- はじめに
-
- 概要
- 使用する前に
- ライセンスの管理
- 802.11 帯域の設定
- 802.11 パラメータの設定
- DHCP プロキシの設定
- [DHCP Link Select] および [VPN Select] の設定
- SNMP の設定
- アグレッシブ ロード バランシングの設定
- 高速 SSID 変更の設定
- 802.3 ブリッジの設定
- マルチキャストの設定
- クライアント ローミングの設定
- IP-MAC アドレス バインディングの設定
- Quality of Service の設定
- Application Visibility and Control の設定
- メディアおよび EDCA パラメータの設定
- Cisco Discovery Protocol の設定
- コントローラと NTP サーバの認証の設定
- RFID タグ追跡の設定
- コントローラのデフォルト設定へのリセット
- コントローラ ソフトウェアと設定の管理
- ユーザ アカウントの管理
- Web 認証の管理
- 有線ゲスト アクセスの設定
- Ethernet over GRE トンネル
- トラブルシューティング
-
- Cisco Unified Wireless Network Solution セキュリティ
- RADIUS の設定
- TACACS+ の設定
- FIPS 設定、 CC、 UCAPL
- 最大ローカル データベース エントリの設定
- コントローラでのローカル ネットワーク ユーザの設定
- パスワード ポリシーの設定
- LDAP の設定
- ローカル EAP の設定
- SpectraLink 社の NetLink 電話用システムの設定
- RADIUS NAC サポートの設定
- 設定の RADIUS VSA およびレルム
- 無線による管理機能の使用
- 動的インターフェイスによる管理機能
- DHCP オプション 82 の設定
- アクセス コントロール リストの設定と適用
- 管理フレーム保護の設定
- クライアント除外ポリシーの設定
- Identity ネットワーキングの設定
- AAA Override の設定
- 不正なデバイスの管理
- 不正なアクセス ポイントの分類
- Cisco TrustSec SXP の設定
- ローカル ポリシーの設定
- Cisco Intrusion Detection System の設定
- IDS シグニチャの設定
- wIPS の設定
- Wi-Fi Direct クライアント ポリシーの設定
- Web 認証プロキシの設定
- 意図的な悪用の検出
-
- WLAN の設定
- WLAN ごとのクライアント カウントの設定
- DHCP の設定
- DHCP スコープの設定
- WLAN の MAC フィルタリングの設定
- ローカル MAC フィルタの設定
- タイムアウトの設定
- DTIM period の設定
- ピアツーピア ブロッキングの設定
- レイヤ 2 セキュリティの設定
- Static WEP と Dynamic WEP の両方をサポートする WLAN の設定
- Sticky Key Caching の設定
- CKIP の設定
- レイヤ 3 セキュリティの設定
- キャプティブ バイパスの設定
- MAC フィルタリングおよび Web 認証を伴うフォールバック ポリシーの設定
- QoS プロファイルの割り当て
- QoS Enhanced BSS の設定
- メディア セッション スヌーピングおよびレポートの設定
- Key Telephone System-Based CAC の設定
- ローミングしている音声クライアントのリアンカーの設定
- シームレスな IPv6 モビリティの設定
- Cisco Client Extensions の設定
- リモート LAN の設定
- AP グループの設定
- RF プロファイルの設定
- 8021.X 認証を使用した Web リダイレクトの設定
- NAC アウトオブバンド統合の設定
- パッシブ クライアントの設定
- クライアント プロファイルの設定
- WLAN ごとの RADIUS 送信元サポートの設定
- モバイル コンシェルジュの設定
- 経由ローミングの設定
- VLAN タギング 802.1Q-in-Q の設定
-
- アクセス ポイント通信プロトコルの使用
- CAPWAP の望ましいモード設定
- アクセス ポイントの検索
- アクセス ポイントのグローバル クレデンシャルの設定
- アクセス ポイントの認証の設定
- 組み込みアクセス ポイントの設定
- 自律アクセス ポイントの Lightweight モードへの変換
- パケット キャプチャの設定
- OfficeExtend アクセス ポイントの設定
- 設定の Cisco 700 シリーズ アクセス ポイント
- Cisco ワークグループ ブリッジの使用
- Cisco 以外のワークグループ ブリッジの使用
- バックアップ コントローラの設定
- アクセス ポイントのフェールオーバー プライオリティの設定
- AP の再送信間隔および再試行回数の設定
- Country Code の設定
- アクセス ポイントでの RFID トラッキングの最適化
- プローブ要求フォワーディングの設定
- コントローラとアクセス ポイント上の一意のデバイス ID の取得
- リンク テストの実行
- リンク遅延の設定
- TCP MSS の設定
- Power over Ethernet の設定
- クライアントの表示
- アクセス ポイントの LED 状態の設定
- デュアル バンド無線によるアクセス ポイントの設定
- UDP Lite の設定
- Cisco Hyperlocation
- Cisco Air Time Fairness
- Cisco Universal Small Cell 8x18 デュアルモード モジュール
- Index
ユーザ アカウントの管理
ゲスト ユーザ アカウントの設定
ゲスト アカウントの作成について
コントローラは、WLAN 上でゲスト ユーザ アクセスを提供できます。 ゲスト ユーザ アカウント作成の最初の手順では、ロビー アンバサダー アカウントとしても知られる、ロビー管理者ユーザを作成します。 このアカウントを作成すると、ロビー アンバサダーはゲスト ユーザ アカウントをコントローラ上で作成および管理できます。 ロビー アンバサダーは、限定的な設定権限を持ち、ゲスト アカウントを管理するために使用する Web ページのみにアクセスできます。
ロビー アンバサダーは、ゲスト ユーザ アカウントを利用できる時間を指定できます。 指定した時間を経過すると、ゲスト ユーザ アカウントは、自動的に無効になります。
ユーザ アカウントの管理に関する制限
ローカル ユーザ データベースは、最大エントリ数が 2048(デフォルト値)に制限されています。 データベースは、ローカル管理ユーザ(ロビー アンバサダーを含む)、ローカル ネットワーク ユーザ(ゲスト ユーザを含む)、MAC フィルタ エントリ、除外リスト エントリ、およびアクセス ポイントの許可リスト エントリで共有します。 これらを合わせて、設定されている最大値を超えることはできません。
Lobby Ambassador アカウントの作成
ロビー アンバサダー アカウントの作成(GUI)
ロビー アンバサダー アカウントの作成(CLI)
ロビー アンバサダー アカウントを作成するには、次のコマンドを使用します。
config mgmtuser add lobbyadmin_username lobbyadmin_pwd lobby-admin
 (注) | lobby-admin を read-only に置き換えると、読み取り専用の権限を持つアカウントを作成します。 lobby-admin を read-write に置き換えると、読み取りと書き込みの両方の権限を持つ管理アカウントを作成します。 |
ロビー アンバサダーとしてのゲスト ユーザ アカウントの作成(GUI)
| ステップ 1 | ユーザ名とパスワードを使用して、ロビー アンバサダーとしてコントローラにログインします。 [Lobby Ambassador Guest Management] > [Guest Users List] ページが表示されます。 | ||||
| ステップ 2 | [New] をクリックして、ゲスト ユーザ アカウントを作成します。 [Lobby Ambassador Guest Management] > [Guest Users List > New] ページが表示されます。 | ||||
| ステップ 3 | [User Name] テキスト ボックスに、ゲスト ユーザの名前を入力します。 最大 24 文字を入力することができます。 | ||||
| ステップ 4 | 次のいずれかの操作を行います。 | ||||
| ステップ 5 | [Lifetime] ドロップダウン リストから、このゲスト ユーザ アカウントをアクティブにする時間(日数、時間数、分数、秒数)を選択します。 4 つのテキスト ボックスの値をすべてゼロ(0)にすると、永続的なアカウントとなります。
| ||||
| ステップ 6 | [WLAN SSID] ドロップダウン リストから、ゲスト ユーザが使用する SSID を選択します。 表示された WLAN だけが、レイヤ 3 の Web 認証が設定された WLAN です。
| ||||
| ステップ 7 | [Description] テキスト ボックスに、ゲスト ユーザ アカウントの説明を入力します。 最大 32 文字を入力することができます。 | ||||
| ステップ 8 | [Apply] をクリックして、変更を確定します。 新しいゲスト ユーザ アカウントが、[Guest Users List] ページのゲスト ユーザ リストに表示されます。 このページから、すべてのゲスト ユーザ アカウント、それぞれの WLAN SSID およびライフタイムを表示できます。 また、ゲスト ユーザ アカウントを編集、または削除することができます。 ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。 | ||||
| ステップ 9 | 新しいゲスト ユーザ アカウントを作成するには、この手順を繰り返します。 |
ゲスト ユーザ アカウントの表示
ゲスト アカウントの表示(GUI)
コントローラ GUI を使用してゲスト ユーザ アカウントを表示するには、 を選択します。 [Local Net Users] ページが表示されます。
このページから、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示し、必要に応じて編集または削除することができます。 ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。
ゲスト アカウントの表示(CLI)
コントローラ CLI を使用して、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示するには、次のコマンドを入力します。
管理者のユーザ名とパスワードの設定
管理者のユーザ名とパスワードの設定について
管理者のユーザ名とパスワードを設定しておくと、権限のないユーザによるコントローラの設定変更や設定情報の表示を防ぐことができます。 この項では、初期設定とパスワード リカバリの手順を説明します。
ユーザ名とパスワードの設定(GUI)
ユーザ名とパスワードの設定(CLI)
| ステップ 1 | 次のいずれかのコマンドを入力して、ユーザ名とパスワードを設定します。
| ||
| ステップ 2 | 次のコマンドを入力して、設定されているユーザのリストを表示します。 |
パスワードの回復
コンソール ポートを介してコントローラ CLI にアクセスしていることを確認します。
| ステップ 1 | コントローラのブート後に、「User」というプロンプトが表示されたら Restore-Password を入力します。
| ||
| ステップ 2 | 「Enter User Name」というプロンプトが表示されたら、新しいユーザ名を入力します。 | ||
| ステップ 3 | 「Enter Password」というプロンプトが表示されたら、新しいパスワードを入力します。 | ||
| ステップ 4 | 「Re-enter Password」というプロンプトが表示されたら、新しいパスワードを再入力します。 入力した内容が検証されて、データベースに保存されます。 | ||
| ステップ 5 | 「User」というプロンプトが再び表示されたら、新しいユーザ名を入力します。 | ||
| ステップ 6 | 「Password」というプロンプトが表示されたら、新しいパスワードを入力します。 新しいユーザ名とパスワードでコントローラにログインした状態になります。 |
SNMP v3 ユーザのデフォルト値の変更
SNMP v3 ユーザのデフォルト値の変更について
SNMP v3 ユーザのユーザ名、認証パスワード、およびプライバシー パスワードに対するコントローラのデフォルト値は、「default」が使用されています。 これらの標準値を使用すると、セキュリティ上のリスクが発生します。 したがって、これらの値を変更することを強く推奨します。
(注) | SNMP v3 は時間に依存しています。 コントローラの時間および時間帯を正確に設定してください。 |
SNMP v3 ユーザのデフォルト値の変更(GUI)
| ステップ 1 | [Management] > [SNMP] > [SNMP V3 Users] の順に選択して [SNMP V3 Users] ページを開きます。 | ||
| ステップ 2 | [User Name] カラムに「default」が表示されている場合は、そのユーザの青いドロップダウン矢印の上にカーソルを置き、[Remove] を選択してその SNMP v3 ユーザを削除します。 | ||
| ステップ 3 | 新しい SNMP v3 ユーザを追加するには、[New] をクリックします。 [SNMP V3 Users > New] ページが表示されます。 | ||
| ステップ 4 | [User Profile Name] テキスト ボックスに、一意の名前を入力します。 「default」は入力しないでください。 | ||
| ステップ 5 | [Access Mode] ドロップダウン リストから [Read Only] または [Read/Write] を選択して、このユーザのアクセス レベルを指定します。 デフォルト値は [Read Only] です。 | ||
| ステップ 6 | [Authentication Protocol] ドロップダウン リストで、認証方式を [None]、[HMAC-MD5](Hashed Message Authentication Coding-Message Digest 5)、および [HMAC-SHA](Hashed Message Authentication Coding-Secure Hashing Algorithm)の中から選択します。 デフォルト値は [HMAC-SHA] です。 | ||
| ステップ 7 | [Auth Password] テキスト ボックスと [Confirm Auth Password] テキスト ボックスに、認証に使用する共有秘密キーを入力します。 文字と数字の両方を含む少なくとも 12 文字を入力する必要があります。 | ||
| ステップ 8 | [Privacy Protocol] ドロップダウン リストで、暗号化方式を [None]、[CBC-DES](Cipher Block Chaining-Digital Encryption Standard)、および [CFB-AES-128](Cipher Feedback Mode-Advanced Encryption Standard-128)の中から選択します。 デフォルト値は [CFB-AES-128] です。
| ||
| ステップ 9 | [Priv Password] テキスト ボックスと [Confirm Priv Password] テキスト ボックスに、暗号化に使用する共有秘密キーを入力します。 文字と数字の両方を含む少なくとも 12 文字を入力する必要があります。 | ||
| ステップ 10 | [Apply] をクリックします。 | ||
| ステップ 11 | [Save Configuration] をクリックします。 | ||
| ステップ 12 | コントローラをリブートすると、追加した SNMP v3 ユーザが有効になります。 |
SNMP v3 ユーザのデフォルト値の変更(CLI)
| ステップ 1 | 次のコマンドを入力して、このコントローラに対する SNMP v3 ユーザの最新のリストを表示します。 |
| ステップ 2 | [SNMP v3 User Name] カラムに「default」と表示されている場合は、次のコマンドを入力してこのユーザを削除します。 |
| ステップ 3 | 次のコマンドを入力して、新しい SNMP v3 ユーザを作成します。 config snmp v3user create username {ro | rw} {none | hmacmd5 | hmacsha} {none | des | aescfb128} auth_key encrypt_key |
| ステップ 4 | save config コマンドを入力します。 |
| ステップ 5 | 追加した SNMP v3 ユーザを有効にするために、reset system コマンドを入力して、コントローラをリブートします。 |
証明書署名要求の生成
| ステップ 1 | OpenSSL のアプリケーションをインストールして開きます。 | ||
| ステップ 2 | 次のコマンドを入力します。 OpenSSL> req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem コントローラは最大 2048 ビットのキー サイズをサポートします。
コマンド投入後に、国、州、都市などの情報を入力するように促されます。 OpenSSL> req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem Loading 'screen' into random state - done Generating a 1024 bit RSA private key ................................................................++++++ ...................................................++++++ writing new private key to 'mykey.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:CA Locality Name (eg, city) []:San Jose Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC Organizational Unit Name (eg, section) []:CDE Common Name (eg, YOUR name) []:XYZ.ABC Email Address []:Test@abc.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:Test123 An optional company name []: OpenSSL> すべての必要な詳細を入力すると、2 つのファイルが生成されます。 | ||
| ステップ 3 | 証明書署名要求(CSR)の情報をコピーして CA の登録ツールに貼り付けます。 サードパーティ CA に CSR を送信すると、サードパーティ CA は証明書にデジタル署名して、電子メールで署名付き証明書チェーンを返します。 チェーン証明書の場合、CA から証明書のチェーン全体を受信します。 上記の例のように中間証明書が 1 つのみであれば、CA から次の 3 種類の証明書を受信します。
| ||
| ステップ 4 | 3 つすべての証明書を取得したら、次の順序で各 .pem ファイルの内容をコピーして別のファイルに貼り付けます。 ------BEGIN CERTIFICATE------ *Device cert* ------END CERTIFICATE------ ------BEGIN CERTIFICATE------ *Intermediate CA cert * ------END CERTIFICATE-------- ------BEGIN CERTIFICATE------ *Root CA cert * ------END CERTIFICATE------ | ||
| ステップ 5 | ファイルを All-certs.pem という名前で保存します。 | ||
| ステップ 6 | All-certs.pem 証明書を、CSR とともに生成した秘密キー(デバイス証明書の秘密キー、この例では mykey.pem)と組み合わせて、final.pem という名前でファイルを保存します。 | ||
| ステップ 7 | 次のコマンドを入力して、All-certs.pem ファイルおよび final.pem ファイルを作成します。
openssl> pkcs12 -export -in All-certs.pem -inkey mykey.pem
-out All-certs.p12 -clcerts -passin pass:check123
-passout pass:check123
openssl> pkcs12 -in All-certs.p12 -out final-cert.pem
-passin pass:check123 -passout pass:check123
final.pem ファイルをコントローラにダウンロードする必要があります。
|
次の作業
CLI または GUI を使用してコントローラに final.pem ファイルをダウンロードします。
サードパーティ証明書のダウンロード(GUI)
| ステップ 1 | デバイス証明書 final.pem を TFTP サーバのデフォルト ディレクトリにコピーします。 |
| ステップ 2 | [Security] > [Web Auth] > [Certificate] を選択して、[Web Authentication Certificate] ページを開きます。 |
| ステップ 3 | [Download SSL Certificate] チェックボックスをオンにして、Download SSL Certificate From Server パラメータを表示します。 |
| ステップ 4 | [Server IP Address] テキスト ボックスに、TFTP サーバの IP アドレスを入力します。 |
| ステップ 5 | [File Path] テキスト ボックスに、証明書のディレクトリ パスを入力します。 |
| ステップ 6 | [File Name] テキスト ボックスに、証明書の名前を入力します。 |
| ステップ 7 | [Certificate Password] テキスト ボックスに、証明書の保護に使用されたパスワードを入力します。 |
| ステップ 8 | [Apply] をクリックします。 |
| ステップ 9 | ダウンロードが完了したら、[Commands] > [Reboot] を選択して [Save and Reboot] をクリックします。 |
| ステップ 10 | 変更を確定してコントローラをリブートするために [OK] をクリックします。 |
サードパーティ証明書のダウンロード(CLI)
| ステップ 1 | final.pem ファイルを TFTP サーバ上のデフォルト ディレクトリに移動します。 次のコマンドを入力して、ダウンロードの設定を変更します。 (Cisco Controller) > transfer download mode tftp (Cisco Controller) > transfer download datatype webauthcert (Cisco Controller) > transfer download serverip <TFTP server IP address> (Cisco Controller) > transfer download path <absolute TFTP server path to the update file> (Cisco Controller) > transfer download filename final.pem | ||
| ステップ 2 | オペレーティング システムが SSL キーと証明書を復号化できるように .pem ファイルのパスワードを入力します。
(Cisco Controller) > transfer download certpassword password
| ||
| ステップ 3 | 次のコマンドを入力して、証明書およびキーのダウンロードを開始します。 transfer download start 例:
(Cisco Controller) > transfer download start
Mode............................................. TFTP
Data Type........................................ Site Cert
TFTP Server IP................................... 10.77.244.196
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................./
TFTP Filename.................................... final.pem
This may take some time.
Are you sure you want to start? (y/N) y
TFTP EAP Dev cert transfer starting.
Certificate installed.
Reboot the switch to use new certificate.
| ||
| ステップ 4 | コントローラをリブートします。 |
フィードバック