ワイヤレス : Cisco 5500 シリーズ ワイヤレス コントローラ

ACS 5.2 とワイヤレス LAN コントローラを使用した PEAP と EAP-FAST の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Access Control Server(ACS)5.2 などの外部 RADIUS サーバを使用して拡張認証プロトコル(EAP)認証のためのワイヤレス LAN コントローラ(WLC)を設定する方法について説明します。

前提条件

要件

この設定を行う前に、以下の要件を満たしていることを確認してください。

  • WLC および Lightweight アクセス ポイント(LAP)に関する基本的な知識があること

  • AAA サーバに関する実務的な知識があること

  • ワイヤレス ネットワークとワイヤレスのセキュリティ問題に関する全般的な知識があること

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア リリース 7.0.220.0 が稼働している Cisco 5508 WLC

  • Cisco 3502 シリーズ LAP

  • Intel 6300-N ドライババージョン 14.3 との Microsoft Windows 7 ネイティブ サプリカント

  • バージョン 5.2 が稼働している Cisco Secure ACS

  • Cisco 3560 シリーズ スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-01.gif

この図で使用されているコンポーネントの設定の詳細は、次のとおりです。

  • ACS(RADIUS)サーバの IP アドレスは 192.168.150.24 です。

  • WLC の管理インターフェイスおよび AP マネージャ インターフェイスのアドレスは 192.168.75.44 です。

  • DHCP サーバのアドレスは 192.168.150.25 です。

  • VLAN 253 はこの設定全体使用されます。 ユーザは両方とも同じ SSID 「goa に」接続します。 ただし、user1 は EAP-FAST を使用して PEAP-MSCHAPv2 および user2 を使用して認証するために設定されます。

  • ユーザは VLAN 253 で割り当てられます:

    • VLAN 253: 192.168.153.x/24. ゲートウェイ: 192.168.153.1

    • VLAN 75: 192.168.75.x/24 ゲートウェイ: 192.168.75.1

前提条件

  • スイッチには、レイヤ 3 VLAN がすべて設定されています。

  • DHCP サーバには DHCP スコーが割り当てられています。

  • ネットワーク内すべてのデバイス間ではレイヤ 3 接続が確立しています。

  • LAP はでに WLC に登録されています。

  • 各 VLAN は /24 マスクを使用しています。

  • ACS 5.2 には自己署名証明書がインストールされています。

設定手順

この設定は、大きく次の 3 つに分類されます。

  1. RADIUS サーバの設定

  2. WLC の設定

  3. 無線クライアント ユーティリティの設定

RADIUS サーバの設定

RADIUSサーバ設定は 4 つのステップに分けられます:

  1. ネットワーク リソースの設定

  2. ユーザの設定

  3. ポリシー要素の定義

  4. アクセス ポリシーの適用

ACS 5.x は、ポリシーベースのアクセス コントロール システムです。 つまり、ACS 5.x では、4.x バージョンで使用されていたグループベースのモデルの代わりに、ルールベース ポリシー モデルが使用されています。

ACS 5.x のルールベース ポリシー モデルを使用すると、以前のグループベースの手法よりも強力で柔軟なアクセス コントロールを実現できます。

以前のグループベース モデルでは、グループを使用してポリシーを定義していました。これは、グループに次の 3 つのタイプの情報が結合されていたためです。

  • 識別情報:この情報は、AD グループまたは LDAP グループでのメンバーシップ、または ACS 内部ユーザの静的割り当てに基づいています。

  • その他の制限または条件:時間制限、デバイス制限など。

  • 権限- VLAN か Cisco IOSか。 特権レベル。

ACS 5.x ポリシー モデルは、次の形式のルールに基づいています。

  • If condition then result

たとえば、グループベース モデルに関して記述されている次の情報を使用します。

  • If identity-condition, restriction-condition then authorization-profile

これにより、ユーザがネットワークにアクセスするための条件だけでなく、特定の条件を満たす場合に必要な承認レベルに基づいて、柔軟に制限できるようになります。

ネットワーク リソースの設定

このセクションでは、RADIUSサーバの WLC のための AAA クライアントを設定します。

この手順では、WLC から RADIUS サーバにユーザ クレデンシャルを渡せるように、RADIUS サーバで AAA クライアントとして WLC を追加する方法について説明します。

次の手順を実行します。

  1. ACS GUI から [Network Resources] > [Network Device Groups] > [Location] に移動し、[Create] (最下部)をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-02.gif

  2. 必要なフィールドを追加して [Submit] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-03.gif

    次の確認画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-04.gif

  3. [Device Type] > [Create] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-05.gif

  4. [Submit] をクリックします。 次の確認画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-06.gif

  5. [Network Resources] > [Network Devices and AAA Clients] に移動します。

  6. [Create] をクリックして、次のように詳細を入力します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-07.gif

  7. [Submit] をクリックします。 次の確認画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-08.gif

ユーザの設定

このセクションでは、ACS のローカルユーザを作成します。 ユーザは両方とも「無線ユーザ」と呼ばれるグループで(user1 および user2)割り当てられます。

  1. [Users and Identity Stores] > [Identity Groups] > [Create] に移動します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-09.gif

  2. [Submit] をクリックすると、次のようなページが表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-10.gif

  3. ユーザ user1 および user2 を作成し、「無線ユーザ」グループに割り当てて下さい。

    1. [Users and Identity Stores] > [Identity Groups] > [Users] > [Create] をクリックします。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-11.gif

    2. 同様に、user2 を作成して下さい。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-12.gif

    次のような画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-13.gif

ポリシー要素の定義

割り当てアクセスが設定 されることを確認して下さい。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-14.gif

アクセス ポリシーの適用

このセクションでは、どの認証方式が使用されるべきである、そしてどのようにルールが設定されるべきであるか選択します。 規則に基づいている前の手順を作成します。

次の手順を実行します。

  1. [Access Policies] > [Access Services] > [Default Network Access] > [Edit: ""Default Network Access"] に移動します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-15.gif

  2. 選択して下さい無線クライアントのような EAP 認証する方式が。 この例では、PEAP- MSCHAPv2 をおよび EAP-FAST 使用します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-16.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-17.gif

  3. [Submit] をクリックします。

  4. 選択した Identity グループを確認します。 この例では、ACS 上に作成した [Internal Users] を使用し、 変更を保存します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-18.gif

  5. 許可プロファイルを確認するには、[Access Policies] > [Access Services] > [Default Network Access] > [Authorization] に移動します。

    ユーザのネットワークに対するアクセス条件や、認証後に許可する許可プロファイル(属性)をカスタマイズできます。 このような詳細設定は、ACS5.x からのみ対応しています。 この例では、[Location]、[Device Type]、[Protocol]、[Identity Group]、[]EAP Authentication Method] を選択します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-19.gif

  6. [OK] をクリックして変更を保存します。

  7. 次に、ルールを作成します。 ルールが定義されていない場合、クライアントは条件なしでアクセスが許可されます。

    [Create] > [Rule-1] をクリックします。 このルールはグループ「無線ユーザ」のユーザのためです。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-20.gif

  8. 変更を保存します。 次のような画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-21.gif

    否定されるべき条件と一致していなかったらユーザがほしいと思ったら「拒否アクセス」を言うデフォルトのルールを編集して下さい。

  9. 次に、サービス選択ルールを定義します。 このページは、着信要求に適用するサービスを決定する単純なポリシーまたはルールベースのポリシーを設定する場合に使用します。 この例では、ルールベースのポリシーを使用しています。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-22.gif

WLC の設定

設定には次の手順が必要です。

  1. WLC での認証サーバの詳細設定

  2. ダイナミック インターフェイス(VLAN)の設定

  3. WLAN(SSID)の設定

WLC での認証サーバの詳細設定

WLC と RADIUS サーバの間でクライアントの認証やその他のトランザクションを行えるように、WLC を設定する必要があります。

次の手順を実行します。

  1. コントローラの GUI で、[Security] をクリックします。

  2. RADIUS サーバの IP アドレスと、RADIUS サーバと WLC の間で使用する共有秘密キーを入力します。

    この共有秘密キーは、RADIUS サーバに設定されたキーと一致している必要があります。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-23.gif

ダイナミック インターフェイス(VLAN)の設定

この手順では、WLC でダイナミック インターフェイスを設定する方法について説明します。

次の手順を実行します。

  1. ダイナミック インターフェイスは [Controller] > [Interfaces] ウィンドウのコントローラ GUI で設定します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-24.gif

  2. [Apply] をクリックします。

    このダイナミック インターフェイス(この例では VLAN 253)の [Edit] ウィンドウが開きます。

  3. このダイナミック インターフェイスの IP アドレスとデフォルト ゲートウェイを入力します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-25.gif

  4. [Apply] をクリックします。

  5. 設定されたインターフェイスはこのようになります:

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-26.gif

WLAN(SSID)の設定

この手順では、WLC で WLAN を設定する方法について説明します。

次の手順を実行します。

  1. 新規の WLAN を作成するには、コントローラの GUI で [WLANs] > [Create New] の順に選択します。 新規の WLAN のウィンドウが表示されます。

  2. WLAN ID と WLAN SSID 情報を入力します。

    WLAN SSID には任意の名前を入力できます。 この例では、WLAN SSID として goa を使用しています。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-27.gif

  3. [Apply] をクリックして、WLAN goa の [Edit] ウィンドウに移動します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-28.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-29.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-30.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-31.gif

無線クライアント ユーティリティの設定

PEAP-MSCHAPv2 (user1)

テスト クライアントでは、Intel 6300-N ドライバ バージョン 14.3 対応の Microsoft Windows 7 ネイティブ サプリカントを使用します。 テストでは、ベンダーから最新のドライバを取得して使用することを推奨します。

次の手順を実行して、Windows Zero Config(WZC)のプロファイルを作成します。

  1. [Control Panel] > [Network and Internet] > [Manage Wireless Networks] に移動します。

  2. [Add] タブをクリックします。

  3. [Manually create a network profile] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-32.gif

  4. WLC で設定したとおりに詳細を追加します。

    注: SSID では大文字と小文字は区別されます。

  5. [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-33.gif

  6. [Change connection settings] をクリックして設定を再度確認します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-34.gif

  7. PEAP を有効に してもらうように確かめて下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-35.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-36.gif

  8. この例では、サーバ証明書は検証しません。 このチェックボックスをオンにしても接続できない場合は、機能を無効にしてから再度テストしてみてください。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-37.gif

  9. ほかにも、Windows クレデンシャルでログインできます。 ただし、この例ではその方法を用いません。 [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-38.gif

  10. [Advanced settings] をクリックしてユーザ名とパスワードを設定します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-39.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-40.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-41.gif

これで、クライアント ユーティリティで接続する準備が整いました。

EAP-FAST (user2)

テスト クライアントでは、Intel 6300-N ドライバ バージョン 14.3 対応の Microsoft Windows 7 ネイティブ サプリカントを使用します。 テストでは、ベンダーから最新のドライバを取得して使用することを推奨します。

WZC のプロファイルを作成するためにこれらのステップを完了して下さい:

  1. [Control Panel] > [Network and Internet] > [Manage Wireless Networks] に移動します。

  2. [Add] タブをクリックします。

  3. [Manually create a network profile] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-42.gif

  4. WLC で設定したとおりに詳細を追加します。

    注: SSID では大文字と小文字は区別されます。

  5. [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-43.gif

  6. [Change connection settings] をクリックして設定を再度確認します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-44.gif

  7. EAP-FAST なイネーブルになった持つために確かめて下さい。

    注: デフォルトで、WZC に認証方式として EAP-FAST がありません。 サードパーティベンダーからユーティリティをダウンロードしなければなりません。 この例では、それが Intel カードであるので、システムでインストールされる Intel PROSet があります。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-45.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-46.gif

  8. 割り当て自動 PAC プロビジョニングを有効に し、サーバ証明をチェックを外されることを検証するためにことを確かめて下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-47.gif

  9. ユーザーの資格情報タブをクリックし、user2 の資格情報を入力して下さい。 ほかにも、Windows クレデンシャルでログインできます。 ただし、この例ではその方法を用いません。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-48.gif

  10. [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-49.gif

クライアントユーティリティは user2 のために接続して現在準備ができています。

注: user2 が認証することを試みているとき RADIUSサーバは PAC を送信 しようとしています。 認証を完了するために PAC を受け入れて下さい。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-50.gif

確認

このセクションでは、設定が正常に機能していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

確認して下さい user1 (PEAP-MSCHAPv2)を

WLC GUI から [Monitor] > [Clients] に移動して MAC アドレスを選択します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-51.gif

WLC RADIUS のステータス:

(Cisco Controller) >show radius auth statistics
Authentication Servers:
Server Index..................................... 1
Server Address................................... 192.168.150.24
Msg Round Trip Time.............................. 1 (msec)
First Requests................................... 8
Retry Requests................................... 0
Accept Responses................................. 1
Reject Responses................................. 0
Challenge Responses.............................. 7
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

ACS ログ:

  1. 次の手順を実行してヒット カウントを表示します。

    1. 認証から 15 分以内にログを確認するときは、必ずヒット カウントを更新してください。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-52.gif

    2. 同じページの最下部に [Hit Count] のタブがあります。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-53.gif

  2. [Monitoring and Reports] をクリックすると、新たにポップアップ ウィンドウが表示されます。 [Authentications] – [Radius] – [Today] に移動します。 このほか、どのサービス選択ルールが適用されたかについては、[Details] をクリックすると確認できます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-54.gif

user2 を確認して下さい(EAP-FAST な)

WLC GUI から [Monitor] > [Clients] に移動して MAC アドレスを選択します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-55.gif

ACS ログ:

  1. 次の手順を実行してヒット カウントを表示します。

    1. 認証から 15 分以内にログを確認するときは、必ずヒット カウントを更新してください。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-56.gif

    2. 同じページの最下部に [Hit Count] のタブがあります。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-57.gif

  2. [Monitoring and Reports] をクリックすると、新たにポップアップ ウィンドウが表示されます。 [Authentications] – [Radius] – [Today] に移動します。 このほか、どのサービス選択ルールが適用されたかについては、[Details] をクリックすると確認できます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-58.gif

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  1. 問題が発生した場合は、WLC で次のコマンドを発行します。

    • デバッグ クライアント <mac は client> の追加します

    • debug aaa all enable

    • 示して下さいクライアント 詳細 <mac addr> - Policy Manager 状態を確認して下さい。

    • show radius auth statistics:失敗の原因を確認します。

    • debug disable-all:デバッグをオフにします。

    • clear stats radius auth all:WLC 上の RADIUS 統計情報を削除します。

  2. ACS のログを確認して失敗の原因を探します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113670