FreeRADIUSとWLCを利用したMAC認証

目的 †

FreeRADIUS2を利用したWLC上でMACアドレス認証を実施する。
オーセンティケータにはvWLCを利用する
無線クライアントはAndroidを利用する

RADIUSについて †

FreeRADIUSによる認証サーバを参照

WLCについて †

MACアドレス認証にはローカルデータベースおよびRADIUSを利用する。 利用するvWLCのバージョンは 7.6.110.0

無線クライアントについて †

無線クライアントは家に転がっていた古いやつ

設定 †

Ciscoルータ設定 †

interface FastEthernet8
 description %%% to dining %%%
 ! AP接続用にVlan100をネイティブVLANに設定
 switchport trunk native vlan 100
 ! データ転送用にVlan20を割り当て
 switchport trunk allowed vlan 1,20,21,100,101,1002-1005
 switchport mode trunk
 no ip address
end

Freeradius 設定 †

root@VMradius01:/etc/freeradius# cat clients.conf
client ManagementNetwork {
        ipaddr = 192.168.0.0 # ← 下のマスクとあわせて、どのオーセンティケータからの認証要求を待ち受けるかを指定
        netmask = 16
        secret =RADIUS_SECRET # ← RADIUS用のシークレットを記載
}

root@VMradius01:/etc/freeradius# cat users
testuser Auth-Type:=Local , Cleartext-Password:="lginpswd"  # ← Cisco機器のログイン用 [[FreeRADIUSとCisco機器を利用したログイン認証]]
$enab15$ Auth-Type:=Local , Cleartext-Password:="enblpswd"  # ← Cisco機器の特権用 [[FreeRADIUSとCisco機器を利用したログイン認証]]
147dc51cf0xx Auth-Type:=Local , Cleartext-Password:="147dc51cxxxx" # ← MACアドレス認証用のユーザ名とパスワード

後述するが、MACアドレス認証用のユーザ名（つまりMACアドレス）とパスワードは
WLC設定の SECURITY → AAA → MAC Filtering の MAC Delimiter および
WLC設定の SECURITY → AAA → MAC Filtering の RADIUS Compatibility Mode によってフォーマットが異なる。

Cisco WLC 設定 †

RADIUSサーバ登録 †

SECURITY -> AAA -> RADIUS -> Authentication から New を選択

IPアドレスとシークレットを入力し Apply をクリック

SSID設定 †

WLANs -> CreateNew? のドロップダウンメニューを選択し Go をクリック

ProfileName? と SSID を入力し、Apply をクリック

Status を Enable とし、Interfaceにはユーザに割り当てるVLANを選択。
設定していなければ、CONTROLLER -> Interface から新規に登録しておく。
Broadcast SSIDはステルス化する場合には、チェックをはずしておく。

Securityタブから、L2SecurityをNoneにし、MAC Filteringを有効化する。

Securityタブから、AAA Serversから、前項で登録したRADIUSサーバを選択する。 （ここでRADIUSサーバを登録しない場合には、ローカルのMACデータベースを参照する）

Advanceタブ内の FlexConnect?の設定項目にてLocalSwitching?を有効化する

FlexConnect?設定 †

Wireless -> ALL APs から 該当するAPをクリック

GeneralタブのAPModeをlocalからFlexConnect?に変更し、Applyをクリック （この時点でAPが自動的に再起動する）

再起動の間に WIRELESS -> FlexConnectGroups? から New をクリックし、FlexConnect?グループを作成する

GroupName?に入力しApplyをクリック

登録したGroupName?をクリック

AddAPをクリック

AddAPのSelect APs from ～ にチェックを入れるとFlexConnect?グループに所属していなAPが表示される

APNameのプルダウンメニュから該当するAPを選択し、Addをクリック

APが登録され、StatusがAssociatedとなっていることを確認する。 （APの再起動が完了していない場合には、しばらく待つ）

無事にFlexConnect?グループにAPが所属すると、 WIRELESS -> All APs からAPを選択した場合に FlexConnect? タブが選択可能となっているため、クリックする。

VLAN Support にチェックを入れ、NativeVLANIDにルータで設定したNativeVLANを入力する。

パワーインジェクタを利用している場合には、AdvancedタブからPowerInjectorState?にチェックを入れ、Applyする。

その後Advancedタブをクリックし、InjectorSwitchMACAddressにスイッチMACアドレスが入力されていることを確認する。

MAC Filtering設定 †

SECURITY -> AAA -> MAC Filtering をクリックし、RADIUS Compatible Mode と MAC Delimiterから適切な項目を選択し、Applyをクリックする。

SECURITY → AAA → MAC Filtering の MAC Delimiter によってフォーマットが異なる。

• Colon
  d8:b1:2a:02:xx:xx
• Hyphen
  d8-b1-2a-02-xx-xx
• Single Hyphen
  d8b12a-02xxxx
• NoDelimiter?
  d8b12a02xxxx

RADIUS Compatibility Mode によってフォーマットが異なる。

• Cisco ACS
  Cleartext-PasswordはMACアドレスを記載（ユーザ名とパスワードが同一）
• FreeRADIUS
  Cleartext-PasswordはRADIUSシークレットを記載
• Other
  Cleartext-Passwordは記載無し
  FreeRADIUSのユーザ設定がAuth-Type:=Acceptの場合には許可
  FreeRADIUSのユーザ設定がAuth-Type:=Rejectの場合には拒否となる
  ※どの方式でもAuth-Type:=Acceptの場合には許可、Rejectの場合には拒否となる。
  

無線クライアント設定 †

設定は特に必要なし SSIDはビーコンに含まれるため、自動的にリストアップされる。

動作確認 †

RADIUSサーバのログ確認 †

root@VMradius01:/etc/freeradius# tailf /var/log/freeradius/radius.log
Mon Sep  8 22:28:12 2014 : Auth: Login OK: [147dc51cxxxx/147dc51cxxxx] (from client ManagementNetwork port 1 cli 14-7d-c5-1c-xx-xx)

logを出力するためにあらかじめ、 /etc/freeradius/radiusd.conf の logセクションにて以下を設定しておくと動作確認が取れる。

log{
 auth = yes
 auth_badpass = yes
 auth_goodpass = yes
}

DHCPサーバのログ確認 †

root@VMdhcp01:~$ tailf /var/log/dhcpd.log
Sep  8 22:28:14 VMdhcp01 dhcpd: DHCPDISCOVER from 14:7d:c5:1c:xx:xx via 192.168.20.254: load balance to peer FOdhcp
Sep  8 22:28:15 VMdhcp01 dhcpd: DHCPREQUEST for 192.168.20.120 (192.168.10.185) from 14:7d:c5:1c:xx:xx via 192.168.20.254: lease owned by peer