151.gif

  11. [Wi-Fi Networks] に移動して、ネットワークを [Demo1x] に変更します。 デバイスが接続され、TLS を使用します。

    byod-flexconnect-dg-152.gif

  12. ISE で、[Operations] > [Authentications] に移動します。 イベントには、デバイスがオープンなゲスト ネットワークに接続し、サプリカント プロビジョニングを使用して登録プロセスが行われ、登録後にアクセスが許可されるプロセスが表示されています。

    byod-flexconnect-dg-153.gif

  13. [ISE] > [Administration] > [Identity Management] > [Groups] > [Endpoint Identity Groups] > [RegisteredDevices] の順に移動します。 MAC アドレスがデータベースに追加されています。

    byod-flexconnect-dg-154.gif

シングル SSID

このセクションでは、シングル SSID について扱い、802.1x WLAN への直接接続、PEAP 認証への AD ユーザ名/パスワードの提供、ゲスト アカウントからのプロビジョニング、および TLS との再接続の方法について説明します。

シングル SSID シナリオで iOS をプロビジョニングするには、次の手順を実行します。

  1. 同じ iOS デバイスを使用する場合、[Registered Devices] からエンドポイントを削除します。

    byod-flexconnect-dg-155.gif

  2. iOS デバイスで、[Settings] > [Generals] > [Profiles] に移動します。 この例でインストールされたプロファイルを削除します。

    byod-flexconnect-dg-156.gif

  3. 前のプロファイルを削除するには [Remove] をクリックします。

    byod-flexconnect-dg-157.gif

    byod-flexconnect-dg-158.gif

  4. 既存の(クリアされた)デバイスまたは新規 iOS デバイスで、802.1x に直接接続します。

  5. Dot1x に接続し、[Username] と [Password] を入力して、[Join] をクリックします。

    byod-flexconnect-dg-159.gif

  6. 該当するプロファイルが完全にインストールされるまで、ISE 設定セクションの手順 90 以降を繰り返します。

  7. プロセスをモニタするには、[ISE] > [Operations] > [Authentications] に移動します。 クライアントは、TLS を使用して 802.1X WLAN に対して、プロビジョニング、切断、再接続されているため、この例では、同じ WLAN に直接接続されたクライアントを示しています。

    byod-flexconnect-dg-160.gif

  8. [WLC] > [Monitor] > [Client MAC] に移動します。 クライアント詳細で、クライアントが RUN 状態にあり、[Data Switching] の設定が [local]、[Authentication] の設定が [Central] であることを確認します。 これは、FlexConnect AP に接続するクライアントに当てはまります。

ユーザ エクスペリエンス:Android のプロビジョニング

デュアル SSID

このセクションは、デュアル SSID について扱い、プロビジョニング対象のゲストおよび 802.1x WLAN への接続方法について説明します。

Android デバイスの接続プロセスは iOS デバイス(シングルまたはデュアル SSID)のものと同様です。 ただし、重要な違いは、Android デバイスでは、Google Marketplace(現在の Google Play)にアクセスしてサプリカント エージェントをダウンロードするために、インターネットへのアクセスが必要であるということです。

これらの手順を実行して、デュアル SSID シナリオで Android デバイス(この例の Samsung Galaxy など)をプロビジョニングします。

  1. Android デバイスでは、DemoCWA に接続し、ゲスト WLAN をオープンするために Wi-Fi を使用します。

    byod-flexconnect-dg-162.gif

  2. ISE に接続するには、証明書を受け入れます。

    byod-flexconnect-dg-163.gif

  3. ログインするには、ゲスト ポータルで [Username] と [Password] に入力します。

    byod-flexconnect-dg-164.gif

  4. [Register] をクリックします。 デバイスが Google Marketplace にアクセスするためにインターネットにアクセスしようとします。 インターネットへのアクセスを許可するには、コントローラで追加のルールを事前認証 ACL(ACL-REDIRECT など)に追加します。

    byod-flexconnect-dg-165.gif

  5. Google に、Cisco Network Setup が Android App として表示されます。 [INSTALL] をクリックします。

    byod-flexconnect-dg-166.gif

  6. Google にサインインして、[INSTALL] をクリックします。

    byod-flexconnect-dg-167.gif

  7. [OK] をクリックします。

    byod-flexconnect-dg-168.gif

  8. Android デバイスで、インストール済みの Cisco SPW アプリケーションを探し、開きます。

    byod-flexconnect-dg-169.gif

  9. Android デバイスからまだゲスト ポータルにログインしたままにしてください。

  10. [Start] をクリックして、Wi-Fi Setup Assistant を開始します。

    byod-flexconnect-dg-170.gif

  11. Cisco SPW が証明書のインストールを開始します。

    byod-flexconnect-dg-171.gif

  12. プロンプトが表示されたら、クレデンシャルを保存するためのパスワードを設定します。

    byod-flexconnect-dg-172.gif

  13. Cisco SPW が、ユーザ キーとユーザ証明書が含まれている証明書名を返します。 [OK] をクリックして確認します。

    byod-flexconnect-dg-173.gif

  14. Cisco SPW が続行し、CA 証明書を含む別の証明書名のプロンプトを表示します。 この例では名前にiseca と入力し、[OK] をクリックして継続します。

    byod-flexconnect-dg-174.gif

  15. Android デバイスが接続されます。

    byod-flexconnect-dg-175.gif

デバイス ポータル

デバイス ポータルを使用すると、以前に登録したデバイスを、デバイスの紛失または盗難時に、ブラックリストに登録することができます。 また、ユーザは必要に応じて再度リストに入れることもできます。

デバイスをブラックリストに登録するには、次の手順を実行します。

  1. デバイス ポータルにログインするには、ブラウザを開き、https://ise-server:8443/mydevices(ポート番号は 8443 であることに注意してください)に接続して、AD アカウントを使用してログインします。

    byod-flexconnect-dg-176.gif

  2. [Device ID] の下でデバイスを見つけ、[Lost?] をクリックします。 これにより、デバイスのブラックリストへの追加処理が開始します。

    byod-flexconnect-dg-177.gif

  3. ISE が警告を表示したら、[Yes] をクリックして継続します。

    byod-flexconnect-dg-178.gif

  4. ISE は、デバイスが [lost] としてマークされていることを確認します。

    byod-flexconnect-dg-179.gif

  5. 先に登録されたデバイスでネットワークに接続しようとすると、有効な証明書がインストールされている場合でもブロックされます。 次に、ブラックリストに登録されているデバイスが認証に失敗した例を示します。

    byod-flexconnect-dg-180.gif

  6. 管理者は、[ISE] > [Administration] > [Identity Management] > [Groups] に移動し、[Endpoint Identity Groups] > [Blacklist] をクリックして、デバイスがブラックリストに登録されていることを確認できます。

    byod-flexconnect-dg-181.gif

ブラックリストに登録されたデバイスを元に戻すには次の手順を実行します。

  1. デバイス ポータルで、そのデバイスの [Reinstate] をクリックします。

    byod-flexconnect-dg-182.gif

  2. ISE から警告が表示されたら、[Yes] をクリックして続行します。

    byod-flexconnect-dg-183.gif

  3. ISE は、デバイスが正常に復元されたことを確認します。 復元されたデバイスをネットワークに接続して、デバイスが今度は許可されることを確認します。

    byod-flexconnect-dg-184.gif

参考:証明書

ISE には、有効な CA ルート証明書だけでなく、CA によって署名された有効な証明書が必要です。

新しい信頼できる CA 証明書を追加、バインド、インポートするには次のステップを実行します。

  1. [ISE] > [Administration] > [System] > [Certificates] に移動し、[Local Certificates] をクリック後、[Add] をクリックします。

    byod-flexconnect-dg-185.gif

  2. [Generate Certificate Signing Request](CSR)を選択します。

    byod-flexconnect-dg-186.gif

  3. [Certificate Subject] に CN=<ISE-SERVER hostname.FQDN> と入力します。 他のフィールドでは、デフォルトまたは自分の CA 設定で必要な値を使用します。 [Submit] をクリックします。

    byod-flexconnect-dg-187.gif

  4. ISE は、CSR が生成されたことを確認します。

    byod-flexconnect-dg-188.gif

  5. CSR にアクセスするには、[Certificate Signing Requests] 操作をクリックします。

    byod-flexconnect-dg-189.gif

  6. 最近作成した CSR を選択するには、[Export] をクリックします。

    byod-flexconnect-dg-190.gif

  7. ISE は、CSR を .pem ファイルにエクスポートします。 [Save File] をクリックし、次に [OK] をクリックしてローカル マシンにファイルを保存します。

    byod-flexconnect-dg-191.gif

  8. ISE 証明書ファイルを見つけて、テキスト エディタで開きます。

    byod-flexconnect-dg-192.gif

  9. 証明書の内容全体をコピーします。

    byod-flexconnect-dg-193.gif

  10. CA サーバに接続し、管理者アカウントでログインします。 この例では、サーバは https://10.10.10.10/certsrv の Microsoft 2008 CA です。

    byod-flexconnect-dg-194.gif

  11. [Request a certificate] をクリックします。

    byod-flexconnect-dg-195.gif

  12. [Advanced certificate request] をクリックします。

    byod-flexconnect-dg-196.gif

  13. 2 番目のオプション、[Submit a certificate request by using a base-64-encoded CMC or ...] をクリックします。

    byod-flexconnect-dg-197.gif

  14. ISE 証明書ファイル(.pem)の内容を [Saved Request] フィールドに貼り付けて、[Certificate Template] が [Web Server] になっていることを確認して [Submit] をクリックします。

    byod-flexconnect-dg-198.gif

  15. [Download certificate] をクリックします。

    byod-flexconnect-dg-199.gif

  16. certnew.cer ファイルを保存します。 これは、ISE とのバインドのために後で使用されます。

    byod-flexconnect-dg-200.gif

  17. ISE の [Certificates] から、[Local Certificates] に移動し、[Add] > [Bind CA Certificate] をクリックします。

    byod-flexconnect-dg-201.gif

  18. 先の手順でローカル マシンに保存された証明書を参照し、[EAP] および [Management Interface] プロトコルの両方を有効にし(ボックスをチェック)、[Submit] をクリックします。 ISE がサービスを再起動するのに数分以上かかる場合があります。

    byod-flexconnect-dg-202.gif

  19. CA のランディング ページ(https://CA/certsrv/)に戻り、[Download a CA certificate, certificate chain, or CRL] をクリックします。

    byod-flexconnect-dg-203.gif

  20. [Download CA Certificate] をクリックします。

    byod-flexconnect-dg-204.gif

  21. ファイルをローカル マシンに [Save] します。

    byod-flexconnect-dg-205.gif

  22. ISE サーバがオンラインの状態で、[Certificates] に移動して、[Certificate Authority Certificates] をクリックします。

    byod-flexconnect-dg-206.gif

  23. [Import] をクリックします。

    byod-flexconnect-dg-207.gif

  24. CA 証明書を参照して、[Trust for client authentication] を有効に(ボックスをチェック)して、[Submit] をクリックします。

    byod-flexconnect-dg-208.gif

  25. 信頼できる新しい CA 証明書が追加されたことを確認します。

    byod-flexconnect-dg-209.gif

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 113606