LDAP の設定

LDAP について

LDAP バックエンド データベースを使用すると、コントローラで、特定のユーザの資格情報(ユーザ名およびパスワード)を LDAP サーバから検索できるようになります。 これらの資格情報は、ユーザの認証に使用されます。 たとえば、ローカル EAP では、ユーザの資格情報を取得するのに、バックエンド データベースとして LDAP を使用する場合があります。

LDAP Servers のフォールバック

LDAP サーバは認証用に WLAN に設定されます。 フォールバック動作が行われるようにするには、少なくとも 2 台の LDAP サーバでそれらを設定する必要があります。 WLAN ごとにフォール バック動作が行われるように、最大 3 台の LDAP サーバを設定できます。 サーバは認証の優先順位で表示されます。 最初の LDAP サーバが応答しない場合、コントローラは次の LDAP サーバに切替えます。 2 番目の LDAP サーバが応答しない場合、コントローラは、3 番目の LDAP サーバに再度切替えます。


(注)  

LDAP バックエンド データベースでは、ローカル EAP 方式として、EAP-TLS、EAP-FAST/GTC、および PEAPv1/GTC がサポートされます。 LEAP、EAP-FAST/MSCHAPv2、および PEAPv0/MSCHAPv2 もサポートされていますが、平文のパスワードを返すように LDAP サーバが設定されている場合にのみサポートされます。


(注)  

Cisco ワイヤレス LAN コントローラは、Microsoft Active Directory や Novell の eDirectory などの外部 LDAP データベースに対するローカル EAP 認証をサポートしています。 Novell の eDirectory に対するローカル EAP 認証をコントローラに設定する方法については、http:/​/​www.cisco.com/​en/​US/​products/​ps6366/​products_​white_​paper09186a0080b4cd24.shtml で『Configure Unified Wireless Network for Authentication Against Novell's eDirectory Database』ホワイトペーパーを参照してください。

LDAP の設定(GUI)

    ステップ 1   [Security] > [AAA] > [LDAP] の順に選択して、[LDAP Servers] ページを開きます。
    • 既存の LDAP サーバを削除するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。

    • コントローラが特定のサーバに到達できることを確認するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、[Ping] を選択します。

    ステップ 2   次のいずれかの操作を行います。

    • 既存の LDAP サーバを編集するには、そのサーバのインデックス番号をクリックします。 [LDAP Servers > Edit] ページが表示されます。

    • LDAP サーバを追加するには、[New] をクリックします。 [LDAP Servers > New] ページが表示されます。 新しいサーバを追加している場合は、[Server Index (Priority)] ドロップダウン リストから数字を選択し、その他の設定済み LDAP サーバに対してこのサーバの優先順位を指定します。 最大 17 台のサーバを設定できます。 コントローラが最初のサーバに接続できない場合、リスト内の 2 番目のサーバへの接続を試行する、というようになります。
    ステップ 3   新しいサーバを追加している場合は、[Server IP Address] テキスト ボックスに LDAP サーバの IP アドレスを入力します。
    ステップ 4   新しいサーバを追加している場合は、[Port Number] テキスト ボックスに LDAP サーバの TCP ポート番号を入力します。 有効な範囲は 1 ~ 65535 で、デフォルト値は 389 です。
    ステップ 5   [Server Mode (via TLS)] ドロップダウン リストから [Disabled] を選択し、TCP を使用して LDAP サーバと Cisco WLC 間の LDAP 接続(セキュア トンネルなし)を確立します。または [Enabled] を選択し、TLS を使用してセキュア LDAP 接続を確立します。
    ステップ 6   [Enable Server Status] チェックボックスをオンにしてこの LDAP サーバを有効にするか、オフにして無効にします。 デフォルト値はディセーブルです。
    ステップ 7   [Simple Bind] ドロップダウン リストから [Anonymous] または [Authenticated] を選択して、LDAP サーバ用のローカル認証バインド方式を指定します。 [Anonymous] 方式では、LDAP サーバへの匿名アクセスが可能です。 [Authenticated] 方式では、ユーザ名とパスワードを入力してアクセスをセキュリティで保護する必要があります。 デフォルト値は [Anonymous] です。
    ステップ 8   前の手順で [Authenticated] を選択した場合は、次の手順に従ってください。
    1. [Bind Username] テキスト ボックスに、LDAP サーバのローカル認証に使用されるユーザ名を入力します。 ユーザ名には、最大 80 文字を使用できます。
      (注)     

      ユーザ名が「cn=」(小文字)で始まる場合、コントローラはユーザ名に完全な LDAP データベース パスが含まれていると見なし、ユーザベース DN を付加しません。 この指定により、認証済みのバインド ユーザをユーザ ベース DN の外に置くことができます。

    2. [Bind Username] テキスト ボックスに、LDAP サーバのローカル認証に使用されるユーザ名を入力します。 ユーザ名には、最大 80 文字を使用できます。
    ステップ 9   [User Base DN] テキスト ボックスに、全ユーザのリストが含まれた、LDAP サーバ内のサブツリーの識別名(DN)を入力します。 たとえば、ou=organizational unit、.ou=next organizational unit、o=corporation.com のようになります。 ユーザを含むツリーがベース DN である場合は、次を入力します。 o=corporation.com

    または

    dc=corporation,dc=com
    ステップ 10   [User Attribute] テキスト ボックスに、ユーザ名が含まれたユーザ レコード内の属性の名前を入力します。 この属性はディレクトリ サーバから取得できます。
    ステップ 11   [User Object Type] テキスト ボックスに、レコードをユーザとして識別する LDAP objectType 属性の値を入力します。 多くの場合、ユーザ レコードには複数の objectType 属性の値が含まれています。そのユーザに一意の値と、他のオブジェクト タイプと共有する値があります。
    ステップ 12   [Server Timeout] テキスト ボックスに、再送信の間隔を秒単位で入力します。 有効な範囲は 2 ~ 30 秒で、デフォルト値は 2 秒です。
    ステップ 13   [Apply] をクリックして、変更を確定します。
    ステップ 14   [Save Configuration] をクリックして、変更を保存します。
    ステップ 15   次の手順を実行して、LDAP をローカル EAP 認証用の優先バックエンド データベース サーバとして指定します。
    1. [Security] > [Local EAP] > [Authentication Priority] の順に選択して、[Priority Order > Local-Auth] ページを開きます。
    2. [LOCAL] を強調表示して、[<] をクリックし、それを左の [User Credentials] ボックスに移動します。
    3. [LDAP] を強調表示して、[>] をクリックし、それを右の [User Credentials] ボックスに移動します。 右側の [User Credentials] ボックスの上部に表示されるデータベースは、ユーザの資格情報を取得する際に使用されます。
      (注)     

      [LDAP] と [LOCAL] の両方が右側の [User Credentials] ボックスに表示され、[LDAP] が上部で [LOCAL] が下部にある場合、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 [LOCAL] が上部にある場合、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

    4. [Apply] をクリックして、変更を確定します。
    5. [Save Configuration] をクリックして、変更を保存します。
    ステップ 16   (任意)次の手順を実行して、特定の LDAP サーバを WLAN に割り当てます。
    1. [WLANs] を選択して、[WLANs] ページを開きます。
    2. 必要な WLAN の ID 番号をクリックします。
    3. [WLANs > Edit] ページが表示されたら [Security] > [AAA Servers] タブを選択し、[WLANs > Edit]([Security > AAA Servers])ページを開きます。
    4. [LDAP Servers] ドロップダウン リストから、この WLAN で使用する LDAP サーバを選択します。 最大 3 台の LDAP サーバを選択できます。これらのサーバは優先順位に従って試行されます。
      (注)     

      これらの LDAP サーバは、Web 認証が有効になっている WLAN にのみ適用されます。 ローカル EAP によって使用されません。

    5. [Apply] をクリックして、変更を確定します。
    6. [Save Configuration] をクリックして、変更を保存します。
    ステップ 17   次の手順を実行して、LDAP サーバ フォールバックの動作を指定します。
    1. [WLAN] > [AAA Server] を選択して、[Fallback Parameters] ページを開きます。
    2. [LDAP Servers] ドロップダウン リストから、コントローラが管理ユーザを認証しようとする際の優先順位に従って、LDAP サーバを選択します。 認証順序はサーバから開始します。
    3. [Security] > [AAA] > [LDAP] の順に選択して、コントローラに設定されたグローバル LDAP サーバのリストを表示します。

    LDAP の設定(CLI)

    • 次のコマンドを入力して、LDAP サーバを設定します。

      • config ldap add index server_ip_address port# user_base user_attr user_type secureセキュア LDAP 用の LDAP サーバを追加します。

      • config ldap delete index:以前に追加された LDAP サーバを削除します。

      • config ldap {enable | disable} index:LDAP サーバを有効または無効にします。

      • config ldap security-mode enable index:既存のコマンドと共にインデックスを使用して LDAP をイネーブルにします。

      • config ldap simple-bind {anonymous index | authenticated index username username password password}:LDAP サーバ用のローカル認証バインド方式を指定します。 匿名方式では LDAP サーバへの匿名アクセスが可能です。一方、許可方式ではユーザ名とパスワードを入力してアクセスをセキュリティで保護する必要があります。 デフォルト値は [anonymous] です。 ユーザ名には、最大 80 文字を使用できます。

        ユーザ名が「cn=」(小文字)で始まる場合、コントローラはユーザ名に完全な LDAP データベース パスが含まれていると見なし、ユーザベース DN を付加しません。 この指定により、認証済みのバインド ユーザをユーザ ベース DN の外に置くことができます。

      • config ldap retransmit-timeout index timeout:LDAP サーバの再送信の間隔(秒数)を設定します。

    • 次のコマンドを入力して、LDAP を優先バックエンド データベース サーバとして指定します。

      config local-auth user-credentials ldap

      config local-auth user-credentials ldap local コマンドを入力すると、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 config local-auth user-credentials local ldap コマンドを入力すると、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

    • (任意)次のコマンドを入力して、特定の LDAP サーバを WLAN に割り当てます。

      • config wlan ldap add wlan_id server_index:設定済みの LDAP サーバを WLAN に接続します。

        このコマンドで指定される LDAP サーバは、Web 認証が有効になっている WLAN にのみ適用されます。 ローカル EAP によって使用されません。

      • config wlan ldap delete wlan_id {all | index}:特定の、またはすべての設定済み LDAP サーバを WLAN から削除します。

    • 次のコマンドを入力して、設定済みの LDAP サーバに関連する情報を表示します。

      • show ldap summary:設定済みの LDAP サーバの概要を表示します。 

        
Idx  Server Address   Port  Enabled
---  ---------------  ----  -------
1    2.3.1.4           389 	   No
2    10.10.20.22 	 	 	 389 	 	 Yes

        Idx      Server Address      Port     Enabled  Secure
---      --------------      -----    ------  -------   
1         2.3.1.4            389       No       No
2         2.3.1.5            389       Yes      No


      • show ldap index:詳細な LDAP サーバ情報を表示します。 次のような情報が表示されます。 

        
Server Index..................................... 2
Address.......................................... 10.10.20.22
Port............................................. 389
Enabled.......................................... Yes
User DN.......................................... ou=active,ou=employees,ou=people,
													o=cisco.com
User Attribute................................... uid
User Type........................................ Person
Retransmit Timeout............................... 2 seconds
Bind Method ..................................... Authenticated
Bind Username................................. user1

        Controller# show ldap 1
Server Index..................................... 1
Address.......................................... 9.1.0.100
Port............................................. 389
Server State..................................... Disabled
User DN.......................................... user1
User Attribute................................... user
User Type........................................ user
Retransmit Timeout............................... 2 seconds
Secure (via TLS)................................. Disabled
Bind Method ..................................... Anonymous

      • show ldap statistics:LDAP サーバの統計情報を表示します。 

        
Server Index..................................... 1
Server statistics:
  Initialized OK................................. 0
  Initialization failed.......................... 0
  Initialization retries......................... 0
  Closed OK...................................... 0
Request statistics:
  Received....................................... 0
  Sent........................................... 0
  OK............................................. 0
  Success........................................ 0
  Authentication failed.......................... 0
  Server not found............................... 0
  No received attributes......................... 0
  No passed username............................. 0
  Not connected to server........................ 0
  Internal error................................. 0
  Retries........................................ 0

Server Index..................................... 2
..

      • show wlan wlan_id:WLAN に適用される LDAP サーバを表示します。

    • 次のコマンドを入力して、コントローラが LDAP サーバに到達できることを確認します。 ping server_ip_address

    • 次のコマンドを入力して、変更を保存します。

      save config

    • 次のコマンドを入力して、LDAP のデバッグを有効または無効にします。 debug aaa ldap {enable | disable}