LDAP を使用したローカル認証の設定

Lightweight Directory Access Protocol（LDAP）を使用したローカル認証を使用すると、LDAPをバックエンドとしたWeb認証、802.1X、MAC認証バイパス（MAB）を使用して、エンドポイントを認証することができます。 Identity-BasedNetworking Servicesのローカル認証でも、認証、許可、およびアカウンティング（AAA）属性リストとローカルユーザ名のリストの関連付けがサポートされます。このモジュールでは、Identity-BasedNetworking Servicesのローカル認証の設定に関する情報を提供します。

• 機能情報の確認, 1 ページ

• LDAPを使用したローカル認証に関する情報, 2 ページ

• LDAPを使用したローカル認証の設定方法, 2 ページ

• LDAPを使用したローカル認証の設定例, 6 ページ

• その他の関連資料 , 7 ページ

• LDAPを使用したローカル認証の機能情報, 8 ページ

機能情報の確認ご使用のソフトウェアリリースでは、このモジュールで説明されるすべての機能がサポートされ

ているとは限りません。最新の機能情報および警告については、Bug Search Toolおよびご使用のプラットフォームおよびソフトウェアリリースのリリースノートを参照してください。このモ

ジュールに記載されている機能の詳細を確認し、各機能がサポートされているリリースのリスト

を確認するには、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索

するには、Cisco Feature Navigatorを使用します。 Cisco Feature Navigatorにアクセスするには、www.cisco.com/go/cfnに移動します。 Cisco.comのアカウントは必要ありません。

Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE（Catalyst 3650スイッチ）

1

LDAP を使用したローカル認証に関する情報

LDAP を使用したローカル認証LDAPを使用したローカル認証を使用すると、LDAPをバックエンドとしたWeb認証、802.1X、MABを使用して、エンドポイントを認証することができます。ローカル認証は、ワイヤレスセッションのローカルユーザ名と属性リストを関連付けることで、追加の AAA属性をサポートします。

AES キーラップAdvanced Encryption Standards（AES）キーラップ機能は、コントローラと RADIUSサーバ間の共有秘密の安全性を強化します。AESキーラップは、Federal InformationProcessingStandards（FIPS）を使用するユーザのために設計されており、キーラップ準拠のRADIUS認証サーバを必要とします。

LDAP を使用したローカル認証の設定方法

LDAP を使用したローカル認証の設定ローカル認証に対して AAA方式のリストを指定し、属性リストをローカルユーザ名に関連付けるには、この作業を実行します。

手順の概要

1. enable2. configure terminal3. aaa local authentication {method-list-name | default} authorization {method-list-name | default}4. username name aaa attribute list aaa-attribute-list [password password]5. exit

手順の詳細

目的コマンドまたはアクション

特権 EXECモードをイネーブルにします。enable

例：Device> enable

ステップ 1

•パスワードを入力します（要求された場合）。

Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE（Catalyst3650 スイッチ）

2

LDAP を使用したローカル認証の設定LDAP を使用したローカル認証に関する情報

目的コマンドまたはアクション

グローバルコンフィギュレーションモードを開

始します。

configure terminal

例：Device# configure terminal

ステップ 2

LDAPサーバからのローカル認証および認可に使用する方式のリストを指定します。

aaa local authentication {method-list-name | default}authorization {method-list-name | default}

例：Device(config)# aaa local authenticationdefault authorization default

ステップ 3

ローカルユーザ名と AAA属性リストを関連付けます。

username name aaa attribute list aaa-attribute-list[password password]

例：Device(config)# username USER_1 aaa attributelist LOCAL_LIST password CISCO

ステップ 4

グローバルコンフィギュレーションモードを終

了し、特権 EXECモードに戻ります。exit

例：Device(config)# exit

ステップ 5

MAC フィルタリングサポートの設定MACフィルタリングをサポートするには、RADIUS互換モード、MACデリミタ、およびMACアドレスをユーザ名として設定し、この作業を実行します。

手順の概要

1. enable2. configure terminal3. aaa group server radius group-name4. subscriber mac-filtering security-mode {mac | none | shared-secret}5. mac-delimiter {colon | hyphen | none | single-hyphen}6. exit7. username mac-addressmac [aaa attribute list aaa-attribute-list]8. exit

Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE（Catalyst 3650スイッチ）

3

LDAP を使用したローカル認証の設定MAC フィルタリングサポートの設定

手順の詳細

目的コマンドまたはアクション

特権 EXECモードをイネーブルにします。enable

例：Device> enable

ステップ 1

•パスワードを入力します（要求された場合）。

グローバルコンフィギュレーションモードを開始し

ます。

configure terminal

例：Device# configure terminal

ステップ 2

各種の RADIUSサーバホストを別個のリストにグループ化します。

aaa group server radius group-name

例：Device(config)# aaa group server radiusRAD_GROUP1

ステップ 3

MACフィルタリングの RADIUS互換モードを指定します。

subscriber mac-filtering security-mode {mac |none | shared-secret}

例：Device(config-sg-radius)# subscribermac-filtering security-mode mac

ステップ 4

•デフォルト値は noneです。

RADIUS互換モードのMACデリミタを指定します。mac-delimiter {colon | hyphen | none |single-hyphen}

ステップ 5

•デフォルト値は noneです。

例：Device(config-sg-radius)# mac-delimiterhyphen

サーバグループコンフィギュレーションモードを

終了し、グローバルコンフィギュレーションモード

に戻ります。

exit

例：Device(config-sg-radius)# exit

ステップ 6

ローカルで実行されるMACフィルタリングのユーザ名としてMACアドレスを使用できるようにします。

username mac-addressmac [aaa attribute listaaa-attribute-list]

例：Device(config)# username 00-22-WP-EC-23-3Cmac aaa attribute list AAA_list1

ステップ 7

グローバルコンフィギュレーションモードを終了

し、特権 EXECモードに戻ります。exit

例：Device(config)# exit

ステップ 8

Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE（Catalyst3650 スイッチ）

4

LDAP を使用したローカル認証の設定MAC フィルタリングサポートの設定

AES キーラップのイネーブル化Advanced Encryption Standards（AES）キーラップは、コントローラと RADIUSサーバ間の共有秘密の安全性を強化します。 AESキーラップでは、キーラップ準拠の RADIUS認証サーバが必要です。

手順の概要

1. enable2. configure terminal3. radius-server host {hostname | ip-address} key-wrap encryption-key encryption-key

message-auth-code-key encryption-key [format {ascii | hex}]4. aaa group server radius group-name5. server ip-address [auth-port port-number] [acct-port port-number]6. key-wrap enable7. end

手順の詳細

目的コマンドまたはアクション

特権 EXECモードをイネーブルにします。enable

例：Device> enable

ステップ 1

•パスワードを入力します（要求された場合）。

グローバルコンフィギュレーションモードを

開始します。

configure terminal

例：Device# configure terminal

ステップ 2

RADIUSサーバホストを定義します。radius-server host {hostname | ip-address} key-wrapencryption-key encryption-keymessage-auth-code-keyencryption-key [format {ascii | hex}]

ステップ 3

例：Device(config)# radius-server host 10.10.1.2key-wrap encryption-key testkey99message-auth-code-key testkey123

各種の RADIUSサーバホストを別個のリストにグループ化します。

aaa group server radius group-name

例：Device(config)# aaa group server radiusRAD_GROUP1

ステップ 4

Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE（Catalyst 3650スイッチ）

5

LDAP を使用したローカル認証の設定AES キーラップのイネーブル化

目的コマンドまたはアクション

サーバグループの RADIUSサーバの IPアドレスを指定します。

server ip-address [auth-port port-number] [acct-portport-number]

例：Device(config-sg-radius)# server 10.10.1.2

ステップ 5

このRADIUSサーバのAESキーラップをイネーブルにします。

key-wrap enable

例：Device(config-sg-radius)# key-wrap enable

ステップ 6

サーバグループコンフィギュレーションモー

ドを終了し、特権 EXECモードに戻ります。end

例：Device(config-sg-radius)# end

ステップ 7

LDAP を使用したローカル認証の設定例

例：LDAP を使用したローカル認証の設定次の例は、ローカル認証の設定を示しています。

!username USER_1 password 0 CISCOusername USER_1 aaa attribute list LOCAL_LISTaaa new-modelaaa local authentication EAP_LIST authorization EAP_LIST!

例：MAC フィルタリングサポートの設定次の例は、MACフィルタリングの設定を示しています。username 00-22-WP-EC-23-3C mac aaa attribute list AAA_list1!aaa group server radius RAD_GROUP1subscriber mac-filtering security-mode macmac-delimiter hyphen

例：AES キーラップの設定次の例は、RADIUSサーバに対してイネーブル化されたキーラップの設定を示しています。aaa group server radius RAD_GROUP1server 10.10.1.2key-wrap enable

Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE（Catalyst3650 スイッチ）

6

LDAP を使用したローカル認証の設定LDAP を使用したローカル認証の設定例

!radius-server host 10.10.1.2!

その他の関連資料

関連資料

マニュアルタイトル関連項目

『Cisco IOS Master Command List, AllReleases』

Cisco IOSコマンド

『Cisco IOS Identity-Based NetworkingServices Command Reference』

Identity-Based Networking Servicesコマンド

『Cisco IOS IPAddressing Services CommandReference』

アドレス解決プロトコル（ARP）コマンド

『IP Addressing - ARP Configuration Guide』ARP設定作業

『Authentication Authorization and AccountingConfiguration Guide』

認証、許可、およびアカウンティング（AAA）の設定作業

『Cisco IOS Security Command Reference』AAAコマンド

標準および RFC

Title標準/RFC

『Dynamic Authorization Extensions to RADIUS』RFC 5176

テクニカルサポート

Link説明

http://www.cisco.com/cisco/web/support/index.html右の URLにアクセスして、シスコのテクニカルサポートを最大限に活用してください。こ

れらのリソースは、ソフトウェアをインストー

ルして設定したり、シスコの製品やテクノロ

ジーに関する技術的問題を解決したりするため

に使用してください。このWebサイト上のツールにアクセスする際は、Cisco.comのログインIDおよびパスワードが必要です。

Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE（Catalyst 3650スイッチ）

7

LDAP を使用したローカル認証の設定その他の関連資料

LDAP を使用したローカル認証の機能情報次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、特定の

ソフトウェアリリーストレインで各機能のサポートが導入されたときのソフトウェアリリース

のみを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリー

スでもサポートされます。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索

するには、Cisco Feature Navigatorを使用します。 Cisco Feature Navigatorにアクセスするには、www.cisco.com/go/cfnに移動します。 Cisco.comのアカウントは必要ありません。

表 1：LDAP を使用したローカル認証の機能情報

機能情報リリース機能名

Lightweight Directory Access Protocol（LDAP）を使用してローカル認証のサポートを導入します。

導入または変更されたコマンド：aaalocal authentication、key-wrap enable、mac-delimiter、radius-server host、subscriber mac-filteringsecurity-mode、username。

Cisco IOS XE Release3.2SE

LDAPを使用したローカル認証

Identity-Based Networking Services コンフィギュレーションガイド Cisco IOS XE Release 3SE（Catalyst3650 スイッチ）

8

LDAP を使用したローカル認証の設定LDAP を使用したローカル認証の機能情報