ワイヤレス : Cisco 4400 ???? Wireless LAN Controller

ワイヤレス LAN コントローラ(WLC)上での LDAP を使用した Web 認証の設定例

2012 年 11 月 28 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

ワイヤレス LAN コントローラ(WLC)上での LDAP を使用した Web 認証の設定例

概要

このドキュメントでは、ワイヤレス LAN コントローラ(WLC)を Web 認証用に設定する方法を説明します。また、ユーザ クレデンシャルを取得しユーザを認証するために Lightweight Directory Access Protocol(LDAP)サーバを Web 認証のバックエンド データベースとして設定する方法も説明します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • Lightweight アクセス ポイント(LAP)および Cisco WLC の設定に関する知識

  • Lightweight アクセス ポイント プロトコル(LWAPP)に関する知識

  • LDAP、Active Directory、およびドメイン コントローラをセットアップし設定する方法に関する知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア リリース 5.1 が稼働している Cisco 4400 WLC

  • Cisco 1232 シリーズ LAP

  • ファームウェア リリース 4.2 が稼働している Cisco 802.11a/b/g ワイヤレス クライアント アダプタ

  • LDAP サーバの役割を実行している Microsoft Windows 2003 サーバ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用されるデバイスはすべて、初期設定(デフォルト)の状態から作業を開始しています。ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Web 認証プロセス

Web 認証とは、有効なユーザ名とパスワードが正しく入力されるまで特定のクライアントからの IP トラフィック(DHCP 関連のパケットは除く)をコントローラで許可しないようにするレイヤ 3 セキュリティ機能です。Web 認証を使用してクライアントを認証する場合は、クライアントごとにユーザ名とパスワードを定義する必要があります。クライアントは、無線 LAN に接続する際に、ログイン ページの指示に従ってユーザ名とパスワードを入力する必要があります。

Web 認証が(レイヤ 3 セキュリティ下で)有効になっている場合、ユーザが、最初にある URL にアクセスしようとした際に、Web ブラウザにセキュリティ警告が表示されることがあります。

ldap-web-auth-wlc-1.gif

ユーザが [Yes] をクリックして続行した後、または、クライアントのブラウザにセキュリティ警告が表示されない場合、Web 認証システムのログイン ページが表示されます。

ldap-web-auth-wlc-2.gif

デフォルトのログイン ページには、Cisco ロゴや Cisco 特有のテキストが表示されます。Web 認証システムが次のいずれかを表示するように選択できます。

  • デフォルトのログイン ページ

  • デフォルトのログイン ページの変更バージョン

  • 外部の Web サーバに設定する、カスタマイズされたログイン ページ

  • コントローラにダウンロードする、カスタマイズされたログイン ページ

ユーザが Web ログイン ページに有効なユーザ名とパスワードを入力し、[Submit] をクリックすると、ユーザは送信したクレデンシャルと正常な認証情報に基づいて認証されます。その後、Web 認証システムは、ログインに成功したことを示す(ログイン成功)ページを表示し、認証されたクライアントを要求された URL へリダイレクトします。

ldap-web-auth-wlc-3.gif

デフォルトのログイン成功ページには稼働ゲートウェイ アドレス URL へのポインタ(https://1.1.1.1/logout.html)が含まれます。コントローラの仮想インターフェイスに設定した IP アドレスは、ログイン ページのリダイレクト アドレスとして機能します。

このドキュメントでは、WLC 上の内部 Web ページを Web 認証用に使用する方法を説明します。この例では、ユーザ クレデンシャルを取得しユーザを認証するために、Lightweight Directory Access Protocol(LDAP)サーバを Web 認証のバックエンド データベースとして使用します。

設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

ldap-web-auth-wlc-4.gif

設定

この設定を実装するには、次の作業を実行します。

LDAP サーバの設定

最初の手順では、LDAP サーバを設定します。LDAP サーバは、ワイヤレス クライアントのユーザ クレデンシャルを格納するためのバックエンド データベースとして機能します。この例では、LDAP サーバとして Microsoft Windows 2003 サーバを使用しています。

LDAP サーバを設定する最初の手順として、LDAP サーバでユーザ データベースを作成します。これにより、WLC はユーザ認証時にこのデータベースをクエリできます。

ドメイン コントローラでのユーザの作成

組織単位(OU)には、PersonProfile のパーソナル エントリへの参照を持つ複数のグループが含まれます。1 人で複数のグループのメンバになることができます。オブジェクト クラスと属性定義はすべて LDAP スキーマのデフォルトです。各グループには、そこに所属する各人への参照(dn)が含まれます。

この例では新しい OU LDAP-USERS が作成され、この OU の中にユーザ User1 が作成されました。このユーザに対して LDAP アクセスを設定することで、WLC はユーザ認証でこの LDAP データベースをクエリできます。

この例で使用するドメインは lab.wireless です。

OU でのユーザ データベースの作成

ここでは、ドメインに新しい OU を作成し、この OU の中に新しいユーザを作成する手順を説明します。

  1. ドメイン コントローラで [Start] > [Programs] > [Administrative Tools] > [Active Directory Users and Computers] をクリックし、[Active Directory Users and Computers] 管理コンソールを起動します。

  2. 新しい OU を作成するために、ドメイン名(この例では lab.wireless)を右クリックし、コンテキスト メニューから [New] > [Organizational Unit] を選択します。

    ldap-web-auth-wlc-5.gif

  3. この OU に名前を割り当てて、[OK] をクリックします。

    ldap-web-auth-wlc-6.gif

これで、LDAP サーバに新しい OU LDAP-USERS が作成されました。次に、この OU にユーザ User1 を作成します。これを行うには、次の手順を実行します。

  1. 作成した新しい OU を右クリックします。表示されるコンテキスト メニューから [New] > [User] を選択し、新しいユーザを作成します。

    ldap-web-auth-wlc-7.gif

  2. 次の例に示すように、ユーザ設定ページで必須フィールドに情報を入力します。この例では、[User logon name] フィールドに User1 が指定されています。

    これは、クライアントを認証するために LDAP データベースで検証されるユーザ名です。この例では、[First name] および [Full Name] フィールドに User1 が指定されています。[Next] をクリックします。

    ldap-web-auth-wlc-8.gif

  3. パスワードを入力し、確認のためのパスワードを入力します。[Password never expires] オプションを選択して [Next] をクリックします。

    ldap-web-auth-wlc-9.gif

  4. [Finish] をクリックします。

    新しいユーザ User1 が OU LDAP-USERS に作成されます。以下は、ユーザ クレデンシャルです。

    • ユーザ名:User1

    • パスワード:Laptop123

      ldap-web-auth-wlc-10.gif

    これで OU の中にユーザが作成されました。次に、このユーザの LDAP アクセスを設定します。

ユーザの LDAP アクセスの設定

ユーザの LDAP アクセスを設定するには、ここで説明する手順を実行します。

Windows 2003 サーバでの匿名バインド機能の有効化

すべてのサードパーティ アプリケーション(この例では WLC)が LDAP で Windows 2003 AD にアクセスできるようにするには、Windows 2003 で匿名バインド機能が有効になっている必要があります。デフォルトでは、Windows 2003 ドメイン コントローラでの匿名 LDAP 操作は許可されていません。匿名バインド機能を有効にするには、次の手順を実行します。

  1. ADSI Edit ツールを起動するため、[Start] > [Run] > ADSI Edit.msc と入力します。このツールは、Windows 2003 サポート ツールの 1 つです。

  2. [ADSI Edit] ウィンドウでルート ドメイン(Configuration [tsweb.lab.wireless])を展開します。

    [CN=Services] > [CN=Windows NT] > [CN=Directory Service] を展開します。[CN=Directory Service] コンテナを右クリックし、コンテキスト メニューから [Properties] を選択します。

    ldap-web-auth-wlc-11.gif

  3. [CN=Directory Service Properties] ウィンドウで [Attribute] フィールドの下にある [dsHeuristics] 属性をクリックし、[Edit] を選択します。この属性の [String Attribute Editor] ウィンドウで値 0000002 を入力し、[Apply]、次に [OK] をクリックします。Windows 2003 サーバで匿名バインド機能が有効になりました。

    注:最後(7 番目)の文字が、LDAP サービスへのバインド方法を制御します。7 番目の文字が「0」または 7 番目の文字がない場合は、匿名 LDAP 操作が無効になっています。7 番目の文字を「2」に設定すると、匿名バインド機能が有効になります。

    ldap-web-auth-wlc-12.gif

ユーザ「User1」への ANONYMOUS LOGON アクセス権限の付与

次に、ANONYMOUS LOGON アクセス権限をユーザ User1 に付与します。これを行うには、次の手順を実行します。

  1. [Active Directory Users and Computers] を開きます。

  2. [View Advanced Features] にチェックマークが付いていることを確認します。

  3. ユーザ User1 にナビゲートして右クリックします。コンテキスト メニューから [Properties] を選択します。このユーザの名前は「User1」です。

    ldap-web-auth-wlc-13.gif

  4. [Security] タブをクリックします。

    ldap-web-auth-wlc-14.gif

  5. 表示されるウィンドウで [Add] をクリックします。

  6. [Enter the object names to select] ボックスに ANONYMOUS LOGON と入力し、ダイアログを確認します。

    ldap-web-auth-wlc-15.gif

  7. ACL で ANONYMOUS LOGON がユーザの一部のプロパティ セットにアクセスできることがわかります。[OK] をクリックします。ANONYMOUS LOGON アクセス権限がこのユーザに付与されます。

    ldap-web-auth-wlc-16.gif

OU での List Contents 権限の付与

次に、ユーザが含まれている OU で ANONYMOUS LOGON に List Contents 権限を付与します。この例では OU「LDAP-USERS」にユーザ「User1」が含まれています。これを行うには、次の手順を実行します。

  1. [Active Directory Users and Computers] で OU LDAP-USERS を右クリックして [Properties] を選択します。

    ldap-web-auth-wlc-17.gif

  2. [Security] をクリックし、次に [Advanced] をクリックします。

  3. [Add] をクリックします。表示されるダイアログに ANONYMOUS LOGON と入力します。

    ldap-web-auth-wlc-18.gif

  4. ダイアログの内容を確認します。新しいダイアログ ウィンドウが表示されます。

  5. [Apply onto] ドロップダウン ボックスで [This object only] を選択します。[List Contents Allow] チェックボックスをオンにします。

    ldap-web-auth-wlc-19.gif

LDP を使用したユーザ属性の確認

この GUI ツールは、ユーザがすべての LDAP 互換ディレクトリ(Active Directory など)に対して接続、バインド、検索、変更、追加、削除などの操作を実行できるようにする LDAP クライアントです。LDP では、Active Directory に格納されているオブジェクトとそのメタデータ(セキュリティ記述子やレプリケーション メタデータなど)を表示できます。

LDP GUI ツールは、製品 CD から Windows Server 2003 Support Tools をインストールするとインストールされます。ここでは、LDP ユーティリティを使用してユーザ User1 に関連付けられている特定の属性を確認する方法について説明します。一部の属性は、WLC で LDAP サーバ設定パラメータ(ユーザ属性タイプ、ユーザ オブジェクトタイプなど)の値を入力するときに使用されます。

  1. Windows 2003 サーバ(同じ LDAP サーバ上でも)で [Start] > [Run] をクリックし、LDP と入力して、LDP ブラウザにアクセスします。

  2. LDP メイン ウィンドウで [Connection] > [Connect] をクリックし、LDAP サーバの IP アドレスを入力して LDAP サーバに接続します。

    ldap-web-auth-wlc-20.gif

  3. LDAP サーバに接続したら、メイン メニューから [View] を選択して [Tree] をクリックします。

    ldap-web-auth-wlc-21.gif

  4. 表示される [Tree View] ウィンドウで、ユーザの BaseDN を入力します。この例では、ドメイン LAB.wireless 内の OU「LDAP-USERS」の中に User1 が存在します。[OK] をクリックします。

    ldap-web-auth-wlc-22.gif

  5. LDP ブラウザの左側に、指定した BaseDN(OU=LDAP-USERS, dc=LAB, dc=Wireless)の下にツリー全体が表示されます。ツリーを展開してユーザ User1 を見つけます。このユーザは、ユーザの名前を表す CN 値で識別されます。この例では CN=User1 です。CN=User1 をダブルクリックします。LDP ブラウザの右側のペインに、User1 に関連付けられているすべての属性が表示されます。次の例でこの手順を説明します。

    ldap-web-auth-wlc-23.gif

  6. LDAP サーバに WLC を設定するときには、[User Attribute] フィールドに、ユーザ名を含むユーザ レコードの属性の名前を入力します。この LDP の出力から、sAMAccountName がユーザ名「User1」を含む属性の 1 つであることがわかります。そこで、WLC の [User Attribute] フィールドに対応する sAMAccountName 属性を入力します。

  7. LDAP サーバに WLC を設定するときには、[User Object Type] フィールドに、レコードをユーザとして識別する LDAP objectType 属性の値を入力します。多くの場合、ユーザ レコードには objectType 属性の値が複数あり、そのうちのいくつかはユーザに固有であり、また、いくつかは他のオブジェクト タイプと共有されています。LDP 出力の CN=Person はレコードをユーザとして識別する値の 1 つです。そこで、WLC の User Object Type 属性として Person を指定します。

    次に LDAP サーバの WLC を設定します。

LDAP サーバの WLC の設定

ここまでで LDAP サーバが設定されました。次に LDAP サーバの詳細を使用して WLC を設定します。WLC の GUI から次の手順を実行します。

注:このドキュメントでは、基本動作用に WLC が設定されており、WLC に LAP が登録されていることを前提としています。WLC で LAP との基本動作を初めて設定する場合は、「Wireless LAN Controller(WLC)への Lightweight AP(LAP)の登録」を参照してください。

  1. WLC の [Security] ページの左側にあるタスク ペインで [AAA] > [LDAP] を選択し、LDAP サーバ設定ページに進みます。

    ldap-web-auth-wlc-24.gif

    LDAP サーバを追加するには、[New] をクリックします。[LDAP Servers > New] ページが表示されます。

  2. [LDAP Servers Edit] ページで LDAP サーバの詳細(LDAP サーバの IP アドレス、ポート番号、サーバ有効化ステータスなど)を指定します。

    • [Server Index (Priority)] ドロップダウン ボックスから番号を選択し、その他の設定済みの LDAP サーバとの相対的なこのサーバの優先順位を指定します。サーバは最大 17 個まで設定できます。コントローラが最初のサーバに接続できない場合、リスト内の 2 番目のサーバへの接続を試行するといった具合になります。

    • [Server IP Address] フィールドに LDAP サーバの IP アドレスを入力します。

    • [Port Number] フィールドに LDAP サーバの TCP ポート番号を入力します。有効な範囲は 1 〜 65535 で、デフォルト値は 389 です。

    • [User Base DN] フィールドに、すべてのユーザのリストを含む LDAP サーバ内のサブツリーの識別名(DN)を入力します。たとえば、ou=organizational unit、.ou=next organizational unit および o=corporation.com などです。ユーザを含むツリーがベース DN である場合、o=corporation.com または dc=corporation、dc=com と入力します。

      この例ではユーザは組織単位(OU)LDAP-USERS に含まれています。この組織単位は lab.wireless ドメインの一部として作成されています。

      ユーザ ベース DN は、ユーザ情報(EAP-FAST 認証方式に基づくユーザ クレデンシャル)が保存されている場所のフル パスを指している必要があります。この例ではユーザはベース DN OU=LDAP-USERS、DC=lab, DC=Wireless に含まれています。

    • [User Attribute] フィールドに、ユーザ名を含むユーザ レコード内の属性の名前を入力します。

      [User Object Type] フィールドに、対象のレコードをユーザとして識別する LDAP objectType 属性の値を入力します。多くの場合、ユーザ レコードには objectType 属性の値が複数あり、そのうちのいくつかはユーザに固有であり、また、いくつかは他のオブジェクト タイプと共有されています。

      Windows 2003 サポート ツールとして提供される LDAP ブラウザ ユーティリティを使用してディレクトリ サーバからこの 2 つのフィールドの値を取得できます。この Microsoft LDAP ブラウザ ツールは LDP と呼ばれます。このツールを使用して、特定ユーザの [User Base DN]、[User Attribute]、および [User Object Type] フィールドの値を確認できます。LDP を使用したユーザ固有属性の確認方法の詳細については、このドキュメントの「LDP を使用したユーザ属性の確認」を参照してください。

    • [Server Timeout] フィールドに再送信の間隔(秒数)を入力します。有効な範囲は 2 〜 30 秒であり、デフォルト値は 2 秒です。

    • [Enable Server Status] チェック ボックスをオンにしてこの LDAP サーバを有効にするか、チェックマークをオフにして無効にします。デフォルト値は無効です。

    • [Apply] をクリックして、変更を確定します。上記の情報を使用した設定の例を次に示します。

    ldap-web-auth-wlc-25.gif

  3. これで LDAP サーバに関する詳細が WLC に設定されました。次に、WLAN を Web 認証用に設定します。

Web 認証用の WLAN の設定

最初の手順では、ユーザの WLAN を作成します。次の手順を実行します。

  1. WLAN を作成するために、コントローラの GUI で [WLANs] をクリックします。

    [WLANs] ウィンドウが表示されます。このウィンドウには、コントローラに設定されている WLAN の一覧が表示されます。

  2. 新しい WLAN を設定するために [New] をクリックします。

    この例では、WLAN の名前を Web-Auth としています。

    ldap-web-auth-wlc-26.gif

  3. [Apply] をクリックします。

  4. [WLAN] > [Edit] ウィンドウで、WLAN 固有のパラメータを定義します。

    ldap-web-auth-wlc-27.gif

    • [Status] チェックボックスをオンにしてこの WLAN を有効にします。

    • WLAN に対し、[Interface Name] フィールドから適切なインターフェイスを選択します。

      この例では、WLAN Web-Auth に接続する管理インターフェイスを割り当てています。

  5. [Security] タブをクリックします。[Layer 3 Security] フィールドで、[Web Policy] チェックボックスをオンにして、[Authentication] オプションを選択します。

    ldap-web-auth-wlc-28.gif

    Web 認証を使用してワイヤレス クライアントを認証するため、このオプションを選択します。[Override Global Config] チェックボックスをオンにして、各 WLAN の Web 認証設定を有効にします。[Web Auth type] ドロップダウン メニューから適切な Web 認証の種類を選択します。この例では、内部 Web 認証を使用します。

    注:802.1x 認証による Web 認証はサポートされません。これは、Web 認証を使用する場合、レイヤ 2 セキュリティとして、802.1x または 802.1x を使用する WPA/WPA2 を選択できないことを意味します。その他のすべてのレイヤ 2 セキュリティ パラメータを使用した Web 認証がサポートされます。

  6. [AAA Servers] タブをクリックします。LDAP サーバのプルダウン メニューから設定した LDAP サーバを選択します。ローカル データベースまたは RADIUS サーバを使用している場合は、[Authentication priority order for web-auth user] フィールドで認証のプライオリティを設定できます。

    ldap-web-auth-wlc-29.gif

  7. [Apply] をクリックします。

    注:この例では、ユーザを認証するためにレイヤ 2 セキュリティ方法は使用されていないため、[Layer 2 Security] フィールドでは None を選択します。

確認

このセットアップを検証するために、ワイヤレス クライアントを接続し、設定が想定どおりに動作するかどうかを確認します。

ワイヤレス クライアントが起動したら、Web ブラウザに URL(www.yahoo.com など)を入力します。ユーザが認証されていないため、WLC はそのユーザを内部 Web ログイン URL にリダイレクトします。

ユーザ クレデンシャルの入力が求められます。ユーザがユーザ名とパスワードを送信すると、ログイン ページ側がユーザ クレデンシャルの入力を受け取り、WLC Web サーバの action_URL(http://1.1.1.1/login.html など)に入力を送信するとともに要求を戻します。これが入力パラメータとしてカスタマーのリダイレクト URL に提供されます。ここで、1.1.1.1 は、スイッチの仮想インターフェイス アドレスです。

WLC は LDAP ユーザ データベースに照合してユーザを認証します。認証が成功した後、WLC Web サーバは、設定されたリダイレクト URL またはクライアントが起動した URL(www.yahoo.com など)にユーザを転送します。

ldap-web-auth-wlc-30.gif

ldap-web-auth-wlc-31.gif

ldap-web-auth-wlc-32.gif

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

設定のトラブルシューティングを行うために、次のコマンドを使用できます。

  • debug mac addr <client-MAC-address xx:xx:xx:xx:xx:xx>

  • debug aaa all enable

  • debug pem state enable

  • debug pem events enable

  • debug dhcp message enable

  • debug dhcp packet enable

以下は、debug aaa all enable コマンドの出力例です。

*Sep 19 15:16:10.286: AuthenticationRequest: 0x152c8e78


*Sep 19 15:16:10.286: 	
   Callback.....................................0x10567ae0

*Sep 19 15:16:10.286: 	
   protocolType.................................0x00000002

*Sep 19 15:16:10.286: 	
   proxyState...................................00:40:96:AF:3E:93-00:00

*Sep 19 15:16:10.286: 	Packet contains 8 AVPs (not shown)

*Sep 19 15:16:10.287: 
   ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
*Sep 19 15:16:10.287: 
   LDAP server 1 changed state to INIT
*Sep 19 15:16:10.287: 
   ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
*Sep 19 15:16:10.296: 
   ldapInitAndBind [1] configured Method Anonymous 
   lcapi_bind (rc = 0 - Success)
*Sep 19 15:16:10.297: LDAP server 1 changed state to CONNECTED
*Sep 19 15:16:10.297: LDAP_CLIENT: UID Search (base=OU=LDAP-USERS,
   DC=LAB,DC=WIRELESS, pattern=(&(objectclass=Person)
   (sAMAccountName=User1)))
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned 2 msgs
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 1 type 0x64
*Sep 19 15:16:10.308: LDAP_CLIENT: 
   Received 1 attributes in search entry msg
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 2 type 0x65
*Sep 19 15:16:10.308: LDAP_CLIENT : No matched DN
*Sep 19 15:16:10.308: LDAP_CLIENT : Check result error 0 rc 1013
*Sep 19 15:16:10.309: ldapAuthRequest [1] called lcapi_query base=
   "OU=LDAP-USERS,DC=LAB,DC=WIRELESS" type="Person" attr="sAMAccountName" 
   user="User1" (rc = 0 - Success)
*Sep 19 15:16:10.309: Attempting user bind with username 
   CN=User1,OU=LDAP-USERS,DC=lab,DC=wireless
*Sep 19 15:16:10.335: LDAP ATTR> dn = CN=User1,OU=LDAP-USERS,
   DC=lab,DC=wireless (size 41)
*Sep 19 15:16:10.335: Handling LDAP response Success
*Sep 19 15:16:10.335: 00:40:96:af:3e:93 Returning AAA 
   Success for mobile 00:40:96:af:3e:93
*Sep 19 15:16:10.335: AuthorizationResponse: 0x3fbf7b40


*Sep 19 15:16:10.336: 	structureSize..........................137

*Sep 19 15:16:10.336: 	resultCode.............................0

*Sep 19 15:16:10.336: 	protocolUsed...........................0x00000002

*Sep 19 15:16:10.336: 	proxyState...............................
   00:40:96:AF:3E:93-00:00

*Sep 19 15:16:10.336: 	Packet contains 3 AVPs:

*Sep 19 15:16:10.336: 	    AVP[01] Unknown Attribute 0..........
   CN=User1,OU=LDAP-USERS,DC=lab,DC=wireless (41 bytes)

*Sep 19 15:16:10.336: 	    AVP[02] User-Name............
   User1 (5 bytes)

*Sep 19 15:16:10.336: 	    AVP[03] User-Password....[...]

*Sep 19 15:16:10.336: Authentication failed for User1, 
   Service Type: 0 
*Sep 19 15:16:10.336: 00:40:96:af:3e:93 Applying new AAA 
   override for station 00:40:96:af:3e:93
*Sep 19 15:16:10.336: 00:40:96:af:3e:93 
   Override values for station 00:40:96:af:3e:93
	source: 48, valid bits: 0x1
	qosLevel: -1, dscp: 0xffffffff, dot1pTag: 
   0xffffffff, sessionTimeout: -1
	dataAvgC: -1, rTAvg
*Sep 19 15:16:10.337: 00:40:96:af:3e:93 Unable to apply 
   override policy for station 00:40:96:af:3e:93 - 
   VapAllowRadiusOverride is FALSE
*Sep 19 15:16:10.339: 00:40:96:af:3e:93 Sending 
   Accounting request (0) for station 00:40:96:af:3e:93 
*Sep 19 15:16:10.339: AccountingMessage 
   Accounting Start: 0x152d9778

*Sep 19 15:16:10.339: 	Packet contains 11 AVPs:

*Sep 19 15:16:10.339: 	    
   AVP[01] User-Name.......................User1 (5 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[02] Nas-Port........................0x00000002 
   (2) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[03] Nas-Ip-Address..................0x0a4df4cc 
   (172881100) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[04] Framed-IP-Address...............0x0a4df4c6 
   (172881094) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[05] NAS-Identifier..................WLC-4400 (8 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[06] Airespace / WLAN-Identifier.....0x00000001 (1) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[07] Acct-Session-Id.................
   48d3c23a/00:40:96:af:3e:93/162 (30 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[08] Acct-Authentic..................0x00000003 (3) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[09] Acct-Status-Type................0x00000001 (1) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[10] Calling-Station-Id..............10.77.244.198 
   (13 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[11] Called-Station-Id...............10.77.244.204 
   (13 bytes)

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 108008