Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
リモート サイト IEEE 802.1X ローカル認証 サービス
リモート サイト IEEE 802.1X ローカル認証サービス
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

リモート サイト IEEE 802.1X ローカル認証サービス

機能情報の確認

この章の構成

リモート サイト IEEE 802.1X ローカル認証サービスを設定するための前提条件

リモート サイト IEEE 802.1X ローカル認証サービスを設定するための制約事項

リモート サイト IEEE 802.1X ローカル認証サービスの設定に関する情報

リモート サイト IEEE 802.1X ローカル認証サービスの設定方法

ローカル認証サーバの設定

ローカル認証サーバ上でのユーザ グループの設定

ユーザ名のブロック解除

ローカル認証サーバ上でのユーザ リストの作成

ローカル認証サーバ上での設定の保存

ローカル認証サーバを使用するようにアクセス ポイントまたはルータを設定する

ローカル認証サービスの設定の確認

802.1X ローカル認証サービスのモニタおよびメンテナンス

リモート サイト IEEE 802.1X ローカル認証サービスの設定例

ローカル認証サーバの設定例

2 台のメイン サーバと 1 台のローカル認証サーバの設定例

ローカル認証サーバの設定の表示例

ローカル認証サーバの統計情報の表示例

その他の参考資料

関連資料

MIB

RFC

シスコのテクニカル サポート

リモート サイト IEEE 802.1X ローカル認証サービスの機能情報

リモート サイト IEEE 802.1X ローカル認証サービス

リモート サイト IEEE 802.1X ローカル認証サービス機能を使用すると、ローカル RADIUS サーバとして動作するアクセス ポイントまたは無線対応ルータの設定が可能になります。ローカル認証サービスを設定することで、WAN リンクまたはサーバが障害になったときに備えたバックアップ認証サービスが提供されます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「リモート サイト IEEE 802.1X ローカル認証サービスの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

リモート サイト IEEE 802.1X ローカル認証サービスを設定するための前提条件

アクセス ポイントまたは無線対応ルータをローカル認証サーバとして設定する際には、次のガイドラインに従ってください。

パフォーマンスの低下を防ぐために、CPU 負荷が高くないアクセス ポイントまたは無線対応ルータでローカル認証サービスを設定します。

アクセス ポイントまたはルータの設定を保護するため、そのセキュリティを物理的に高めます。

リモート サイト IEEE 802.1X ローカル認証サービスを設定するための制約事項

ローカル認証サービス機能の制約事項は次のとおりです。

ローカル認証サーバは、そのデータベースをメインの RADIUS サーバと同期しません。クライアントのユーザ名とパスワードを使用して、ローカル認証サーバを手動で設定する必要があります。

サポートされている唯一の認証プロトコルは LEAP です。

1 つのネットワークに複数のローカル認証サーバが存在できますが、1 つのデバイス上では 1 つの認証サーバだけを設定できます。

リモート サイト IEEE 802.1X ローカル認証サービスの設定に関する情報

802.1X 認証を使用する一般的な無線 LAN では、アクセス ポイントと無線対応ルータは、リモート サイトの RADIUS サーバを使用してクライアント デバイスを認証します。この認証トラフィックは、WAN リンクを横断する必要があります。WAN リンクが障害になるか、アクセス ポイントとルータが RADIUS サーバに到達できない場合、アクセスの要件があくまでローカルである場合でも、クライアント デバイスは無線ネットワークにアクセスできなくなります。

WAN リンクまたはサーバの障害時に備えてローカル認証サービスまたはバックアップ認証サービスを提供するために、アクセス ポイントまたは無線対応ルータをローカル RADIUS サーバとして設定できます。アクセス ポイントまたは無線対応ルータは、Light Extensible Authentication Protocol(LEAP)対応の無線クライアント デバイスを認証し、ネットワークへの参加を許可することができます。

ローカル認証デバイスは、そのデータベースをメインの RADIUS サーバと同期しないため、クライアントのユーザ名とパスワードを使用してローカル認証サーバを設定する必要があります。ローカル認証サーバでは、クライアントに使用を許可する VLAN および Service Set Identifier(SSID)を指定できます。

表 1 に、1 台のローカル認証サーバで設定できる最大クライアント数を示します。

 

表 1 ローカル認証サーバで設定できる最大クライアント数

ローカル認証サーバ
最大クライアント数

Cisco Aironet Access Point 1100 および Cisco Aironet Access Point 1200

50

Cisco 2610XM、Cisco 2611XM ルータ

50

Cisco 2620XM、Cisco 2621XM ルータ

50

Cisco 2650XM、Cisco 2651XM ルータ

50

Cisco 2691 ルータ

100

Cisco 2811 ルータ

100

Cisco 2821 ルータ

100

Cisco 2851 ルータ

200

Cisco 3725 ルータ

250

Cisco 3745 ルータ

500

Cisco 3825 ルータ

500

Cisco 3845 ルータ

1000


) ローカル認証サーバに関連付けられたユーザは、クライアント デバイスの認証時にパフォーマンスの低下に気づくことがあります。しかし、無線 LAN にアクセス ポイントが 1 つだけ含まれている場合、デバイスを 802.1X オーセンティケータおよびローカル認証サーバとして設定できます。


メイン サーバに到達できないか RADIUS サーバが使用不能な場合に、ローカル認証サーバを使用するようにアクセス ポイントとルータを設定します。

メイン サーバへのリンクが復旧すると、アクセス ポイントと無線対応ルータは、ローカル認証サーバの使用を自動的に停止します。

ローカル認証サーバがクライアント デバイスに対するサービスも提供している場合、ローカル認証サーバのアクセス ポイントまたはルータを Network Access Server(NAS; ネットワーク アクセス サーバ)として入力する必要があります。LEAP クライアントが認証サーバのアクセス ポイントと連携する場合、アクセス ポイントは自身を使用してクライアントを認証します。


注意 認証サーバとして使用するアクセス ポイントまたは無線対応ルータには、無線 LAN に関する詳細な認証情報が格納されるため、物理的にセキュリティを保護して、その設定を保護する必要があります。

リモート サイト IEEE 802.1X ローカル認証サービスの設定方法

ここでは、次の各手順について説明します。

「ローカル認証サーバの設定」(必須)

「ローカル認証サーバ上でのユーザ グループの設定」(任意)

「ローカル認証サーバ上でのユーザ リストの作成」(必須)

「ローカル認証サーバ上での設定の保存」(任意)

「ローカル認証サーバを使用するようにアクセス ポイントまたはルータを設定する」(必須)

ローカル認証サーバの設定

アクセス ポイントをローカル認証サーバとして設定するには、ここに示す手順を実行します。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. radius-server local

5. nas ip-address key shared-key

手順の詳細

コマンド
目的

ステップ 1

Router> enable

特権 EXEC モードをイネーブルにします。

ステップ 2

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

Router(config)# aaa new-model

AAA をイネーブルにします。

ステップ 4

Router(config)# radius-server local

アクセス ポイントまたはルータをローカル認証サーバとしてイネーブルにし、認証サーバのコンフィギュレーション モードを開始します。

ステップ 5

Router(config-radsrv)# nas ip-address key shared-key

アクセス ポイントまたは Wireless Domain Service(WDS; 無線ドメイン サービス)デバイスを、ローカル認証サーバを使用するユニットのリストに追加します。アクセス ポイントまたは WDS デバイスの IP アドレスと、ローカル認証サーバと他のアクセス ポイントの間の通信を認証するために使用する共有キーを入力します。この共有キーは、ローカル認証サーバを使用する各 WDS デバイスで入力する必要があります。ローカル認証サーバを使用する各アクセス ポイントと候補 WDS は、Network Access Server(NAS; ネットワーク アクセス サーバ)です。

アクセス ポイントが、クライアント デバイスに対してサービスも提供するローカル認証サーバである場合、ローカル認証サーバのアクセス ポイントを NAS として入力する必要があります。

(注) キー文字列の先頭のスペースは無視されますが、キーの途中または末尾のスペースは使用されます。キーの中でスペースを使用する場合、引用符がキーの一部でない限り、キーを引用符で囲まないでください。

この手順を繰り返して、ローカル認証サーバを使用する各アクセス ポイントと候補 WDS デバイスを追加します。

ローカル認証サーバ上でのユーザ グループの設定

ローカル認証サーバでユーザ グループを設定するには、このオプションの作業を実行します(ローカル RADIUS サーバ コンフィギュレーション モードで開始します)。


) ローカル認証サーバでユーザ グループを設定しない場合は、この作業を省略して「ローカル認証サーバ上でのユーザ リストの作成」に進みます。


手順の概要

1. group group-name

2. vlan vlan

3. ssid ssid

4. reauthentication time seconds

5. block count count time { seconds | infinite }

6. exit

手順の詳細

 

コマンド
目的

ステップ 1

Router(config-radsrv)# group group-name

ユーザ グループ コンフィギュレーション モードを開始し、共有設定を割り当てることができるユーザ グループを設定します。

ステップ 2

Router(config-radsrv-group)# vlan vlan

(任意)ユーザ グループのメンバーが使用する VLAN を指定します。アクセス ポイントはグループ メンバーをその VLAN に移動し、他の VLAN 割り当てを上書きします。1 つの VLAN だけをグループに割り当てることができます。

ステップ 3

Router(config-radsrv-group)# ssid ssid

(任意)最大 20 の Service Set Identifier(SSID)を入力し、ユーザ グループのメンバーをそれらの SSID に制限します。アクセス ポイントは、クライアントの SSID がリスト中の SSID に一致するかどうかを確認します。SSID が一致しない場合、クライアントの関連付けが解除されます。

ステップ 4

Router(config-radsrv-group)# reauthentication time seconds

(任意)アクセス ポイントがグループのメンバーを再認証するまでの秒数を設定します。再認証により、ユーザに新しい暗号化キーが提供されます。デフォルトの設定は 0 です。これは、グループ メンバーで再認証が不要であることを意味します。

ステップ 5

Router(config-radsrv-group)# block
count
count time {seconds | infinite }

(任意)パスワード推測攻撃から保護するため、設定した回数だけパスワードを間違えた場合に、一定時間グループ メンバーをロック アウトできます。

count:正しくないパスワードを何回入力したらユーザ名をロック アウトするか。

time:ロック アウトを継続する秒数。infinite を入力した場合、管理者はロックされたユーザ名を手動でブロック解除する必要があります。詳細については、「ユーザ名のブロック解除」を参照してください。

ステップ 6

Router(config-radsrv-group)# exit

オーセンティケータ コンフィギュレーション モードに戻ります。

ユーザ名のブロック解除

ロックアウト時間が経過する前や、ロックアウト時間が無期限に設定されている場合に、ユーザ名のブロックを解除できます。ロックされているユーザ名をブロック解除するには、ローカル認証サーバ上で、特権 EXEC モードで次のコマンドを入力します。

Router# clear radius local-server user username
 

ローカル認証サーバ上でのユーザ リストの作成

ローカル認証サーバ上でユーザ リストを作成し、ローカル認証サーバを使用して認証を許可するユーザを設定するには、次の段落で説明する必須の作業を実行します。


) ローカル認証サーバでユーザを設定しない場合は、この作業を省略して「ローカル認証サーバ上での設定の保存」に進みます。


各ユーザのユーザ名とパスワードを入力します。認証サーバ データベースに格納されていることが多い、パスワードの NT ハッシュ値だけを知っている場合は、NT ハッシュを 16 進数の文字列として入力できます。

ユーザ グループにユーザを追加するには、グループ名を入力します。グループを指定しない場合、ユーザは特定の VLAN に割り当てられず、再認証は強制されません。

ローカル RADIUS サーバ コンフィギュレーション モードで、各ユーザ名に対して user コマンドを入力します。

Router(config-radsrv)# user username {password | nthash} password [group group-name]
 

ローカル認証サーバ上での設定の保存

現在の設定を保存するには、このオプションの作業を実行します。

手順の概要

1. end

2. copy running-config startup-config

手順の詳細

 

コマンド
目的

ステップ 1

Router(config-radsrv)# end

特権 EXEC モードに戻ります。

ステップ 2

Router# copy running-config startup-config

エントリを設定ファイルに保存します。

ローカル認証サーバを使用するようにアクセス ポイントまたはルータを設定する

ローカル認証サーバを、クライアント アクセス ポイントまたは無線対応ルータのリストに追加するには、この必須の作業を実行します。


) 使用しているローカル認証サーバ アクセス ポイントが、クライアント デバイスへのサービス提供も行っている場合は、自身を使用してクライアント デバイスを認証するように、ローカル認証サーバを設定する必要があります。


ローカル認証サーバを使用する無線デバイスで、特権 EXEC モードで radius-server host コマンドを使用し、ローカル認証サーバを RADIUS サーバとして入力します。デバイスがサーバの使用を試みる順序は、デバイス設定でサーバを入力した順序と同じになります。初めて RADIUS サーバを使用するようにデバイスを設定する場合、最初にメインの RADIUS サーバを入力し、最後にローカル認証サーバを入力します。


) 認証ポートとして 1812 を入力し、アカウンティング ポートとして 1813 を入力する必要があります。ローカル認証サーバは、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)ポート 1813 で RADIUS アカウンティング パケットを受信します。ローカル認証サーバは、アカウンティング パケットを破棄しますが、サーバがダウンしているかのようにクライアントが振る舞うのを避けるため、受信応答パケットを RADIUS クライアントに送信します。


アクセス ポイントまたはルータが無応答のサーバを使用しない期間を設定するには、グローバル コンフィギュレーション モードで radius-server deadtime コマンドを使用します。そうすることで、次に設定されているサーバを試す前に要求がタイムアウトするのを待つのを避けることができます。停止と見なされたサーバは、指定した時間(分単位で、最大 1440(24 時間))だけ、以降に要求を送信するときにスキップされます。

ローカル認証サーバをアクセス ポイントまたはルータ設定から削除するには、グローバル コンフィギュレーション モードで no radius-server host コマンドを使用します。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ]

5. aaa group server { radius | tacacs+ } group-name

6. server ip-address auth-port 1812 acct-port 1813

7. aaa authentication login named-authentication-list

8. end

9. show running-config

10. copy running-config startup-config

手順の詳細

 

コマンド
目的

ステップ 1

Router> enable

特権 EXEC モードをイネーブルにします。

ステップ 2

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

Router(config)# aaa new-model

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)をイネーブルにします。この手順は、他の AAA 設定手順の前に実行する必要があります。

ステップ 4

Router(config)# radius-server host { hostname | ip-address } [ auth-port port-number ] [ acct-port port-number ] [ timeout seconds ] [ retransmit retries ] [ key string ]

リモート RADIUS サーバ ホストの IP アドレスまたはホスト名を指定します。

(任意) auth-port port-number で、認証要求の UDP 宛先ポートを指定します。

(任意) acct-port port-number で、アカウンティング要求の UDP 宛先ポートを指定します。

(任意) timeout seconds で、アクセス ポイントが、RADIUS サーバの応答をどれだけ待ってから再送するかを指定します。値の範囲は 1 ~ 1000 です。この設定は、グローバル コンフィギュレーション モードで radius-server timeout コマンドを使用して行った設定を上書きします。 radius-server host コマンドでタイムアウトを設定していない場合、 radius-server timeout コマンドで行った設定が使用されます。

(任意) retransmit retries で、サーバが応答しないかサーバの応答が遅い場合に RADIUS 要求をサーバに再送する回数を指定します。値の範囲は 1 ~ 1000 です。 radius-server host コマンドを使用して再送回数を設定しない場合、グローバル コンフィギュレーション コマンド モードで radius-server retransmit コマンドを使用して行った設定が使用されます。

(任意) key string で、アクセス ポイントと RADIUS サーバ上で動作する RADIUS デーモンの間で使用する認証および暗号化キーを指定します。

コマンドの最後の項目として設定します。先頭のスペースは無視されますが、キーの途中または末尾のスペースは使用されます。キーの中でスペースを使用する場合、引用符がキーの一部でない限り、キーを引用符で囲まないでください。

1 つの IP アドレスに関連付けられた複数のホスト エントリを認識するようにアクセス ポイントを設定するには、ホストごとに異なる UDP ポート番号を使用するように注意しながら、このコマンドを必要な回数だけ入力します。アクセス ポイント ソフトウェアは、指定した順序でホストを検索します。特定の RADIUS ホストで使用するタイムアウト、再送信、暗号化キーを設定します。

ステップ 5

aaa group server { radius | tacacs+ } group-name

グループ名を指定して AAA サーバ グループを定義します。

ステップ 6

Router(config-sg-radius)# server ip-address auth-port 1812 acct-port 1813

AAA サーバの IP アドレス、認証ポート、アカウンティング ポートを定義します。

ステップ 7

Router(config)# aaa authentication login named-authentication-list

サーバ グループの認証方式のリストを作成します。

ステップ 8

Router(config)# end

特権 EXEC モードに戻ります。

ステップ 9

Router# show running-config

確認のために現在の設定を表示します。

ステップ 10

Router# copy running-config startup-config

(任意)エントリをコンフィギュレーション ファイルに保存します。

ローカル認証サービスの設定の確認

ローカル認証サービスの現在の設定を確認するには、グローバル コンフィギュレーション モードで show running-config コマンドを使用します。

手順の概要

1. enable

2. show running-config

手順の詳細

コマンド
目的

ステップ 1

Router> enable

特権 EXEC モードをイネーブルにします。

ステップ 2

Router# show running-config

現在のアクセス ポイントの動作設定を表示します。

802.1X ローカル認証サービスのモニタおよびメンテナンス

ローカル認証サーバによって収集された統計情報を表示するには、特権 EXEC モードで次のコマンドを入力します。

Router# show radius local-server statistics
 

ローカル認証サーバの統計情報をゼロにリセットするには、特権 EXEC モードで次のコマンドを入力します。

Router# clear radius local-server statistics
 

リモート サイト IEEE 802.1X ローカル認証サービスの設定例

ここでは、次の設定例について説明します。

ローカル認証サーバの設定例

2 台のメイン サーバと 1 台のローカル認証サーバの設定例

ローカル認証サーバの設定の表示例

ローカル認証サーバの統計情報の表示例

ローカル認証サーバの設定例

次に、3 つのユーザ グループがあり数名のユーザがいる 3 つのアクセス ポイントによって使用される、ローカル認証サーバの設定例を示します。

AP# configure terminal
AP(config)# aaa new-model
AP(config)# aaa group server radius RADIUS_SERVER_GROUP
AP(config-sg-radius)# server 10.0.0.1 auth-port 1812 acct-port 1813
AP(config)# aaa authentication login RADIUS_METHOD_LIST
AP(config)# radius-server host 10.0.0.1 auth-port 1812 acct-port 1813 key 110337
AP(config)# radius-server local
AP(config-radsrv)# nas 10.91.6.159 key 110337
AP(config-radsrv)# nas 10.91.6.162 key 110337
AP(config-radsrv)# nas 10.91.6.181 key 110337
AP(config-radsrv)# group clerks
AP(config-radsrv-group)# vlan 87
AP(config-radsrv-group)# ssid batman
AP(config-radsrv-group)# ssid robin
AP(config-radsrv-group)# reauthentication time 1800
AP(config-radsrv-group)# block count 2 time 600
AP(config-radsrv-group)# group cashiers
AP(config-radsrv-group)# vlan 97
AP(config-radsrv-group)# ssid deer
AP(config-radsrv-group)# ssid antelope
AP(config-radsrv-group)# ssid elk
AP(config-radsrv-group)# reauthentication time 1800
AP(config-radsrv-group)# block count 2 time 600
AP(config-radsrv-group)# group managers
AP(config-radsrv-group)# vlan 77
AP(config-radsrv-group)# ssid mouse
AP(config-radsrv-group)# ssid chipmunk
AP(config-radsrv-group)# reauthentication time 1800
AP(config-radsrv-group)# block count 2 time 600
AP(config-radsrv-group)# exit
AP(config-radsrv)# user jsmith password twain74 group clerks
AP(config-radsrv)# user stpatrick password snake100 group clerks
AP(config-radsrv)# user nick password uptown group clerks
AP(config-radsrv)# user sam password rover32 group cashiers
AP(config-radsrv)# user patsy password crowder group cashiers
AP(config-radsrv)# user carl password 272165 group managers
AP(config-radsrv)# user vic password lid178 group managers
AP(config-radsrv)# end
 

2 台のメイン サーバと 1 台のローカル認証サーバの設定例

次に、2 台のメイン サーバと 1 台のローカル認証サーバを、サーバの deadtime を 10 分にして設定する例を示します。

Router(config)# aaa new-model
Router(config)# aaa group server radius RADIUS_SERVER_GROUP
Router(config-sg-radius)# server 172.20.0.1 auth-port 1000 acct-port 1001
Router(config-sg-radius)# server 172.10.0.1 auth-port 1645 acct-port 1646
Router(config-sg-radius)# server 10.91.6.151 auth-port 1812 acct-port 1813
Router(config)# radius-server host 172.20.0.1 auth-port 1000 acct-port 1001 key 77654
Router(config)# radius-server host 172.10.0.1 auth-port 1645 acct-port 1646 key 77654
Router(config)# radius-server host 10.91.6.151 auth-port 1812 acct-port 1813 key 110337
Router(config)# radius-server deadtime 10
 

この例で、メイン サーバへの WAN リンクが障害になると、LEAP 対応のクライアント デバイスが連動している場合、アクセス ポイントまたは無線対応ルータは次の手順を実行します。

1. 最初のサーバを試し、複数回タイムアウトし、最初のサーバを停止と見なします。

2. 2 番目のサーバを試し、複数回タイムアウトし、2 番目のサーバを停止と見なします。

3. ローカル認証サーバを試して成功します。

別のクライアント デバイスで、10 分間の deadtime 期間の間に認証する必要がある場合、アクセス ポイントは最初の 2 台のサーバをスキップし、最初にローカル認証サーバを試します。deadtime 期間の後、アクセス ポイントはメイン サーバを使用して認証を試みます。deadtime を設定する際には、停止しているサーバをスキップする必要性と、WAN リンクを確認してできるだけ早くメイン サーバの使用を再開する必要性のバランスをとる必要があります。

アクセス ポイントまたは無線対応ルータが停止しているメイン サーバを使用しようとするたびに、認証しようとしているクライアント デバイスは認証タイムアウトを報告します。メイン サーバがタイムアウトし、アクセス ポイントまたは無線対応ルータがローカル認証サーバを試したときに、クライアント デバイスは再試行して成功します。シスコ クライアント デバイスのタイムアウト値を、予想されるサーバ タイムアウトよりも長くなるように延長することができます。

ローカル認証サーバの設定の表示例

次に、Cisco 2621 ルータでローカル認証サーバの設定を出力する例を示します。

2621-1# show run
Building configuration...
 
Current configuration : 2954 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 2621-1
!
!
aaa new-model
!
!
aaa group server radius RADIUS_LEAP_GROUP
server 10.0.0.1 auth-port 1812 acct-port 1813
!
aaa authentication login AUTH_LEAP group RADIUS_LEAP_GROUP
aaa session-id common
ip subnet-zero
!
!
ip dhcp pool 2621-dhcp-pool
network 10.0.0.0 255.0.0.0
!
!
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
!
interface FastEthernet1/1
switchport mode trunk
no ip address
!
interface FastEthernet1/2
no ip address
shutdown
!
interface FastEthernet1/3
no ip address
shutdown
!
interface FastEthernet1/4
no ip address
shutdown
!
interface FastEthernet1/5
no ip address
!
!
interface GigabitEthernet1/0
no ip address
shutdown
!
interface Vlan1
ip address 10.0.0.1 255.0.0.0
!
ip classless
!
ip http server
no ip http secure-server
!
!
!
radius-server local
nas 10.0.0.1 key 0 cisco
user ap-1 nthash 7 101B2A415547345A5F25790801706510064152425325720D7D04075D523D4F780A
user ap-5 nthash 7 144231535C540C7A77096016074B51332753030D0877705A264F450A09720A7307
user user1 nthash 7 1350344A5B5C227B78057B10107A452232515402097C77002B544B45087D0E7200
!
radius-server host 10.0.0.1 auth-port 1812 acct-port 1813
radius-server key cisco
!
wlccp authentication-server infrastructure AUTH_LEAP
wlccp authentication-server client leap AUTH_LEAP
wlccp wds priority 255 interface Vlan1
!
line con 0
line aux 0
line vty 0 4
!
!
!
end
 

ローカル認証サーバの統計情報の表示例

次に、 show radius local-server statistics コマンドを使用して設定を出力する例を示します。

router-2621-1# show radius local-server statistics
Successes : 11262 Unknown usernames : 0
Client blocks : 0 Invalid passwords : 8
Unknown NAS : 0 Invalid packet from NAS: 0
 
NAS : 10.0.0.1
Successes : 11262 Unknown usernames : 0
Client blocks : 0 Invalid passwords : 8
Corrupted packet : 0 Unknown RADIUS message : 0
No username attribute : 0 Missing auth attribute : 0
Shared key mismatch : 0 Invalid state attribute: 0
Unknown EAP message : 0 Unknown EAP auth type : 0
 
Maximum number of configurable users: 50, current user count: 11
Username Successes Failures Blocks
vayu-ap-1 2235 0 0
vayu-ap-2 2235 0 0
vayu-ap-3 2246 0 0
vayu-ap-4 2247 0 0
vayu-ap-5 2247 0 0
vayu-11 3 0 0
vayu-12 5 0 0
vayu-13 5 0 0
vayu-14 30 0 0
vayu-15 3 0 0
scm-test 1 8 0
 
router-2621-1#
 
 

最初の部分は、ローカル認証サーバからの蓄積された統計情報を示しています。2 番目の部分は、ローカル認証サーバを使用することを許可されている各アクセス ポイント(NAS)に対する統計情報を示しています。3 番目の部分は、個々のユーザの統計情報を示しています。ユーザがブロックされ、ロックアウト時間が無期限に設定されている場合、そのユーザの統計情報の最後の行に Blocked と表示されます。ロックアウト時間が無期限に設定されていない場合、そのユーザの統計行の最後に Unblocked in x seconds と表示されます。

その他の参考資料

ここでは、リモート サイト IEEE 802.1X ローカル認証サービス機能に関する関連資料について説明します。

関連資料

内容
参照先

包括的なソフトウェア コンフィギュレーション コマンド

『Cisco IOS Software Configuration Guide for Cisco Aironet Access Points』

無線ローミングのコンフィギュレーション コマンド

『Configuring Fast Secure Roaming』

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

リモート サイト IEEE 802.1X ローカル認証サービスの機能情報

表 2 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 2 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 2 リモート サイト IEEE 802.1X ローカル認証サービスの機能情報

機能名
リリース
機能情報

リモート サイト IEEE 802.1X ローカル認証サービス

12.2(11)JA
12.3(11)T

リモート サイト IEEE 802.1X ローカル認証サービス機能を使用すると、ローカル RADIUS サーバとして動作するアクセス ポイントまたは無線対応ルータの設定が可能になります。ローカル認証サービスを設定することで、WAN リンクまたはサーバが障害になったときに備えたバックアップ認証サービスが提供されます。

この機能は、Cisco IOS リリース 12.2(11)JA で、Cisco Aironet アクセス ポイントに導入されました。

この機能は、Cisco IOS リリース 12.3(11)T で、Cisco 2600XM、Cisco 2691、Cisco 2811、Cisco 2821、Cisco 2851、Cisco 3700 シリーズ、および Cisco 3800 シリーズ ルータに統合されました。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2003-2009 Cisco Systems, Inc.
All rights reserved.