Post on 19-Jan-2021
LDAP を使用したローカル認証の設定
Lightweight Directory Access Protocol(LDAP)を使用したローカル認証を使用すると、LDAPをバックエンドとしたWeb認証、802.1X、MAC認証バイパス(MAB)を使用して、エンドポイントを認証することができます。 Identity-BasedNetworking Servicesのローカル認証でも、認証、許可、およびアカウンティング(AAA)属性リストとローカルユーザ名のリストの関連付けがサポートされます。このモジュールでは、Identity-BasedNetworking Servicesのローカル認証の設定に関する情報を提供します。
• 機能情報の確認, 1 ページ
• LDAPを使用したローカル認証に関する情報, 2 ページ
• LDAPを使用したローカル認証の設定方法, 2 ページ
• LDAPを使用したローカル認証の設定例, 6 ページ
• その他の関連資料 , 7 ページ
• LDAPを使用したローカル認証の機能情報, 8 ページ
機能情報の確認ご使用のソフトウェアリリースでは、このモジュールで説明されるすべての機能がサポートされ
ているとは限りません。最新の機能情報および警告については、Bug Search Toolおよびご使用のプラットフォームおよびソフトウェアリリースのリリースノートを参照してください。このモ
ジュールに記載されている機能の詳細を確認し、各機能がサポートされているリリースのリスト
を確認するには、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索
するには、Cisco Feature Navigatorを使用します。 Cisco Feature Navigatorにアクセスするには、www.cisco.com/go/cfnに移動します。 Cisco.comのアカウントは必要ありません。
Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE(Catalyst 3650スイッチ)
1
LDAP を使用したローカル認証に関する情報
LDAP を使用したローカル認証LDAPを使用したローカル認証を使用すると、LDAPをバックエンドとしたWeb認証、802.1X、MABを使用して、エンドポイントを認証することができます。ローカル認証は、ワイヤレスセッションのローカルユーザ名と属性リストを関連付けることで、追加の AAA属性をサポートします。
AES キーラップAdvanced Encryption Standards(AES)キーラップ機能は、コントローラと RADIUSサーバ間の共有秘密の安全性を強化します。AESキーラップは、Federal InformationProcessingStandards(FIPS)を使用するユーザのために設計されており、キーラップ準拠のRADIUS認証サーバを必要とします。
LDAP を使用したローカル認証の設定方法
LDAP を使用したローカル認証の設定ローカル認証に対して AAA方式のリストを指定し、属性リストをローカルユーザ名に関連付けるには、この作業を実行します。
手順の概要
1. enable2. configure terminal3. aaa local authentication {method-list-name | default} authorization {method-list-name | default}4. username name aaa attribute list aaa-attribute-list [password password]5. exit
手順の詳細
目的コマンドまたはアクション
特権 EXECモードをイネーブルにします。enable
例:Device> enable
ステップ 1
•パスワードを入力します(要求された場合)。
Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE(Catalyst3650 スイッチ)
2
LDAP を使用したローカル認証の設定LDAP を使用したローカル認証に関する情報
目的コマンドまたはアクション
グローバルコンフィギュレーションモードを開
始します。
configure terminal
例:Device# configure terminal
ステップ 2
LDAPサーバからのローカル認証および認可に使用する方式のリストを指定します。
aaa local authentication {method-list-name | default}authorization {method-list-name | default}
例:Device(config)# aaa local authenticationdefault authorization default
ステップ 3
ローカルユーザ名と AAA属性リストを関連付けます。
username name aaa attribute list aaa-attribute-list[password password]
例:Device(config)# username USER_1 aaa attributelist LOCAL_LIST password CISCO
ステップ 4
グローバルコンフィギュレーションモードを終
了し、特権 EXECモードに戻ります。exit
例:Device(config)# exit
ステップ 5
MAC フィルタリングサポートの設定MACフィルタリングをサポートするには、RADIUS互換モード、MACデリミタ、およびMACアドレスをユーザ名として設定し、この作業を実行します。
手順の概要
1. enable2. configure terminal3. aaa group server radius group-name4. subscriber mac-filtering security-mode {mac | none | shared-secret}5. mac-delimiter {colon | hyphen | none | single-hyphen}6. exit7. username mac-addressmac [aaa attribute list aaa-attribute-list]8. exit
Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE(Catalyst 3650スイッチ)
3
LDAP を使用したローカル認証の設定MAC フィルタリングサポートの設定
手順の詳細
目的コマンドまたはアクション
特権 EXECモードをイネーブルにします。enable
例:Device> enable
ステップ 1
•パスワードを入力します(要求された場合)。
グローバルコンフィギュレーションモードを開始し
ます。
configure terminal
例:Device# configure terminal
ステップ 2
各種の RADIUSサーバホストを別個のリストにグループ化します。
aaa group server radius group-name
例:Device(config)# aaa group server radiusRAD_GROUP1
ステップ 3
MACフィルタリングの RADIUS互換モードを指定します。
subscriber mac-filtering security-mode {mac |none | shared-secret}
例:Device(config-sg-radius)# subscribermac-filtering security-mode mac
ステップ 4
•デフォルト値は noneです。
RADIUS互換モードのMACデリミタを指定します。mac-delimiter {colon | hyphen | none |single-hyphen}
ステップ 5
•デフォルト値は noneです。
例:Device(config-sg-radius)# mac-delimiterhyphen
サーバグループコンフィギュレーションモードを
終了し、グローバルコンフィギュレーションモード
に戻ります。
exit
例:Device(config-sg-radius)# exit
ステップ 6
ローカルで実行されるMACフィルタリングのユーザ名としてMACアドレスを使用できるようにします。
username mac-addressmac [aaa attribute listaaa-attribute-list]
例:Device(config)# username 00-22-WP-EC-23-3Cmac aaa attribute list AAA_list1
ステップ 7
グローバルコンフィギュレーションモードを終了
し、特権 EXECモードに戻ります。exit
例:Device(config)# exit
ステップ 8
Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE(Catalyst3650 スイッチ)
4
LDAP を使用したローカル認証の設定MAC フィルタリングサポートの設定
AES キーラップのイネーブル化Advanced Encryption Standards(AES)キーラップは、コントローラと RADIUSサーバ間の共有秘密の安全性を強化します。 AESキーラップでは、キーラップ準拠の RADIUS認証サーバが必要です。
手順の概要
1. enable2. configure terminal3. radius-server host {hostname | ip-address} key-wrap encryption-key encryption-key
message-auth-code-key encryption-key [format {ascii | hex}]4. aaa group server radius group-name5. server ip-address [auth-port port-number] [acct-port port-number]6. key-wrap enable7. end
手順の詳細
目的コマンドまたはアクション
特権 EXECモードをイネーブルにします。enable
例:Device> enable
ステップ 1
•パスワードを入力します(要求された場合)。
グローバルコンフィギュレーションモードを
開始します。
configure terminal
例:Device# configure terminal
ステップ 2
RADIUSサーバホストを定義します。radius-server host {hostname | ip-address} key-wrapencryption-key encryption-keymessage-auth-code-keyencryption-key [format {ascii | hex}]
ステップ 3
例:Device(config)# radius-server host 10.10.1.2key-wrap encryption-key testkey99message-auth-code-key testkey123
各種の RADIUSサーバホストを別個のリストにグループ化します。
aaa group server radius group-name
例:Device(config)# aaa group server radiusRAD_GROUP1
ステップ 4
Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE(Catalyst 3650スイッチ)
5
LDAP を使用したローカル認証の設定AES キーラップのイネーブル化
目的コマンドまたはアクション
サーバグループの RADIUSサーバの IPアドレスを指定します。
server ip-address [auth-port port-number] [acct-portport-number]
例:Device(config-sg-radius)# server 10.10.1.2
ステップ 5
このRADIUSサーバのAESキーラップをイネーブルにします。
key-wrap enable
例:Device(config-sg-radius)# key-wrap enable
ステップ 6
サーバグループコンフィギュレーションモー
ドを終了し、特権 EXECモードに戻ります。end
例:Device(config-sg-radius)# end
ステップ 7
LDAP を使用したローカル認証の設定例
例:LDAP を使用したローカル認証の設定次の例は、ローカル認証の設定を示しています。
!username USER_1 password 0 CISCOusername USER_1 aaa attribute list LOCAL_LISTaaa new-modelaaa local authentication EAP_LIST authorization EAP_LIST!
例:MAC フィルタリングサポートの設定次の例は、MACフィルタリングの設定を示しています。username 00-22-WP-EC-23-3C mac aaa attribute list AAA_list1!aaa group server radius RAD_GROUP1subscriber mac-filtering security-mode macmac-delimiter hyphen
例:AES キーラップの設定次の例は、RADIUSサーバに対してイネーブル化されたキーラップの設定を示しています。aaa group server radius RAD_GROUP1server 10.10.1.2key-wrap enable
Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE(Catalyst3650 スイッチ)
6
LDAP を使用したローカル認証の設定LDAP を使用したローカル認証の設定例
!radius-server host 10.10.1.2!
その他の関連資料
関連資料
マニュアルタイトル関連項目
『Cisco IOS Master Command List, AllReleases』
Cisco IOSコマンド
『Cisco IOS Identity-Based NetworkingServices Command Reference』
Identity-Based Networking Servicesコマンド
『Cisco IOS IPAddressing Services CommandReference』
アドレス解決プロトコル(ARP)コマンド
『IP Addressing - ARP Configuration Guide』ARP設定作業
『Authentication Authorization and AccountingConfiguration Guide』
認証、許可、およびアカウンティング(AAA)の設定作業
『Cisco IOS Security Command Reference』AAAコマンド
標準および RFC
Title標準/RFC
『Dynamic Authorization Extensions to RADIUS』RFC 5176
テクニカルサポート
Link説明
http://www.cisco.com/cisco/web/support/index.html右の URLにアクセスして、シスコのテクニカルサポートを最大限に活用してください。こ
れらのリソースは、ソフトウェアをインストー
ルして設定したり、シスコの製品やテクノロ
ジーに関する技術的問題を解決したりするため
に使用してください。このWebサイト上のツールにアクセスする際は、Cisco.comのログインIDおよびパスワードが必要です。
Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE(Catalyst 3650スイッチ)
7
LDAP を使用したローカル認証の設定その他の関連資料
LDAP を使用したローカル認証の機能情報次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、特定の
ソフトウェアリリーストレインで各機能のサポートが導入されたときのソフトウェアリリース
のみを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリー
スでもサポートされます。
プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索
するには、Cisco Feature Navigatorを使用します。 Cisco Feature Navigatorにアクセスするには、www.cisco.com/go/cfnに移動します。 Cisco.comのアカウントは必要ありません。
表 1:LDAP を使用したローカル認証の機能情報
機能情報リリース機能名
Lightweight Directory Access Protocol(LDAP)を使用してローカル認証のサポートを導入します。
導入または変更されたコマンド:aaalocal authentication、key-wrap enable、mac-delimiter、radius-server host、subscriber mac-filteringsecurity-mode、username。
Cisco IOS XE Release3.2SE
LDAPを使用したローカル認証
Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE(Catalyst3650 スイッチ)
8
LDAP を使用したローカル認証の設定LDAP を使用したローカル認証の機能情報