Cisco ワイヤレス LAN コントローラ構成ガイド リリース 8.1
LDAP の設定
LDAP の設定

LDAP の設定

LDAP の概要

LDAP バックエンド データベースを使用すると、コントローラで、特定のユーザの資格情報(ユーザ名およびパスワード)を LDAP サーバから検索できるようになります。 これらの資格情報は、ユーザの認証に使用されます。 たとえば、ローカル EAP では、ユーザの資格情報を取得するのに、バックエンド データベースとして LDAP を使用する場合があります。


(注)  


リリース 8.0 以降では、IPv6 を使用してコントローラの LDAP サーバを設定することもできます。

LDAP Servers のフォールバック

LDAP サーバは認証用に WLAN に設定されます。 フォールバック動作が行われるようにするには、少なくとも 2 台の LDAP サーバでそれらを設定する必要があります。 WLAN ごとにフォール バック動作が行われるように、最大 3 台の LDAP サーバを設定できます。 サーバは認証の優先順位で表示されます。 最初の LDAP サーバが応答しない場合、コントローラは次の LDAP サーバに切替えます。 2 番目の LDAP サーバが応答しない場合、コントローラは、3 番目の LDAP サーバに再度切替えます。

LDAP バックエンド データベースでは、ローカル EAP 方式として、EAP-TLS、EAP-FAST/GTC、および PEAPv1/GTC がサポートされます。 LEAP、EAP-FAST/MSCHAPv2、EAP-FAST/EAP-GTC、および PEAPv0/MSCHAPv2 もサポートされますが、平文のパスワードを返すように LDAP サーバが設定されている場合にのみサポートされます。

Cisco ワイヤレス LAN コントローラは、Microsoft Active Directory や Novell の eDirectory などの外部 LDAP データベースに対するローカル EAP 認証をサポートしています。 Novell の eDirectory に対するローカル EAP 認証をコントローラに設定する方法については、http:/​/​www.cisco.com/​en/​US/​products/​ps6366/​products_​white_​paper09186a0080b4cd24.shtml で『Configure Unified Wireless Network for Authentication Against Novell's eDirectory Database』ホワイトペーパーを参照してください。

LDAP の設定(GUI)


    ステップ 1   [Security] > [AAA] > [LDAP] の順に選択して、[LDAP Servers] ページを開きます。
    • 既存の LDAP サーバを削除するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。
    • コントローラが特定のサーバに到達できることを確認するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、[Ping] を選択します。

    ステップ 2   次のいずれかの操作を行います。
    • 既存の LDAP サーバを編集するには、そのサーバのインデックス番号をクリックします。 [LDAP Servers > Edit] ページが表示されます。

    • LDAP サーバを追加するには、[New] をクリックします。 [LDAP Servers > New] ページが表示されます。 新しいサーバを追加している場合は、[Server Index (Priority)] ドロップダウン リストから数字を選択し、その他の設定済み LDAP サーバに対してこのサーバの優先順位を指定します。 最大 17 台のサーバを設定できます。 コントローラが最初のサーバに接続できない場合、リスト内の 2 番目のサーバへの接続を試行する、というようになります。
    ステップ 3   新しいサーバを追加している場合は、[Server IP Address] テキスト ボックスに LDAP サーバの IP アドレスを入力します。
    (注)      リリース 8.0 以降では、IPv6 を使用してコントローラの LDAP サーバを設定することもできます。
    ステップ 4   新しいサーバを追加している場合は、[Port Number] テキスト ボックスに LDAP サーバの TCP ポート番号を入力します。 有効な範囲は 1 ~ 65535 で、デフォルト値は 389 です。
    (注)     

    Cisco WLC では、LDAP ポート 389 のみがサポートされます。 他のポートは、LDAP 用としてサポートされません。

    ステップ 5   [Server Mode(via TLS)] ドロップダウン リストから [Disabled] を選択し、TCP を使用して LDAP サーバと Cisco WLC 間の LDAP 接続(セキュア トンネルなし)を確立します。または [Enabled] を選択し、TLS を使用してセキュア LDAP 接続を確立します。
    ステップ 6   [Enable Server Status] チェックボックスをオンにしてこの LDAP サーバを有効にするか、オフにして無効にします。 デフォルト値は [disabled] です。
    ステップ 7   [Simple Bind] ドロップダウン リストから [Anonymous] または [Authenticated] を選択して、LDAP サーバ用のローカル認証バインド方式を指定します。 [Anonymous] 方式では、LDAP サーバへの匿名アクセスが可能です。 [Authenticated] 方式では、ユーザ名とパスワードを入力してアクセスをセキュリティで保護する必要があります。 デフォルトでは [Anonymous] になっています。
    ステップ 8   前の手順で [Authenticated] を選択した場合は、次の手順に従ってください。
    1. [Bind Username] テキスト ボックスに、LDAP サーバのローカル認証に使用されるユーザ名を入力します。 ユーザ名には、最大 80 文字を使用できます。
      (注)     

      ユーザ名が「cn=」(小文字)で始まる場合、コントローラはユーザ名に完全な LDAP データベース パスが含まれていると見なし、ユーザベース DN を付加しません。 この指定により、認証済みのバインド ユーザをユーザ ベース DN の外に置くことができます。

    2. [Bind Username] テキスト ボックスに、LDAP サーバのローカル認証に使用されるユーザ名を入力します。 ユーザ名には、最大 80 文字を使用できます。
    ステップ 9   [User Base DN] テキスト ボックスに、全ユーザのリストが含まれた、LDAP サーバ内のサブツリーの識別名(DN)を入力します。 たとえば、ou=organizational unit、.ou=next organizational unit、o=corporation.com のようになります。 ユーザを含むツリーがベース DN である場合は、次を入力します。 o=corporation.com

    または

    dc=corporation,dc=com
    ステップ 10   [User Attribute] テキスト ボックスに、ユーザ名が含まれたユーザ レコード内の属性の名前を入力します。 この属性はディレクトリ サーバから取得できます。
    ステップ 11   [User Object Type] テキスト ボックスに、レコードをユーザとして識別する LDAP objectType 属性の値を入力します。 多くの場合、ユーザ レコードには複数の objectType 属性の値が含まれています。そのユーザに一意の値と、他のオブジェクト タイプと共有する値があります。
    ステップ 12   [Server Timeout] テキスト ボックスに、再送信の間隔を秒単位で入力します。 有効な範囲は 2 ~ 30 秒で、デフォルト値は 2 秒です。
    ステップ 13   [Apply] をクリックして、変更を確定します。
    ステップ 14   [Save Configuration] をクリックして、変更を保存します。
    ステップ 15   次の手順を実行して、LDAP をローカル EAP 認証用の優先バックエンド データベース サーバとして指定します。
    1. [Security] > [Local EAP] > [Authentication Priority] の順に選択して、[Priority Order > Local-Auth] ページを開きます。
    2. [LOCAL] を強調表示して、[<] をクリックし、それを左の [User Credentials] ボックスに移動します。
    3. [LDAP] を強調表示して、[>] をクリックし、それを右の [User Credentials] ボックスに移動します。 右側の [User Credentials] ボックスの上部に表示されるデータベースは、ユーザの資格情報を取得する際に使用されます。
      (注)     

      [LDAP] と [LOCAL] の両方が右側の [User Credentials] ボックスに表示され、[LDAP] が上部で [LOCAL] が下部にある場合、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 [LOCAL] が上部にある場合、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

    4. [Apply] をクリックして、変更を確定します。
    5. [Save Configuration] をクリックして、変更を保存します。
    ステップ 16   (オプション)次の手順を実行して、特定の LDAP サーバを WLAN に割り当てます。
    1. [WLANs] を選択して、[WLANs] ページを開きます。
    2. 必要な WLAN の ID 番号をクリックします。
    3. [WLANs > Edit] ページが表示されたら [Security] > [AAA Servers] タブを選択し、[WLANs > Edit]([Security > AAA Servers])ページを開きます。
    4. [LDAP Servers] ドロップダウン リストから、この WLAN で使用する LDAP サーバを選択します。 最大 3 台の LDAP サーバを選択できます。これらのサーバは優先順位に従って試行されます。
      (注)     

      これらの LDAP サーバは、Web 認証が有効になっている WLAN にのみ適用されます。 ローカル EAP によって使用されません。

    5. [Apply] をクリックして、変更を確定します。
    6. [Save Configuration] をクリックして、変更を保存します。
    ステップ 17   次の手順を実行して、LDAP サーバ フォールバックの動作を指定します。
    1. [WLAN] > [AAA Server] を選択して、[Fallback Parameters] ページを開きます。
    2. [LDAP Servers] ドロップダウン リストから、コントローラが管理ユーザを認しようとする際の優先順位に従って、LDAP サーバを選択します。 認証順序はサーバから開始します。
    3. [Security] > [AAA] > [LDAP] の順に選択して、コントローラに設定されたグローバル LDAP サーバのリストを表示します。

    LDAP の設定(CLI)

    • 次のコマンドを入力して、LDAP サーバを設定します。

      • config ldap addindex server_ip_address port#user_base user_attr user_typesecureセキュア LDAP 用の LDAP サーバを追加します。

      • config ldap deleteindex:以前に追加された LDAP サーバを削除します。

      • config ldap {enable | disable} index:LDAP サーバを有効または無効にします。

      • config ldapsecurity-modeenableindex:既存のコマンドと共にインデックスを使用して LDAP を有効にします。

      • config ldap simple-bind {anonymousindex | authenticatedindexusernameusernamepasswordpassword}:LDAP サーバ用のローカル認証バインド方式を指定します。 匿名方式では LDAP サーバへの匿名アクセスが可能です。一方、認可方式ではユーザ名とパスワードを入力してアクセスをセキュリティで保護する必要があります。 デフォルト値は [anonymous] です。 ユーザ名には、最大 80 文字を使用できます。

        ユーザ名が「cn=」(小文字)で始まる場合、コントローラはユーザ名に完全な LDAP データベース パスが含まれていると見なし、ユーザベース DN を付加しません。 この指定により、認証済みのバインド ユーザをユーザ ベース DN の外に置くことができます。

      • config ldap retransmit-timeoutindex timeout:LDAP サーバの再送信の間隔(秒数)を設定します。

    • 次のコマンドを入力して、LDAP を優先バックエンド データベース サーバとして指定します。

      config local-auth user-credentials ldap

      config local-auth user-credentials ldap local コマンドを入力すると、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 config local-auth user-credentials local ldap コマンドを入力すると、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

    • (オプション)次のコマンドを入力して、特定の LDAP サーバを WLAN に割り当てます。

      • config wlan ldap addwlan_id server_index:設定済みの LDAP サーバを WLAN に接続します。

        このコマンドで指定される LDAP サーバは、Web 認証が有効になっている WLAN にのみ適用されます。 ローカル EAP によって使用されません。

      • config wlan ldap deletewlan_id {all | index}:特定の、またはすべての設定済み LDAP サーバを WLAN から削除します。

    • 次のコマンドを入力して、設定済みの LDAP サーバに関連する情報を表示します。

      • show ldap summary:設定済みの LDAP サーバの概要を表示します。

        
        Idx  Server Address   Port  Enabled
        ---  ---------------  ----  -------
        1    2.3.1.4           389 	   No
        2    10.10.20.22 	 	 	 389 	 	 Yes

        Idx      Server Address      Port     Enabled  Secure
        ---      --------------      -----    ------  -------   
        1         2.3.1.4            389       No       No
        2         2.3.1.5            389       Yes      No

      • show ldapindex:詳細な LDAP サーバ情報を表示します。 次のような情報が表示されます。

        
        Server Index..................................... 2
        Address.......................................... 10.10.20.22
        Port............................................. 389
        Enabled.......................................... Yes
        User DN.......................................... ou=active,ou=employees,ou=people,
        													o=cisco.com
        User Attribute................................... uid
        User Type........................................ Person
        Retransmit Timeout............................... 2 seconds
        Bind Method ..................................... Authenticated
        Bind Username................................. user1
        
        Controller# show ldap 1
        Server Index..................................... 1
        Address.......................................... 9.1.0.100
        Port............................................. 389
        Server State..................................... Disabled
        User DN.......................................... user1
        User Attribute................................... user
        User Type........................................ user
        Retransmit Timeout............................... 2 seconds
        Secure (via TLS)................................. Disabled
        Bind Method ..................................... Anonymous
        
      • show ldap statistics:LDAP サーバの統計情報を表示します。

        
        Server Index..................................... 1
        Server statistics:
          Initialized OK................................. 0
          Initialization failed.......................... 0
          Initialization retries......................... 0
          Closed OK...................................... 0
        Request statistics:
          Received....................................... 0
          Sent........................................... 0
          OK............................................. 0
          Success........................................ 0
          Authentication failed.......................... 0
          Server not found............................... 0
          No received attributes......................... 0
          No passed username............................. 0
          Not connected to server........................ 0
          Internal error................................. 0
          Retries........................................ 0
        
        Server Index..................................... 2
        ..
        
      • show wlanwlan_id:WLAN に適用される LDAP サーバを表示します。

    • 次のコマンドを入力して、コントローラが LDAP サーバに到達できることを確認します。 pingserver_ip_address

    • 次のコマンドを入力して、変更を保存します。

      save config

    • 次のコマンドを入力して、LDAP のデバッグを有効または無効にします。 debug aaa ldap {enable | disable}