ワイヤレス : Cisco 5500 シリーズ ワイヤレス コントローラ

ACS 5.2 とワイヤレス LAN コントローラを使用した PEAP と EAP-FAST の設定例

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Access Control Server(ACS)5.2 などの外部 RADIUS サーバを使用して拡張認証プロトコル(EAP)認証のためのワイヤレス LAN コントローラ(WLC)を設定する方法について説明します。

前提条件

要件

この設定を行う前に、以下の要件を満たしていることを確認してください。

  • WLC および Lightweight アクセス ポイント(LAP)に関する基本的な知識があること

  • AAA サーバに関する実務的な知識があること

  • ワイヤレス ネットワークとワイヤレスのセキュリティ問題に関する全般的な知識があること

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア リリース 7.0.220.0 が稼働している Cisco 5508 WLC

  • Cisco 3502 シリーズ LAP

  • Intel 6300-N ドライバ バージョン 14.3 対応の Microsoft Windows 7 ネイティブ サプリカント

  • バージョン 5.2 が稼働している Cisco Secure ACS

  • Cisco 3560 シリーズ スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-01.gif

この図で使用されているコンポーネントの設定の詳細は、次のとおりです。

  • ACS(RADIUS)サーバの IP アドレスは 192.168.150.24 です。

  • WLC の管理インターフェイスおよび AP マネージャ インターフェイスのアドレスは 192.168.75.44 です。

  • DHCP サーバのアドレスは 192.168.150.25 です。

  • VLAN 253 がこの設定を通して使用されます。 両方のユーザが同じ SSID "goa" に接続します。 ただし、user1 は PEAP-MSCHAPv2 を使用して認証するように、user2 は EAP-FAST を使用して認証するように設定されます。

  • ユーザは VLAN 253 で割り当てられます。

    • VLAN 253: 192.168.153.x/24 ゲートウェイ: 192.168.153.1

    • VLAN 75: 192.168.75.x/24 ゲートウェイ: 192.168.75.1

前提条件

  • スイッチには、レイヤ 3 VLAN がすべて設定されています。

  • DHCP サーバには DHCP スコーが割り当てられています。

  • ネットワーク内すべてのデバイス間ではレイヤ 3 接続が確立しています。

  • LAP はでに WLC に登録されています。

  • 各 VLAN は /24 マスクを使用しています。

  • ACS 5.2 には自己署名証明書がインストールされています。

設定手順

この設定は、大きく次の 3 つに分類されます。

  1. RADIUS サーバを設定します。

  2. WLC を設定します。

  3. ワイヤレス クライアント ユーティリティを設定します。

RADIUS サーバの設定

RADIUS サーバの設定は次の 4 つのステップで構成されます。

  1. ネットワーク リソースを設定します。

  2. ユーザを設定します。

  3. ポリシー要素を定義します。

  4. アクセス ポリシーを適用します。

ACS 5.x は、ポリシーベースのアクセス コントロール システムです。 つまり、ACS 5.x では、4.x バージョンで使用されていたグループベースのモデルの代わりに、ルールベース ポリシー モデルが使用されています。

ACS 5.x のルールベース ポリシー モデルを使用すると、以前のグループベースの手法よりも強力で柔軟なアクセス コントロールを実現できます。

以前のグループベース モデルでは、グループを使用してポリシーを定義していました。これは、グループに次の 3 つのタイプの情報が結合されていたためです。

  • 識別情報:この情報は、AD グループまたは LDAP グループでのメンバーシップ、または ACS 内部ユーザの静的割り当てに基づいています。

  • その他の制限または条件:時間制限、デバイス制限など。

  • 権限- VLAN か Cisco IOSか。 特権レベル。

ACS 5.x ポリシー モデルは、次の形式のルールに基づいています。

  • If condition then result

たとえば、グループベース モデルに関して記述されている次の情報を使用します。

  • If identity-condition, restriction-condition then authorization-profile

これにより、ユーザがネットワークにアクセスするための条件だけでなく、特定の条件を満たす場合に必要な承認レベルに基づいて、柔軟に制限できるようになります。

ネットワーク リソースの設定

ここでは、RADIUS サーバ上の WLC 用に AAA クライアントを設定します。

この手順では、WLC から RADIUS サーバにユーザ クレデンシャルを渡せるように、RADIUS サーバで AAA クライアントとして WLC を追加する方法について説明します。

次の手順を実行します。

  1. ACS GUI から [Network Resources] > [Network Device Groups] > [Location] に移動し、[Create] (最下部)をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-02.gif

  2. 必要なフィールドを追加して [Submit] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-03.gif

    次の確認画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-04.gif

  3. [Device Type] > [Create] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-05.gif

  4. [Submit] をクリックします。 次の確認画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-06.gif

  5. [Network Resources] > [Network Devices and AAA Clients] に移動します。

  6. [Create] をクリックして、次のように詳細を入力します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-07.gif

  7. [Submit] をクリックします。 次の確認画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-08.gif

ユーザの設定

ここでは、ACS 上のローカル ユーザを作成します。 両方のユーザ(user1 と user2)が "Wireless Users" というグループに割り当てられます。

  1. [Users and Identity Stores] > [Identity Groups] > [Create] に移動します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-09.gif

  2. [Submit] をクリックすると、次のようなページが表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-10.gif

  3. ユーザの user1user2 を作成して、それらを "Wireless Users" グループに割り当てます。

    1. [Users and Identity Stores] > [Identity Groups] > [Users] > [Create] をクリックします。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-11.gif

    2. 同様に、user2 を作成します。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-12.gif

    次のような画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-13.gif

ポリシー要素の定義

[Permit Access] が設定されていることを確認します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-14.gif

アクセス ポリシーの適用

ここでは、使用する認証方式とルールの設定方法を選択します。 これまでのステップに基づいてルールを作成します。

次の手順を実行します。

  1. [Access Policies] > [Access Services] > [Default Network Access] > [Edit: ""Default Network Access"] に移動します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-15.gif

  2. ワイヤレス クライアントを認証する EAP 方式を選択します。 この例では、PEAP- MSCHAPv2EAP-FAST を使用します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-16.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-17.gif

  3. [Submit] をクリックします。

  4. 選択した Identity グループを確認します。 この例では、ACS 上に作成した [Internal Users] を使用し、 変更を保存します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-18.gif

  5. 許可プロファイルを確認するには、[Access Policies] > [Access Services] > [Default Network Access] > [Authorization] に移動します。

    ユーザのネットワークに対するアクセス条件や、認証後に許可する許可プロファイル(属性)をカスタマイズできます。 このような詳細設定は、ACS5.x からのみ対応しています。 この例では、[Location]、[Device Type]、[Protocol]、[Identity Group]、[]EAP Authentication Method] を選択します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-19.gif

  6. [OK] をクリックして変更を保存します。

  7. 次に、ルールを作成します。 ルールが定義されていない場合、クライアントは条件なしでアクセスが許可されます。

    [Create] > [Rule-1] をクリックします。 このルールは、グループ "Wireless Users" 内のユーザ向けです。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-20.gif

  8. 変更を保存します。 次のような画面が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-21.gif

    条件と一致しないユーザを拒否する場合は、デフォルト ルールを "deny access" に編集します。

  9. ここで、[Service Selection Rules]を定義します。 このページは、着信要求に適用するサービスを決定する単純なポリシーまたはルールベースのポリシーを設定する場合に使用します。 この例では、ルールベースのポリシーを使用しています。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-22.gif

WLC の設定

設定には次の手順が必要です。

  1. 認証サーバの詳細を使用して WLC を設定します。

  2. ダイナミック インターフェイス(VLAN)を設定します。

  3. WLAN(SSID)を設定します。

認証サーバの詳細を使用した WLC の設定

WLC と RADIUS サーバの間でクライアントの認証やその他のトランザクションを行えるように、WLC を設定する必要があります。

次の手順を実行します。

  1. コントローラの GUI で、[Security] をクリックします。

  2. RADIUS サーバの IP アドレスと、RADIUS サーバと WLC の間で使用する共有秘密キーを入力します。

    この共有秘密キーは、RADIUS サーバに設定されたキーと一致している必要があります。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-23.gif

ダイナミック インターフェイス(VLAN)の設定

この手順では、WLC でダイナミック インターフェイスを設定する方法について説明します。

次の手順を実行します。

  1. ダイナミック インターフェイスは [Controller] > [Interfaces] ウィンドウのコントローラ GUI で設定します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-24.gif

  2. [Apply] をクリックします。

    このダイナミック インターフェイス(この例では VLAN 253)の [Edit] ウィンドウが開きます。

  3. このダイナミック インターフェイスの IP アドレスとデフォルト ゲートウェイを入力します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-25.gif

  4. [Apply] をクリックします。

  5. 設定したインターフェイスは、次のようになります。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-26.gif

WLAN(SSID)の設定

この手順では、WLC で WLAN を設定する方法について説明します。

次の手順を実行します。

  1. 新規の WLAN を作成するには、コントローラの GUI で [WLANs] > [Create New] の順に選択します。 新規の WLAN のウィンドウが表示されます。

  2. WLAN ID と WLAN SSID 情報を入力します。

    WLAN SSID には任意の名前を入力できます。 この例では、WLAN SSID として goa を使用しています。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-27.gif

  3. [Apply] をクリックして、WLAN goa の [Edit] ウィンドウに移動します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-28.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-29.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-30.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-31.gif

ワイヤレス クライアント ユーティリティの設定

PEAP-MSCHAPv2(user1)

テスト クライアントでは、Intel 6300-N ドライバ バージョン 14.3 対応の Microsoft Windows 7 ネイティブ サプリカントを使用します。 テストでは、ベンダーから最新のドライバを取得して使用することを推奨します。

次の手順を実行して、Windows Zero Config(WZC)のプロファイルを作成します。

  1. [Control Panel] > [Network and Internet] > [Manage Wireless Networks] に移動します。

  2. [Add] タブをクリックします。

  3. [Manually create a network profile] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-32.gif

  4. WLC で設定したとおりに詳細を追加します。

    SSID では大文字と小文字は区別されます。

  5. [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-33.gif

  6. [Change connection settings] をクリックして設定を再度確認します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-34.gif

  7. PEAP が有効になっていることを確認します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-35.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-36.gif

  8. この例では、サーバ証明書は検証しません。 このチェックボックスをオンにしても接続できない場合は、機能を無効にしてから再度テストしてみてください。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-37.gif

  9. ほかにも、Windows クレデンシャルでログインできます。 ただし、この例ではその方法を用いません。 [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-38.gif

  10. [Advanced settings] をクリックしてユーザ名とパスワードを設定します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-39.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-40.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-41.gif

これで、クライアント ユーティリティで接続する準備が整いました。

EAP-FAST(user2)

テスト クライアントでは、Intel 6300-N ドライバ バージョン 14.3 対応の Microsoft Windows 7 ネイティブ サプリカントを使用します。 テストでは、ベンダーから最新のドライバを取得して使用することを推奨します。

次の手順を実行して WZC でプロファイルを作成します。

  1. [Control Panel] > [Network and Internet] > [Manage Wireless Networks] に移動します。

  2. [Add] タブをクリックします。

  3. [Manually create a network profile] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-42.gif

  4. WLC で設定したとおりに詳細を追加します。

    SSID では大文字と小文字は区別されます。

  5. [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-43.gif

  6. [Change connection settings] をクリックして設定を再度確認します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-44.gif

  7. EAP-FAST が有効になっていることを確認します。

    デフォルトで、WZC には EAP-FAST が認証方式としてインストールされていません。 サードパーティ ベンダーからユーティリティをダウンロードする必要があります。 この例では、Intel カードを使用するため、システムに Intel PROSet がインストールされています。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-45.gif

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-46.gif

  8. [Allow automatic PAC provisioning] をオンにして、[Validate server certificate] がオフになっていることを確認します。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-47.gif

  9. [User Credentials] タブをクリックして、user2 のクレデンシャルを入力します。 ほかにも、Windows クレデンシャルでログインできます。 ただし、この例ではその方法を用いません。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-48.gif

  10. [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-49.gif

これで、クライアント ユーティリティで user2 に接続する準備が整いました。

user2 を認証するときに、RADIUS サーバは PAC を送信します。 PAC を受け入れて認証を完了します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-50.gif

確認

このセクションでは、設定が正常に機能していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

user1(PEAP-MSCHAPv2)の検証

WLC GUI から [Monitor] > [Clients] に移動して MAC アドレスを選択します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-51.gif

WLC RADIUS 統計情報:

(Cisco Controller) >show radius auth statistics
Authentication Servers:
Server Index..................................... 1
Server Address................................... 192.168.150.24
Msg Round Trip Time.............................. 1 (msec)
First Requests................................... 8
Retry Requests................................... 0
Accept Responses................................. 1
Reject Responses................................. 0
Challenge Responses.............................. 7
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

ACS ログ:

  1. 次の手順を実行してヒット カウントを表示します。

    1. 認証から 15 分以内にログを確認するときは、必ずヒット カウントを更新してください。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-52.gif

    2. 同じページの最下部に [Hit Count] のタブがあります。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-53.gif

  2. [Monitoring and Reports] をクリックすると、新たにポップアップ ウィンドウが表示されます。 [Authentications] – [Radius] – [Today] に移動します。 このほか、どのサービス選択ルールが適用されたかについては、[Details] をクリックすると確認できます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-54.gif

user2(EAP-FAST)の検証

WLC GUI から [Monitor] > [Clients] に移動して MAC アドレスを選択します。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-55.gif

ACS ログ:

  1. 次の手順を実行してヒット カウントを表示します。

    1. 認証から 15 分以内にログを確認するときは、必ずヒット カウントを更新してください。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-56.gif

    2. 同じページの最下部に [Hit Count] のタブがあります。

      http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-57.gif

  2. [Monitoring and Reports] をクリックすると、新たにポップアップ ウィンドウが表示されます。 [Authentications] – [Radius] – [Today] に移動します。 このほか、どのサービス選択ルールが適用されたかについては、[Details] をクリックすると確認できます。

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/113670-eap-authentication-58.gif

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  1. 問題が発生した場合は、WLC で次のコマンドを発行します。

    • debug client <mac add of the client>

    • debug aaa all enable

    • show client detail <mac addr> :ポリシー マネージャの状態を確認します。

    • show radius auth statistics:失敗の原因を確認します。

    • debug disable-all:デバッグをオフにします。

    • clear stats radius auth all:WLC 上の RADIUS 統計情報を削除します。

  2. ACS のログを確認して失敗の原因を探します。


関連情報


Document ID: 113670