802.1X および WebAuth WLAN のための LDAP認証で WLC を設定して下さい

概要

この資料はユーザ データベースとして Lightweight Directory Access Protocol（LDAP） サーバのクライアントを認証するために AireOS ワイヤレス LAN コントローラ（WLC）を設定するようにプロシージャを記述したものです。

前提条件

要件

  

次の項目に関する知識が推奨されます。

• Microsoft Windows Server
• Active Directory

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。

• Cisco WLC ソフトウェア 8.2.110.0
• Microsoft Windows Server 2012 R2

このドキュメントの情報は、特定のラボ環境に基づいて作成されました。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 ネットワークが稼働中の場合は、コマンドや変更が及ぼす可能性のある影響について十分に理解した上で作業してください。

背景説明

技術背景

  

• LDAP は、ディレクトリ サーバへのアクセスに使用されるプロトコルです。
• ディレクトリ サーバは、オブジェクト指向の階層型データベースです。
• オブジェクトは、OU と呼ばれる組織単位などのコンテナ、グループ、またはデフォルトの Microsoft コンテナに CN=Users としてまとめられます。
• このセットアップで最も難しい部分は、WLC で LDAP サーバ パラメータを正しく設定することです。

これらの概念に関する詳細については、『How to configure Wireless Lan Controller (WLC) for Lightweight Directory Access Protocol (LDAP) authentication（Lightweight Directory Access Protocol（LDAP）認証用のワイヤレス LAN コントローラ（WLC）の設定方法）』の「概要」の項を参照してください。

よく寄せられる質問（FAQ）

• どんなユーザ名が LDAPサーバと結合 するのに使用する必要がありますか。

LDAPサーバに対して結合 する 2 つの方法が匿名か認証されてあります（両方のメソッド間の違いを理解するために参照して下さい）。 このバインド ユーザ名は他のユーザ名/パスワードのために問い合わせられますアドミニストレーター特権がある必要があります。

• 認証された場合、尋ねる必要があるのは、 同じコンテナ内のすべてのユーザではなく、バインド ユーザ名ですか。

ユーザ名を指定する方法は回答によって異なります。

      返事がではない場合、全パスを使用して下さい。 次に、例を示します。

      CN=Administrator,CN=Domain Admins,CN=Users,DC=labm,DC=cisco,DC=com

      返事がはいある場合、ユーザ名だけを使用して下さい。 次に、例を示します。

      administrator

• ユーザが異なるコンテナに含まれている場合はどうなりますか。 関連するすべてのワイヤレス LDAP ユーザを同じコンテナに含める必要がありますか。

いいえ。必要なすべてのコンテナを含むベース DN を指定できます。

• WLC はどんな属性に探す必要がありますか。

WLC は規定 される ユーザ属性およびオブジェクト タイプと一致します。

注: sAMAccountName について大文字と小文字が区別されますが、人名については区別されません。 従って samaccountname=RICARDO および samaccountname=ricardo が一方、sAMAccountName=RICARDO および sAMAccountName=ricardo は同じおよび作業です。

• どの Extensible Authentication Protocol（EAP） メソッドが使用することができますか。

EAP-FAST、PEAP-GTC、EAP-TLS のみです。 Android、iOS および MacOS デフォルトは Protected Extensible Authentication Protocol （PEAP）を要求元使用します。 Windows、Anyconnect ネットワーク アクセス マネージャ（NAM）または Cisco との DEFAULT ウィンドウ サプリカントに関しては: PEAP はイメージに示すようにサポートされたワイヤレスアダプタで使用する必要があります。

注: Cisco EAP Plug-ins for Windows は Open のバージョンが（OpenSSL 0.9.8k） CSCva09670 から影響を受ける、Cisco EAP Plug-ins for Windows のもうリリースを発行することを計画しないし顧客が代りに AnyConnect セキュア モビリティ クライアントを使用することを推奨しますセキュア ソケット レイヤ（SSL）含まれています。

• WLC がユーザを見つけられない原因は何ですか。

グループ内のユーザは認証できません。 彼らはイメージに示すように既定のコンテナー（CN）または Organizational Unit （OU）の中にある必要があります。

設定

LDAPサーバが 802.1X 認証か Web 認証と、用いることができる異なるシナリオがあります。 この手順では、OU=SofiaLabOU 内のユーザのみが認証されるようにする必要があります。 学ぶためにラベル配布プロトコル （LDP） ツールを、LDAP を解決するために設定するために使用する方法を、WLC LDAP設定 ガイドを参照して下さい。

802.1X によってユーザを認証するために LDAPサーバに頼る WLAN を作成して下さい

ネットワーク図

このシナリオでは、WLAN LDAP-dot1x は LDAPサーバを 802.1X の使用のユーザを認証するのに使用します。

ステップ 1.イメージに示すように SofiaLabOU および SofiaLabGroup の LDAPサーバ メンバーのユーザ User1 を作成して下さい。

  

ステップ 2.イメージに示すように望ましい EAP 方式（使用 PEAP）で WLC で EAP プロファイルを作成して下さい。

  

ステップ 3.イメージに示すように LDAPサーバとの WLC を結合 して下さい。

ヒント： バインド ユーザ名がユーザベース DN にない場合、イメージに示すように管理者ユーザに全体のパスを書かなければなりません。 さもなければ、管理者を単に入力することができます。

ステップ 4.イメージに示すようにだけ内部ユーザ + LDAP または LDAP に設定 されるべき認証順序を設定 して下さい。

  

ステップ 5.イメージで示されている LDAP-dot1x WLANAS を作成して下さい。

ステップ 6.イメージで示されている noneas に L2 セキュリティ 方式をに WPA2 + 802.1X および一定 L3 セキュリティ 設定 して下さい。

ステップ 7.ローカル EAP 認証を有効に し、認証サーバを確認すればアカウンティング サーバ オプションは無効に なり、LDAP はイメージで示されている enabledas です。

  

その他すべての設定は、デフォルトのままにすることができます。

注：
LDP ツールを使用して、設定パラメータを確認します。
検索 Base はグループである場合もありません（SofiaLabGroup のような）。
Windows マシンの場合、 サプリカントで Microsoft: PEAP ではなく PEAP-GTC または Cisco:PEAP を使用する必要があります。 Microsoft： PEAP は、デフォルトで、MacOS、iOS、または Android で機能します。

内部 WLC ウェブ ポータルを通してユーザを認証するために LDAPサーバに頼る WLAN を作成して下さい

ネットワーク図

このシナリオでは、WLAN LDAP Web は LDAPサーバを内部 WLC ウェブ ポータルを持つユーザを認証するのに使用します。

  

1.直通ステップ 4.が前例から踏まれたステップを確認して下さい。 それから、異なる WLAN 設定を指定します。

ステップ 1. OU SofiaLabOU およびグループ SofiaLabGroup の LDAPサーバ メンバーのユーザ User1 を作成して下さい。

ステップ 2.望ましい EAP 方式（使用 PEAP）で WLC で EAP プロファイルを作成して下さい。

ステップ 3：WLC を LDAP サーバにバインドします。

ステップ 4：認証順序を内部ユーザと LDAP に設定します。

ステップ 5.イメージに示すように LDAP Web WLAN を作成して下さい。

ステップ 6.どれもに L2 セキュリティおよび Web ポリシーに L3 セキュリティを–イメージで示されている Authenticationas 設定 しない で下さい。

  

 ステップ 7. LDAP を使用する Webauth のための認証優先順位を設定 すれば 認証サーバおよびアカウンティング サーバを確認するためにオプションはイメージで示されている disabledas です。

その他すべての設定は、デフォルトのままにすることができます。

  

LDAP ツールによる LDAP の設定とトラブルシューティング

ステップ 1.イメージに示すように LDAPサーバまたは接続のホストで LDP ツールを（ポート TCP 389 はサーバに許可する必要があります）開いて下さい。

ステップ 2.接続 > 管理者ユーザとのバインドへのナビゲートは、ログインおよびイメージで示されている資格情報無線 buttonas のバインドを選択します。 

ステップ 3. > ツリーは表示し、イメージに示すようにベース DN で『OK』 を選択 するためにナビゲート します。

ステップ 4：ツリーを展開し、構造を表示して、検索ベース DN を探します。 グループ以外のいずれかのコンテナ タイプである可能性があることを考慮してください。 それはドメイン全体、仕様 OU またはイメージで示されている CN=Usersas のような CN のどちらである場合もあります。

ステップ 5.どのユーザがそれ中であるか見るために SofiaLabOU を拡張して下さい。 イメージで示されている作成された beforeas の User1 があります。

  

ステップ 6 すべてはイメージで示されている LDAP isas を設定する必要がありました。

ステップ 7：SofiaLabGroup などのグループを検索 DN として使用することはできません。 以前に作成される User1 がイメージで示されているビーアスなるところで、グループを拡張し、それの中のユーザを探して下さい。

User1 はありますが、それを LDP が見つけられませんでした。 それは WLC がそれを同様にされないグループが検索ベース DN としてなぜサポートされないかであることを意味し。

確認

 ここでは、設定が正常に動作していることを確認します。

 (cisco-controller) >show ldap summary

 

Idx Server Address Port Enabled Secure
--- ------------------------- ------ ------- ------
1 10.88.173.121 389 Yes No

 

(cisco-controller) >show ldap 1

Server Index..................................... 1
Address.......................................... 10.88.173.121
Port............................................. 389
Server State..................................... Enabled
User DN.......................................... OU=SofiaLabOU,DC=labm,DC=cisco,DC=com
User Attribute................................... sAMAccountName
User Type........................................ Person
Retransmit Timeout............................... 2 seconds
Secure (via TLS)................................. Disabled
Bind Method ..................................... Authenticated
Bind Username.................................... CN=Administrator,CN=Domain Admins,CN=Users,DC=labm,DC=cisco,DC=com

  

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

(cisco-controller) >debug client <MAC Address>

(cisco-controller) >debug aaa ldap enable 

(cisco-controller) >show ldap statistics

Server Index..................................... 1
Server statistics:
Initialized OK................................. 0   
Initialization failed.......................... 0
Initialization retries......................... 0
Closed OK...................................... 0
Request statistics:
Received....................................... 0
Sent........................................... 0
OK............................................. 0
Success........................................ 0
Authentication failed.......................... 0
Server not found............................... 0
No received attributes......................... 0
No passed username............................. 0
Not connected to server........................ 0
Internal error................................. 0
Retries........................................ 0

関連情報

• 『LDAP - WLC 8.2 Configuration Guide（LDAP - WLC 8.2 設定ガイド）』
• 『How to configure Wireless Lan Controller (WLC) for Lightweight Directory Access Protocol (LDAP) authentication（Lightweight Directory Access Protocol（LDAP）認証用のワイヤレス LAN コントローラ（WLC）の設定方法）』（著者：Vinay Sharma）
• Web Authentication Using LDAP on Wireless LAN Controllers (WLCs) Configuration Example（ワイヤレス LAN コントローラ（WLC）での LDAP による Web 認証の設定例）（著者：Yahya Jaber および Ayman Alfares）
• テクニカル サポートとドキュメント - Cisco Systems