Cisco 認証サーバ

Cisco IEEE802.1x認証の設定方法

投稿日:2015年12月27日 更新日:

 

IEEE802.1x認証の設定方法、コンフィグについて記載します。

IEEE802.1x認証の説明は他サイトを見ればかなり詳しく載っていますので省きます。
が、コンフィグ解説する上で、最低限押さえておきたいものを載せておきます。

 

IEEE802.1x認証の構成要素

 

supplicant ・・・ 認証を行うクライアント。PCやネットワークプリンタなど
authentication server ・・・ 認証サーバ。Radiusサーバ
authenticator ・・・ 認証サーバとやり取りをおこなうネットワーク機器。スイッチやアクセスポイントなど

dot1x_認証の構成要素

 

認証の種類について

 

802.1X認証・・・証明書を使った認証方法
Mac認証 ・・・MACアドレスによる認証
Web認証 ・・・Webブラウザを起動にログイン、パスワードなどで認証する。

 

基本的に、802.1X認証を使用し、Mac認証は802.1X認証が使えない機器に使用(ネットワークプリンターなど)します。Web認証は使ったことありません…

あと、「multi-auth」って概念が出てきますが、
これは、authenticator(認証サーバとやりとりをするスイッチなど)から、
さらに島ハブなどでつながれた複数のsupplicant(PC端末など)でも、
認証できるというものです。

図でいうとこんな感じ。

dot1x_multi auth

こんな状態でも、スイッチにmulti-authの設定をすれば、
各端末は認証が行えます。

スイッチによって、multi-auth対応、未対応というのがありますので、
機器選定の際には確認しておきたいところです。

 

802.1X認証の設定方法・サンプルコンフィグ

では、以下、ciscoスイッチのサンプルコンフィグです。

(config)# aaa new-model

(config)# aaa authentication login default line
///(任意)この機器にtelnetするにも、Radiusへ問い合わせにいっちゃうのでこの設定を入れることで問い合わせに行かないようになる。
(config)# aaa authentication enable default enable
///enable モードに移行する際に「password required but none set」の表示をされなくする。
(config)# aaa authentication dot1x default group radius
///802.1X認証をRADIUSサーバに問い合わせする。

(config)#dot1x system-auth-control

(config)#interface GigabitEthernet1/0/1
(config-if)# switchport mode access
(config-if)# switchport access vlan 10
(config-if)# authentication host-mode multi-auth
///multiauth モードをenableにしています。(multiauth モードは下記で説明)
(config-if)# authentication order dot1x mab
///IEEE802.1x認証とMACアドレス認証の認証へ行く順を決定しています。
(config-if)# authentication port-control auto
///(必須)このポートで認証をenableにしている。
(config-if)# mab
///MACアドレス認証をenableにしています。
(config-if)# dot1x pae authenticator
///(必須)IEEE802.1x認証をenableにしている
(config-if)# dot1x timeout tx-period 20
///スイッチから端末に向けたEAPパケット(RADIUS認証に使用)に対して、端末から返答が返ってこない場合のtimeout値
(config-if)# spanning-tree portfast
///クライアント用ポートなのでportfastをenableにしている。

(config)#radius-server host 10.1.1.1 auth-port 1812 key xxxxxxxxxxxx
///RADIUSサーバを設定している。

 

上記は、スイッチの設定ですが、
ネットワークエンジニアでも、RADIUSの設定を行うことも多々あるかと思います。
実際、私もRADIUSサーバとして下記機器を触ったことがあります。(少しだけも含めて)

・IAS(Windows Server 2003)
・NPS(Windows Server 2008 R2)
・ACS、ISE(ciscoのRadiusサーバ)
・NetAttest EPS

そして、このあたりが
RADIUSサーバとして有名どころだと思います。

802.1x認証やRADIUS認証は何回も構築経験がありますが、
「認証」については、いまだに深くわかっていないところもあり、
ややこしい分野です。まだまだだなと毎回実感させられてしまいます。

 







-Cisco, 認証サーバ
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

Ciscoインターネットルータ設定方法(コンフィグ),アクセスリストの設定

今回は、ciscoルータ(Cisco 892J想定)をインターネットルータとして使う際の サンプルコンフィグを記載します。(PPPoEの設定がメインです。)   その前にPPPoEとは →  …

PaloaltoのRADIUS設定

  PaloaltoのRadius設定についてです。 (RadiusサーバはACS ver5を想定しています。)   telnetなどでリモートアクセスする際に、ローカルのパスワー …

Cisco Catalyst6500/4500 VSSの設定方法

  VSS(Virtual Switching System)とはCatalyst6500や4500で使用する技術で、 2台の機器を1代台の機器に見せる技術です。Catalyst Catal …

SSGのTACACS+設定

  SSG のTACACS+設定についてです。 (TACACS+サーバはACS ver5を想定しています。)   telnetなどでリモートアクセスする際に、ローカルのパスワードで …

PPPoEとは?ciscoルータによる拠点間VPNの設定方法

  今回は、ciscoルータのPPPoEのコンフィグについて ですが、まずはPPPoEってそもそもなにというところから。 PPPoEというのは、PPP over Ethernetの略で、 深 …

Sponsored Link