Identity-Based Networking Services コンフィギュレーション ガイド Cisco IOS XE Release 3SE(Catalyst 3650 スイッチ)
LDAP を使用したローカル認証の設定
LDAP を使用したローカル認証の設定

LDAP を使用したローカル認証の設定

Lightweight Directory Access Protocol(LDAP)を使用したローカル認証を使用すると、LDAP をバックエンドとした Web 認証、802.1X、MAC 認証バイパス(MAB)を使用して、エンドポイントを認証することができます。 Identity-Based Networking Services のローカル認証でも、認証、許可、およびアカウンティング(AAA)属性リストとローカル ユーザ名のリストの関連付けがサポートされます。 このモジュールでは、Identity-Based Networking Services のローカル認証の設定に関する情報を提供します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、Bug Search Tool およびご使用のプラットフォームおよびソフトウェア リリースのリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を確認し、各機能がサポートされているリリースのリストを確認するには、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

LDAP を使用したローカル認証に関する情報

LDAP を使用したローカル認証

LDAP を使用したローカル認証を使用すると、LDAP をバックエンドとした Web 認証、802.1X、MAB を使用して、エンドポイントを認証することができます。 ローカル認証は、ワイヤレス セッションのローカル ユーザ名と属性リストを関連付けることで、追加の AAA 属性をサポートします。

AES キー ラップ

Advanced Encryption Standards(AES)キー ラップ機能は、コントローラと RADIUS サーバ間の共有秘密の安全性を強化します。 AES キー ラップは、Federal Information Processing Standards(FIPS)を使用するユーザのために設計されており、キー ラップ準拠の RADIUS 認証サーバを必要とします。

LDAP を使用したローカル認証の設定方法

LDAP を使用したローカル認証の設定

ローカル認証に対して AAA 方式のリストを指定し、属性リストをローカル ユーザ名に関連付けるには、この作業を実行します。

手順の概要

    1.    enable

    2.    configure terminal

    3.    aaa local authentication {method-list-name | default} authorization {method-list-name | default}

    4.    username name aaa attribute list aaa-attribute-list [password password]

    5.    exit


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable
     

    特権 EXEC モードをイネーブルにします。

    • パスワードを入力します(要求された場合)。

     
    ステップ 2 configure terminal


    例:
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 aaa local authentication {method-list-name | default} authorization {method-list-name | default}


    例:
    Device(config)# aaa local authentication default authorization default
     

    LDAP サーバからのローカル認証および認可に使用する方式のリストを指定します。

     
    ステップ 4 username name aaa attribute list aaa-attribute-list [password password]


    例:
    Device(config)# username USER_1 aaa attribute list LOCAL_LIST password CISCO
     

    ローカル ユーザ名と AAA 属性リストを関連付けます。

     
    ステップ 5 exit


    例:
    Device(config)# exit
     

    グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

     

    MAC フィルタリング サポートの設定

    MAC フィルタリングをサポートするには、RADIUS 互換モード、MAC デリミタ、およびMAC アドレスをユーザ名として設定し、この作業を実行します。

    手順の概要

      1.    enable

      2.    configure terminal

      3.    aaa group server radius group-name

      4.    subscriber mac-filtering security-mode {mac | none | shared-secret}

      5.    mac-delimiter {colon | hyphen | none | single-hyphen}

      6.    exit

      7.    username mac-address mac [aaa attribute list aaa-attribute-list]

      8.    exit


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Device> enable
       

      特権 EXEC モードをイネーブルにします。

      • パスワードを入力します(要求された場合)。

       
      ステップ 2 configure terminal


      例:
      Device# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3 aaa group server radius group-name


      例:
      Device(config)# aaa group server radius RAD_GROUP1
       

      各種の RADIUS サーバ ホストを別個のリストにグループ化します。

       
      ステップ 4 subscriber mac-filtering security-mode {mac | none | shared-secret}


      例:
      Device(config-sg-radius)# subscriber mac-filtering security-mode mac
       

      MAC フィルタリングの RADIUS 互換モードを指定します。

      • デフォルト値は none です。

       
      ステップ 5 mac-delimiter {colon | hyphen | none | single-hyphen}


      例:
      Device(config-sg-radius)# mac-delimiter hyphen
       

      RADIUS 互換モードの MAC デリミタを指定します。

      • デフォルト値は none です。

       
      ステップ 6 exit


      例:
      Device(config-sg-radius)# exit
       

      サーバ グループ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

       
      ステップ 7 username mac-address mac [aaa attribute list aaa-attribute-list]


      例:
      Device(config)# username 00-22-WP-EC-23-3C mac aaa attribute list AAA_list1
       

      ローカルで実行される MAC フィルタリングのユーザ名として MAC アドレスを使用できるようにします。

       
      ステップ 8 exit


      例:
      Device(config)# exit
       

      グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

       

      AES キー ラップのイネーブル化

      Advanced Encryption Standards(AES)キー ラップは、コントローラと RADIUS サーバ間の共有秘密の安全性を強化します。 AES キー ラップでは、キー ラップ準拠の RADIUS 認証サーバが必要です。

      手順の概要

        1.    enable

        2.    configure terminal

        3.    radius-server host {hostname | ip-address} key-wrap encryption-key encryption-key message-auth-code-key encryption-key [format {ascii | hex}]

        4.    aaa group server radius group-name

        5.    server ip-address [auth-port port-number] [acct-port port-number]

        6.    key-wrap enable

        7.    end


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 enable


        例:
        Device> enable
         

        特権 EXEC モードをイネーブルにします。

        • パスワードを入力します(要求された場合)。

         
        ステップ 2 configure terminal


        例:
        Device# configure terminal
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 3 radius-server host {hostname | ip-address} key-wrap encryption-key encryption-key message-auth-code-key encryption-key [format {ascii | hex}]


        例:
        Device(config)# radius-server host 10.10.1.2 key-wrap encryption-key testkey99 message-auth-code-key testkey123
         

        RADIUS サーバ ホストを定義します。

         
        ステップ 4 aaa group server radius group-name


        例:
        Device(config)# aaa group server radius RAD_GROUP1
         

        各種の RADIUS サーバ ホストを別個のリストにグループ化します。

         
        ステップ 5 server ip-address [auth-port port-number] [acct-port port-number]


        例:
        Device(config-sg-radius)# server 10.10.1.2
         

        サーバ グループの RADIUS サーバの IP アドレスを指定します。

         
        ステップ 6 key-wrap enable


        例:
        Device(config-sg-radius)# key-wrap enable
         

        この RADIUS サーバの AES キー ラップをイネーブルにします。

         
        ステップ 7 end


        例:
        Device(config-sg-radius)# end
         

        サーバ グループ コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

         

        LDAP を使用したローカル認証の設定例

        例:LDAP を使用したローカル認証の設定

        次の例は、ローカル認証の設定を示しています。

        !
        username USER_1 password 0 CISCO
        username USER_1 aaa attribute list LOCAL_LIST
        aaa new-model
        aaa local authentication EAP_LIST authorization EAP_LIST
        !
        

        例:MAC フィルタリング サポートの設定

        次の例は、MAC フィルタリングの設定を示しています。

        username 00-22-WP-EC-23-3C mac aaa attribute list AAA_list1
        !
        aaa group server radius RAD_GROUP1
         subscriber mac-filtering security-mode mac
         mac-delimiter hyphen
        

        例:AES キー ラップの設定

        次の例は、RADIUS サーバに対してイネーブル化されたキー ラップの設定を示しています。

        aaa group server radius RAD_GROUP1
         server 10.10.1.2
         key-wrap enable
        !
        radius-server host 10.10.1.2
        !
        

        その他の関連資料

        関連資料

        関連項目

        マニュアル タイトル

        Cisco IOS コマンド

        『Cisco IOS Master Command List, All Releases』

        Identity-Based Networking Services コマンド

        『Cisco IOS Identity-Based Networking Services Command Reference』

        アドレス解決プロトコル(ARP)コマンド

        『Cisco IOS IP Addressing Services Command Reference』

        ARP 設定作業

        『IP Addressing - ARP Configuration Guide』

        認証、許可、およびアカウンティング(AAA)の設定作業

        『Authentication Authorization and Accounting Configuration Guide』

        AAA コマンド

        『Cisco IOS Security Command Reference』

        標準および RFC

        標準/RFC

        Title

        RFC 5176

        『Dynamic Authorization Extensions to RADIUS』

        テクニカル サポート

        説明

        Link

        右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

        http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

        LDAP を使用したローカル認証の機能情報

        次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、特定のソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースのみを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

        プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

        表 1 LDAP を使用したローカル認証の機能情報
        機能名 リリース 機能情報

        LDAP を使用したローカル認証

        Cisco IOS XE Release 3.2SE

        Lightweight Directory Access Protocol(LDAP)を使用してローカル認証のサポートを導入します。

        導入または変更されたコマンド:aaa local authenticationkey-wrap enablemac-delimiterradius-server hostsubscriber mac-filtering security-modeusername