Cisco 認証サーバ

Cisco IEEE802.1x認証の設定方法

投稿日:2015年12月27日 更新日:

 

IEEE802.1x認証の設定方法、コンフィグについて記載します。

IEEE802.1x認証の説明は他サイトを見ればかなり詳しく載っていますので省きます。
が、コンフィグ解説する上で、最低限押さえておきたいものを載せておきます。

 

IEEE802.1x認証の構成要素

 

supplicant ・・・ 認証を行うクライアント。PCやネットワークプリンタなど
authentication server ・・・ 認証サーバ。Radiusサーバ
authenticator ・・・ 認証サーバとやり取りをおこなうネットワーク機器。スイッチやアクセスポイントなど

dot1x_認証の構成要素

 

認証の種類について

 

802.1x認証・・・証明書を使った認証方法
Mac認証 ・・・MACアドレスによる認証
Web認証 ・・・Webブラウザを起動にログイン、パスワードなどで認証する。

 

基本的に、802.1x認証を使用し、Mac認証は802.1x認証が使えない機器に使用(ネットワークプリンタなど)します。Web認証は使ったことありません…

あと、「multi-auth」って概念が出てきますが、
これは、authenticator(認証サーバとやりとりをするスイッチなど)から、
さらに島ハブなどでつながれた複数のsupplicant(PC端末など)でも、
認証できるというものです。

図でいうとこんな感じ。

dot1x_multi auth

こんな状態でも、スイッチにmulti-authの設定をすれば、
各端末は認証が行えます。

スイッチによって、multi-auth対応、未対応というのがありますので、
機器選定の際には確認しておきたいところです。

 

802.1x認証の設定方法・サンプルコンフィグ

では、以下、ciscoスイッチのサンプルコンフィグです。

(config)# aaa new-model

(config)# aaa authentication login default line
///(任意)この機器にtelnetするにも、Radiusへ問い合わせにいっちゃうのでこの設定を入れることで問い合わせに行かないようになる。
(config)# aaa authentication enable default enable
///enable モードに移行する際に「password required but none set」の表示をされなくする。
(config)# aaa authentication dot1x default group radius
///802.1X認証をRADIUSサーバに問い合わせする。

(config)#dot1x system-auth-control

(config)#interface GigabitEthernet1/0/1
(config-if)# switchport mode access
(config-if)# switchport access vlan 10
(config-if)# authentication host-mode multi-auth
///multiauth モードをenableにする。(multiauth モードは下記で説明)
(config-if)# authentication order dot1x mab
///IEEE802.1x認証とMACアドレス認証の認証へ行く順を決定する。
(config-if)# authentication port-control auto
///(必須)このポートで認証をenableにしている。
(config-if)# mab
///MACアドレス認証をenableにする。
(config-if)# dot1x pae authenticator
///(必須)IEEE802.1x認証をenableにする。
(config-if)# dot1x timeout tx-period 20
///スイッチから端末に向けたEAPパケット(RADIUS認証に使用)に対して、端末から返答が返ってこない場合のtimeout値
(config-if)# spanning-tree portfast
///クライアント用ポートなのでportfastをenableにする。

(config)#radius-server host 10.1.1.1 auth-port 1812 key xxxxxxxxxxxx
///RADIUSサーバを設定する。

 

上記は、スイッチの設定ですが、
ネットワークエンジニアでも、RADIUSの設定を行うことも多々あるかと思います。
実際、私もRADIUSサーバとして下記機器を触ったことがあります。

・IAS(Windows Server 2003)
・NPS(Windows Server 2008 R2)
・ACS、ISE(ciscoのRadiusサーバ)
・NetAttest EPS

そして、このあたりが
RADIUSサーバとして有名どころだと思います。

802.1x認証やRADIUS認証は、無線では必須の機能ですので、
ネットワークエンジニアとしておさえておきたいところです。







-Cisco, 認証サーバ
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

CiscoスイッチのTACACS+設定

  CiscoスイッチのTACACS+設定です。 (TACACS+サーバはACSを想定) telnetなどでリモートアクセスする際に、ローカルのパスワードではなく、外部認証サーバを用いて、認 …

Cisco WLCの冗長化時にAPのjoinができない

今回はWLCの冗長化時の動作についての説明となります。 既存のWLCへ新規APがjoinできないという問題が発生したので、 その時の現象についての内容となります。

HP ProCurveスイッチのTACACS+設定

  HP(ProCurve)のTACACS+設定についてです。 (TACACS+サーバはACS ver5を想定しています。) telnetなどでリモートアクセスする際に、ローカルのパスワード …

Cisco WLCのバックアップ・リストア方法

あらかじめ作業用端末PC上に3CDaemonなどのフリーのTFTPソフトを起動します。 知らなかったんですが、最近のバージョンからはHTTPでダウンロード・アップロードが可能になってました。 Cont …

Cisco 自立型APの設定方法

今回は、Ciscoの自立型APの設定方法です。   設定内容は下記 ・Ciscoの自立型APでIEEE802.1x認証 EAP-TLSを実施 ・電波は5GHz帯も2.4GHz帯も有効 ・端末はSSID …

ナナシ

ナナシ(30前後の男)



プロフィールはこちら