このドキュメントでは、外部 RADIUS サーバを使用した外部 Web 認証を実行する方法について説明します。
この設定を行う前に、次の要件が満たされていることを確認します。
Lightweight アクセス ポイント(LAP)および Cisco WLC の設定に関する基礎知識
外部 Web サーバのセットアップ方法および設定方法に関する知識
Cisco Secure ACS の設定方法に関する知識
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
ファームウェア バージョン 5.0.148.0 が稼動するワイヤレス LAN コントローラ
Cisco 1232 シリーズ LAP
Cisco 802.11a/b/g ワイヤレス クライアント アダプタ 3.6.0.61
Web 認証ログイン ページをホストする外部 Web サーバ
ファームウェア バージョン 4.1.1.24 が稼動する Cisco Secure ACS のバージョン
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
このドキュメントでは、次のネットワーク セットアップを使用します。
このドキュメントで使用する IP アドレスは次のとおりです。
WLC は IP アドレス 10.77.244.206 を使用します。
LAP は WLC に IP アドレス 10.77.244.199 で登録されています。
Web サーバは IP アドレス 10.77.244.210 を使用します。
Cisco ACS サーバは IP アドレス 10.77.244.196 を使用します。
クライアントは WLAN にマッピングされている IP アドレス 10.77.244.208 を管理インターフェイスから受信します。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
Web 認証は、インターネット アクセスのゲスト ユーザ認証に使用される、レイヤ 3 認証メカニズムです。このプロセスを使用して認証されるユーザは、認証プロセスが正常に完了するまで、インターネットにアクセスできません。外部 Web 認証プロセスの詳細については、『ワイヤレス LAN コントローラを使用した外部 Web 認証の設定例』ドキュメントの「外部 Web 認証プロセス」セクションを参照してください。
このドキュメントでは、外部 RADIUS サーバを使用して外部 Web 認証を実行する設定例を考察します。
このドキュメントでは、WLC が設定済みであり、LAP が WLC に登録済みであると想定しています。さらにこのドキュメントでは、基本動作用に WLC が設定されており、WLC に LAP が登録されていることを前提としています。WLC で LAP との基本動作を初めて設定する場合は、「Wireless LAN Controller(WLC)への Lightweight AP(LAP)の登録」を参照してください。WLC に登録されている LAP を表示するには、[Wireless] > [All APs] に移動します。
WLC を基本動作用に設定し、1 つ以上の LAP が登録されたら、外部 Web サーバを使用する外部 Web 認証用に WLC を設定できます。この例では、Cisco Secure ACS バージョン 4.1.1.24 を RADIUS サーバとして使用しています。まず、この RADIUS サーバ用に WLC を設定し、次に、このセットアップ用の Cisco Secure ACS 上で必要な設定を確認します。
WLC 上に RADIUS サーバを追加するには、次の手順を実行します。
WLC GUI で、[SECURITY] メニューをクリックします。
[AAA] メニューの下で、[Radius] > [Authentication] サブメニューに移動します。
[New] をクリックし、RADIUS サーバの IP アドレスを入力します。この例では、サーバの IP アドレスは 10.77.244.196 です。
WLC での共有秘密を [Shared Secret] に入力します。共有秘密は、WLC 上と同じものを設定する必要があります。
[Shared Secret Format] で [ASCII] または [Hex] のいずれかを選択します。WLC 上と同じ形式を選択する必要があります。
1812 は、RADIUS 認証に使用するポート番号です。
[Server Status] オプションが [Enabled] に設定されていることを確認します。
ネットワーク ユーザを認証するには、[Network User] の [Enable] ボックスをオンにします。
[APPLY] をクリックします。
次の手順では、WLC 上で Web 認証用に WLAN を設定します。WLC 上で WLAN を設定するには、次の手順を実行します。
コントローラ GUI の [WLANs] メニューをクリックし、[New] を選択します。
[Type] で [WLAN] を選択します。
任意のプロファイル名と WLAN SSID を入力し、[Apply] をクリックします。
注:WLAN SSIDでは大文字と小文字が区別されます。
[General] タブの下で、[Status] と [Broadcast SSID] の両方の [Enabled] オプションがオンになっていることを確認します。
WLAN 設定
WLAN のインターフェイスを選択します。通常は、一意の VLAN 内に設定されているインターフェイスが WLAN にマッピングされ、クライアントはその VLAN 内の IP アドレスを受け取ります。この例では、[Interface] に management を使用します。
[Security] タブを選択します。
[Layer 2] メニューで、[Layer 2 Security] に対して [None] を選択します。
[Layer 3] メニューで、[Layer 3 Security] に対して [None] を選択します。[Web Policy] チェックボックスをオンにして、[Authentication] を選択します。
[AAA servers] メニューの下で、[Authentication Server] に対して、この WLC 上で設定した RADIUS サーバを選択します。他のメニューは、デフォルト値のままにしておく必要があります。
[Web Authentication] ページをホストする Web サーバは、この WLC 上に設定する必要があります。次の手順を実行して Web サーバを設定します。
[Security] タブをクリックします。[Web Auth] > [Web Login Page] に移動します。
[Web Authentication Type] を [External] に設定します。
[Web Server IP Address] フィールドに、[Web Authentication] ページをホストするサーバの IP アドレスを入力し、[Add Web Server] をクリックします。この例では、IP アドレスは 10.77.244.196 です。このアドレスは、[External Web Servers] の下に表示されます。
[URL] フィールドに [Web Authentication] ページの URL(この例では http://10.77.244.196/login.html)を入力します。
このドキュメントでは、Cisco Secure ACS サーバがすでにインストールされており、マシン上で稼動していると想定しています。Cisco Secure ACS のセットアップ方法の詳細については、『Cisco Secure ACS 4.2 コンフィギュレーション ガイド』を参照してください。
Cisco Secure ACS 上でユーザを設定するには、次の手順を実行します。
Cisco Secure ACS GUI から [User Setup] を選択し、ユーザ名を入力して、[Add/Edit] をクリックします。この例では、ユーザ名は user1 です。
デフォルトでは、PAP がクライアントの認証に使用されます。ユーザのパスワードは、[User Setup] > [Password Authentication] > [Cisco Secure PAP] の下で入力します。[Password Authentication] では、必ず [ACS Internal Database] を選択します。
ユーザは、そのユーザが属しているグループに割り当てられる必要があります。[Default Group] を選択します。
[Submit] をクリックします。
Cisco Secure ACS で WLC 情報を設定するには、次の手順を実行します。
ACS の GUI で、[Network Configuration] タブをクリックし、[Add Entry] をクリックします。
[Add AAA Client] 画面が表示されます。
クライアントの名前を入力します。この例では、WLC を使用します。
クライアントの IP アドレスを入力します。WLC の IP アドレスは、10.77.244.206 です。
共有秘密鍵および鍵形式を入力します。この値は、WLC の [Security] メニューでの入力値と一致している必要があります。
[Key Input Format] で [ASCII] を選択します。これは WLC 上と同じ指定にする必要があります。
WLC と RADIUS サーバの間で使用するプロトコルを設定するために、[Authenticate Using] で [RADIUS (Cisco Airespace)] を選択します。
[Submit+Apply] をクリックします。
この例では、Cisco Aironet Desktop Utility を使用して Web 認証を実行します。Aironet Desktop Utility を設定するには、次の手順を実行します。
[Start] > [Cisco Aironet] > [Aironet Desktop Utility] から、Aironet Desktop Utility を開きます。
[Profile Management] タブをクリックします。
[Default profile] を選択し、[Modify] をクリックします。
[General]タブをクリックします
[Profile Name] を設定します。この例では、Default を使用しています。
[Network Names] の下で SSID を設定します。この例では、WLAN1 を使用しています。
注:SSIDでは大文字と小文字が区別されるため、WLCで設定されているWLANと一致している必要があります。
[Security] タブをクリックします。
Web 認証のセキュリティとして [None] 選択します。
[Advanced] タブをクリックします。
[Wireless Mode] メニューの下で、ワイヤレス クライアントが LAP と通信する周波数を選択します。
[Transmit Power Level] の下で、WLC 上で設定されている電力を選択します。
[Power Save Mode] はデフォルト値のままにしておきます。
[Network Type] として [Infrastructure] を選択します。
互換性を向上させるために、[802.11b Preamble] に [Short & Long] を設定します。
[OK] をクリックします。
クライアント ソフトウェアにプロファイルが設定されると、クライアントは正常に関連付けられ、管理インターフェイス用に設定されている VLAN プールから IP アドレスを受け取ります。
このセクションでは、クライアント ログインのプロセスを説明します。
ブラウザ ウィンドウを開き、URL または IP アドレスを入力します。こうするとクライアントに Web 認証ページが表示されます。コントローラが 3.0 より前のリリースを実行している場合には、ユーザは https://1.1.1.1/login.html を入力して、Web 認証ページを起動する必要があります。セキュリティ アラート ウィンドウが表示されます。
[Yes] をクリックして続行します。
[Login] ウィンドウが表示されたら、RADIUS サーバで設定したユーザ名とパスワードを入力します。ログインが成功すると、2 つのブラウザ ウィンドウが表示されます。大きいほうのウィンドウはログインが正常に実行されたことを示し、このウィンドウでインターネットをブラウズできます。小さいほうのウィンドウは、ゲスト ネットワークの使用が完了したときのログアウトに使用します。
Web 認証が正常に実行されるようにするには、デバイスが適切な方法で設定されていることを確認する必要があります。このセクションでは、認証のプロセスで使用するデバイスを確認する方法を説明します。
ACS の GUI で [User Setup] をクリックし、次に [List All Users] をクリックします。
[User] の [Status] が [Enabled] であり、[Default Group] がユーザにマッピングされていることを確認します。
[Network Configuration] タブをクリックし、[AAA Clients] テーブルを参照して、WLC が AAA クライアントとして設定されていることを確認します。
WLC の GUI で [WLANs] メニューをクリックします。
Web 認証で使用する WLAN がページ上にリストされていることを確認します。
WLAN の [Admin Status] が [Enabled] であることを確認します。
WLAN の [Security Policy] が [Web-Auth] と示されていることを確認します。
WLC の GUI で [SECURITY] メニューをクリックします。
Cisco Secure ACS(10.77.244.196)がページ上にリストされていることを確認します。
[Network User] ボックスがオンになっていることを確認します。
[Port] が 1812 で、[Admin Status] が [Enabled] であることを確認します。
Web 認証が正常に実行されない理由はいくつもあります。ドキュメント『Troubleshooting Web Authentication on a Wireless LAN Controller (WLC)』に、原因の詳細がわかりやすく説明されています。
注:これらのdebugコマンドを使用する前に、『debugコマンドの重要な情報』を参照してください。
WLC に Telnet 接続し、次のコマンドを発行して、認証をトラブルシューティングします。
debug aaa all enable
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Successful transmission of Authentic ation Packet (id 1) to 10.77.244.196:1812, proxy state 00:40:96:ac:dd:05-00:01 Fri Sep 24 13:59:52 2010: 00000000: 01 01 00 73 00 00 00 00 00 00 00 00 00 00 0 0 00 ...s............ Fri Sep 24 13:59:52 2010: 00000010: 00 00 00 00 01 07 75 73 65 72 31 02 12 93 c 3 66 ......user1....f Fri Sep 24 13:59:52 2010: 00000030: 75 73 65 72 31 user1 Fri Sep 24 13:59:52 2010: ****Enter processIncomingMessages: response code=2 Fri Sep 24 13:59:52 2010: ****Enter processRadiusResponse: response code=2 Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Access-Accept received from RADIUS s erver 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 0 Fri Sep 24 13:59:52 2010: AuthorizationResponse: 0x12238db0 Fri Sep 24 13:59:52 2010: structureSize................................89 Fri Sep 24 13:59:52 2010: resultCode...................................0 Fri Sep 24 13:59:52 2010: protocolUsed.................................0x0 0000001 Fri Sep 24 13:59:52 2010: proxyState...................................00: 40:96:AC:DD:05-00:00 Fri Sep 24 13:59:52 2010: Packet contains 2 AVPs: Fri Sep 24 13:59:52 2010: AVP[01] Framed-IP-Address................... .....0xffffffff (-1) (4 bytes) Fri Sep 24 13:59:52 2010: AVP[02] Class............................... .....CACS:0/5183/a4df4ce/user1 (25 bytes) Fri Sep 24 13:59:52 2010: Authentication failed for user1, Service Type: 0 Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Applying new AAA override for statio n 00:40:96:ac:dd:05 Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Override values for station 00:40:96 :ac:dd:05 source: 48, valid bits: 0x1 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfName: '', aclName: Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Unable to apply override policy for station 00:40:96:ac:dd:05 - VapAllowRadiusOverride is FALSE Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Sending Accounting request (0) for s tation 00:40:96:ac:dd:05 Fri Sep 24 13:59:52 2010: AccountingMessage Accounting Start: 0x1500501c Fri Sep 24 13:59:52 2010: Packet contains 12 AVPs: Fri Sep 24 13:59:52 2010: AVP[01] User-Name........................... .....user1 (5 bytes) Fri Sep 24 13:59:52 2010: AVP[02] Nas-Port............................ .....0x00000002 (2) (4 bytes) Fri Sep 24 13:59:52 2010: AVP[03] Nas-Ip-Address...................... .....0x0a4df4ce (172881102) (4 bytes) Fri Sep 24 13:59:52 2010: AVP[04] Framed-IP-Address................... .....0x0a4df4c7 (172881095) (4 bytes)
debug aaa detail enable
失敗した認証の試行は、[Reports and Activity] > [Failed Attempts] にあるメニューにリストされます。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
13-Sep-2010 |
初版 |