Cisco 認証サーバ

Cisco IEEE802.1x認証の設定方法

投稿日:2015年12月27日 更新日:

 

IEEE802.1x認証の設定方法、コンフィグについて記載します。

IEEE802.1x認証の説明は他サイトを見ればかなり詳しく載っていますので省きます。
が、コンフィグ解説する上で、最低限押さえておきたいものを載せておきます。

 

IEEE802.1x認証の構成要素

 

supplicant ・・・ 認証を行うクライアント。PCやネットワークプリンタなど
authentication server ・・・ 認証サーバ。Radiusサーバ
authenticator ・・・ 認証サーバとやり取りをおこなうネットワーク機器。スイッチやアクセスポイントなど

dot1x_認証の構成要素

 

認証の種類について

 

802.1X認証・・・証明書を使った認証方法
Mac認証 ・・・MACアドレスによる認証
Web認証 ・・・Webブラウザを起動にログイン、パスワードなどで認証する。

 

基本的に、802.1X認証を使用し、Mac認証は802.1X認証が使えない機器に使用(ネットワークプリンターなど)します。Web認証は使ったことありません…

あと、「multi-auth」って概念が出てきますが、
これは、authenticator(認証サーバとやりとりをするスイッチなど)から、
さらに島ハブなどでつながれた複数のsupplicant(PC端末など)でも、
認証できるというものです。

図でいうとこんな感じ。

dot1x_multi auth

こんな状態でも、スイッチにmulti-authの設定をすれば、
各端末は認証が行えます。

スイッチによって、multi-auth対応、未対応というのがありますので、
機器選定の際には確認しておきたいところです。

 

802.1X認証の設定方法・サンプルコンフィグ

では、以下、ciscoスイッチのサンプルコンフィグです。

(config)# aaa new-model

(config)# aaa authentication login default line
///(任意)この機器にtelnetするにも、Radiusへ問い合わせにいっちゃうのでこの設定を入れることで問い合わせに行かないようになる。
(config)# aaa authentication enable default enable
///enable モードに移行する際に「password required but none set」の表示をされなくする。
(config)# aaa authentication dot1x default group radius
///802.1X認証をRADIUSサーバに問い合わせする。

(config)#dot1x system-auth-control

(config)#interface GigabitEthernet1/0/1
(config-if)# switchport mode access
(config-if)# switchport access vlan 10
(config-if)# authentication host-mode multi-auth
///multiauth モードをenableにしています。(multiauth モードは下記で説明)
(config-if)# authentication order dot1x mab
///IEEE802.1x認証とMACアドレス認証の認証へ行く順を決定しています。
(config-if)# authentication port-control auto
///(必須)このポートで認証をenableにしている。
(config-if)# mab
///MACアドレス認証をenableにしています。
(config-if)# dot1x pae authenticator
///(必須)IEEE802.1x認証をenableにしている
(config-if)# dot1x timeout tx-period 20
///スイッチから端末に向けたEAPパケット(RADIUS認証に使用)に対して、端末から返答が返ってこない場合のtimeout値
(config-if)# spanning-tree portfast
///クライアント用ポートなのでportfastをenableにしている。

(config)#radius-server host 10.1.1.1 auth-port 1812 key xxxxxxxxxxxx
///RADIUSサーバを設定している。

 

上記は、スイッチの設定ですが、
ネットワークエンジニアでも、RADIUSの設定を行うことも多々あるかと思います。
実際、私もRADIUSサーバとして下記機器を触ったことがあります。(少しだけも含めて)

・IAS(Windows Server 2003)
・NPS(Windows Server 2008 R2)
・ACS、ISE(ciscoのRadiusサーバ)
・NetAttest EPS

そして、このあたりが
RADIUSサーバとして有名どころだと思います。

802.1x認証やRADIUS認証は何回も構築経験がありますが、
「認証」については、いまだに深くわかっていないところもあり、
ややこしい分野です。まだまだだなと毎回実感させられてしまいます。

 







-Cisco, 認証サーバ
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

CiscoスイッチのTACACS+設定

  CiscoスイッチのTACACS+設定です。 (TACACS+サーバはACSを想定) telnetなどでリモートアクセスする際に、ローカルのパスワードではなく、外部認証サーバを用いて、認 …

ApresiaLightFMシリーズのTACACS+設定

  ApresiaLightFMシリーズのTACACS+の設定について。 TACACS+サーバはCiscoのACS ver5を想定しています。   telnetなどでリモートアクセ …

Cisco ACS ver4.xとver5.xの違いについて

  ACSの勉強と構築する機会があったので、 今回はACS ver4.xとver5.xの違いを説明したいと思います。 ver4とver5の大きな違いは、 認証モデルとレプリケーションの違いで …

Ciscoルータ・スイッチをDHCPサーバとして設定する方法

  今回は、ciscoルータをDHCPサーバにするための設定方法を解説します。   実は、ルータだけでなく、L3機能を有していればDHCPサーバとして動かすことが可能なので、L3ス …

Cisco WLC country codeとAP型番の注意点

以前「Cisco WLCの冗長化時にAPのjoinができない」 という記事を書きましたが、 APがjoinできない問題は他にもあります。 上記の記事で取り上げた内容については、 最初、冗長化ができてい …

Sponsored Link