Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド リリース 7.4(統合版)
アクセス ポイントの認証の設定
アクセス ポイントの認証の設定
発行日;2013/06/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

アクセス ポイントの認証の設定

アクセス ポイントに対する認証の設定について

Lightweight アクセス ポイントとシスコのスイッチの間で 802.1X 認証を設定できます。 アクセス ポイントは 802.1X サプリカントとして動作し、EAP-FAST と匿名 PAC プロビジョニングを使用してスイッチにより認証されます。

注意事項と制約事項

  • OEAP 600 シリーズ アクセス ポイントでは、LEAP はサポートされません。
  • 現在コントローラに join している、また、今後 join するすべてのアクセス ポイントにグローバル認証を設定できます。 必要に応じて、このグローバル認証設定よりも優先される、独自の認証設定を特定のアクセス ポイントに割り当てることができます。

アクセス ポイントの認証を設定するための前提条件


    ステップ 1   アクセス ポイントが新しい場合は、次を実行します。
    1. アクセス ポイントを、インストールされたリカバリ イメージでブートします。
    2. この提案フローに従わず、アクセス ポイントがコントローラに join する前にアクセス ポイントに接続されたスイッチ ポートで 802.1X 認証を有効化するには、次のコマンドを入力します。

      lwapp ap dot1x username username password password

      (注)     

      この提案フローに従って、アクセス ポイントがコントローラに join されて設定済みの 802.1X 資格情報を受信してからスイッチ ポートで 802.1X 認証を有効化する場合は、このコマンドを入力する必要はありません。

      (注)     

      このコマンドは、5.1、5.2、6.0、または 7.0 リカバリ イメージを実行しているアクセス ポイントでのみ使用できます。

      アクセス ポイントをスイッチ ポートに接続します。

    ステップ 2   5.1、5.2、6.0、または 7.0 イメージをコントローラにインストールし、コントローラをリブートします。
    ステップ 3   すべてのアクセス ポイントによるコントローラへの join を許可します。
    ステップ 4   コントローラ上で認証を設定します。 コントローラの認証の設定に関する情報については、「Configuring Authentication for Access Points(GUI)」の項、または「Configuring Authentication for Access Points(CLI)」の項を参照してください。
    ステップ 5   スイッチを設定して認証を許可します。 スイッチの認証の設定については、「Configuring the Switch for Authentication」の項を参照してください。

    アクセス ポイントの認証の設定(GUI)


      ステップ 1   [Wireless] > [Access Points] > [Global Configuration] の順に選択して、[Global Configuration]ページを開きます。
      ステップ 2   [802.1x Supplicant Credentials] で、[802.1x Authentication] チェックボックスをオンにします。
      ステップ 3   [Username] テキスト ボックスに、そのコントローラに join するすべてのアクセス ポイントが継承するユーザ名を入力します。
      ステップ 4   [Password] ボックスと [Confirm Password] ボックスに、コントローラに join するすべてのアクセス ポイントによって継承されるパスワードを入力します。
      (注)     
      これらのテキスト ボックスには、強力なパスワードを入力する必要があります。 強度が高いパスワードの特徴は次のとおりです。
      • 少なくとも 8 文字の長さである。
      • 小文字と大文字、数字、および記号の組み合わせを含む。
      • どの言語の単語でもない。
      ステップ 5   [Apply] をクリックして、グローバル認証ユーザ名およびパスワードを、コントローラに現在 join しているアクセス ポイント、および今後 join するすべてのアクセス ポイントに送信します。
      ステップ 6   [Save Configuration] をクリックして、変更を保存します。
      ステップ 7   必要に応じて、次の手順に従って、グローバル認証設定を無効にし、独自のユーザ名およびパスワードを特定のアクセス ポイントに割り当てることができます。
      1. [Access Points] > [All APs] の順に選択して、[All APs] ページを開きます。
      2. 認証設定を無効にするアクセス ポイントの名前をクリックします。
      3. [Credentials] タブをクリックして [All APs > Details for](Credentials)ページを開きます。
      4. [802.1x Supplicant Credentials] で [Over-ride Global Credentials] チェックボックスをオンにして、このアクセス ポイントがグローバル認証のユーザ名およびパスワードをコントローラから継承しないようにします。 デフォルト値はオフです。
      5. [Username]、[Password]、および [Confirm Password] テキスト ボックスに、このアクセス ポイントに割り当てる一意のユーザ名およびパスワードを入力します。
        (注)     

        入力した情報は、コントローラやアクセス ポイントをリブートした後や、アクセス ポイントが新しいコントローラに join された場合でも保持されます。

      6. [Apply] をクリックして、変更を確定します。
      7. [Save Configuration] をクリックして、変更を保存します。
        (注)     

        このアクセス ポイントで、コントローラのグローバル認証設定を強制的に使用する必要がある場合は、[Over-ride Global Credentials] チェックボックスをオフにします。


      アクセス ポイントの認証の設定(CLI)


        ステップ 1   次のコマンドを入力して、コントローラに現在 join しているアクセス ポイント、および今後 join するすべてのアクセス ポイントについて、グローバル認証のユーザ名とパスワードを設定します。 config ap dot1xuser add username user password password all
        (注)     

        password パラメータには強力なパスワードを入力する必要があります。 強度が高いパスワードの特徴は次のとおりです。 - 少なくとも 8 文字の長さである。 - 小文字と大文字、数字、および記号の組み合わせを含む。 - どの言語の単語でもない。

        ステップ 2   (任意)グローバル認証設定を無効にし、独自のユーザ名およびパスワードを特定のアクセス ポイントに割り当てることができます。 そのためには、次のコマンドを入力します。 config ap dot1xuser add username user password password Cisco_AP
        (注)     

        password パラメータには強力なパスワードを入力する必要があります。 強力なパスワードの特徴については、ステップ 1 の注記を参照してください。

        このコマンドに入力した認証設定は、コントローラやアクセス ポイントをリブートした後や、アクセス ポイントが新しいコントローラに join された場合でも保持されます。

        (注)     

        このアクセス ポイントで、コントローラのグローバル認証設定を強制的に使用する必要がある場合は、config ap dot1xuser delete Cisco_AP コマンドを入力します。 このコマンドの実行後、「AP reverted to global username configuration」というメッセージが表示されます。

        ステップ 3   save config コマンドを入力して、変更を保存します。
        ステップ 4   (任意)次のコマンドを入力して、すべてのアクセス ポイントまたは特定のアクセス ポイントに対して 802.1X 認証を無効にします。

        config ap dot1xuser disable {all | Cisco_AP}

        (注)     

        特定のアクセス ポイントの 802.1X 認証は、グローバル 802.1X 認証が有効でない場合にだけ無効にできます。 グローバル 802.1X 認証が有効な場合は、すべてのアクセス ポイントに対してだけ 802.1X を無効にできます。

        ステップ 5   次のコマンドを入力して、コントローラに join するすべてのアクセス ポイントの認証設定を表示します。

        show ap summary

        以下に類似した情報が表示されます。

        
        Number of APs.................................... 1
        Global AP User Name.............................. globalap
        Global AP Dot1x User Name........................ globalDot1x
        
        
        (注)     

        グローバルな認証が設定されていない場合、[Global AP Dot1x User Name] テキスト ボックスには「Not Configured」と表示されます。

        特定のアクセス ポイントの概要を表示するには、アクセス ポイント名を指定します。 また、アクセス ポイントのフィルタリングを行うときは、ワイルドカード検索を使用できます。

        ステップ 6   次のコマンドを入力して、特定のアクセス ポイントの認証設定を表示します。

        show ap config general Cisco_AP

        (注)     

        アクセス ポイントの名前では、大文字と小文字が区別されます。

        以下に類似した情報が表示されます。

        
        Cisco AP Identifier.............................. 0
        Cisco AP Name.................................. FlexConnect
        ...
        AP Dot1x User Mode............................... AUTOMATIC
        AP Dot1x User Name............................... globalDot1x
        ...
        
        
        (注)     

        このアクセス ポイントがグローバル認証を使用するよう設定されている場合は、[AP Dot1x User Mode] テキスト ボックスに「Automatic」と表示されます。このアクセス ポイントでグローバル認証設定が無効にされている場合は、[AP Dot1x User Mode] テキスト ボックスに「Customized」と表示されます。


        スイッチの認証の設定

        スイッチ ポートで 802.1X 認証を有効にするには、スイッチ CLI で次のコマンドを入力します。

        • Switch# configure terminal
        • Switch(config)# dot1x system-auth-control
        • Switch(config)# aaa new-model
        • Switch(config)# aaa authentication dot1x default group radius
        • Switch(config)# radius-server host ip_addr auth-port port acct-port port key key
        • Switch(config)# interface fastethernet2/1
        • Switch(config-if)# switchport mode access
        • Switch(config-if)# dot1x pae authenticator
        • Switch(config-if)# dot1x port-control auto
        • Switch(config-if)# end