アクセスポイントによる ACS 5.3 での EAP 認証
目次
概要
このドキュメントでは、Extensible Authentication Protocol(EAP; 拡張可能認証プロトコル)を使用して、RADIUS サーバからアクセスされるデータベースに照合して無線ユーザを認証するために Cisco IOS® のソフトウェア ベースのアクセス ポイント(AP)を設定する例について説明しています。
AP は、クライアントからの無線パケットを認証サーバ宛ての有線パケットにブリッジ(またはその逆)します。 AP は EAP でこのような受動的な役割を果たすため、この設定がほぼすべての EAP 方式で使用されます。 これらの方式には、Light EAP(LEAP)、Protected EAP(PEAP)-Microsoft Challenge Handshake Authentication Protocol(MSCHAP)バージョン 2、PEAP-Generic Token Card(GTC)、EAP-Flexible Authentication via Secure Tunneling(FAST)、EAP-Transport Layer Security(TLS)、EAP-Tunneled TLS(TTLS)などがありますが、これらだけに限られません。 このような EAP 方式ごとに認証サーバを適切に設定する必要があります。
このドキュメントでは、AP および RADIUS サーバ(この設定例では Cisco Secure Access Control Server(ACS)5.3)を設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco IOS ソフトウェアの GUI またはコマンドライン インターフェイス(CLI)
- EAP 認証の概念
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- Cisco IOS ソフトウェア リリース 15.2(2)JB が稼働する Cisco Aironet 3602 アクセス ポイント
- Cisco Secure Access Control Server 5.3
この設定例では、ネットワークに VLAN が 1 つしか存在していないと想定しています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
設定
このドキュメントでは、GUI と CLI の両方で次の設定を使用しています。
- AP の IP アドレスは 10.105.136.11 です。
- RADIUS サーバ(ACS)の IP アドレスは 10.106.55.91 です。
GUI による設定
認証サーバの定義
この手順では、認証サーバを定義し、そのサーバとの関係を確立する方法について説明します。
- AP の GUI で、[Security] > [Server Manager] に移動します。
- [Corporate Servers] セクションで、[Server] フィールドに認証サーバの IP アドレス(10.106.55.91)を入力します。
- [Shared Secret]、[Authentication Port]、および [Accounting Port] を指定します。 ポートは、1813 と 1814、または 1645 と 1646 を使用できます。
- [Apply] をクリックして、定義を作成し、ドロップダウン リストにデータを設定します。
- [Default Server Priorities] セクションで、[EAP Authentication Priority 1] フィールドをサーバの IP アドレス(10.106.55.91)に設定します。
- [Apply] をクリックします。
ACS の設定
ユーザを外部 RADIUS サーバに送信する場合、AP はこの外部 RADIUS サーバに対して認証、認可、およびアカウンティング(AAA)クライアントである必要があります。 この手順では、ACS を設定する方法について説明します。
- Cisco Secure ACS の GUI で、[Network Resources] をクリックします。 ACS 5.3 では、デバイスを場所別にグループ化できます。
- 場所を作成します。 [Network Device Groups] の下で [Location] をクリックします。 [create new location] をクリックします。 [Name] フィールドに、場所の名前(IOS_lab)を入力します。 この場所の説明(IOS LAB)を入力します。 [Parent] の場所として全体的な [All Locations] を選択します。 [Submit] をクリックして検証します。
- IOS AP のグループを 1 つ作成します。 [Device Type] をクリックします。 [Create] をクリックして新しいグループを作成します。 [Name] フィールドに、グループ名(IOS_APs)を入力します。 このグループの説明(IOS APs in the LAB)を入力します。 [Parent] で [All Device Types] を選択します。 [Submit] をクリックして検証します。
- AP を追加します。 [Network Devices and AAA Clients] をクリックします。 [Name] フィールドに、IOS AP の名前(AP)を入力します。 その AP の説明(IOS AP)を入力します。
[Network Device Groups] の下の [Location] フィールドの横にある [Select] をクリックし、IOS_lab の横のボックスをオンにしてから、[OK] をクリックして検証します。 [IP Address] の下で、[Single IP Address] が有効になっていることを確認してから、AP の IP アドレス(10.105.136.11)を入力します。
[Authentication Options] の下で、[RADIUS] をオンにします。 [Shared Secret] フィールドで、秘密(Cisco)を入力します。 その他の値はデフォルトのままにします。 [Submit] をクリックして検証します。
- 無線ユーザのクレデンシャル(資格情報)を追加します。 [Users and Identity Stores] > [Identity Groups] に移動します。 [Create] をクリックして新しいグループを作成します。 [Name] フィールドに、グループ名(EAP_Users)を入力します。 説明(Users for EAP wireless)を入力します。 [Submit] をクリックして検証します。
- このグループにユーザを 1 つ作成します。 [Users] をクリックします。 [Create] をクリックして新しいユーザを作成します。 [Name] フィールドに、ユーザ名(radius)を入力します。 ユーザの [Status] が [Enabled] であることを確認します。 ユーザの説明(test radius)を入力します。 [Identity Group] フィールドの横にある [Select] をクリックし、EAP_Users の横のボックスをオンにしてから、[OK] をクリックして検証します。
[Password Information] の下の [Password] と [Confirm Password] に、<パスワード> を入力します。 このユーザはネットワークにアクセスする必要がありますが、管理のためにシスコ デバイスにアクセスする必要はないため、[Enable Password] を入力する必要はありません。
- [Submit] をクリックして検証します。 新しいユーザがリストに表示されます。これで ACS の準備が完了しました。
- [Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profiles] に移動して、このユーザにアクセス権限が付与されたことを検証します。 PermitAccess プロファイルが表示されるはずです。 このプロファイルを受け取ったユーザは、ネットワークへのアクセスが付与されています。
- [Access Policies] > [Access Services] > [Default Device Admin] に移動して、その認証を調べます。 [Identity]、[Group Mapping]、および [Authorization] がオンになっていることを確認します。
- [Allowed Protocols] タブをクリックし、必要な EAP 方式のボックスをすべてオンにしてから、[Submit] をクリックして検証します。
SSID の設定
この手順では、AP 上でサービス セット識別子(SSID)を設定する方法について説明します。
- Cisco Secure ACS の GUI で、[Security] > [SSID Manager] に移動します。 [New] をクリックし、SSID 名(radius)を入力し、両方の無線インターフェイスを有効にしてから、[Apply] をクリックします。
- [Security] > [Encryption Manager] に移動して、[Cipher] に [AES CCMP] を選択し、[Apply-All] をクリックして、この暗号化を両方の無線に適用します。
- [Security] > [SSID Manager] に移動して、[radius] SSID を選択します。 [Client Authentication Settings] セクションで、[Open Authentication] をオンにし、ドロップダウン リストから [with EAP] を選択してから、[Network EAP] をオンにします。
[Client Authenticated Key Management] セクションで、[Key Management] ドロップダウン リストから [Mandatory] を選択し、[Enable WPA] をオンにして、ドロップダウン リストから [WPAv2] を選択します。 [Apply] をクリックします。
- この SSID を両方の無線でブロードキャストするには、同じページで [Guest Mode/Infrastructure SSID Settings] セクションを見つけます。 両方の無線で、[Beacon Mode] を [Single BSSID] に設定し、[Set Single Guest Mode SSID] ドロップダウン リストから SSID 名(radius)を選択します。 [Apply] をクリックします。
- [Network] > [Network Interface] > [Radio0-802.11n 2G.Hz] > [Settings] > [Enable] に移動して、両方の無線インターフェイスを有効にします。
- クライアント接続をテストします。
CLI による設定
これは CLI 内で行う設定と同じです。
show run
Building configuration...
Current configuration : 2511 bytes
!
! Last configuration change at 01:17:48 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$1u04$jr7DG0DC5KZ6bVaSYUhck0
!
aaa new-model
!
!
aaa group server radius rad_eap
server 10.106.55.91
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
ip cef
!
ip dhcp pool test
!
!
!
dot11 syslog
!
dot11 ssid radius
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa version 2
guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 0802455D0A16
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
!
encryption mode ciphers aes-ccm
!
ssid radius
!
antenna gain 0
stbc
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
!
encryption mode ciphers aes-ccm
!
ssid radius
!
antenna gain 0
dfs band 3 block
stbc
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address 10.105.136.11 255.255.255.128
!
ip default-gateway 10.105.136.1
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.105.136.1
ip radius source-interface BVI1
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.106.55.91 key 7 00271A1507545A545C606C
radius-server vsa send accounting
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
transport input all
!
end
確認
ここでは、設定が正常に動作していることを確認します。
クライアントを接続します。 認証に成功すると、AP の GUI に次の設定の要約が表示されます。
CLI で、show dot11 associations コマンドを入力して、設定を確認します。
ap#show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [radius] :
MAC Address IP address Device Name Parent State
f8db.7f75.7804 10.105.136.116 unknown - self EAP-Assoc
また、show radius server-group all コマンドを入力して、AP 上のすべての設定済み RADIUS サーバ グループのリストを表示することもできます。
トラブルシューティング
この手順では、設定のトラブルシューティング方法について説明します。
- クライアント設定で破損した部分がないことを確認するために、クライアント側のユーティリティまたはソフトウェアで、同じか、または類似のパラメータを使用して新規にプロファイルまたは接続を作成します。
- 無線周波数(RF)に関する問題があると認証が成功しない可能性があります。 この可能性を排除するために、次のようにして認証を一時的に無効にします。
- CLI から、次のコマンドを入力します。
- no authentication open eap eap_methods
- no authentication network-eap eap_methods
- authentication open
- GUI からは、[SSID Manager] ページで、[Network-EAP] チェックボックスをオフにし、[Open] のチェックボックスをオンにし、ドロップダウン リストを [No Addition] に設定します。
クライアントが関連付けに成功する場合には、RF はアソシエーションの問題に関係しません。
- CLI から、次のコマンドを入力します。
- 共有秘密パスワードが AP と認証サーバ間で同期していることを検証します。 同期していない場合、次のエラー メッセージが表示される場合があります。
Invalid message authenticator in EAP request
- CLI から、次の行を確認します。
radius-server host x.x.x.x auth-port x acct-port x key <shared_secret>
- GUI からは、[Server Manager] ページで、[Shared Secret] フィールドに対象となるサーバの共有秘密を再入力します。
RADIUS サーバ上の AP に対する共有秘密エントリには、同じ共有秘密パスワードが含まれている必要があります。
- CLI から、次の行を確認します。
- RADIUS サーバからすべてのユーザ グループを削除します。 RADIUS サーバで定義されたユーザ グループと、基になるドメインのユーザ グループ間で、不一致が発生する可能性があります。 RADIUS サーバのログで、失敗した試行がないかどうかを確認し、失敗の理由も確認します。
デバイス間のネゴシエーションを調査および表示するには、次の各 debug コマンドを使用します。
- debug dot11 aaa authenticator state-machine
- debug radius authentication
- debug aaa authentication
debug dot11 aaa authenticator state-machine
このコマンドでは、クライアントと認証サーバ間のネゴシエーションの主な部分(または状態)を表示します。 成功した認証からの出力例を次に示します。
ap#debug dot11 aaa authenticator state-machine
state machine debugging is on
ap#
*Mar 1 01:38:34.919: dot11_auth_dot1x_send_id_req_to_client: Sending identity
request to f8db.7f75.7804
*Mar 1 01:38:34.919: dot11_auth_dot1x_send_id_req_to_client: Client
f8db.7f75.7804 timer started for 30 seconds
*Mar 1 01:38:35.431: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,
CLIENT_REPLY) for f8db.7f75.7804
*Mar 1 01:38:35.431: dot11_auth_dot1x_send_response_to_server: Sending client
f8db.7f75.7804 data to server
*Mar 1 01:38:35.431: dot11_auth_dot1x_send_response_to_server: Started timer
server_timeout 60 seconds
*Mar 1 01:38:35.435: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,
SERVER_REPLY) for f8db.7f75.7804
*Mar 1 01:38:35.435: dot11_auth_dot1x_send_response_to_client: Forwarding server
message to client f8db.7f75.7804
*Mar 1 01:38:35.435: dot11_auth_dot1x_send_response_to_client: Started timer
client_timeout 30 seconds
*Mar 1 01:38:35.443: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,
CLIENT_REPLY) for f8db.7f75.7804
*Mar 1 01:38:35.443: dot11_auth_dot1x_send_response_to_server: Sending client
f8db.7f75.7804 data to server
*Mar 1 01:38:35.443: dot11_auth_dot1x_send_response_to_server: Started timer
server_timeout 60 seconds
*Mar 1 01:38:35.447: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,
SERVER_REPLY) for f8db.7f75.7804
*Mar 1 01:38:35.447: dot11_auth_dot1x_send_response_to_client: Forwarding server
message to client f8db.7f75.7804
*Mar 1 01:38:35.447: dot11_auth_dot1x_send_response_to_client: Started timer
client_timeout 30 seconds
-------------------Lines Omitted for simplicity-------------------
*Mar 1 01:38:36.663: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,
SERVER_REPLY) for f8db.7f75.7804
*Mar 1 01:38:36.663: dot11_auth_dot1x_send_response_to_client: Forwarding server
message to client f8db.7f75.7804
*Mar 1 01:38:36.663: dot11_auth_dot1x_send_response_to_client: Started timer
client_timeout 30 seconds
*Mar 1 01:38:36.667: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,
CLIENT_REPLY) for f8db.7f75.7804
*Mar 1 01:38:36.667: dot11_auth_dot1x_send_response_to_server: Sending client
f8db.7f75.7804 data to server
*Mar 1 01:38:36.667: dot11_auth_dot1x_send_response_to_server: Started timer
server_timeout 60 seconds
*Mar 1 01:38:36.671: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,
SERVER_PASS) for f8db.7f75.7804
*Mar 1 01:38:36.671: dot11_auth_dot1x_send_response_to_client: Forwarding server
message to client f8db.7f75.7804
*Mar 1 01:38:36.671: dot11_auth_dot1x_send_response_to_client: Started timer
client_timeout 30 seconds
*Mar 1 01:38:36.719: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
f8db.7f75.7804 Associated KEY_MGMT[WPAv2]
debug radius authentication
このコマンドでは、サーバとクライアント間(両方とも AP でブリッジされている)の RADIUS ネゴシエーションを表示します。 成功した認証からの出力例を次に示します。
ap#debug radius authentication
*Mar 1 01:50:50.635: RADIUS/ENCODE(000001F6):Orig. component type = DOT11
*Mar 1 01:50:50.635: RADIUS: AAA Unsupported Attr: ssid [347] 6
*Mar 1 01:50:50.635: RADIUS: 72 61 64 69 [ radi]
*Mar 1 01:50:50.635: RADIUS: AAA Unsupported Attr: service-type [345] 4 1
*Mar 1 01:50:50.635: RADIUS: AAA Unsupported Attr: interface [222] 3
*Mar 1 01:50:50.635: RADIUS: 32 [ 2]
*Mar 1 01:50:50.635: RADIUS(000001F6): Config NAS IP: 10.105.136.11
*Mar 1 01:50:50.635: RADIUS(000001F6): Config NAS IPv6:
*Mar 1 01:50:50.635: RADIUS/ENCODE(000001F6): acct_session_id: 491
*Mar 1 01:50:50.635: RADIUS(000001F6): Config NAS IP: 10.105.136.11
*Mar 1 01:50:50.635: RADIUS(000001F6): sending
*Mar 1 01:50:50.635: RADIUS(000001F6): Send Access-Request to 10.106.55.91:1645
id 1645/73, len 140
*Mar 1 01:50:50.635: RADIUS: authenticator 0F 74 18 0E F3 08 ED 51 -
8B EA F7 31 AC C9 CA 6B
*Mar 1 01:50:50.635: RADIUS: User-Name [1] 8 "radius"
*Mar 1 01:50:50.635: RADIUS: Framed-MTU [12] 6 1400
*Mar 1 01:50:50.635: RADIUS: Called-Station-Id [30] 26 "1C-E6-C7-E1-D8-90:
radius"
*Mar 1 01:50:50.635: RADIUS: Calling-Station-Id [31] 16 "f8db.7f75.7804"
*Mar 1 01:50:50.635: RADIUS: Service-Type [6] 6 Login [1]
*Mar 1 01:50:50.635: RADIUS: Message-Authenticato[80] 18
*Mar 1 01:50:50.635: RADIUS: E3 E1 50 F8 2B 22 26 84 C1 F1 76 28 79 70 5F 78
[ P+"&v(yp_x]
*Mar 1 01:50:50.635: RADIUS: EAP-Message [79] 13
*Mar 1 01:50:50.635: RADIUS: 02 01 00 0B 01 72 61 64 69 75 73
[ radius]
*Mar 1 01:50:50.635: RADIUS: NAS-Port-Type [61] 6 802.11 wireless
[19]
*Mar 1 01:50:50.635: RADIUS: NAS-Port [5] 6 282
*Mar 1 01:50:50.635: RADIUS: NAS-Port-Id [87] 5 "282"
*Mar 1 01:50:50.635: RADIUS: NAS-IP-Address [4] 6 10.105.136.11
*Mar 1 01:50:50.635: RADIUS: Nas-Identifier [32] 4 "ap"
*Mar 1 01:50:50.635: RADIUS(000001F6): Sending a IPv4 Radius Packet
*Mar 1 01:50:50.635: RADIUS(000001F6): Started 5 sec timeout
*Mar 1 01:50:50.639: RADIUS: Received from id 1645/73 10.106.55.91:1645, Access
-Challenge, len 94
*Mar 1 01:50:50.639: RADIUS: authenticator 5E A4 A7 B9 01 CC F4 20 -
2E D0 2A 1A A4 58 05 9E
*Mar 1 01:50:50.639: RADIUS: State [24] 32
*Mar 1 01:50:50.639: RADIUS: 32 37 53 65 73 73 69 6F 6E 49 44 3D 61 63 73 35
[27SessionID=acs5]
*Mar 1 01:50:50.639: RADIUS: 31 2F 31 36 35 34 38 39 35 31 31 2F 39 3B [ 1
/165489511/9;]
*Mar 1 01:50:50.639: RADIUS: EAP-Message [79] 24
*Mar 1 01:50:50.639: RADIUS: 01 DC 00 16 11 01 00 08 00 CB 2A 0A 74 B3 77 AF
72 61 64 69 75 73 [ *twradius]
*Mar 1 01:50:50.639: RADIUS: Message-Authenticato[80] 18
*Mar 1 01:50:50.643: RADIUS: CC 44 D5 FE FC 86 BC 2D B0 89 61 69 4F 34 D1 FF
[ D-aiO4]
*Mar 1 01:50:50.643: RADIUS(000001F6): Received from id 1645/73
*Mar 1 01:50:50.643: RADIUS/DECODE: EAP-Message fragments, 22, total 22 bytes
*Mar 1 01:50:50.647: RADIUS/ENCODE(000001F6):Orig. component type = DOT11
*Mar 1 01:50:50.647: RADIUS: AAA Unsupported Attr: ssid [347] 6
*Mar 1 01:50:50.647: RADIUS: 72 61 64 69 [ radi]
*Mar 1 01:50:50.647: RADIUS: AAA Unsupported Attr: service-type [345] 4
1
*Mar 1 01:50:50.647: RADIUS: AAA Unsupported Attr: interface [222] 3
*Mar 1 01:50:50.647: RADIUS: 32 [ 2]
*Mar 1 01:50:50.647: RADIUS(000001F6): Config NAS IP: 10.105.136.11
*Mar 1 01:50:50.647: RADIUS(000001F6): Config NAS IPv6:
*Mar 1 01:50:50.647: RADIUS/ENCODE(000001F6): acct_session_id: 491
*Mar 1 01:50:50.647: RADIUS(000001F6): Config NAS IP: 10.105.136.11
*Mar 1 01:50:50.647: RADIUS(000001F6): sending
*Mar 1 01:50:50.647: RADIUS(000001F6): Send Access-Request to 10.106.55.91:1645
id 1645/74, len 167
*Mar 1 01:50:50.647: RADIUS: authenticator C6 54 54 B8 58 7E ED 60 - F8 E0 2E
05 B0 87 3B 76
*Mar 1 01:50:50.647: RADIUS: User-Name [1] 8 "radius"
*Mar 1 01:50:50.647: RADIUS: Framed-MTU [12] 6 1400
*Mar 1 01:50:50.647: RADIUS: Called-Station-Id [30] 26 "1C-E6-C7-E1-D8-90:
radius"
*Mar 1 01:50:50.647: RADIUS: Calling-Station-Id [31] 16 "f8db.7f75.7804"
*Mar 1 01:50:50.647: RADIUS: Service-Type [6] 6 Login
[1]
*Mar 1 01:50:50.647: RADIUS: Message-Authenticato[80] 18
*Mar 1 01:50:50.647: RADIUS: FE 15 7B DB 49 FE 27 C5 BC E2 FE 83 B9 25 8C 1F
[ {I'?]
*Mar 1 01:50:50.647: RADIUS: EAP-Message [79] 8
*Mar 1 01:50:50.647: RADIUS: 02 DC 00 06 03 19
*Mar 1 01:50:50.647: RADIUS: NAS-Port-Type [61] 6 802.11 wireless
[19]
*Mar 1 01:50:50.647: RADIUS: NAS-Port [5] 6 282
*Mar 1 01:50:50.647: RADIUS: NAS-Port-Id [87] 5 "282"
*Mar 1 01:50:50.647: RADIUS: State [24] 32
*Mar 1 01:50:50.647: RADIUS: 32 37 53 65 73 73 69 6F 6E 49 44 3D 61 63 73 35
[27SessionID=acs5]
*Mar 1 01:50:50.647: RADIUS: 31 2F 31 36 35 34 38 39 35 31 31 2F 39 3B [ 1
/165489511/9;]
*Mar 1 01:50:50.647: RADIUS: NAS-IP-Address [4] 6 10.105.136.11
*Mar 1 01:50:50.647: RADIUS: Nas-Identifier [32] 4 "ap"
*Mar 1 01:50:50.647: RADIUS(000001F6): Sending a IPv4 Radius Packet
*Mar 1 01:50:50.647: RADIUS(000001F6): Started 5 sec timeout
*Mar 1 01:50:50.647: RADIUS: Received from id 1645/74 10.106.55.91:1645, Access
-Challenge, len 78
*Mar 1 01:50:50.647: RADIUS: authenticator 0E 81 99 9E EE 39 50 FB - 6E 6D 93
8C 8E 29 94 EC
*Mar 1 01:50:50.647: RADIUS: State [24] 32
*Mar 1 01:50:50.651: RADIUS: 32 37 53 65 73 73 69 6F 6E 49 44 3D 61 63 73 35
[27SessionID=acs5]
*Mar 1 01:50:50.651: RADIUS: 31 2F 31 36 35 34 38 39 35 31 31 2F 39 3B [ 1
/165489511/9;]
*Mar 1 01:50:50.651: RADIUS: EAP-Message [79] 8
*Mar 1 01:50:50.651: RADIUS: 01 DD 00 06 19 21 [ !]
*Mar 1 01:50:50.651: RADIUS: Message-Authenticato[80] 18
*Mar 1 01:50:50.651: RADIUS: A8 54 00 89 1F 2A 01 52 FE FA D2 58 2F E5 F2 86
[ T*RX/]
*Mar 1 01:50:50.651: RADIUS(000001F6): Received from id 1645/74
*Mar 1 01:50:50.651: RADIUS/DECODE: EAP-Message fragments, 6, total 6 bytes
*Mar 1 01:50:50.655: RADIUS/ENCODE(000001F6):Orig. component type = DOT11
*Mar 1 01:50:50.655: RADIUS: AAA Unsupported Attr: ssid [347] 6
*Mar 1 01:50:50.655: RADIUS: 72 61 64 69 [ radi]
*Mar 1 01:50:50.655: RADIUS: AAA Unsupported Attr: service-type [345] 4
1
*Mar 1 01:50:50.655: RADIUS: AAA Unsupported Attr: interface [222] 3
-------------------Lines Omitted for simplicity-------------------
11 [ l2^w$qM{60]
*Mar 1 01:50:51.115: RADIUS: NAS-Port-Type [61] 6 802.11 wireless
[19]
*Mar 1 01:50:51.115: RADIUS: NAS-Port [5] 6 282
*Mar 1 01:50:51.115: RADIUS: NAS-Port-Id [87] 5 "282"
*Mar 1 01:50:51.115: RADIUS: State [24] 32
*Mar 1 01:50:51.115: RADIUS: 32 37 53 65 73 73 69 6F 6E 49 44 3D 61 63 73 35
[27SessionID=acs5]
*Mar 1 01:50:51.115: RADIUS: 31 2F 31 36 35 34 38 39 35 31 31 2F 39 3B [ 1
/165489511/9;]
*Mar 1 01:50:51.115: RADIUS: NAS-IP-Address [4] 6 10.105.136.11
*Mar 1 01:50:51.115: RADIUS: Nas-Identifier [32] 4 "ap"
*Mar 1 01:50:51.115: RADIUS(000001F6): Sending a IPv4 Radius Packet
*Mar 1 01:50:51.115: RADIUS(000001F6): Started 5 sec timeout
*Mar 1 01:50:51.115: RADIUS: Received from id 1645/80 10.106.55.91:1645, Access
-Challenge, len 115
*Mar 1 01:50:51.115: RADIUS: authenticator 74 CF 0F 34 1F 1B C1 CF -
E9 27 79 D5 F8 9C 5C 50
*Mar 1 01:50:51.467: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
f8db.7f75.7804 Associated KEY_MGMT[WPAv2]
debug aaa authentication
このコマンドでは、クライアント デバイスと認証サーバ間の認証の AAA ネゴシエーションを表示します。
ap#debug aaa authentication
AAA Authentication debugging is on
ap#term mon
ap#
*Mar 1 01:55:52.335: AAA/BIND(000001F9): Bind i/f
*Mar 1 01:55:52.859: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:52.867: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:52.875: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:52.895: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:53.219: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:53.379: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:53.395: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:53.807: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:53.879: AAA/AUTHEN/PPP (000001F9): Pick method list 'eap_methods'
*Mar 1 01:55:53.939: %DOT11-6-ASSOC: Interface Dot11Radio0, Station
f8db.7f75.7804 Associated KEY_MGMT[WPAv2]
フィードバック