FreeRADIUSとCisco機器を利用した802.1X認証 のバックアップ(No.1)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• FreeRADIUSとCisco機器を利用した802.1X認証 へ行く。
  • 1 (2014-11-30 (日) 23:03:23)
  • 2 (2015-03-17 (火) 00:32:45)
  • 3 (2015-03-17 (火) 11:31:46)
  • 4 (2015-03-18 (水) 13:28:31)

---

目的 †

FreeRADIUS2を利用した802.1X認証を実施する。
オーセンティケータにはCisco機器(ルータ・L2SW)を利用する
サプリカントはWindowsXP付属のものを利用する
RADIUSサーバはCentOS6.3上で稼動。本稿記述時点でのバージョンは2.1.12

[root@radius]# radiusd -v
radiusd: FreeRADIUS Version 2.1.12, for host x86_64-redhat-linux-gnu, built on Oct  3 2012 at 01:22:51
Copyright (C) 1999-2011 The FreeRADIUS server project and contributors.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
You may redistribute copies of FreeRADIUS under the terms of the
GNU General Public License.
For more information about these matters, see the file named COPYRIGHT.
[root@radius]#

RADIUSについて †

FreeRADIUSによる認証サーバを参照

802.1X認証 †

以下の認証方式による接続テストを実施する。

• EAP-MD5
• EAP-PEAP（内部認証：MS-CHAP-V2）
• EAP-TLS
• MACアドレス認証（802.1X認証ではない）

利用するCisco機器は以下

• Cisco1812J(IOS:15.1(4)M1)
• Catalyst2950-8TT(IOS:12.1(22)EA8a)
• Catalyst2960-24T(IOS:12.2(58)SE2)

設定 †

windows設定 †

WindowsXPは標準でEAP-MD5,EAP-PEAP,EAP-TLS対応のサプリカントが搭載されているが、 SP3を適用すると、ローカルエリア接続のプロパティに「認証タブ」が表示されなくなる。 その場合は、以下の手順でサービスを開始する。

1. スタートメニューからコントロールパネルを起動
2. 管理ツールからサービスを選択
3. Wired AutoConfig?を右クリックして、開始を選択
4. Wired AutoConfig?を右クリックして、プロパティを選択し、「スタートアップの種類」を「自動」にしておく

Cisco設定 †

全般設定 †

• aaaの採用

  aaa new-model

• aaaグループの作成

  aaa group server radius ForDot1X
   server-private 192.168.10.193 auth-port 1812 acct-port 1813 timeout 1 retransmit 1 key SECRET

• 802.1X認証をForDot1Xグループで実施

  aaa authentication dot1x default group ForDot1X
  dot1x system-auth-control

インタフェイス設定（802.1X認証） †

スイッチポートをアクセスポートに設定しないと802.1X認証が動作しない。
Catalyst系でも設定が微妙に違うが、IOSバージョンなどでもまた違う可能性がある。

• Cisco1812J

  interface FastEthernet2
   switchport access vlan 10
   no ip address
   dot1x pae authenticator
   dot1x port-control auto
   spanning-tree portfast

• Catalyst2950

  interface FastEthernet0/5
   switchport access vlan 10
   switchport mode access
   dot1x port-control auto
   spanning-tree portfast

• Catalyst2960

  interface FastEthernet0/1
   switchport access vlan 10
   switchport mode access
   authentication order dot1x
   authentication priority dot1x
   authentication port-control auto
   dot1x pae authenticator
   spanning-tree portfast

インタフェイス設定（MACアドレス認証） †

MACアドレス認証はMACアドレスバイパスであり、802.1X認証ではない。

• Cisco1812J
  非対応

• Catalyst2950
  非対応

• Catalyst2960

  interface FastEthernet0/2
   switchport access vlan 10
   switchport mode access
   authentication order mab
   authentication priority mab
   authentication port-control auto
   mab
   dot1x pae authenticator
   spanning-tree portfast

FreeRADIUS設定 †

• 認証方式の指定
  利用する認証方式にEAPを追加する。

  [centos@radius]# vi /etc/raddb/sites-available
  authorize {
          files
          unix
          eap {  
                  ok = return
          }
  
  }
  authenticate {
          files
          unix
          eap
  }
  post-auth {
          exec
          Post-Auth-Type REJECT {
                  attr_filter.access_reject
          }
  }

• EAP全般設定
  /etc/raddb/eap.confに設定するが、デフォルトのままで問題ない。
  eapセクション中の default_eap_type が md5となっていても、tlsとなっていても、デフォルトのEAPが通らない場合はNAKレスポンス中にステーション側のEAP方式を返すらしいので、RADIUSサーバ側で適切なEAP方式を試行するっぽい。

EAP-MD5 †

ユーザ定義ファイルにユーザ名とパスワードを記載する。
Auth-TypeがSystemになっていれば、LinuxUID/PWDが利用できるが、EAPの場合にはAuth-TypeをEAPにする必要があるため、LinuxUID/PWDは利用できないみたい。

[centos@radius]# vi /etc/raddb/users
------------8<-----------------
eapuser Auth-Type:=EAP     , Cleartext-Password := "eappass"
------------8<-----------------

• WindowsXPの設定
  ローカルエリア接続のプロパティから認証タブを選択し、802.1X認証の有効にチェックを入れ、ネットワーク認証方法をMD5にすればOK

EAP-PEAP（MS-CAHP-V2） †

PEAPはサーバ証明書を利用し、UID/PWDによる利用者認証を実施する。
PEAPの場合も特に設定は変更しなくてよい。ただし、デフォルトのFreeRADIUSで作成されている証明書情報などを利用する場合には、有効期限切れのため、独自でRADIUSサーバとしてのサーバ証明書を生成する必要がある。

• WindowsXPの設定
  ローカルエリア接続のプロパティから認証タブを選択し、802.1X認証の有効にチェックを入れ、ネットワーク認証を保護されたEAP（PEAP）にする。
  設定をクリックし、サーバ証明書を検証するにチェックを入れ、信頼されたルート証明機関の中から、RADIUSサーバのサーバ証明書を発行したCAの証明書を選択し、チェックボックスにチェックを入れておく。
  下部の認証方法を選択するでEAP-MSCHAPV2を選択し、構成のボタンをクリックし、出てきたダイアログの接続のための認証方法のチェックをはずしておく。
  これがチェックされたままだと、Windowsログインのユーザ名とパスワードで認証しようとするため、うまくいかない。

EAP-TLS †

     

Site admin: www.prosper2.org

PukiWiki 1.5.0 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.4.45. HTML convert time: 0.201 sec.