Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.0
アクセス ポイントの認証の設定
アクセス ポイントの認証の設定

アクセス ポイントの認証の設定

アクセス ポイントに対する認証の設定について

Lightweight アクセス ポイントとシスコのスイッチの間で 802.1X 認証を設定できます。 アクセス ポイントは 802.1X サプリカントとして動作し、EAP-FAST と匿名 PAC プロビジョニングを使用してスイッチにより認証されます。

コントローラに現在関連付けられている、または今後関連付けられるすべてのアクセス ポイントにグローバル認証を設定できます。 グローバル認証設定を上書きし、特定のアクセス ポイントに一意の認証設定を割り当てることもできます。

アクセス ポイントの認証を設定するための前提条件


    ステップ 1   アクセス ポイントが新しい場合は、次を実行します。
    1. アクセス ポイントを、インストールされたリカバリ イメージでブートします。
    2. この提案フローに従う代わりに、アクセス ポイントがコントローラに join する前にアクセス ポイントに接続されたスイッチ ポートで 802.1X 認証を有効化するには、次のコマンドを入力します。

      lwapp ap dot1x username username password password

      (注)     

      この提案フローに従って、アクセス ポイントがコントローラに join されて設定済みの 802.1X 資格情報を受信してからスイッチ ポートで 802.1X 認証を有効化する場合は、このコマンドを入力する必要はありません。

      (注)     

      このコマンドは、5.1、5.2、6.0、または 7.0 リカバリ イメージを実行しているアクセス ポイントでのみ使用できます。

      アクセス ポイントをスイッチ ポートに接続します。

    ステップ 2   5.1、5.2、6.0、または 7.0 イメージをコントローラにインストールし、コントローラをリブートします。
    ステップ 3   すべてのアクセス ポイントによるコントローラへの join を許可します。
    ステップ 4   コントローラ上で認証を設定します。 コントローラの認証の設定に関する情報については、「アクセス ポイントの認証の設定(GUI)」の項、または「アクセス ポイントの認証の設定(CLI)」の項を参照してください。
    ステップ 5   スイッチを設定して認証を許可します。 スイッチの認証の設定については、「スイッチの認証の設定」の項を参照してください。

    アクセス ポイントの認証に関する制約事項

    • OEAP 600 シリーズ アクセス ポイントでは、LEAP はサポートされません。

    アクセス ポイントの認証の設定(GUI)


      ステップ 1   [Wireless] > [Access Points] > [Global Configuration] の順に選択して、[Global Configuration] ページを開きます。
      ステップ 2   [802.1x Supplicant Credentials] で、[802.1x Authentication] チェックボックスをオンにします。
      ステップ 3   [Username] テキスト ボックスに、そのコントローラに join するすべてのアクセス ポイントが継承するユーザ名を入力します。
      ステップ 4   [Password] ボックスと [Confirm Password] ボックスに、コントローラに join するすべてのアクセス ポイントによって継承されるパスワードを入力します。
      (注)     
      これらのテキスト ボックスには、強力なパスワードを入力する必要があります。 強度が高いパスワードの特徴は次のとおりです。
      • 少なくとも 8 文字の長さである。

      • 小文字と大文字、数字、および記号の組み合わせを含む。

      • どの言語の単語でもない。

      ステップ 5   [Apply] をクリックして、グローバル認証ユーザ名およびパスワードを、コントローラに現在 join しているアクセス ポイント、および今後 join するすべてのアクセス ポイントに送信します。
      ステップ 6   [Save Configuration] をクリックして、変更を保存します。
      ステップ 7   必要に応じて、次の手順に従って、グローバル認証設定を無効にし、独自のユーザ名およびパスワードを特定のアクセス ポイントに割り当てることができます。
      1. [Access Points] > [All APs] の順に選択して、[All APs] ページを開きます。
      2. 認証設定を無効にするアクセス ポイントの名前をクリックします。
      3. [Credentials] タブをクリックして [All APs > Details for](Credentials)ページを開きます。
      4. [802.1x Supplicant Credentials] で [Over-ride Global Credentials] チェックボックスをオンにして、このアクセス ポイントがグローバル認証のユーザ名およびパスワードをコントローラから継承しないようにします。 デフォルト値はオフです。
      5. [Username]、[Password]、および [Confirm Password] テキスト ボックスに、このアクセス ポイントに割り当てる一意のユーザ名およびパスワードを入力します。
        (注)     

        入力した情報は、コントローラやアクセス ポイントをリブートした後や、アクセス ポイントが新しいコントローラに join された場合でも保持されます。

      6. [Apply] をクリックして、変更を確定します。
      7. [Save Configuration] をクリックして、変更を保存します。
        (注)     

        このアクセス ポイントで、コントローラのグローバル認証設定を強制的に使用する必要がある場合は、[Over-ride Global Credentials] チェックボックスをオフにします。


      アクセス ポイントの認証の設定(CLI)


        ステップ 1   次のコマンドを入力して、コントローラに現在 join しているアクセス ポイント、および今後 join するすべてのアクセス ポイントについて、グローバル認証のユーザ名とパスワードを設定します。 config ap 802.1Xuser add username ap-username password ap-password all
        (注)     

        ap-password パラメータには強力なパスワードを入力する必要があります。 強度が高いパスワードの特徴は次のとおりです。

        • 少なくとも 8 文字の長さである。

        • 小文字と大文字、数字、および記号の組み合わせを含む。

        • どの言語の単語でもない。

        ステップ 2   (任意)グローバル認証設定を無効にし、独自のユーザ名およびパスワードを特定のアクセス ポイントに割り当てることができます。 そのためには、次のコマンドを入力します。 config ap 802.1Xuser add username ap-username password ap-password Cisco_AP
        (注)     

        ap-password パラメータには強力なパスワードを入力する必要があります。 強力なパスワードの特徴については、ステップ 1 の注記を参照してください。

        このコマンドに入力した認証設定は、コントローラやアクセス ポイントをリブートした後や、アクセス ポイントが新しいコントローラに join された場合でも保持されます。

        (注)     

        このアクセス ポイントで、コントローラのグローバル認証設定を強制的に使用する必要がある場合は、config ap 802.1Xuser delete Cisco_AP コマンドを入力します。 このコマンドの実行後、「AP reverted to global username configuration」 というメッセージが表示されます。

        ステップ 3   save config コマンドを入力して、変更を保存します。
        ステップ 4   (オプション)次のコマンドを入力して、すべてのアクセス ポイントまたは特定のアクセス ポイントに対して 802.1X 認証を無効にします。

        config ap 802.1Xuser disable {all | Cisco_AP}

        (注)     

        特定のアクセス ポイントの 802.1X 認証は、グローバル 802.1X 認証が有効でない場合にだけ無効にできます。 グローバル 802.1X 認証が有効な場合は、すべてのアクセス ポイントに対してだけ 802.1X を無効にできます。

        ステップ 5   次のコマンドを入力して、コントローラに join するすべてのアクセス ポイントの認証設定を表示します。

        show ap summary

        以下に類似した情報が表示されます。

        
        Number of APs.................................... 1
        Global AP User Name.............................. globalap
        Global AP Dot1x User Name........................ globalDot1x
        
        
        ステップ 6   次のコマンドを入力して、特定のアクセス ポイントの認証設定を表示します。

        show ap config general Cisco_AP

        (注)     

        アクセス ポイントの名前では、大文字と小文字が区別されます。

        (注)     

        このアクセス ポイントがグローバル認証を使用するよう設定されている場合は、[AP Dot1x User Mode] テキスト ボックスに「Automatic」と表示されます。このアクセス ポイントでグローバル認証設定が無効にされている場合は、[AP Dot1x User Mode] テキスト ボックスに「Customized」と表示されます。


        スイッチの認証の設定

        スイッチ ポートで 802.1X 認証を有効にするには、スイッチ CLI で次のコマンドを入力します。

        • Switch# configure terminal

        • Switch(config)# dot1x system-auth-control

        • Switch(config)# aaa new-model

        • Switch(config)# aaa authentication dot1x default group radius

        • Switch(config)# radius-server host ip_addr auth-port port acct-port port key key

        • Switch(config)# interface fastethernet2/1

        • Switch(config-if)# switchport mode access

        • Switch(config-if)# dot1x pae authenticator

        • Switch(config-if)# dot1x port-control auto

        • Switch(config-if)# end