アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.0

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.0

Chapter Title

ローカル EAP の設定

検索結果

Updated:
2017年5月17日

章のタイトル: ローカル EAP の設定

目次

ローカル EAP について

ローカル EAP は、ユーザおよびワイヤレス クライアントのローカル認証を可能にする認証方式です。 この方式は、バックエンド システムが妨害されたり、外部認証サーバがダウンした場合でも、ワイヤレス クライアントへの接続を維持できるように、リモート オフィスで使用する目的で設計されています。 ローカル EAP を有効にすると、コントローラは認証サーバおよびローカル ユーザ データベースとして機能するため、外部認証サーバに依存する必要がなくなります。 ローカル EAP は、ローカル ユーザ データベースまたは LDAP バックエンド データベースからユーザの資格情報を取得して、ユーザを認証します。 ローカル EAP では、コントローラとワイヤレス クライアント間で、LEAP、EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC 認証方式をサポートします。


(注)  

LDAP バックエンド データベースでは、ローカル EAP 方式として、EAP-TLS、EAP-FAST/GTC、および PEAPv1/GTC がサポートされます。 LEAP、EAP-FAST/MSCHAPv2、および PEAPv0/MSCHAPv2 もサポートされていますが、平文のパスワードを返すように LDAP サーバが設定されている場合にのみサポートされます。

(注)  

Cisco ワイヤレス LAN コントローラは、Microsoft Active Directory や Novell の eDirectory などの外部 LDAP データベースに対するローカル EAP 認証をサポートしています。 Novell の eDirectory に対するローカル EAP 認証をコントローラに設定する方法については、http:/​/​www.cisco.com/​en/​US/​products/​ps6366/​products_​white_​paper09186a0080b4cd24.shtml で『Configure Unified Wireless Network for Authentication Against Novell's eDirectory Database』ホワイトペーパーを参照してください。

コントローラ上で RADIUS サーバが設定されている場合は、コントローラはまず RADIUS サーバを使用してワイヤレス クライアントを認証しようとします。 ローカル EAP は、RADIUS サーバがタイムアウトしていたり、RADIUS サーバが設定されていない場合など、RADIUS サーバが見つからない場合にのみ試行されます。 4 台の RADIUS サーバが設定されている場合、コントローラは最初の RADIUS サーバを使用してクライアントの認証を試行し、次に 2 番めの RADIUS サーバ、その次にローカル EAP を試行します。 その後クライアントが手動で再認証を試みると、コントローラは 3 番めの RADIUS サーバを試行し、次に 4 番めの RADIUS サーバ、その次にローカル EAP を試行します。 コントローラで外部 RADIUS サーバを使用したクライアント認証を行いたくない場合は、次の CLI コマンドを示された順序どおりに入力します。

  • config wlan disable wlan_id

  • config wlan radius_server auth disable wlan_id

  • config wlan enable wlan_id

    図 1. ローカル EAP の例

ローカル EAP の制約事項

ローカル EAP プロファイルは、Cisco 600 シリーズ OfficeExtend アクセス ポイントではサポートされません。

ローカル EAP の設定(GUI)

はじめる前に

(注)  

EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC は、認証に証明書を使用し、EAP-FAST は、証明書または PAC のいずれかを使用します。 コントローラには、シスコによりインストールされたデバイスの証明書と、Certificate Authority(CA; 認証局)の証明書が付属しています。 ただし、ご自身のベンダー固有の証明書を使用する場合は、それらの証明書をコントローラにインポートする必要があります。

    ステップ 1   上記に示したいずれかの EAP タイプを使用するようにローカル EAP を設定する場合は、適切な証明書と PAC(手動の PAC プロビジョニングを使用する場合)がコントローラにインポートされていることを確認してください。
    ステップ 2   コントローラでローカル ユーザ データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上でローカル ネットワーク ユーザを適切に設定していることを確認してください。
    ステップ 3   コントローラで LDAP バックエンド データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上で LDAP サーバを適切に設定していることを確認してください。
    ステップ 4   次の手順を実行して、ユーザの資格情報をバックエンド データベース サーバから取得する順序を指定します。
    1. [Security] > [Local EAP] > [Authentication Priority] の順に選択して、[Priority Order > Local-Auth] ページを開きます。
    2. ユーザの資格情報がローカルまたは LDAP データベースから取得される優先順位を決定します。 たとえば、LDAP データベースがローカル ユーザ データベースよりも優先されるようにすることも、または LDAP データベースがまったく考慮されないようにすることもできます。
    3. 優先順位を決定したら、目的のデータベースを強調表示します。 次に、左と右の矢印および [Up] ボタンと [Down] ボタンを使用して、目的のデータベースを右側の [User Credentials] ボックスの上部に移動します。
      (注)     

      [LDAP] と [LOCAL] の両方が右側の [User Credentials] ボックスに表示され、[LDAP] が上部で [LOCAL] が下部にある場合、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 [LOCAL] が上部にある場合、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

    4. [Apply] をクリックして、変更を確定します。
    ステップ 5   次の手順を実行して、ローカル EAP タイマーの値を指定します。
    1. [Security] > [Local EAP] > [General] の順に選択して、[General] ページを開きます。
    2. [Local Auth Active Timeout] テキスト ボックスに、設定済み RADIUS サーバのペアによる認証が失敗した後に、コントローラがローカル EAP を使用してワイヤレス クライアントを認証する際の試行時間(秒単位)を入力します。 有効な範囲は 1 ~ 3600 秒で、デフォルトの設定は 100 秒です。
    ステップ 6   次のように Advanced EAP パラメータの値を指定します。
    1. [Security] > [Advanced EAP] を選択します。
    2. [Identity Request Timeout] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を送信する際の試行時間(秒単位)を入力します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
    3. [Identity Request Max Retries] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を再送信する際の最大試行回数を入力します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 20 回です。
    4. [Dynamic WEP Key Index] テキスト ボックスに、Dynamic Wired Equivalent Privacy(WEP)に使用するキー インデックスを入力します。 デフォルト値は 0 で、これはキー インデックス 1 に相当します。有効な値は 0 ~ 3(キー インデックス 1 ~ 4)です。
    5. [Request Timeout] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を送信する際の試行時間(秒単位)を入力します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
    6. [Request Max Retries] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を再送信する際の最大試行回数を入力します。 有効な値の範囲は 1 ~ 120 回で、デフォルトの設定は 20 回です。
    7. [Max-Login Ignore Identity Response] ドロップダウン リストから [Enable] を選択して、同じユーザ名を使用してコントローラに接続できるデバイスの数を制限します。 同じコントローラ上の異なるデバイス(PDA、ノートパソコン、IP フォンなど)から最大 8 台までログインできます。 デフォルト値はイネーブルです。
    8. [EAPOL-Key Timeout] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の試行時間(秒単位)を入力します。 有効な値の範囲は 1 ~ 5 秒で、デフォルトの設定は 1 秒です。
      (注)     

      コントローラとアクセス ポイントが WAN リンクによって分離されている場合、デフォルト タイムアウト値の 1 秒では不十分な場合があります。

    9. [EAPOL-Key Max Retries] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の最大試行回数を指定します。 有効な値の範囲は 0 ~ 4 回で、デフォルトの設定は 2 回です。
    10. [Apply] をクリックして、変更を確定します。
    ステップ 7   次の手順を実行して、ワイヤレス クライアントでサポートされる EAP 認証タイプを指定する、ローカル EAP プロファイルを作成します。
    1. [Security] > [Local EAP] > [Profiles] の順に選択して、[Local EAP Profiles] ページを開きます。

      このページでは、これまでに設定されたすべてのローカル EAP プロファイルが表示され、その EAP タイプを指定します。 最大 16 個のローカル EAP プロファイルを作成できます。

      (注)     

      既存のプロファイルを削除するには、そのプロファイルの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。

    2. [New] をクリックして、[Local EAP Profiles > New] ページを開きます。
    3. [Profile Name] テキスト ボックスに新しいプロファイルの名前を入力し、[Apply] をクリックします。
      (注)     

      プロファイル名には最大 63 文字の英数字を入力できます。 スペースは含めないでください。

    4. [Local EAP Profiles] ページが再度表示されたら、新しいプロファイルの名前をクリックします。 [Local EAP Profiles > Edit] ページが表示されます。
    5. [LEAP]、[EAP-FAST]、[EAP-TLS]、または [PEAP] チェックボックスをオンにし、ローカル認証に使用できる EAP タイプを指定します。
      (注)     

      プロファイルごとに複数の EAP タイプを指定できます。 ただし、証明書を使用する複数の EAP タイプ(証明書を使用する EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2、PEAPv1/GTC など)を選択する場合、すべての EAP タイプで同じ証明書(Cisco または他のベンダーが発行する)を使用する必要があります。

      (注)     

      [PEAP] チェックボックスをオンにすると、コントローラ上で PEAPv0/MSCHAPv2 と PEAPv1/GTC の両方が有効になります。

    6. EAP-FAST を選択し、コントローラ上のデバイス証明書を認証に使用する場合は、[Local Certificate Required] チェックボックスをオンにします。 証明書の代わりに PAC を使用する EAP-FAST を使用する場合は、このチェックボックスをオフのままにしておきます。これはデフォルトの設定です。
      (注)     

      デバイス証明書は LEAP と共に使用されず、EAP-TLS と PEAP には必須であるため、このオプションは EAP-FAST にのみ適用されます。

    7. EAP-FAST を選択し、ワイヤレス クライアントが認証のためデバイス証明書をコントローラに送信するよう設定するには、[Client Certificate Required] チェックボックスをオンにします。 証明書の代わりに PAC を使用する EAP-FAST を使用する場合は、このチェックボックスをオフのままにしておきます。これはデフォルトの設定です。
      (注)     

      クライアント証明書は LEAP または PEAP と共に使用されず、EAP-TLS には必須であるため、このオプションは EAP-FAST にのみ適用されます。

    8. 証明書を使用する EAP-FAST、EAP-TLS、または PEAP を選択する場合は、クライアントに送信される証明書がシスコから発行されるものか、別のベンダーから発行されるものかを指定します。[Cisco] または [Vendor] を [Certificate Issuer] ドロップダウン リストから選択してください。 デフォルトの設定は、[Cisco] になっています。
    9. 証明書を使用する EAP-FAST または EAP-TLS を選択し、クライアントから受信する証明書をコントローラ上の CA 証明書と照合して検証する場合は、[Check Against CA Certificates] チェックボックスをオンにします。 デフォルト設定はイネーブルです。
    10. 証明書を使用する EAP-FAST または EAP-TLS を選択し、受信する証明書での Common Name(CN)をコントローラ上の CA 証明書の CN と照合して検証する場合は、[Verify Certificate CN Identity] チェックボックスをオンにします。 デフォルト設定では無効になっています。
    11. 証明書を使用する EAP-FAST または EAP-TLS を選択し、受信するデバイス証明書が現在有効であり、期限切れでないことをコントローラで検証されるようにする場合は、[Check Certificate Date Validity] チェックボックスをオンにします。 デフォルト設定はイネーブルです。
      (注)     

      証明書の日付の有効性が、コントローラに設定された現在の UTC(GMT)時間と照合されます。 タイムゾーンのオフセットは無視されます。

    12. [Apply] をクリックして、変更を確定します。
    ステップ 8   EAP-FAST プロファイルを作成した場合、EAP-FAST パラメータを設定する手順は、次のとおりです。
    1. [Security] > [Local EAP] > [EAP-FAST Parameters] の順に選択して、[EAP-FAST Method Parameters] ページを開きます。
    2. [Server Key] テキスト ボックスおよび [Confirm Server Key] フィールドに、PAC の暗号化と暗号化解除に使用するキー(16 進数文字)を入力します。
    3. [Time to Live for the PAC] テキスト ボックスに、PAC の有効日数を入力します。 有効な範囲は 1 ~ 1000 日で、デフォルトの設定は 10 日です。
    4. [Authority ID] テキスト ボックスに、ローカル EAP-FAST サーバの認証局 ID を 16 進数文字で入力します。 最大 32 文字の 16 進数文字を入力できますが、文字数は偶数である必要があります。
    5. [Authority ID Information] テキスト ボックスに、ローカル EAP-FAST サーバの Authority ID をテキスト形式で入力します。
    6. 匿名プロビジョニングを有効にするには、[Anonymous Provision] チェックボックスをオンにします。 この機能を使用すると、PAC プロビジョニング中に、PAC がないクライアントに PAC が自動的に送信されるようになります。 この機能を無効にする場合、PAC は手動でプロビジョニングされる必要があります。 デフォルト設定はイネーブルです。
      (注)     

      ローカル証明書またはクライアント証明書、あるいはその両方を必要とし、すべての EAP-FAST クライアントで証明書が使用されるよう強制する場合は、[Anonymous Provision] チェックボックスをオフにしてください。

    7. [Apply] をクリックして、変更を確定します。
    ステップ 9   次の手順を実行して、WLAN 上でローカル EAP を有効にします。
    1. [WLANs] を選択して、[WLANs] ページを開きます。
    2. 必要な WLAN の ID 番号をクリックします。
    3. [WLANs > Edit] ページが表示されたら [Security] > [AAA Servers] タブを選択し、[WLANs > Edit]([Security > AAA Servers])ページを開きます。
    4. この WLAN に対して RADIUS アカウンティングおよび認証を無効にするには、RADIUS 認証サーバおよびアカウンティング サーバの [Enabled] チェックボックスをオフにします。
    5. [Local EAP Authentication] チェックボックスをオンにして、この WLAN に対してローカル EAP を有効にします。
    6. [EAP Profile Name] ドロップダウン リストから、この WLAN に使用する EAP プロファイルを選択します。
    7. 必要に応じて、[LDAP Servers] ドロップダウン リストから、この WLAN でローカル EAP と共に使用する LDAP サーバを選択します。
    8. [Apply] をクリックして、変更を確定します。
    ステップ 10   次の手順を実行して、WLAN で EAP パラメータを有効にします。
    1. [WLANs] を選択して、[WLANs] ページを開きます。
    2. 必要な WLAN の ID 番号をクリックします。
    3. [WLANs > Edit] ページが表示されたら [Security] > [AAA Servers] タブを選択し、[WLANs > Edit]([Security > AAA Servers])ページを開きます。
    4. この WLAN に対して EAP パラメータを設定するには、[Enable] チェックボックスをオンにします。
    5. [EAPOL Key Timeout (200 to 5000 millisec)] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに WLAN 経由で EAP キーを送信する際の試行時間を入力します(ミリ秒単位)。 有効な範囲は 200 ~ 5000 ミリ秒で、デフォルト値は 1000 ミリ秒です。
    6. [EAPOL Key Retries (0 to 4)] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに WLAN 経由で EAP キーを送信する際の最大試行回数を入力します。 有効な値の範囲は 0 ~ 4 回で、デフォルトの設定は 2 回です。
    7. [Identity Request Timeout (1 to 120 sec)] テキスト ボックスに、コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP ID 要求を送信する際の試行時間を入力します(秒単位)。 有効な範囲は 1 ~ 120 秒で、デフォルト値は 30 秒です。
    8. [Identity Request Retries (1 to 20 sec)] テキスト ボックスに、コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP ID 要求を再送信する際の最大試行回数を入力します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 2 回です。
    9. [Request Timeout (1 to 120 sec)] テキスト ボックスに、コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP パラメータ要求を送信する際の試行時間を入力します(秒単位)。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
    10. [Request Retries (1 to 20 sec)] テキスト ボックスに、コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP パラメータ要求を再送信する際の最大試行回数を入力します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 2 回です。
    11. [Apply] をクリックして、変更を確定します。
    ステップ 11   [Save Configuration] をクリックして、変更を保存します。

    ローカル EAP の設定(CLI)

    はじめる前に

    (注)  

    EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC は認証に証明書を使用し、EAP-FAST は証明書または PACb のいずれかを使用します。 コントローラには、シスコによりインストールされたデバイスの証明書と、Certificate Authority(CA; 認証局)の証明書が付属しています。 ただし、ご自身のベンダー固有の証明書を使用する場合は、それらの証明書をコントローラにインポートする必要があります。

      ステップ 1   上記に示したいずれかの EAP タイプを使用するようにローカル EAP を設定する場合は、適切な証明書と PAC(手動の PAC プロビジョニングを使用する場合)がコントローラにインポートされていることを確認してください。
      ステップ 2   コントローラでローカル ユーザ データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上でローカル ネットワーク ユーザを適切に設定していることを確認してください。
      ステップ 3   コントローラで LDAP バックエンド データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上で LDAP サーバを適切に設定していることを確認してください。
      ステップ 4   次のコマンドを入力して、ローカルまたは LDAP データベースからユーザの資格情報を取得する順位を指定します。

      config local-auth user-credentials { local | ldap}

      (注)     

      config local-auth user-credentials ldap local コマンドを入力すると、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 config local-auth user-credentials local ldap コマンドを入力すると、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

      ステップ 5   次のコマンドを入力して、ローカル EAP タイマーの値を指定します。
      • config local-auth active-timeout timeout:設定済み RADIUS サーバのペアによる認証が失敗した後に、コントローラがローカル EAP を使用してワイヤレス クライアントを認証する際の試行時間(秒単位)を指定します。 有効な範囲は 1 ~ 3600 秒で、デフォルトの設定は 100 秒です。
      • config advanced eap identity-request-timeout timeout:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を送信する際の試行時間(秒単位)を指定します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
      • config advanced eap identity-request-retries retries:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 20 回です。
      • config advanced eap key-index index:Dynamic Wired Equivalent Privacy(WEP)に使用するキー インデックスを指定します。 デフォルト値は 0 で、これはキー インデックス 1 に相当します。有効な値は 0 ~ 3(キー インデックス 1 ~ 4)です。
      • config advanced eap request-timeout timeout:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を送信する際の試行時間(秒単位)を指定します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
      • config advanced eap request-retries retries:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 120 回で、デフォルトの設定は 20 回です。
      • config advanced eap eapol-key-timeout timeout:コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の試行時間(秒単位)を指定します。 有効な値の範囲は 1 ~ 5 秒で、デフォルトの設定は 1 秒です。
        (注)     

        コントローラとアクセス ポイントが WAN リンクによって分離されている場合、デフォルト タイムアウト値の 1 秒では不十分な場合があります。

      • config advanced eap eapol-key-retries retries:コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の最大試行回数を指定します。 有効な値の範囲は 0 ~ 4 回で、デフォルトの設定は 2 回です。
      • config advanced eap max-login-ignore-identity-response { enable | disable}:イネーブルにすると、このコマンドは、802.1x 認証で同じユーザ名を使用してコントローラに接続できるデバイスの数の制限を無視します。 ディセーブルにすると、このコマンドは、コントローラに同じユーザ名で接続できるデバイスの数を制限します。 これは Web 認証ユーザには適用されません。 同じコントローラ上の異なるデバイス(PDA、ノートパソコン、IP フォンなど)から最大 8 台までログインできます。 デフォルト値はイネーブルです。 同じユーザ名で接続できるデバイスの最大数を制限するには、config netuser maxUserLogin コマンドを使用します。
      ステップ 6   次のコマンドを入力して、WLAN でローカル EAP タイマーの値を指定します。
      • config wlan security eap-params {enable | disable} wlan_id:SSID 固有の EAP タイムアウトまたは再試行をイネーブルまたはディセーブルに指定します。 デフォルト値は [disabled] です。
      • config wlan security eap-params eapol-key-timeout timeout wlan_id:コントローラがローカル EAP を使用してワイヤレス クライアントに WLAN 経由で EAP キーを送信する際の試行時間を指定します(ミリ秒単位)。 有効な範囲は 200 ~ 5000 ミリ秒で、デフォルト設定は 1000 ミリ秒です。
      • config wlan security eap-params eapol-key-retries retries wlan_id:コントローラがローカル EAP を使用してワイヤレス クライアントに WLAN 経由で EAP キーを送信する際の最大試行回数を指定します。 有効な値の範囲は 0 ~ 4 回で、デフォルトの設定は 2 回です。
      • config wlan security eap-params identity-request-timeout timeout wlan_id:コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP ID 要求を送信する際の試行時間を指定します(秒単位)。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
      • config wlan security eap-params identity-request-retries retries wlan_id:コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP ID 要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 2 回です。
      • config wlan security eap-params request-timeout timeout wlan_id:コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP パラメータ要求を送信する際の試行時間を指定します(秒単位)。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
      • config wlan security eap-params request-retries retries wlan_id:コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP パラメータ要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 2 回です。
      ステップ 7   次のコマンドを入力して、ローカル EAP プロファイルを作成します。

      config local-auth eap-profile add profile_name

      (注)     

      プロファイル名にスペースを含めないでください。

      (注)     

      ローカル EAP プロファイルを削除するには、 config local-auth eap-profile delete profile_name コマンドを入力します。

      ステップ 8   次のコマンドを入力して、ローカル EAP プロファイルに EAP 方式を追加します。 config local-auth eap-profile method add method profile_name

      サポートされている方式は leap、fast、tls、および peap です。

      (注)     

      peap を選択する場合、コントローラ上で PEAPv0/MSCHAPv2 と PEAPv1/GTC の両方が有効になります。

      (注)     

      プロファイルごとに複数の EAP タイプを指定できます。 ただし、証明書を使用する複数の EAP タイプ(証明書を使用する EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC など)でプロファイルを作成する場合、すべての EAP タイプで同じ証明書(Cisco または他のベンダーが発行する)を使用する必要があります。

      (注)     

      ローカル EAP プロファイルから EAP メソッドを削除するには、 config local-auth eap-profile method delete method profile_name コマンドを入力します。

      ステップ 9   EAP-FAST プロファイルを作成した場合は、次のコマンドを入力して EAP-FAST パラメータを設定します。

      config local-auth method fast ?

      ここで、 ? は、次のいずれかを示します。

      • anon-prov { enable | disable}:コントローラで匿名プロビジョニングが許可されるように設定します。これにより、PAC プロビジョニング中に、PAC がないクライアントに PAC が自動的に送信されるようになります。

      • authority-id auth_id:ローカル EAP-FAST サーバの Authority ID を指定します。

      • pac-ttl days:PAC の有効日数を指定します。

      • server-key key:PAC を暗号化および暗号化解除するために使用されるサーバ キーを指定します。

      ステップ 10   次のコマンドを入力して、プロファイルごとに証明書パラメータを設定します。
      • config local-auth eap-profile method fast local-cert { enable | disable} profile_name: 認証にコントローラ上のデバイス証明書が必要かどうかを指定します。
        (注)     

        デバイス証明書は LEAP と共に使用されず、EAP-TLS と PEAP には必須であるため、このコマンドは EAP-FAST にのみ適用されます。

      • config local-auth eap-profile method fast client-cert { enable | disable} profile_name: 認証用のデバイス証明書をコントローラへ送信するために、ワイヤレス クライアントが必要かどうかを指定します。
        (注)     

        クライアント証明書は LEAP または PEAP と共に使用されず、EAP-TLS には必須であるため、このコマンドは EAP-FAST にのみ適用されます。

      • config local-auth eap-profile cert-issuer { cisco | vendor} profile_name:証明書を使用する EAP-FAST、EAP-TLS、または PEAP を指定した場合は、クライアントに送信される証明書がシスコから発行されるものか、別のベンダーから発行されるものかを指定します。
      • config local-auth eap-profile cert-verify ca-issuer { enable | disable} profile_name:証明書を使用する EAP-FAST または EAP-TLS を選択する場合は、クライアントから受信する証明書をコントローラ上の CA 証明書と照合して検証するかどうかを指定します。
      • config local-auth eap-profile cert-verify cn-verify { enable | disable} profile_name:証明書を使用する EAP-FAST または EAP-TLS を選択する場合は、受信する証明書での Common Name(CN)をコントローラ上の CA 証明書の CN と照合して検証するかどうかを指定します。
      • config local-auth eap-profile cert-verify date-valid { enable | disable} profile_name:証明書を使用する EAP-FAST または EAP-TLS を選択する場合は、受信するデバイスの証明書が現在も有効であり期限が切れていないことがコントローラで検証されるようにするかどうかを指定します。
      ステップ 11   次のコマンドを入力して、ローカル EAP を有効にし、EAP プロファイルを WLAN に接続します。

      config wlan local-auth enable profile_name wlan_id

      (注)     

      WLAN でローカル EAP を無効にするには、 config wlan local-auth disable wlan_id command コマンドを入力します。

      ステップ 12   次のコマンドを入力して、変更を保存します。

      save config

      ステップ 13   次のコマンドを入力して、ローカル EAP に関連する情報を表示します。
      • show local-auth config:コントローラ上のローカル EAP の設定を表示します。 
        
              
            
User credentials database search order:
   Primary ..................................... Local DB

Timer:
    Active timeout .............................. 300

Configured EAP profiles:
   Name ........................................ fast-cert
     Certificate issuer ........................ vendor
     Peer verification options:
       Check against CA certificates ........... Enabled
       Verify certificate CN identity .......... Disabled
       Check certificate date validity ......... Enabled
     EAP-FAST configuration:
       Local certificate required .............. Yes
       Client certificate required ............. Yes
     Enabled methods ........................... fast
     Configured on WLANs ....................... 1

   Name ........................................ tls
     Certificate issuer ........................ vendor
     Peer verification options:
       Check against CA certificates ........... Enabled
       Verify certificate CN identity .......... Disabled
       Check certificate date validity ......... Enabled
     EAP-FAST configuration:
       Local certificate required .............. No
       Client certificate required ............. No
     Enabled methods ........................... tls
     Configured on WLANs ....................... 2

EAP Method configuration:
   EAP-FAST:
     Server key ................................ <hidden>
     TTL for the PAC ........................... 10
     Anonymous provision allowed ............... Yes
     Accept client on auth prov ................ No
     Authority ID .............................. 436973636f0000000000000000000000
     Authority Information ..................... Cisco A-ID
      • show local-auth statistics:ローカル EAP の統計情報を表示します。
      • show local-auth certificates:ローカル EAP で使用可能な証明書を表示します。
      • show local-auth user-credentials:コントローラがローカル データベースまたは LDAP データベースからユーザの資格情報を取得する際の優先順位を表示します。
      • show advanced eap:ローカル EAP のタイマーの値を表示します。 
        
              
            
EAP-Identity-Request Timeout (seconds)........... 1
EAP-Identity-Request Max Retries................. 20
EAP Key-Index for Dynamic WEP.................... 0
EAP Max-Login Ignore Identity Response........... enable
EAP-Request Timeout (seconds).................... 20
EAP-Request Max Retries.......................... 20
EAPOL-Key Timeout (seconds)...................... 1
EAPOL-Key Max Retries......................... 2

      • show ap stats wlan Cisco_AP:各 WLAN の特定のアクセス ポイントにおける EAP タイムアウト回数および失敗回数を表示します。
      • show client detail client_mac:アソシエートされた特定のクライアントについて、EAP タイムアウト回数および失敗回数を表示します。 これらの統計は、クライアント アソシエーションの問題のトラブルシューティングを行う際に有用です。 
        
              
            
...
Client Statistics:
      Number of Bytes Received................... 10
      Number of Bytes Sent....................... 10
      Number of Packets Received................. 2
      Number of Packets Sent..................... 2
      Number of EAP Id Request Msg Timeouts...... 0
      Number of EAP Id Request Msg Failures...... 0
      Number of EAP Request Msg Timeouts......... 2
      Number of EAP Request Msg Failures......... 1
      Number of EAP Key Msg Timeouts............. 0
      Number of EAP Key Msg Failures............. 0
      Number of Policy Errors.................... 0
      Radio Signal Strength Indicator............ Unavailable
      Signal to Noise Ratio...................... Unavailable
      • show wlan wlan_id:特定の WLAN のローカル EAP のステータスを表示します。
      ステップ 14   (オプション)次のコマンドを入力して、ローカル EAP セッションのトラブルシューティングを行います。

      • debug aaa local-auth eap method { all | errors | events | packets | sm} { enable | disable}: ローカル EAP 方式のデバッグを有効または無効にします。

      • debug aaa local-auth eap framework { all | errors | events | packets | sm} { enable | disable}: ローカル EAP フレームワークのデバッグを有効または無効にします。

        (注)     

        上記の 2 つのコマンドでは、 sm とはステート マシンを指します。

      • clear stats local-auth:ローカル EAP のカウンタをクリアします。

      • clear stats ap wlan Cisco_AP:各 WLAN の特定のアクセス ポイントにおける EAP タイムアウト回数および失敗回数をクリアします。 
        
              
            
WLAN      1
   EAP Id Request Msg Timeouts................... 0
   EAP Id Request Msg Timeouts Failures.......... 0
   EAP Request Msg Timeouts...................... 2
   EAP Request Msg Timeouts Failures............. 1
   EAP Key Msg Timeouts.......................... 0
   EAP Key Msg Timeouts Failures................. 0
WLAN      2
   EAP Id Request Msg Timeouts................... 1
   EAP Id Request Msg Timeouts Failures.......... 0
   EAP Request Msg Timeouts...................... 0
   EAP Request Msg Timeouts Failures............. 0
   EAP Key Msg Timeouts.......................... 3
EAP Key Msg Timeouts Failures.............. 1

      ローカル EAP について

      ローカル EAP は、ユーザおよびワイヤレス クライアントのローカル認証を可能にする認証方式です。 この方式は、バックエンド システムが妨害されたり、外部認証サーバがダウンした場合でも、ワイヤレス クライアントへの接続を維持できるように、リモート オフィスで使用する目的で設計されています。 ローカル EAP を有効にすると、コントローラは認証サーバおよびローカル ユーザ データベースとして機能するため、外部認証サーバに依存する必要がなくなります。 ローカル EAP は、ローカル ユーザ データベースまたは LDAP バックエンド データベースからユーザの資格情報を取得して、ユーザを認証します。 ローカル EAP では、コントローラとワイヤレス クライアント間で、LEAP、EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC 認証方式をサポートします。


      (注)  

      LDAP バックエンド データベースでは、ローカル EAP 方式として、EAP-TLS、EAP-FAST/GTC、および PEAPv1/GTC がサポートされます。 LEAP、EAP-FAST/MSCHAPv2、および PEAPv0/MSCHAPv2 もサポートされていますが、平文のパスワードを返すように LDAP サーバが設定されている場合にのみサポートされます。

      (注)  

      Cisco ワイヤレス LAN コントローラは、Microsoft Active Directory や Novell の eDirectory などの外部 LDAP データベースに対するローカル EAP 認証をサポートしています。 Novell の eDirectory に対するローカル EAP 認証をコントローラに設定する方法については、http:/​/​www.cisco.com/​en/​US/​products/​ps6366/​products_​white_​paper09186a0080b4cd24.shtml で『Configure Unified Wireless Network for Authentication Against Novell's eDirectory Database』ホワイトペーパーを参照してください。

      コントローラ上で RADIUS サーバが設定されている場合は、コントローラはまず RADIUS サーバを使用してワイヤレス クライアントを認証しようとします。 ローカル EAP は、RADIUS サーバがタイムアウトしていたり、RADIUS サーバが設定されていない場合など、RADIUS サーバが見つからない場合にのみ試行されます。 4 台の RADIUS サーバが設定されている場合、コントローラは最初の RADIUS サーバを使用してクライアントの認証を試行し、次に 2 番めの RADIUS サーバ、その次にローカル EAP を試行します。 その後クライアントが手動で再認証を試みると、コントローラは 3 番めの RADIUS サーバを試行し、次に 4 番めの RADIUS サーバ、その次にローカル EAP を試行します。 コントローラで外部 RADIUS サーバを使用したクライアント認証を行いたくない場合は、次の CLI コマンドを示された順序どおりに入力します。

      • config wlan disable wlan_id

      • config wlan radius_server auth disable wlan_id

      • config wlan enable wlan_id

        図 1. ローカル EAP の例

      ローカル EAP の制約事項

      ローカル EAP プロファイルは、Cisco 600 シリーズ OfficeExtend アクセス ポイントではサポートされません。

      ローカル EAP の設定(GUI)

      はじめる前に

      (注)  

      EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC は、認証に証明書を使用し、EAP-FAST は、証明書または PAC のいずれかを使用します。 コントローラには、シスコによりインストールされたデバイスの証明書と、Certificate Authority(CA; 認証局)の証明書が付属しています。 ただし、ご自身のベンダー固有の証明書を使用する場合は、それらの証明書をコントローラにインポートする必要があります。

        ステップ 1   上記に示したいずれかの EAP タイプを使用するようにローカル EAP を設定する場合は、適切な証明書と PAC(手動の PAC プロビジョニングを使用する場合)がコントローラにインポートされていることを確認してください。
        ステップ 2   コントローラでローカル ユーザ データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上でローカル ネットワーク ユーザを適切に設定していることを確認してください。
        ステップ 3   コントローラで LDAP バックエンド データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上で LDAP サーバを適切に設定していることを確認してください。
        ステップ 4   次の手順を実行して、ユーザの資格情報をバックエンド データベース サーバから取得する順序を指定します。
        1. [Security] > [Local EAP] > [Authentication Priority] の順に選択して、[Priority Order > Local-Auth] ページを開きます。
        2. ユーザの資格情報がローカルまたは LDAP データベースから取得される優先順位を決定します。 たとえば、LDAP データベースがローカル ユーザ データベースよりも優先されるようにすることも、または LDAP データベースがまったく考慮されないようにすることもできます。
        3. 優先順位を決定したら、目的のデータベースを強調表示します。 次に、左と右の矢印および [Up] ボタンと [Down] ボタンを使用して、目的のデータベースを右側の [User Credentials] ボックスの上部に移動します。
          (注)     

          [LDAP] と [LOCAL] の両方が右側の [User Credentials] ボックスに表示され、[LDAP] が上部で [LOCAL] が下部にある場合、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 [LOCAL] が上部にある場合、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

        4. [Apply] をクリックして、変更を確定します。
        ステップ 5   次の手順を実行して、ローカル EAP タイマーの値を指定します。
        1. [Security] > [Local EAP] > [General] の順に選択して、[General] ページを開きます。
        2. [Local Auth Active Timeout] テキスト ボックスに、設定済み RADIUS サーバのペアによる認証が失敗した後に、コントローラがローカル EAP を使用してワイヤレス クライアントを認証する際の試行時間(秒単位)を入力します。 有効な範囲は 1 ~ 3600 秒で、デフォルトの設定は 100 秒です。
        ステップ 6   次のように Advanced EAP パラメータの値を指定します。
        1. [Security] > [Advanced EAP] を選択します。
        2. [Identity Request Timeout] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を送信する際の試行時間(秒単位)を入力します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
        3. [Identity Request Max Retries] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を再送信する際の最大試行回数を入力します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 20 回です。
        4. [Dynamic WEP Key Index] テキスト ボックスに、Dynamic Wired Equivalent Privacy(WEP)に使用するキー インデックスを入力します。 デフォルト値は 0 で、これはキー インデックス 1 に相当します。有効な値は 0 ~ 3(キー インデックス 1 ~ 4)です。
        5. [Request Timeout] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を送信する際の試行時間(秒単位)を入力します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
        6. [Request Max Retries] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を再送信する際の最大試行回数を入力します。 有効な値の範囲は 1 ~ 120 回で、デフォルトの設定は 20 回です。
        7. [Max-Login Ignore Identity Response] ドロップダウン リストから [Enable] を選択して、同じユーザ名を使用してコントローラに接続できるデバイスの数を制限します。 同じコントローラ上の異なるデバイス(PDA、ノートパソコン、IP フォンなど)から最大 8 台までログインできます。 デフォルト値はイネーブルです。
        8. [EAPOL-Key Timeout] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の試行時間(秒単位)を入力します。 有効な値の範囲は 1 ~ 5 秒で、デフォルトの設定は 1 秒です。
          (注)     

          コントローラとアクセス ポイントが WAN リンクによって分離されている場合、デフォルト タイムアウト値の 1 秒では不十分な場合があります。

        9. [EAPOL-Key Max Retries] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の最大試行回数を指定します。 有効な値の範囲は 0 ~ 4 回で、デフォルトの設定は 2 回です。
        10. [Apply] をクリックして、変更を確定します。
        ステップ 7   次の手順を実行して、ワイヤレス クライアントでサポートされる EAP 認証タイプを指定する、ローカル EAP プロファイルを作成します。
        1. [Security] > [Local EAP] > [Profiles] の順に選択して、[Local EAP Profiles] ページを開きます。

          このページでは、これまでに設定されたすべてのローカル EAP プロファイルが表示され、その EAP タイプを指定します。 最大 16 個のローカル EAP プロファイルを作成できます。

          (注)     

          既存のプロファイルを削除するには、そのプロファイルの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。

        2. [New] をクリックして、[Local EAP Profiles > New] ページを開きます。
        3. [Profile Name] テキスト ボックスに新しいプロファイルの名前を入力し、[Apply] をクリックします。
          (注)     

          プロファイル名には最大 63 文字の英数字を入力できます。 スペースは含めないでください。

        4. [Local EAP Profiles] ページが再度表示されたら、新しいプロファイルの名前をクリックします。 [Local EAP Profiles > Edit] ページが表示されます。
        5. [LEAP]、[EAP-FAST]、[EAP-TLS]、または [PEAP] チェックボックスをオンにし、ローカル認証に使用できる EAP タイプを指定します。
          (注)     

          プロファイルごとに複数の EAP タイプを指定できます。 ただし、証明書を使用する複数の EAP タイプ(証明書を使用する EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2、PEAPv1/GTC など)を選択する場合、すべての EAP タイプで同じ証明書(Cisco または他のベンダーが発行する)を使用する必要があります。

          (注)     

          [PEAP] チェックボックスをオンにすると、コントローラ上で PEAPv0/MSCHAPv2 と PEAPv1/GTC の両方が有効になります。

        6. EAP-FAST を選択し、コントローラ上のデバイス証明書を認証に使用する場合は、[Local Certificate Required] チェックボックスをオンにします。 証明書の代わりに PAC を使用する EAP-FAST を使用する場合は、このチェックボックスをオフのままにしておきます。これはデフォルトの設定です。
          (注)     

          デバイス証明書は LEAP と共に使用されず、EAP-TLS と PEAP には必須であるため、このオプションは EAP-FAST にのみ適用されます。

        7. EAP-FAST を選択し、ワイヤレス クライアントが認証のためデバイス証明書をコントローラに送信するよう設定するには、[Client Certificate Required] チェックボックスをオンにします。 証明書の代わりに PAC を使用する EAP-FAST を使用する場合は、このチェックボックスをオフのままにしておきます。これはデフォルトの設定です。
          (注)     

          クライアント証明書は LEAP または PEAP と共に使用されず、EAP-TLS には必須であるため、このオプションは EAP-FAST にのみ適用されます。

        8. 証明書を使用する EAP-FAST、EAP-TLS、または PEAP を選択する場合は、クライアントに送信される証明書がシスコから発行されるものか、別のベンダーから発行されるものかを指定します。[Cisco] または [Vendor] を [Certificate Issuer] ドロップダウン リストから選択してください。 デフォルトの設定は、[Cisco] になっています。
        9. 証明書を使用する EAP-FAST または EAP-TLS を選択し、クライアントから受信する証明書をコントローラ上の CA 証明書と照合して検証する場合は、[Check Against CA Certificates] チェックボックスをオンにします。 デフォルト設定はイネーブルです。
        10. 証明書を使用する EAP-FAST または EAP-TLS を選択し、受信する証明書での Common Name(CN)をコントローラ上の CA 証明書の CN と照合して検証する場合は、[Verify Certificate CN Identity] チェックボックスをオンにします。 デフォルト設定では無効になっています。
        11. 証明書を使用する EAP-FAST または EAP-TLS を選択し、受信するデバイス証明書が現在有効であり、期限切れでないことをコントローラで検証されるようにする場合は、[Check Certificate Date Validity] チェックボックスをオンにします。 デフォルト設定はイネーブルです。
          (注)     

          証明書の日付の有効性が、コントローラに設定された現在の UTC(GMT)時間と照合されます。 タイムゾーンのオフセットは無視されます。

        12. [Apply] をクリックして、変更を確定します。
        ステップ 8   EAP-FAST プロファイルを作成した場合、EAP-FAST パラメータを設定する手順は、次のとおりです。
        1. [Security] > [Local EAP] > [EAP-FAST Parameters] の順に選択して、[EAP-FAST Method Parameters] ページを開きます。
        2. [Server Key] テキスト ボックスおよび [Confirm Server Key] フィールドに、PAC の暗号化と暗号化解除に使用するキー(16 進数文字)を入力します。
        3. [Time to Live for the PAC] テキスト ボックスに、PAC の有効日数を入力します。 有効な範囲は 1 ~ 1000 日で、デフォルトの設定は 10 日です。
        4. [Authority ID] テキスト ボックスに、ローカル EAP-FAST サーバの認証局 ID を 16 進数文字で入力します。 最大 32 文字の 16 進数文字を入力できますが、文字数は偶数である必要があります。
        5. [Authority ID Information] テキスト ボックスに、ローカル EAP-FAST サーバの Authority ID をテキスト形式で入力します。
        6. 匿名プロビジョニングを有効にするには、[Anonymous Provision] チェックボックスをオンにします。 この機能を使用すると、PAC プロビジョニング中に、PAC がないクライアントに PAC が自動的に送信されるようになります。 この機能を無効にする場合、PAC は手動でプロビジョニングされる必要があります。 デフォルト設定はイネーブルです。
          (注)     

          ローカル証明書またはクライアント証明書、あるいはその両方を必要とし、すべての EAP-FAST クライアントで証明書が使用されるよう強制する場合は、[Anonymous Provision] チェックボックスをオフにしてください。

        7. [Apply] をクリックして、変更を確定します。
        ステップ 9   次の手順を実行して、WLAN 上でローカル EAP を有効にします。
        1. [WLANs] を選択して、[WLANs] ページを開きます。
        2. 必要な WLAN の ID 番号をクリックします。
        3. [WLANs > Edit] ページが表示されたら [Security] > [AAA Servers] タブを選択し、[WLANs > Edit]([Security > AAA Servers])ページを開きます。
        4. この WLAN に対して RADIUS アカウンティングおよび認証を無効にするには、RADIUS 認証サーバおよびアカウンティング サーバの [Enabled] チェックボックスをオフにします。
        5. [Local EAP Authentication] チェックボックスをオンにして、この WLAN に対してローカル EAP を有効にします。
        6. [EAP Profile Name] ドロップダウン リストから、この WLAN に使用する EAP プロファイルを選択します。
        7. 必要に応じて、[LDAP Servers] ドロップダウン リストから、この WLAN でローカル EAP と共に使用する LDAP サーバを選択します。
        8. [Apply] をクリックして、変更を確定します。
        ステップ 10   次の手順を実行して、WLAN で EAP パラメータを有効にします。
        1. [WLANs] を選択して、[WLANs] ページを開きます。
        2. 必要な WLAN の ID 番号をクリックします。
        3. [WLANs > Edit] ページが表示されたら [Security] > [AAA Servers] タブを選択し、[WLANs > Edit]([Security > AAA Servers])ページを開きます。
        4. この WLAN に対して EAP パラメータを設定するには、[Enable] チェックボックスをオンにします。
        5. [EAPOL Key Timeout (200 to 5000 millisec)] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに WLAN 経由で EAP キーを送信する際の試行時間を入力します(ミリ秒単位)。 有効な範囲は 200 ~ 5000 ミリ秒で、デフォルト値は 1000 ミリ秒です。
        6. [EAPOL Key Retries (0 to 4)] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに WLAN 経由で EAP キーを送信する際の最大試行回数を入力します。 有効な値の範囲は 0 ~ 4 回で、デフォルトの設定は 2 回です。
        7. [Identity Request Timeout (1 to 120 sec)] テキスト ボックスに、コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP ID 要求を送信する際の試行時間を入力します(秒単位)。 有効な範囲は 1 ~ 120 秒で、デフォルト値は 30 秒です。
        8. [Identity Request Retries (1 to 20 sec)] テキスト ボックスに、コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP ID 要求を再送信する際の最大試行回数を入力します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 2 回です。
        9. [Request Timeout (1 to 120 sec)] テキスト ボックスに、コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP パラメータ要求を送信する際の試行時間を入力します(秒単位)。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
        10. [Request Retries (1 to 20 sec)] テキスト ボックスに、コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP パラメータ要求を再送信する際の最大試行回数を入力します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 2 回です。
        11. [Apply] をクリックして、変更を確定します。
        ステップ 11   [Save Configuration] をクリックして、変更を保存します。

        ローカル EAP の設定(CLI)

        はじめる前に

        (注)  

        EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC は認証に証明書を使用し、EAP-FAST は証明書または PACb のいずれかを使用します。 コントローラには、シスコによりインストールされたデバイスの証明書と、Certificate Authority(CA; 認証局)の証明書が付属しています。 ただし、ご自身のベンダー固有の証明書を使用する場合は、それらの証明書をコントローラにインポートする必要があります。

          ステップ 1   上記に示したいずれかの EAP タイプを使用するようにローカル EAP を設定する場合は、適切な証明書と PAC(手動の PAC プロビジョニングを使用する場合)がコントローラにインポートされていることを確認してください。
          ステップ 2   コントローラでローカル ユーザ データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上でローカル ネットワーク ユーザを適切に設定していることを確認してください。
          ステップ 3   コントローラで LDAP バックエンド データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上で LDAP サーバを適切に設定していることを確認してください。
          ステップ 4   次のコマンドを入力して、ローカルまたは LDAP データベースからユーザの資格情報を取得する順位を指定します。

          config local-auth user-credentials { local | ldap}

          (注)     

          config local-auth user-credentials ldap local コマンドを入力すると、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 config local-auth user-credentials local ldap コマンドを入力すると、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

          ステップ 5   次のコマンドを入力して、ローカル EAP タイマーの値を指定します。
          • config local-auth active-timeout timeout:設定済み RADIUS サーバのペアによる認証が失敗した後に、コントローラがローカル EAP を使用してワイヤレス クライアントを認証する際の試行時間(秒単位)を指定します。 有効な範囲は 1 ~ 3600 秒で、デフォルトの設定は 100 秒です。
          • config advanced eap identity-request-timeout timeout:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を送信する際の試行時間(秒単位)を指定します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
          • config advanced eap identity-request-retries retries:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 20 回です。
          • config advanced eap key-index index:Dynamic Wired Equivalent Privacy(WEP)に使用するキー インデックスを指定します。 デフォルト値は 0 で、これはキー インデックス 1 に相当します。有効な値は 0 ~ 3(キー インデックス 1 ~ 4)です。
          • config advanced eap request-timeout timeout:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を送信する際の試行時間(秒単位)を指定します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
          • config advanced eap request-retries retries:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 120 回で、デフォルトの設定は 20 回です。
          • config advanced eap eapol-key-timeout timeout:コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の試行時間(秒単位)を指定します。 有効な値の範囲は 1 ~ 5 秒で、デフォルトの設定は 1 秒です。
            (注)     

            コントローラとアクセス ポイントが WAN リンクによって分離されている場合、デフォルト タイムアウト値の 1 秒では不十分な場合があります。

          • config advanced eap eapol-key-retries retries:コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の最大試行回数を指定します。 有効な値の範囲は 0 ~ 4 回で、デフォルトの設定は 2 回です。
          • config advanced eap max-login-ignore-identity-response { enable | disable}:イネーブルにすると、このコマンドは、802.1x 認証で同じユーザ名を使用してコントローラに接続できるデバイスの数の制限を無視します。 ディセーブルにすると、このコマンドは、コントローラに同じユーザ名で接続できるデバイスの数を制限します。 これは Web 認証ユーザには適用されません。 同じコントローラ上の異なるデバイス(PDA、ノートパソコン、IP フォンなど)から最大 8 台までログインできます。 デフォルト値はイネーブルです。 同じユーザ名で接続できるデバイスの最大数を制限するには、config netuser maxUserLogin コマンドを使用します。
          ステップ 6   次のコマンドを入力して、WLAN でローカル EAP タイマーの値を指定します。
          • config wlan security eap-params {enable | disable} wlan_id:SSID 固有の EAP タイムアウトまたは再試行をイネーブルまたはディセーブルに指定します。 デフォルト値は [disabled] です。
          • config wlan security eap-params eapol-key-timeout timeout wlan_id:コントローラがローカル EAP を使用してワイヤレス クライアントに WLAN 経由で EAP キーを送信する際の試行時間を指定します(ミリ秒単位)。 有効な範囲は 200 ~ 5000 ミリ秒で、デフォルト設定は 1000 ミリ秒です。
          • config wlan security eap-params eapol-key-retries retries wlan_id:コントローラがローカル EAP を使用してワイヤレス クライアントに WLAN 経由で EAP キーを送信する際の最大試行回数を指定します。 有効な値の範囲は 0 ~ 4 回で、デフォルトの設定は 2 回です。
          • config wlan security eap-params identity-request-timeout timeout wlan_id:コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP ID 要求を送信する際の試行時間を指定します(秒単位)。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
          • config wlan security eap-params identity-request-retries retries wlan_id:コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP ID 要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 2 回です。
          • config wlan security eap-params request-timeout timeout wlan_id:コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP パラメータ要求を送信する際の試行時間を指定します(秒単位)。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
          • config wlan security eap-params request-retries retries wlan_id:コントローラがローカル EAP を使用して WLAN 内のワイヤレス クライアントに EAP パラメータ要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 2 回です。
          ステップ 7   次のコマンドを入力して、ローカル EAP プロファイルを作成します。

          config local-auth eap-profile add profile_name

          (注)     

          プロファイル名にスペースを含めないでください。

          (注)     

          ローカル EAP プロファイルを削除するには、 config local-auth eap-profile delete profile_name コマンドを入力します。

          ステップ 8   次のコマンドを入力して、ローカル EAP プロファイルに EAP 方式を追加します。 config local-auth eap-profile method add method profile_name

          サポートされている方式は leap、fast、tls、および peap です。

          (注)     

          peap を選択する場合、コントローラ上で PEAPv0/MSCHAPv2 と PEAPv1/GTC の両方が有効になります。

          (注)     

          プロファイルごとに複数の EAP タイプを指定できます。 ただし、証明書を使用する複数の EAP タイプ(証明書を使用する EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC など)でプロファイルを作成する場合、すべての EAP タイプで同じ証明書(Cisco または他のベンダーが発行する)を使用する必要があります。

          (注)     

          ローカル EAP プロファイルから EAP メソッドを削除するには、 config local-auth eap-profile method delete method profile_name コマンドを入力します。

          ステップ 9   EAP-FAST プロファイルを作成した場合は、次のコマンドを入力して EAP-FAST パラメータを設定します。

          config local-auth method fast ?

          ここで、 ? は、次のいずれかを示します。

          • anon-prov { enable | disable}:コントローラで匿名プロビジョニングが許可されるように設定します。これにより、PAC プロビジョニング中に、PAC がないクライアントに PAC が自動的に送信されるようになります。

          • authority-id auth_id:ローカル EAP-FAST サーバの Authority ID を指定します。

          • pac-ttl days:PAC の有効日数を指定します。

          • server-key key:PAC を暗号化および暗号化解除するために使用されるサーバ キーを指定します。

          ステップ 10   次のコマンドを入力して、プロファイルごとに証明書パラメータを設定します。
          • config local-auth eap-profile method fast local-cert { enable | disable} profile_name: 認証にコントローラ上のデバイス証明書が必要かどうかを指定します。
            (注)     

            デバイス証明書は LEAP と共に使用されず、EAP-TLS と PEAP には必須であるため、このコマンドは EAP-FAST にのみ適用されます。

          • config local-auth eap-profile method fast client-cert { enable | disable} profile_name: 認証用のデバイス証明書をコントローラへ送信するために、ワイヤレス クライアントが必要かどうかを指定します。
            (注)     

            クライアント証明書は LEAP または PEAP と共に使用されず、EAP-TLS には必須であるため、このコマンドは EAP-FAST にのみ適用されます。

          • config local-auth eap-profile cert-issuer { cisco | vendor} profile_name:証明書を使用する EAP-FAST、EAP-TLS、または PEAP を指定した場合は、クライアントに送信される証明書がシスコから発行されるものか、別のベンダーから発行されるものかを指定します。
          • config local-auth eap-profile cert-verify ca-issuer { enable | disable} profile_name:証明書を使用する EAP-FAST または EAP-TLS を選択する場合は、クライアントから受信する証明書をコントローラ上の CA 証明書と照合して検証するかどうかを指定します。
          • config local-auth eap-profile cert-verify cn-verify { enable | disable} profile_name:証明書を使用する EAP-FAST または EAP-TLS を選択する場合は、受信する証明書での Common Name(CN)をコントローラ上の CA 証明書の CN と照合して検証するかどうかを指定します。
          • config local-auth eap-profile cert-verify date-valid { enable | disable} profile_name:証明書を使用する EAP-FAST または EAP-TLS を選択する場合は、受信するデバイスの証明書が現在も有効であり期限が切れていないことがコントローラで検証されるようにするかどうかを指定します。
          ステップ 11   次のコマンドを入力して、ローカル EAP を有効にし、EAP プロファイルを WLAN に接続します。

          config wlan local-auth enable profile_name wlan_id

          (注)     

          WLAN でローカル EAP を無効にするには、 config wlan local-auth disable wlan_id command コマンドを入力します。

          ステップ 12   次のコマンドを入力して、変更を保存します。

          save config

          ステップ 13   次のコマンドを入力して、ローカル EAP に関連する情報を表示します。
          • show local-auth config:コントローラ上のローカル EAP の設定を表示します。 
            
              
            
User credentials database search order:
   Primary ..................................... Local DB

Timer:
    Active timeout .............................. 300

Configured EAP profiles:
   Name ........................................ fast-cert
     Certificate issuer ........................ vendor
     Peer verification options:
       Check against CA certificates ........... Enabled
       Verify certificate CN identity .......... Disabled
       Check certificate date validity ......... Enabled
     EAP-FAST configuration:
       Local certificate required .............. Yes
       Client certificate required ............. Yes
     Enabled methods ........................... fast
     Configured on WLANs ....................... 1

   Name ........................................ tls
     Certificate issuer ........................ vendor
     Peer verification options:
       Check against CA certificates ........... Enabled
       Verify certificate CN identity .......... Disabled
       Check certificate date validity ......... Enabled
     EAP-FAST configuration:
       Local certificate required .............. No
       Client certificate required ............. No
     Enabled methods ........................... tls
     Configured on WLANs ....................... 2

EAP Method configuration:
   EAP-FAST:
     Server key ................................ <hidden>
     TTL for the PAC ........................... 10
     Anonymous provision allowed ............... Yes
     Accept client on auth prov ................ No
     Authority ID .............................. 436973636f0000000000000000000000
     Authority Information ..................... Cisco A-ID
          • show local-auth statistics:ローカル EAP の統計情報を表示します。
          • show local-auth certificates:ローカル EAP で使用可能な証明書を表示します。
          • show local-auth user-credentials:コントローラがローカル データベースまたは LDAP データベースからユーザの資格情報を取得する際の優先順位を表示します。
          • show advanced eap:ローカル EAP のタイマーの値を表示します。 
            
              
            
EAP-Identity-Request Timeout (seconds)........... 1
EAP-Identity-Request Max Retries................. 20
EAP Key-Index for Dynamic WEP.................... 0
EAP Max-Login Ignore Identity Response........... enable
EAP-Request Timeout (seconds).................... 20
EAP-Request Max Retries.......................... 20
EAPOL-Key Timeout (seconds)...................... 1
EAPOL-Key Max Retries......................... 2

          • show ap stats wlan Cisco_AP:各 WLAN の特定のアクセス ポイントにおける EAP タイムアウト回数および失敗回数を表示します。
          • show client detail client_mac:アソシエートされた特定のクライアントについて、EAP タイムアウト回数および失敗回数を表示します。 これらの統計は、クライアント アソシエーションの問題のトラブルシューティングを行う際に有用です。 
            
              
            
...
Client Statistics:
      Number of Bytes Received................... 10
      Number of Bytes Sent....................... 10
      Number of Packets Received................. 2
      Number of Packets Sent..................... 2
      Number of EAP Id Request Msg Timeouts...... 0
      Number of EAP Id Request Msg Failures...... 0
      Number of EAP Request Msg Timeouts......... 2
      Number of EAP Request Msg Failures......... 1
      Number of EAP Key Msg Timeouts............. 0
      Number of EAP Key Msg Failures............. 0
      Number of Policy Errors.................... 0
      Radio Signal Strength Indicator............ Unavailable
      Signal to Noise Ratio...................... Unavailable
          • show wlan wlan_id:特定の WLAN のローカル EAP のステータスを表示します。
          ステップ 14   (オプション)次のコマンドを入力して、ローカル EAP セッションのトラブルシューティングを行います。

          • debug aaa local-auth eap method { all | errors | events | packets | sm} { enable | disable}: ローカル EAP 方式のデバッグを有効または無効にします。

          • debug aaa local-auth eap framework { all | errors | events | packets | sm} { enable | disable}: ローカル EAP フレームワークのデバッグを有効または無効にします。

            (注)     

            上記の 2 つのコマンドでは、 sm とはステート マシンを指します。

          • clear stats local-auth:ローカル EAP のカウンタをクリアします。

          • clear stats ap wlan Cisco_AP:各 WLAN の特定のアクセス ポイントにおける EAP タイムアウト回数および失敗回数をクリアします。 
            
              
            
WLAN      1
   EAP Id Request Msg Timeouts................... 0
   EAP Id Request Msg Timeouts Failures.......... 0
   EAP Request Msg Timeouts...................... 2
   EAP Request Msg Timeouts Failures............. 1
   EAP Key Msg Timeouts.......................... 0
   EAP Key Msg Timeouts Failures................. 0
WLAN      2
   EAP Id Request Msg Timeouts................... 1
   EAP Id Request Msg Timeouts Failures.......... 0
   EAP Request Msg Timeouts...................... 0
   EAP Request Msg Timeouts Failures............. 0
   EAP Key Msg Timeouts.......................... 3
EAP Key Msg Timeouts Failures.............. 1

          このドキュメントは役に立ちましたか?

          Feedbackフィードバック

          シスコに問い合わせ

          関連するシスコ コミュニティ ディスカッション

          シスコをフォロー
          Newsroomイベントブログコミュニティ
          シスコについて
          お問い合わせ
          採用情報