FreeRADIUSとWLCを利用したMAC認証
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
#contents
* 目的 [#wfe3be44]
FreeRADIUS2を利用したWLC上でMACアドレス認証を実施する。~
オーセンティケータにはvWLCを利用する~
無線クライアントはAndroidを利用する~
* RADIUSについて [#wae8fbd8]
[[FreeRADIUSによる認証サーバ]]を参照
* WLCについて [#jca65b49]
MACアドレス認証にはローカルデータベースおよびRADIUSを利用...
利用するvWLCのバージョンは 7.6.110.0
* 無線クライアントについて [#ped72878]
無線クライアントは家に転がっていた古いやつ
* 設定 [#n568b0e9]
** Ciscoルータ設定 [#v7132fbd]
interface FastEthernet8
description %%% to dining %%%
! AP接続用にVlan100をネイティブVLANに設定
switchport trunk native vlan 100
! データ転送用にVlan20を割り当て
switchport trunk allowed vlan 1,20,21,100,101,1002-1005
switchport mode trunk
no ip address
end
** Freeradius 設定 [#ra742fd1]
root@VMradius01:/etc/freeradius# cat clients.conf
client ManagementNetwork {
ipaddr = 192.168.0.0 # ← 下のマスクとあわせて、...
netmask = 16
secret =RADIUS_SECRET # ← RADIUS用のシークレット...
}
root@VMradius01:/etc/freeradius# cat users
testuser Auth-Type:=Local , Cleartext-Password:="lginpsw...
$enab15$ Auth-Type:=Local , Cleartext-Password:="enblpsw...
147dc51cf0xx Auth-Type:=Local , Cleartext-Password:="147...
後述するが、MACアドレス認証用のユーザ名(つまりMACアドレ...
WLC設定の SECURITY → AAA → MAC Filtering の MAC Delimiter...
WLC設定の SECURITY → AAA → MAC Filtering の RADIUS Compat...
** Cisco WLC 設定 [#v80a9732]
*** RADIUSサーバ登録 [#k3f284c2]
SECURITY -> AAA -> RADIUS -> Authentication から New を選択
#ref(radius01.jpg,nowrap,有効化,50%)
IPアドレスとシークレットを入力し Apply をクリック
#ref(radius02.jpg,nowrap,有効化,50%)
*** SSID設定 [#t395699b]
WLANs -> CreateNew のドロップダウンメニューを選択し Go を...
#ref(wlan00.jpg,nowrap,有効化,50%)
ProfileName と SSID を入力し、Apply をクリック
#ref(wlan01.jpg,nowrap,有効化,50%)
Status を Enable とし、Interfaceにはユーザに割り当てるVLA...
設定していなければ、CONTROLLER -> Interface から新規に登...
Broadcast SSIDはステルス化する場合には、チェックをはずし...
#ref(wlan02.jpg,nowrap,有効化,50%)
Securityタブから、L2SecurityをNoneにし、MAC Filteringを有...
#ref(wlan03.jpg,nowrap,有効化,50%)
Securityタブから、AAA Serversから、前項で登録したRADIUSサ...
(ここでRADIUSサーバを登録しない場合には、ローカルのMACデ...
#ref(wlan04.jpg,nowrap,有効化,50%)
Advanceタブ内の FlexConnectの設定項目にてLocalSwitchingを...
#ref(wlan05.jpg,nowrap,有効化,50%)
*** FlexConnect設定 [#n71445d1]
Wireless -> ALL APs から 該当するAPをクリック
#ref(fc01.jpg,nowrap,有効化,50%)
GeneralタブのAPModeをlocalからFlexConnectに変更し、Apply...
(この時点でAPが自動的に再起動する)
#ref(fc02.jpg,nowrap,有効化,50%)
再起動の間に WIRELESS -> FlexConnectGroups から New をク...
#ref(fc03.jpg,nowrap,有効化,50%)
GroupNameに入力しApplyをクリック
#ref(fc04.jpg,nowrap,有効化,50%)
登録したGroupNameをクリック
#ref(fc05.jpg,nowrap,有効化,50%)
AddAPをクリック
#ref(fc06.jpg,nowrap,有効化,50%)
AddAPのSelect APs from ~ にチェックを入れるとFlexConnect...
#ref(fc07.jpg,nowrap,有効化,50%)
APNameのプルダウンメニュから該当するAPを選択し、Addをクリ...
#ref(fc08.jpg,nowrap,有効化,50%)
APが登録され、StatusがAssociatedとなっていることを確認す...
(APの再起動が完了していない場合には、しばらく待つ)
#ref(fc09.jpg,nowrap,有効化,50%)
無事にFlexConnectグループにAPが所属すると、 WIRELESS -> A...
#ref(fc10.jpg,nowrap,有効化,50%)
VLAN Support にチェックを入れ、NativeVLANIDにルータで設定...
#ref(fc11.jpg,nowrap,有効化,50%)
パワーインジェクタを利用している場合には、Advancedタブか...
#ref(fc12.jpg,nowrap,有効化,50%)
その後Advancedタブをクリックし、InjectorSwitchMACAddress...
#ref(fc13.jpg,nowrap,有効化,50%)
*** MAC Filtering設定 [#v371d216]
SECURITY -> AAA -> MAC Filtering をクリックし、RADIUS Com...
#ref(mf01.jpg,nowrap,有効化,50%)
SECURITY → AAA → MAC Filtering の MAC Delimiter によって...
-Colon~
d8:b1:2a:02:xx:xx
-Hyphen~
d8-b1-2a-02-xx-xx
-Single Hyphen~
d8b12a-02xxxx
-NoDelimiter~
d8b12a02xxxx
RADIUS Compatibility Mode によってフォーマットが異なる。~
-Cisco ACS~
Cleartext-PasswordはMACアドレスを記載(ユーザ名とパスワー...
-FreeRADIUS~
Cleartext-PasswordはRADIUSシークレットを記載
-Other~
Cleartext-Passwordは記載無し~
FreeRADIUSのユーザ設定がAuth-Type:=Acceptの場合には許可~
FreeRADIUSのユーザ設定がAuth-Type:=Rejectの場合には拒否と...
※どの方式でもAuth-Type:=Acceptの場合には許可、Rejectの場...
** 無線クライアント設定 [#n7070c2a]
設定は特に必要なし
SSIDはビーコンに含まれるため、自動的にリストアップされる。
* 動作確認 [#rdf24d4a]
** RADIUSサーバのログ確認 [#qef1a8cd]
root@VMradius01:/etc/freeradius# tailf /var/log/freeradi...
Mon Sep 8 22:28:12 2014 : Auth: Login OK: [147dc51cxxxx...
logを出力するためにあらかじめ、 /etc/freeradius/radiusd.c...
log{
auth = yes
auth_badpass = yes
auth_goodpass = yes
}
** DHCPサーバのログ確認 [#k2859d08]
root@VMdhcp01:~$ tailf /var/log/dhcpd.log
Sep 8 22:28:14 VMdhcp01 dhcpd: DHCPDISCOVER from 14:7d:...
Sep 8 22:28:15 VMdhcp01 dhcpd: DHCPREQUEST for 192.168....
~
~
#counter
終了行:
#contents
* 目的 [#wfe3be44]
FreeRADIUS2を利用したWLC上でMACアドレス認証を実施する。~
オーセンティケータにはvWLCを利用する~
無線クライアントはAndroidを利用する~
* RADIUSについて [#wae8fbd8]
[[FreeRADIUSによる認証サーバ]]を参照
* WLCについて [#jca65b49]
MACアドレス認証にはローカルデータベースおよびRADIUSを利用...
利用するvWLCのバージョンは 7.6.110.0
* 無線クライアントについて [#ped72878]
無線クライアントは家に転がっていた古いやつ
* 設定 [#n568b0e9]
** Ciscoルータ設定 [#v7132fbd]
interface FastEthernet8
description %%% to dining %%%
! AP接続用にVlan100をネイティブVLANに設定
switchport trunk native vlan 100
! データ転送用にVlan20を割り当て
switchport trunk allowed vlan 1,20,21,100,101,1002-1005
switchport mode trunk
no ip address
end
** Freeradius 設定 [#ra742fd1]
root@VMradius01:/etc/freeradius# cat clients.conf
client ManagementNetwork {
ipaddr = 192.168.0.0 # ← 下のマスクとあわせて、...
netmask = 16
secret =RADIUS_SECRET # ← RADIUS用のシークレット...
}
root@VMradius01:/etc/freeradius# cat users
testuser Auth-Type:=Local , Cleartext-Password:="lginpsw...
$enab15$ Auth-Type:=Local , Cleartext-Password:="enblpsw...
147dc51cf0xx Auth-Type:=Local , Cleartext-Password:="147...
後述するが、MACアドレス認証用のユーザ名(つまりMACアドレ...
WLC設定の SECURITY → AAA → MAC Filtering の MAC Delimiter...
WLC設定の SECURITY → AAA → MAC Filtering の RADIUS Compat...
** Cisco WLC 設定 [#v80a9732]
*** RADIUSサーバ登録 [#k3f284c2]
SECURITY -> AAA -> RADIUS -> Authentication から New を選択
#ref(radius01.jpg,nowrap,有効化,50%)
IPアドレスとシークレットを入力し Apply をクリック
#ref(radius02.jpg,nowrap,有効化,50%)
*** SSID設定 [#t395699b]
WLANs -> CreateNew のドロップダウンメニューを選択し Go を...
#ref(wlan00.jpg,nowrap,有効化,50%)
ProfileName と SSID を入力し、Apply をクリック
#ref(wlan01.jpg,nowrap,有効化,50%)
Status を Enable とし、Interfaceにはユーザに割り当てるVLA...
設定していなければ、CONTROLLER -> Interface から新規に登...
Broadcast SSIDはステルス化する場合には、チェックをはずし...
#ref(wlan02.jpg,nowrap,有効化,50%)
Securityタブから、L2SecurityをNoneにし、MAC Filteringを有...
#ref(wlan03.jpg,nowrap,有効化,50%)
Securityタブから、AAA Serversから、前項で登録したRADIUSサ...
(ここでRADIUSサーバを登録しない場合には、ローカルのMACデ...
#ref(wlan04.jpg,nowrap,有効化,50%)
Advanceタブ内の FlexConnectの設定項目にてLocalSwitchingを...
#ref(wlan05.jpg,nowrap,有効化,50%)
*** FlexConnect設定 [#n71445d1]
Wireless -> ALL APs から 該当するAPをクリック
#ref(fc01.jpg,nowrap,有効化,50%)
GeneralタブのAPModeをlocalからFlexConnectに変更し、Apply...
(この時点でAPが自動的に再起動する)
#ref(fc02.jpg,nowrap,有効化,50%)
再起動の間に WIRELESS -> FlexConnectGroups から New をク...
#ref(fc03.jpg,nowrap,有効化,50%)
GroupNameに入力しApplyをクリック
#ref(fc04.jpg,nowrap,有効化,50%)
登録したGroupNameをクリック
#ref(fc05.jpg,nowrap,有効化,50%)
AddAPをクリック
#ref(fc06.jpg,nowrap,有効化,50%)
AddAPのSelect APs from ~ にチェックを入れるとFlexConnect...
#ref(fc07.jpg,nowrap,有効化,50%)
APNameのプルダウンメニュから該当するAPを選択し、Addをクリ...
#ref(fc08.jpg,nowrap,有効化,50%)
APが登録され、StatusがAssociatedとなっていることを確認す...
(APの再起動が完了していない場合には、しばらく待つ)
#ref(fc09.jpg,nowrap,有効化,50%)
無事にFlexConnectグループにAPが所属すると、 WIRELESS -> A...
#ref(fc10.jpg,nowrap,有効化,50%)
VLAN Support にチェックを入れ、NativeVLANIDにルータで設定...
#ref(fc11.jpg,nowrap,有効化,50%)
パワーインジェクタを利用している場合には、Advancedタブか...
#ref(fc12.jpg,nowrap,有効化,50%)
その後Advancedタブをクリックし、InjectorSwitchMACAddress...
#ref(fc13.jpg,nowrap,有効化,50%)
*** MAC Filtering設定 [#v371d216]
SECURITY -> AAA -> MAC Filtering をクリックし、RADIUS Com...
#ref(mf01.jpg,nowrap,有効化,50%)
SECURITY → AAA → MAC Filtering の MAC Delimiter によって...
-Colon~
d8:b1:2a:02:xx:xx
-Hyphen~
d8-b1-2a-02-xx-xx
-Single Hyphen~
d8b12a-02xxxx
-NoDelimiter~
d8b12a02xxxx
RADIUS Compatibility Mode によってフォーマットが異なる。~
-Cisco ACS~
Cleartext-PasswordはMACアドレスを記載(ユーザ名とパスワー...
-FreeRADIUS~
Cleartext-PasswordはRADIUSシークレットを記載
-Other~
Cleartext-Passwordは記載無し~
FreeRADIUSのユーザ設定がAuth-Type:=Acceptの場合には許可~
FreeRADIUSのユーザ設定がAuth-Type:=Rejectの場合には拒否と...
※どの方式でもAuth-Type:=Acceptの場合には許可、Rejectの場...
** 無線クライアント設定 [#n7070c2a]
設定は特に必要なし
SSIDはビーコンに含まれるため、自動的にリストアップされる。
* 動作確認 [#rdf24d4a]
** RADIUSサーバのログ確認 [#qef1a8cd]
root@VMradius01:/etc/freeradius# tailf /var/log/freeradi...
Mon Sep 8 22:28:12 2014 : Auth: Login OK: [147dc51cxxxx...
logを出力するためにあらかじめ、 /etc/freeradius/radiusd.c...
log{
auth = yes
auth_badpass = yes
auth_goodpass = yes
}
** DHCPサーバのログ確認 [#k2859d08]
root@VMdhcp01:~$ tailf /var/log/dhcpd.log
Sep 8 22:28:14 VMdhcp01 dhcpd: DHCPDISCOVER from 14:7d:...
Sep 8 22:28:15 VMdhcp01 dhcpd: DHCPREQUEST for 192.168....
~
~
#counter
ページ名: