Cisco Catalyst 9800 シリーズワイヤレスコントローラ（Cisco IOS XE 17.15.x）ソフトウェアコンフィギュレーションガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

検索結果

Updated:: 2025年2月5日水曜日

ローカル拡張可能認証プロトコル

ローカル EAP について

ローカル Extensible Authentication Protocol（EAP）機能は、オーセンティケータおよび認証サーバーとして機能するコントローラを示します。ローカル EAP により、RADIUS サーバーを使用せずに、WPA エンタープライズワイヤレスクライアントで 802.1x 認証を行うことができます。ローカル EAP は EAP 認証サーバーのアクティビティを示し、外部 LDAP データベースに委任できるユーザーのログイン情報の検証などに必ずしも関連付けられているわけではありません。

機能のシナリオ

ローカル EAP は、外部の専用 RADIUS サーバーが使用できない状況やブランチで、限られた数のユーザーに対して、管理者がエンタープライズグレードの 802.1x 認証を使用できるように設計されています。また、RADIUS サーバーが使用できない場合の緊急バックアップとしても機能します。

ユースケース

ローカル EAP の導入では、コントローラに対してローカルなユーザーを使用することも、外部 LDAP データベースを使用してユーザーのログイン情報を保存することもできます。

ローカル EAP に関する制限事項

ローカル EAP を使用して、ユーザー単位の ACL やユーザー単位のセッションタイムアウトなどの AAA 属性を設定することはできません。
ローカル EAP は、コントローラのローカル、または外部 LDAP データベース上でのみユーザーデータベースを許可します。
ローカル EAP は、ソフトウェアリリース 17.1 以降で TLS 1.2 をサポートします。
ローカル EAP は、コントローラで選択されたトラストポイントを使用します。EAP セッションがクライアントによって信頼されるようにするには、公的に信頼されている証明書をコントローラにインストールか、クライアントにインポートする必要があります。

ローカル EAP は、EAP 認証方式として、EAP-FAST、EAP-TLS、および PEAP をサポートします。

（注）

クリアテキストのパスワードのみをサポートする特定の外部 LDAP データベースを使用している場合、PEAP-mschapv2 は機能しません。

ローカル EAP プロファイルの設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	eap profile `name` 例: `Device(config)# eap profile mylocapeap`	EAP プロファイルを作成します。
ステップ 3	method peap 例: `Device(config-eap-profile)# method peap`	プロファイルで PEAP 方式を設定します。
ステップ 4	pki-trustpoint `name` 例: `Device(config-eap-profile)# pki-trustpoint admincert`	プロファイルに PKI トラストポイントを設定します。

ローカル EAP プロファイルの設定（GUI）

手順

ステップ 1

[Configuration] > [Security] > [Local EAP] を選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[Create Local EAP Profiles] ページで、プロファイル名を入力します。

（注）

セキュリティが弱いため、LEAP EAP 方式の使用は推奨されません。次のいずれかの EAP 方式を使用して、トラストポイントを設定することができます。

EAP-FAST
EAP-TLS
PEAP

クライアントはデフォルトのコントローラ証明書を信頼しないため、クライアント側でサーバー証明書の検証を非アクティブにするか、コントローラに証明書トラストポイントをインストールする必要があります。

ステップ 4

[Apply to Device] をクリックします。

AAA 認証の設定（GUI）

手順

ステップ 1	[Configuration] > [Security] > [AAA] を選択し、[AAA Method List] > [Authentication] タブに移動します。
ステップ 2	[Add] をクリックします。
ステップ 3	[Type] として [dot1x] を選択し、[Group Type] として [local] を選択します。
ステップ 4	[Apply to Device] をクリックします。

AAA 認証方式の設定（GUI）

手順

ステップ 1

[Authorization] サブタブに移動します。

ステップ 2

[credential-download] タイプの新しい方式を作成し、ローカルにポイントします。

（注）

[network] 承認タイプについても同じ手順を実行します。

AAA 認証方式の設定（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	aaa new-model 例: `Device(config)# aaa new-model`	AAA 認証モデルを作成します。
ステップ 3	aaa authentication dot1x default local 例: `Device(config)# aaa authentication dot1x default local`	デフォルトのローカル RADIUS サーバーを設定します。
ステップ 4	aaa authorization credential-download default local 例: `Device(config)# aaa authorization credential-download default local`	ローカルサーバーからログイン情報をダウンロードするようにデフォルトデータベースを設定します。
ステップ 5	aaa local authentication default authorization default 例: `Device(config)# aaa local authentication default authorization default`	ローカル認証方式リストを設定します。
ステップ 6	aaa authorization network default local 例: `Device(config)# aaa authorization network default local`	ネットワークサービスに対する認証を設定します。

ローカルな詳細方式の設定（GUI）

手順

ステップ 1

[Configuration] > [Security] > [AAA] ウィンドウで、次の手順を実行します。

[AAA Advanced] タブまで移動します。
[Local Authentication] ドロップダウンリストからデフォルトのローカル認証を選択します。
[Local Authorization] ドロップダウンリストからデフォルトのローカル承認を選択します。

ステップ 2

[Apply] をクリックします。

WLAN の設定（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [WLANs] を選択します。
ステップ 2	[WLANs] ウィンドウで、WLAN の名前をクリックするか、[Add] をクリックして新規に作成します。
ステップ 3	表示される [Add/Edit WLAN] ウィンドウで、[General] タブをクリックして次のパラメータを設定します。 [Profile Name]フィールドで、プロファイルの名前を入力または編集します。 [SSID] フィールドで、SSID 名を入力または編集します。 SSID 名には、最大 32 文字の英数字を使用できます。 [WLAN ID] フィールドで、ID 番号を入力するか編集します。有効な範囲は 1 ～ 512 です。 [Radio Policy] ドロップダウンリストから、[802.11] 無線帯域を選択します。 [Broadcast SSID] トグルボタンを使用して、ステータスを [Enabled] または [Disabled] に変更します。 [Status] トグルボタンを使用して、ステータスを [Enabled] または [Disabled] に変更します。
ステップ 4	[AAA] タブで次の設定を行えます。ドロップダウンから認証リストを選択します。 WLAN でローカル EAP 認証を有効にするには、[Local EAP Authentication] チェックボックスをオンにします。また、必要な [EAP Profile Name] をドロップダウンリストから選択します。
ステップ 5	[Save & Apply to Device] をクリックします。

WLAN の設定（CLI）

手順

コマンドまたはアクション目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 2

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan localpeapssid 1 localpeapssid

WLAN コンフィギュレーションサブモードを開始します。

wlan-name ：設定されている WLAN の名前です。

wlan-id ：ワイヤレス LAN の識別子です。指定できる範囲は 1 ～ 512 です。

SSID-name ：最大 32 文字の英数字からなる SSID 名です。

（注）

すでにこのコマンドを設定している場合は、wlan wlan-name コマンドを入力します。

ステップ 3

security dot1x authentication-list auth-list-name

例:

Device(config-wlan)# security dot1x authentication-list default

dot1x セキュリティ用のセキュリティ認証リストを有効にします。この設定は、すべての dot1x セキュリティ WLAN で類似しています。

ステップ 4

local-auth profile name

例:

Device(config-wlan)# local-auth mylocaleap

WLAN で EAP プロファイルを設定します。

profile name ：WLAN 上の EAP プロファイルです。

ユーザーアカウントの作成（CLI）

手順

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	user-name `user-name` 例: `Device(config)# user-name 1xuser`	ユーザーアカウントを作成します。
ステップ 3	creation-time `time` 例: `Device(config)# creation-time 1572730075`	ユーザーアカウントの作成時刻。
ステップ 4	description `user-name` 例: `Device(config)# description 1xuser`	新しいユーザーアカウントにユーザー定義の説明を追加します。
ステップ 5	password 0 `password` 例: `Device(config)# password 0 Cisco123`	ユーザーアカウントのパスワードを作成します。
ステップ 6	type network-user description `user-name` 例: `Device(config)# type network-user description 1xuser`	ユーザーアカウントのタイプを指定します。

WLAN インターフェイスへのポリシープロファイルのアタッチ（GUI）

手順

ステップ 1	[Configuration] > [Tags & Profiles] > [Tags] を選択します。
ステップ 2	[Manage Tags] ページで、[Policy] タブをクリックします。
ステップ 3	[Add] をクリックして、[Add Policy Tag] ウィンドウを表示します。
ステップ 4	ポリシータグの名前と説明を入力します。
ステップ 5	[Add] をクリックして、WLAN とポリシーをマッピングします。
ステップ 6	適切なポリシープロファイルを使用してマッピングする WLAN プロファイルを選択し、チェックアイコンをクリックします。
ステップ 7	[Save & Apply to Device] をクリックします。

アクセスポイントへのポリシータグの展開（GUI）

手順

ステップ 1

[Configuration] > [Wireless] > [Access Points] を選択します。

ステップ 2

[All Access Points] ページで、設定するアクセスポイントをクリックします。

割り当てられたタグが設定したタグであることを確認します。

ステップ 3

[Apply] をクリックします。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ（Cisco IOS XE 17.15.x）ソフトウェア コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ローカル拡張可能認証プロトコル

ローカル拡張可能認証プロトコル

ローカル EAP について

機能のシナリオ

ユースケース

ローカル EAP に関する制限事項

ローカル EAP プロファイルの設定（CLI）

手順

例:

例:

例:

例:

ローカル EAP プロファイルの設定（GUI）

手順

AAA 認証の設定（GUI）

手順

AAA 認証方式の設定（GUI）

手順

AAA 認証方式の設定（CLI）

手順

例:

例:

例:

例:

例:

例:

ローカルな詳細方式の設定（GUI）

手順

WLAN の設定（GUI）

手順

WLAN の設定（CLI）

手順

例:

例:

例:

例:

ユーザーアカウントの作成（CLI）

手順

例:

例:

例:

例:

例:

例:

WLAN インターフェイスへのポリシー プロファイルのアタッチ（GUI）

手順

アクセスポイントへのポリシータグの展開（GUI）

手順

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Cisco Catalyst 9800 シリーズワイヤレスコントローラ（Cisco IOS XE 17.15.x）ソフトウェアコンフィギュレーションガイド

章のタイトル：ローカル拡張可能認証プロトコル

WLAN インターフェイスへのポリシープロファイルのアタッチ（GUI）