ステップ 1 |
上記に示したいずれかの EAP タイプを使用するようにローカル EAP を設定する場合は、適切な証明書と PAC(手動の PAC プロビジョニングを使用する場合)がコントローラにインポートされていることを確認してください。 |
ステップ 2 |
コントローラでローカル ユーザ データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上でローカル ネットワーク ユーザを適切に設定していることを確認してください。 |
ステップ 3 |
コントローラで LDAP バックエンド データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上で LDAP サーバを適切に設定していることを確認してください。 |
ステップ 4 |
次のコマンドを入力して、ローカルまたは LDAP データベースからユーザの資格情報を取得する順位を指定します。
config local-auth user-credentials {
local |
ldap}
(注) |
config local-auth user-credentials
ldap local コマンドを入力すると、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。
config local-auth user-credentials local ldap コマンドを入力すると、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。 |
|
ステップ 5 |
次のコマンドを入力して、ローカル EAP タイマーの値を指定します。
-
config local-auth active-timeout
timeout:設定済み RADIUS サーバのペアによる認証が失敗した後に、コントローラがローカル EAP を使用してワイヤレス クライアントを認証する際の試行時間(秒単位)を指定します。 有効な範囲は 1 ~ 3600 秒で、デフォルトの設定は 100 秒です。
-
config advanced eap identity-request-timeout
timeout:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を送信する際の試行時間(秒単位)を指定します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
-
config advanced eap identity-request-retries
retries:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 20 回です。
-
config advanced eap key-index
index:Dynamic Wired Equivalent Privacy(WEP)に使用するキー インデックスを指定します。 デフォルト値は 0 で、これはキー インデックス 1 に相当します。有効な値は 0 ~ 3(キー インデックス 1 ~ 4)です。
-
config advanced eap request-timeout
timeout:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を送信する際の試行時間(秒単位)を指定します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
-
config advanced eap request-retries
retries:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 120 回で、デフォルトの設定は 20 回です。
-
config advanced eap eapol-key-timeout
timeout:コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の試行時間(秒単位)を指定します。 有効な値の範囲は 1 ~ 5 秒で、デフォルトの設定は 1 秒です。
(注) |
コントローラとアクセス ポイントが WAN リンクによって分離されている場合、デフォルト タイムアウト値の 1 秒では不十分な場合があります。 |
-
config advanced eap eapol-key-retries
retries:コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の最大試行回数を指定します。 有効な値の範囲は 0 ~ 4 回で、デフォルトの設定は 2 回です。
-
config advanced eap max-login-ignore-identity-response {
enable |
disable}:イネーブルにすると、このコマンドは、802.1x 認証で同じユーザ名を使用してコントローラに接続できるデバイスの数の制限を無視します。 ディセーブルにすると、このコマンドは、コントローラに同じユーザ名で接続できるデバイスの数を制限します。 これは Web 認証ユーザには適用されません。 同じコントローラ上の異なるデバイス(PDA、ノートパソコン、IP フォンなど)から最大 8 台までログインできます。 デフォルト値はイネーブルです。 同じユーザ名で接続できるデバイスの最大数を制限するには、config netuser maxUserLogin コマンドを使用します。
|
ステップ 6 |
次のコマンドを入力して、WLAN でローカル EAP タイマーの値を指定します。
-
config wlan security eap-params {enable | disable} wlan_id:SSID 固有の EAP タイムアウトまたは再試行をイネーブルまたはディセーブルに指定します。 デフォルト値は [disabled] です。
-
config wlan security eap-params eapol-key-timeout timeout wlan_id:コントローラがローカル EAP を使用してワイヤレス クライアントに WLAN 経由で EAP キーを送信する際の試行時間を指定します(ミリ秒単位)。 有効な範囲は 200 ~ 5000 ミリ秒で、デフォルト設定は 1000 ミリ秒です。
-
config wlan security eap-params eapol-key-retries retries wlan_id:コントローラがローカル EAP を使用してワイヤレス クライアントに WLAN 経由で EAP キーを送信する際の最大試行回数を指定します。 有効な値の範囲は 0 ~ 4 回で、デフォルトの設定は 2 回です。
-
config wlan security eap-params identity-request-timeout timeout wlan_id:コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP ID 要求を送信する際の試行時間を指定します(秒単位)。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
-
config wlan security eap-params identity-request-retries retries wlan_id:コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP ID 要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 2 回です。
-
config wlan security eap-params request-timeout timeout wlan_id:コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP パラメータ要求を送信する際の試行時間を指定します(秒単位)。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
-
config wlan security eap-params request-retries retries wlan_id:コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP パラメータ要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 2 回です。
|
ステップ 7 |
次のコマンドを入力して、ローカル EAP プロファイルを作成します。
config local-auth eap-profile add
profile_name
(注) |
プロファイル名にスペースを含めないでください。 |
(注) |
ローカル EAP プロファイルを削除するには、
config local-auth eap-profile delete
profile_name コマンドを入力します。 |
|
ステップ 8 |
次のコマンドを入力して、ローカル EAP プロファイルに EAP 方式を追加します。
config local-auth eap-profile method add
method profile_name
サポートされている方式は leap、fast、tls、および peap です。
(注) |
peap を選択する場合、コントローラ上で PEAPv0/MSCHAPv2 と PEAPv1/GTC の両方が有効になります。 |
(注) |
プロファイルごとに複数の EAP タイプを指定できます。 ただし、証明書を使用する複数の EAP タイプ(証明書を使用する EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC など)でプロファイルを作成する場合、すべての EAP タイプで同じ証明書(Cisco または他のベンダーが発行する)を使用する必要があります。 |
(注) |
ローカル EAP プロファイルから EAP メソッドを削除するには、
config local-auth eap-profile method delete
method profile_name コマンドを入力します。 |
|
ステップ 9 |
EAP-FAST プロファイルを作成した場合は、次のコマンドを入力して EAP-FAST パラメータを設定します。
config local-auth method fast
?
ここで、
? は、次のいずれかを示します。
-
anon-prov {
enable |
disable}:コントローラで匿名プロビジョニングが許可されるように設定します。これにより、PAC プロビジョニング中に、PAC がないクライアントに PAC が自動的に送信されるようになります。
-
authority-id
auth_id:ローカル EAP-FAST サーバの Authority ID を指定します。
-
pac-ttl
days:PAC の有効日数を指定します。
-
server-key
key:PAC を暗号化および暗号化解除するために使用されるサーバ キーを指定します。
|
ステップ 10 |
次のコマンドを入力して、プロファイルごとに証明書パラメータを設定します。
-
config local-auth eap-profile method fast local-cert {
enable |
disable}
profile_name: 認証にコントローラ上のデバイス証明書が必要かどうかを指定します。
(注) |
デバイス証明書は LEAP と共に使用されず、EAP-TLS と PEAP には必須であるため、このコマンドは EAP-FAST にのみ適用されます。 |
-
config local-auth eap-profile method fast client-cert {
enable |
disable}
profile_name: 認証用のデバイス証明書をコントローラへ送信するために、ワイヤレス クライアントが必要かどうかを指定します。
(注) |
クライアント証明書は LEAP または PEAP と共に使用されず、EAP-TLS には必須であるため、このコマンドは EAP-FAST にのみ適用されます。 |
-
config local-auth eap-profile cert-issuer {
cisco |
vendor}
profile_name:証明書を使用する EAP-FAST、EAP-TLS、または PEAP を指定した場合は、クライアントに送信される証明書がシスコから発行されるものか、別のベンダーから発行されるものかを指定します。
-
config local-auth eap-profile cert-verify ca-issuer {
enable |
disable}
profile_name:証明書を使用する EAP-FAST または EAP-TLS を選択する場合は、クライアントから受信する証明書をコントローラ上の CA 証明書と照合して検証するかどうかを指定します。
-
config local-auth eap-profile cert-verify cn-verify {
enable |
disable}
profile_name:証明書を使用する EAP-FAST または EAP-TLS を選択する場合は、受信する証明書での Common Name(CN)をコントローラ上の CA 証明書の CN と照合して検証するかどうかを指定します。
-
config local-auth eap-profile cert-verify date-valid {
enable |
disable}
profile_name:証明書を使用する EAP-FAST または EAP-TLS を選択する場合は、受信するデバイスの証明書が現在も有効であり期限が切れていないことがコントローラで検証されるようにするかどうかを指定します。
|
ステップ 11 |
次のコマンドを入力して、ローカル EAP を有効にし、EAP プロファイルを WLAN に接続します。
config wlan local-auth enable
profile_name wlan_id
(注) |
WLAN でローカル EAP を無効にするには、
config wlan local-auth disable
wlan_id command コマンドを入力します。 |
|
ステップ 12 |
次のコマンドを入力して、変更を保存します。
save config |
ステップ 13 |
次のコマンドを入力して、ローカル EAP に関連する情報を表示します。
-
show local-auth config:コントローラ上のローカル EAP の設定を表示します。
User credentials database search order:
Primary ..................................... Local DB
Timer:
Active timeout .............................. 300
Configured EAP profiles:
Name ........................................ fast-cert
Certificate issuer ........................ vendor
Peer verification options:
Check against CA certificates ........... Enabled
Verify certificate CN identity .......... Disabled
Check certificate date validity ......... Enabled
EAP-FAST configuration:
Local certificate required .............. Yes
Client certificate required ............. Yes
Enabled methods ........................... fast
Configured on WLANs ....................... 1
Name ........................................ tls
Certificate issuer ........................ vendor
Peer verification options:
Check against CA certificates ........... Enabled
Verify certificate CN identity .......... Disabled
Check certificate date validity ......... Enabled
EAP-FAST configuration:
Local certificate required .............. No
Client certificate required ............. No
Enabled methods ........................... tls
Configured on WLANs ....................... 2
EAP Method configuration:
EAP-FAST:
Server key ................................ <hidden>
TTL for the PAC ........................... 10
Anonymous provision allowed ............... Yes
Accept client on auth prov ................ No
Authority ID .............................. 436973636f0000000000000000000000
Authority Information ..................... Cisco A-ID
-
show local-auth statistics:ローカル EAP の統計情報を表示します。
-
show local-auth certificates:ローカル EAP で使用可能な証明書を表示します。
-
show
local-auth user-credentials:コントローラがローカル データベースまたは LDAP データベースからユーザの資格情報を取得する際の優先順位を表示します。
-
show advanced eap:ローカル EAP のタイマーの値を表示します。
EAP-Identity-Request Timeout (seconds)........... 1
EAP-Identity-Request Max Retries................. 20
EAP Key-Index for Dynamic WEP.................... 0
EAP Max-Login Ignore Identity Response........... enable
EAP-Request Timeout (seconds).................... 20
EAP-Request Max Retries.......................... 20
EAPOL-Key Timeout (seconds)...................... 1
EAPOL-Key Max Retries......................... 2
-
show ap stats wlan
Cisco_AP:各 WLAN の特定のアクセス ポイントにおける EAP タイムアウト回数および失敗回数を表示します。
-
show client detail
client_mac:アソシエートされた特定のクライアントについて、EAP タイムアウト回数および失敗回数を表示します。 これらの統計は、クライアント アソシエーションの問題のトラブルシューティングを行う際に有用です。
...
Client Statistics:
Number of Bytes Received................... 10
Number of Bytes Sent....................... 10
Number of Packets Received................. 2
Number of Packets Sent..................... 2
Number of EAP Id Request Msg Timeouts...... 0
Number of EAP Id Request Msg Failures...... 0
Number of EAP Request Msg Timeouts......... 2
Number of EAP Request Msg Failures......... 1
Number of EAP Key Msg Timeouts............. 0
Number of EAP Key Msg Failures............. 0
Number of Policy Errors.................... 0
Radio Signal Strength Indicator............ Unavailable
Signal to Noise Ratio...................... Unavailable
-
show wlan
wlan_id:特定の WLAN のローカル EAP のステータスを表示します。
|
ステップ 14 |
(オプション)次のコマンドを入力して、ローカル EAP セッションのトラブルシューティングを行います。
-
debug aaa local-auth eap method {
all |
errors |
events |
packets |
sm} {
enable |
disable}: ローカル EAP 方式のデバッグを有効または無効にします。
-
debug aaa local-auth eap framework {
all |
errors |
events |
packets |
sm} {
enable |
disable}: ローカル EAP フレームワークのデバッグを有効または無効にします。
(注) |
上記の 2 つのコマンドでは、
sm とはステート マシンを指します。 |
-
clear stats local-auth:ローカル EAP のカウンタをクリアします。
-
clear stats ap wlan
Cisco_AP:各 WLAN の特定のアクセス ポイントにおける EAP タイムアウト回数および失敗回数をクリアします。
WLAN 1
EAP Id Request Msg Timeouts................... 0
EAP Id Request Msg Timeouts Failures.......... 0
EAP Request Msg Timeouts...................... 2
EAP Request Msg Timeouts Failures............. 1
EAP Key Msg Timeouts.......................... 0
EAP Key Msg Timeouts Failures................. 0
WLAN 2
EAP Id Request Msg Timeouts................... 1
EAP Id Request Msg Timeouts Failures.......... 0
EAP Request Msg Timeouts...................... 0
EAP Request Msg Timeouts Failures............. 0
EAP Key Msg Timeouts.......................... 3
EAP Key Msg Timeouts Failures.............. 1
|