この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Microsoft Network Policy Server(NPS)を RADIUS サーバとして使用する Cisco Converged Access ワイヤレス LAN(WLAN)導入環境で、Protected Extensible Authentication Protocol(PEAP)と Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2(MS-CHAP v2)認証を設定する方法について説明します。
このドキュメントで説明する設定を開始する前に、次の項目に関する知識があることが推奨されます。
この設定を試す前に、次の要件が満たされていることを確認してください。
注:Cisco Converged Access WLAN コントローラの最初のインストールと設定に関する情報については、『CT5760 コントローラおよび Catalyst 3850 スイッチの設定例』を参照してください。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
PEAP では、Transport Level Security(TLS)を使用して、ワイヤレス ラップトップなど認証対象の PEAP クライアントと Microsoft NPS や任意の RADIUS サーバなどの PEAP オーセンティケータとの間に暗号化チャネルを作成します。PEAP では認証方式は指定されませんが、PEAP により提供される TLS-encrypted 暗号化チャネルで動作できる EAP-MS-CHAP v2 などの他の Extensible Authentication Protocol(EAP)認証プロトコルに対してセキュリティが付加されます。PEAP の認証プロセスは、主に 2 つのフェーズで構成されます。
ワイヤレス クライアントはアクセス ポイント(AP)を関連付けます。 IEEE 802.11 ベースの関連付けでは、クライアントと AP 間でセキュアなアソシエーションが確立される前に、オープン システムや共有キーによる認証が提供されます。クライアントと AP 間に IEEE 802.11 ベースのアソシエーションが確立されると、AP との TLS セッションがネゴシエートされます。
ワイヤレス クライアントと NPS の間で認証が完了すると、クライアントと NPS の間で TLS セッションがネゴシエートされます。このネゴシエーションで生成されたキーが、後続のすべての通信の暗号化に使用されます。
PEAP 認証プロセスの最初の段階で PEAP が作成した TLS チャネルで、EAP ネゴシエーションを含む EAP 通信が発生します。NPSはEAP-MS-CHAP v2を使用してワイヤレスクライアントを認証します。LAPとコントローラは、ワイヤレスクライアントとRADIUSサーバの間でメッセージを転送するだけです。WLC は TLS エンドポイントではないため、WLAN コントローラ(WLC)と LAP はメッセージを復号化できません。
正常な認証(ユーザが PEAP-MS-CHAP v2 でパスワードベースの有効なクレデンシャルを入力した場合)の RADIUS メッセージ シーケンスは次のとおりです。
EAP-Request/Identity
EAP-Response/Identity
EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Challenge)
EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response)
EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Success)
EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success)
このセクションでは、RADIUS サーバとして Microsoft NPS を使用する Cisco Converged Access WLC の導入時に、MS-CHAP v2 認証によって PEAP を設定する方法について説明します。
この例では、Microsoft Windows バージョン 2008 サーバは次の役割を担います。
サーバは、図に示すように、レイヤ2(L2)スイッチを介して有線ネットワークに接続します。WLCと登録されたLAPも、L2スイッチを介してネットワークに接続します。
ワイヤレス クライアントは Wi-Fi Protected Access 2(WPA2)- PEAP-MS-CHAP v2 認証を使用してワイヤレス ネットワークに接続します。
このセクションで説明されている設定は 2 つの手順で完了します。
要求されたクライアント VLAN の WLAN を設定し、CLI で認証方式リストにマッピングするには、次の手順を実行します。
注:WLC で dot1x system auth control が有効になっているか、または dot1X が動作しないことを確認します。
aaa new-model
!
!
aaa group server radius Microsoft_NPS
server name Microsoft_NPS
!
aaa authentication dot1x Microsoft_NPS group Microsoft_NPS
aaa authorization network Microsoft_NPS group Microsoft_NPS
radius server Microsoft_NPS
address ipv4 10.104.208.96 auth-port 1645 acct-port 1646
timeout 10
retransmit 10
key Cisco123
wlan Microsoft_NPS 8 Microsoft_NPS
client vlan VLAN0020
no exclusionlist
security dot1x authentication-list Microsoft_NPS
session-timeout 1800
no shutdown
GUI を使用して Converged Access WLC を設定するには、次の手順を実行します。
このセクションでは、Microsoft Windows バージョン 2008 サーバの完全な設定について説明します。設定は 6 つの手順で完了します。
Microsoft Windows バージョン 2008 サーバをドメイン コントローラとして設定するには、次の手順を実行します。
EAP-MS-CHAP v2 を使用する PEAP は、サーバにある証明書に基づいて RADIUS サーバの検証を行います。また、サーバ証明書は、クライアント コンピュータが信頼するパブリック CA によって発行する必要があります。つまり、パブリック CA 証明書は、クライアント コンピュータの証明書ストアの [Trusted Root Certification Authority] フォルダにすでに存在しています。
証明書を NPS に発行する CA サーバとして Microsoft Windows バージョン 2008 サーバを設定するには、次の手順を実行します。
注:このセクションで説明した設定により、NPS が RADIUS サーバとして使用され、PEAP 認証でワイヤレス クライアントを認証します。
Microsoft Windows バージョン 2008 サーバで NPS をインストールして設定するには、次の手順を実行します。
コンピュータ証明書を NPS にインストールするには、次の手順を実行します。
注:EAP 証明書のエラーが原因でクライアント認証に失敗したら、[Enroll] をクリックする前に、この [Certificate Enrollment] ページで、チェックボックスがすべてオンになっていることを確認します。証明書は通常、3 つ作成されます。
認証用に NPS を設定するには、次の手順を実行します。
注:WLC の設定には同じ共有秘密を使用します。
条件 | 値 |
Windows Groups | WIRELESS\Domain Users |
NAS Port Type | Wireless - IEEE 802.11 |
認証タイプ | EAP |
注:場合によっては、PEAP プロファイルまたはポリシーを許可するために、NPS で [Connection Request Policies] を設定する必要があります。
注:この例では、ユーザ データベースが AD で維持されています。
AD データベースにユーザを追加するには、次の手順を実行します。
設定を確認するには、次の手順を実行します。
注:無線の問題のトラブルシューティングを行う際はトレースを使用することを推奨します。トレースは循環バッファに保存されているため、プロセッサに負荷はかかりません。
L2 auth logs を取得するには、次のトレースを有効にします。
dot1X AAA events を取得するには、次のトレースを有効にします。
DHCP events を受信するには、次のトレースを有効にします。
トレースを無効にして、バッファをクリアするには、次のトレースを有効にします。
トレースを表示するには、show trace sys-filtered-traces コマンドを入力します。
[04/23/14 21:27:51.963 IST 1 8151] 0017.7c2f.b69a Adding mobile on LWAPP AP
1caa.076f.9e10 (0)
[04/23/14 21:27:51.963 IST 2 8151] 0017.7c2f.b69a Local Policy: Created MSCB
Just AccessVLAN = 0 and SessionTimeout is 0 and apfMsTimeout is 0
[04/23/14 21:27:51.963 IST 8 8151] 0017.7c2f.b69a Local Policy:Setting local
bridging VLAN name VLAN0020 and VLAN ID 20
[04/23/14 21:27:51.963 IST 9 8151] 0017.7c2f.b69a Applying WLAN ACL policies
to client
[04/23/14 21:27:51.963 IST a 8151] 0017.7c2f.b69a No Interface ACL used for
Wireless client in WCM(NGWC)
[04/23/14 21:27:51.963 IST b 8151] 0017.7c2f.b69a Applying site-specific IPv6
override for station 0017.7c2f.b69a - vapId 8, site 'test',
interface 'VLAN0020'
[04/23/14 21:27:51.963 IST c 8151] 0017.7c2f.b69a Applying local bridging
Interface Policy for station 0017.7c2f.b69a - vlan 20,
interface 'VLAN0020'
[04/23/14 21:27:51.963 IST d 8151] 0017.7c2f.b69a
**** Inside applyLocalProfilingPolicyAction ****
04/23/14 21:27:51.963 IST f 8151] 0017.7c2f.b69a Local Profiling Values :
isValidVlan = 0, vlan = 0, isVlanRecdInDelete = 0, isValidSessionTimeout = 0,
sessionTimeout=0, isSessionTORecdInDelete = 0 ProtocolMap = 0 ,
applyPolicyAtRun= 0
[04/23/14 21:27:51.963 IST 10 8151] 0017.7c2f.b69a ipv4ACL = [],
ipv6ACL = [], inQoS = [unknown], outQoS = [unknown]
[04/23/14 21:27:51.963 IST 11 8151] 0017.7c2f.b69a STA - rates (4):
130 132 139 150 0 0 0 0 0 0 0 0 0 0 0 0
[04/23/14 21:27:51.963 IST 12 8151] 0017.7c2f.b69a STA - rates (12):
130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
[04/23/14 21:27:51.963 IST 13 8151] 0017.7c2f.b69a Processing RSN IE type 48,
length 20 for mobile 0017.7c2f.b69a
[04/23/14 21:27:51.963 IST 14 8151] 0017.7c2f.b69a Received RSN IE with 0
PMKIDsfrom mobile 0017.7c2f.b69a
[04/23/14 21:27:51.964 IST 1b 8151] 0017.7c2f.b69a Change state to AUTHCHECK
(2) last state START (0)
[04/23/14 21:27:51.964 IST 1c 8151] 0017.7c2f.b69a Change state to 8021X_REQD
(3) last state AUTHCHECK (2)
[04/23/14 21:27:51.964 IST 25 8151] 0017.7c2f.b69a apfProcessAssocReq
(apf_80211.c:6272) Changing state for mobile 0017.7c2f.b69a on AP
1caa.076f.9e10 from Associated to Associated
[04/23/14 21:27:51.971 IST 26 8151] 0017.7c2f.b69a 1XA: Initiating
authentication
[04/23/14 21:27:51.971 IST 27 8151] 0017.7c2f.b69a 1XA: Setting reauth
timeout to 1800 seconds
[04/23/14 21:27:51.971 IST 28 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 0
[04/23/14 21:27:51.971 IST 29 8151] 0017.7c2f.b69a 1XA: Allocated uid 40
[04/23/14 21:27:51.971 IST 2a 8151] 0017.7c2f.b69a 1XA: Calling Auth Mgr
to authenticate client 4975000000003e uid 40
[04/23/14 21:27:51.971 IST 2b 8151] 0017.7c2f.b69a 1XA: Session Start from
wireless client
[04/23/14 21:27:51.971 IST 2c 8151] 0017.7c2f.b69a Session Manager Call Client
4975000000003e, uid 40, capwap id 7ae8c000000013,Flag 0, Audit-Session ID
0a6987b25357e2ff00000028, method list Microsoft_NPS, policy name (null)
[04/23/14 21:27:51.971 IST 2d 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
[0017.7c2f.b69a, Ca3] Session start request from Client[1] for 0017.7c2f.b69a
(method: Dot1X, method list: Microsoft_NPS, aaa id: 0x00000028), policy
[04/23/14 21:27:51.971 IST 2e 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
[0017.7c2f.b69a, Ca3] - client iif_id: 4975000000003E, session ID:
0a6987b25357e2ff00000028 for 0017.7c2f.b69a
[04/23/14 21:27:51.972 IST 43 284] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] Posting !EAP_RESTART on Client 0x22000025
[04/23/14 21:27:51.972 IST 44 284] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] 0x22000025:enter connecting state
[04/23/14 21:27:51.972 IST 45 284] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] 0x22000025: restart connecting
[04/23/14 21:27:51.972 IST 46 284] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] Posting RX_REQ on Client 0x22000025
[04/23/14 21:27:51.972 IST 47 284] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] 0x22000025: authenticating state entered
[04/23/14 21:27:51.972 IST 48 284] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] 0x22000025:connecting authenticating action
[04/23/14 21:27:51.972 IST 49 291] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] Posting AUTH_START for 0x22000025
[04/23/14 21:27:51.972 IST 4a 291] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] 0x22000025:entering request state
[04/23/14 21:27:51.972 IST 4b 291] ACCESS-METHOD-DOT1X-NOTF:
[0017.7c2f.b69a, Ca3] Sending EAPOL packet
[04/23/14 21:27:51.972 IST 4c 291] ACCESS-METHOD-DOT1X-INFO:
[0017.7c2f.b69a, Ca3] Platform changed src mac of EAPOL packet
[04/23/14 21:27:51.972 IST 4d 291] ACCESS-METHOD-DOT1X-NOTF:
[0017.7c2f.b69a, Ca3] Sending out EAPOL packet
[04/23/14 21:27:51.972 IST 4e 291] ACCESS-METHOD-DOT1X-INFO:
[0017.7c2f.b69a, Ca3] EAPOL packet sent to client 0x22000025
[04/23/14 21:27:52.112 IST 7d 211] Parsed CLID MAC Address = 0:23:124:47:182:154
[04/23/14 21:27:52.112 IST 7e 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:52.112 IST 7f 211] AAA SRV(00000000): Authen method=SERVER_GROUP
Microsoft_NPS
[04/23/14 21:27:52.112 IST 80 211] AAA SRV(00000000): Selecting SG = DIAMETER
[04/23/14 21:27:52.113 IST 81 186] ACCESS-METHOD-DOT1X-INFO:
[0017.7c2f.b69a, Ca3] Queuing an EAPOL pkt on Authenticator Q
[04/23/14 21:27:52.113 IST 82 291] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] Posting EAPOL_EAP for 0x22000025
[04/23/14 21:27:52.278 IST 83 220] AAA SRV(00000000): protocol reply
GET_CHALLENGE_RESPONSE for Authentication
[04/23/14 21:27:52.278 IST 84 220] AAA SRV(00000000): Return Authentication
status=GET_CHALLENGE_RESPONSE
[04/23/14 21:27:52.278 IST 85 291] ACCESS-METHOD-DOT1X-DEB:[0017.7c2f.b69a,Ca3]
Posting EAP_REQ for 0x22000025
次に、EAP 出力の残りの部分を示します。
[04/23/14 21:27:54.690 IST 12b 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:54.690 IST 12c 211] AAA SRV(00000000): Authen
method=SERVER_GROUP Microsoft_NPS
[04/23/14 21:27:54.690 IST 12d 211] AAA SRV(00000000): Selecting SG =
DIAMETER
[04/23/14 21:27:54.694 IST 12e 220] AAA SRV(00000000): protocol reply PASS
for Authentication
[04/23/14 21:27:54.694 IST 12f 220] AAA SRV(00000000): Return Authentication
status=PASS
[04/23/14 21:27:54.694 IST 130 189] ACCESS-METHOD-DOT1X-INFO:
[0017.7c2f.b69a, Ca3] Received an EAP Success
[04/23/14 21:27:54.695 IST 186 8151] 0017.7c2f.b69a Starting key exchange with
mobile - data forwarding is disabled
[04/23/14 21:27:54.695 IST 187 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.706 IST 188 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
message (len 121) from mobile
[04/23/14 21:27:54.706 IST 189 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
from mobile
[04/23/14 21:27:54.706 IST 18a 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
PTK_START state (msg 2) from mobile
[04/23/14 21:27:54.706 IST 18b 8151] 0017.7c2f.b69a 1XK: Stopping retransmission
timer
[04/23/14 21:27:54.706 IST 18c 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.717 IST 18d 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
message (len 99) from mobile
[04/23/14 21:27:54.717 IST 18e 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
from mobile
[04/23/14 21:27:54.717 IST 18f 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
PTKINITNEGOTIATING state (msg 4) from mobile
[04/23/14 21:27:54.717 IST 190 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 1
[04/23/14 21:27:54.717 IST 191 8151] 0017.7c2f.b69a 1XK: Key exchange complete
- updating PEM
[04/23/14 21:27:54.717 IST 192 8151] 0017.7c2f.b69a apfMs1xStateInc
[04/23/14 21:27:54.717 IST 193 8151] 0017.7c2f.b69a Change state to
L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
[04/23/14 21:27:58.277 IST 1df 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:27:58.277 IST 1e0 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:28:05.279 IST 1e1 269] DHCPD: Adding binding to hash tree
[04/23/14 21:28:05.279 IST 1e2 269] DHCPD: DHCPOFFER notify setup address
20.20.20.5 mask 255.255.255.0
[04/23/14 21:28:05.306 IST 1f4 8151] 0017.7c2f.b69a Change state to RUN (20)
last state DHCP_REQD (7)