#contents * 目的 [#wfe3be44] FreeRADIUS2を利用したWLC上でMACアドレス認証を実施する。~ オーセンティケータにはvWLCを利用する~ 無線クライアントはAndroidを利用する~ * RADIUSについて [#wae8fbd8] [[FreeRADIUSによる認証サーバ]]を参照 * WLCについて [#jca65b49] MACアドレス認証にはローカルデータベースおよびRADIUSを利用する。 利用するvWLCのバージョンは 7.6.110.0 * 無線クライアントについて [#ped72878] 無線クライアントは家に転がっていた古いやつ * 設定 [#n568b0e9] ** Ciscoルータ設定 [#v7132fbd] interface FastEthernet8 description %%% to dining %%% ! AP接続用にVlan100をネイティブVLANに設定 switchport trunk native vlan 100 ! データ転送用にVlan20を割り当て switchport trunk allowed vlan 1,20,21,100,101,1002-1005 switchport mode trunk no ip address end ** Freeradius 設定 [#ra742fd1] root@VMradius01:/etc/freeradius# cat clients.conf client ManagementNetwork { ipaddr = 192.168.0.0 # ← 下のマスクとあわせて、どのオーセンティケータからの認証要求を待ち受けるかを指定 netmask = 16 secret =RADIUS_SECRET # ← RADIUS用のシークレットを記載 } root@VMradius01:/etc/freeradius# cat users testuser Auth-Type:=Local , Cleartext-Password:="lginpswd" # ← Cisco機器のログイン用 [[FreeRADIUSとCisco機器を利用したログイン認証]] $enab15$ Auth-Type:=Local , Cleartext-Password:="enblpswd" # ← Cisco機器の特権用 [[FreeRADIUSとCisco機器を利用したログイン認証]] 147dc51cf0xx Auth-Type:=Local , Cleartext-Password:="147dc51cxxxx" # ← MACアドレス認証用のユーザ名とパスワード 後述するが、MACアドレス認証用のユーザ名(つまりMACアドレス)とパスワードは~ WLC設定の SECURITY → AAA → MAC Filtering の MAC Delimiter および~ WLC設定の SECURITY → AAA → MAC Filtering の RADIUS Compatibility Mode によってフォーマットが異なる。~ ** Cisco WLC 設定 [#v80a9732] *** RADIUSサーバ登録 [#k3f284c2] SECURITY -> AAA -> RADIUS -> Authentication から New を選択 #ref(radius01.jpg,nowrap,有効化,50%) IPアドレスとシークレットを入力し Apply をクリック #ref(radius02.jpg,nowrap,有効化,50%) *** SSID設定 [#t395699b] WLANs -> CreateNew のドロップダウンメニューを選択し Go をクリック #ref(wlan00.jpg,nowrap,有効化,50%) ProfileName と SSID を入力し、Apply をクリック #ref(wlan01.jpg,nowrap,有効化,50%) Status を Enable とし、Interfaceにはユーザに割り当てるVLANを選択。~ 設定していなければ、CONTROLLER -> Interface から新規に登録しておく。~ Broadcast SSIDはステルス化する場合には、チェックをはずしておく。 #ref(wlan02.jpg,nowrap,有効化,50%) Securityタブから、L2SecurityをNoneにし、MAC Filteringを有効化する。 #ref(wlan03.jpg,nowrap,有効化,50%) Securityタブから、AAA Serversから、前項で登録したRADIUSサーバを選択する。 (ここでRADIUSサーバを登録しない場合には、ローカルのMACデータベースを参照する) #ref(wlan04.jpg,nowrap,有効化,50%) Advanceタブ内の FlexConnectの設定項目にてLocalSwitchingを有効化する #ref(wlan05.jpg,nowrap,有効化,50%) *** FlexConnect設定 [#n71445d1] Wireless -> ALL APs から 該当するAPをクリック #ref(fc01.jpg,nowrap,有効化,50%) GeneralタブのAPModeをlocalからFlexConnectに変更し、Applyをクリック (この時点でAPが自動的に再起動する) #ref(fc02.jpg,nowrap,有効化,50%) 再起動の間に WIRELESS -> FlexConnectGroups から New をクリックし、FlexConnectグループを作成する #ref(fc03.jpg,nowrap,有効化,50%) GroupNameに入力しApplyをクリック #ref(fc04.jpg,nowrap,有効化,50%) 登録したGroupNameをクリック #ref(fc05.jpg,nowrap,有効化,50%) AddAPをクリック #ref(fc06.jpg,nowrap,有効化,50%) AddAPのSelect APs from ~ にチェックを入れるとFlexConnectグループに所属していなAPが表示される #ref(fc07.jpg,nowrap,有効化,50%) APNameのプルダウンメニュから該当するAPを選択し、Addをクリック #ref(fc08.jpg,nowrap,有効化,50%) APが登録され、StatusがAssociatedとなっていることを確認する。 (APの再起動が完了していない場合には、しばらく待つ) #ref(fc09.jpg,nowrap,有効化,50%) 無事にFlexConnectグループにAPが所属すると、 WIRELESS -> All APs からAPを選択した場合に FlexConnect タブが選択可能となっているため、クリックする。 #ref(fc10.jpg,nowrap,有効化,50%) VLAN Support にチェックを入れ、NativeVLANIDにルータで設定したNativeVLANを入力する。 #ref(fc11.jpg,nowrap,有効化,50%) パワーインジェクタを利用している場合には、AdvancedタブからPowerInjectorStateにチェックを入れ、Applyする。 #ref(fc12.jpg,nowrap,有効化,50%) その後Advancedタブをクリックし、InjectorSwitchMACAddressにスイッチMACアドレスが入力されていることを確認する。 #ref(fc13.jpg,nowrap,有効化,50%) *** MAC Filtering設定 [#v371d216] SECURITY -> AAA -> MAC Filtering をクリックし、RADIUS Compatible Mode と MAC Delimiterから適切な項目を選択し、Applyをクリックする。 #ref(mf01.jpg,nowrap,有効化,50%) SECURITY → AAA → MAC Filtering の MAC Delimiter によってフォーマットが異なる。~ -Colon~ d8:b1:2a:02:xx:xx -Hyphen~ d8-b1-2a-02-xx-xx -Single Hyphen~ d8b12a-02xxxx -NoDelimiter~ d8b12a02xxxx RADIUS Compatibility Mode によってフォーマットが異なる。~ -Cisco ACS~ Cleartext-PasswordはMACアドレスを記載(ユーザ名とパスワードが同一) -FreeRADIUS~ Cleartext-PasswordはRADIUSシークレットを記載 -Other~ Cleartext-Passwordは記載無し~ FreeRADIUSのユーザ設定がAuth-Type:=Acceptの場合には許可~ FreeRADIUSのユーザ設定がAuth-Type:=Rejectの場合には拒否となる~ ※どの方式でもAuth-Type:=Acceptの場合には許可、Rejectの場合には拒否となる。~ ** 無線クライアント設定 [#n7070c2a] 設定は特に必要なし SSIDはビーコンに含まれるため、自動的にリストアップされる。 * 動作確認 [#rdf24d4a] ** RADIUSサーバのログ確認 [#qef1a8cd] root@VMradius01:/etc/freeradius# tailf /var/log/freeradius/radius.log Mon Sep 8 22:28:12 2014 : Auth: Login OK: [147dc51cxxxx/147dc51cxxxx] (from client ManagementNetwork port 1 cli 14-7d-c5-1c-xx-xx) logを出力するためにあらかじめ、 /etc/freeradius/radiusd.conf の logセクションにて以下を設定しておくと動作確認が取れる。 log{ auth = yes auth_badpass = yes auth_goodpass = yes } ** DHCPサーバのログ確認 [#k2859d08] root@VMdhcp01:~$ tailf /var/log/dhcpd.log Sep 8 22:28:14 VMdhcp01 dhcpd: DHCPDISCOVER from 14:7d:c5:1c:xx:xx via 192.168.20.254: load balance to peer FOdhcp Sep 8 22:28:15 VMdhcp01 dhcpd: DHCPREQUEST for 192.168.20.120 (192.168.10.185) from 14:7d:c5:1c:xx:xx via 192.168.20.254: lease owned by peer ~ ~ #counter