|
◆ Cisco Secure ACS - IEEE802.1X認証( PEAP-MS-CHAPv2 )
IEEE802.1X認証といえば、一般的にEAP-TLSまたはPEAP-MS-CHAPv2を使用することが多いのですが
今回はPEAP-MS-CHAPv2を使用したIEEE802.1X認証の設定方法を紹介します。なお、ここで紹介する
ACSの設定は、ユーザアカウントにACS内部のローカルデータベースではなく外部のADを使用する方法。
◆ Cisco Secure ACS - ACSが外部ADと連携するための認証設定(Authentication)
外部データベースにActive Directoryを使用するということは、ACSとADが連携を取れている必要があります。
現在、ACSとADとが連携を取れているかどうかは以下の「Test Connection」をクリックすることで確認する
ことが出来ます。しかし、このTest Connectionの結果出力はレスポンスが悪いです。また、操作している
クライアントPCのブラウザのセキュリティを最低レベルまで弱めないと結果が表示されない場合もあります。
※ 結果が表示されない理由には「ブラウザ側の問題」または「セキュリティソフトの問題」などもあります。
従って、ACSにログインしてADへのPING応答を確認して、nslookupコマンドによって名前解決が出来れば
基本的には問題ないと言えますが、次の点に注意して下さい。この画面で入力するユーザ名とパスワードは
AD側で登録されている必要があり、登録されているユーザ名は管理者権限(admin)である必要があります。
また、ADとACSのクロックはほぼ同じ時刻(誤差数分)である必要があります。ACSでのclock timezone
とNTPサーバの設定方法は以下の通りです。JSTではなくて Asia/Tokyo なのです。JSTではないので注意。
ACS01/admin(config)# clock timezone Asia/Tokyo
ACS01/admin(config)# ntp server 10.1.1.254
また、ブラウザのポップアップで「 success 」と確認ができなくても、この画面の一番下のConnectivity
Statusで Joined to Domain が表示されて、Connectivity Statusが CONNECTED であることは要確認。
※ ACSと連携するADとなるWindows Server上で"netstat"を実行して"ESTABLISHED"であるかを確認。
ACSとADが連携を取れていることは次の画面でも分かります。Selectを選択すると、LDAPプロトコルにより
そのADが保持しているセキュリティグループを確認できます。「Select」を押して何も表示されない場合は
ACSとADの連携が上手くいっていません。さて、単純に全てのユーザにIEEE802.1X認証を行いたいだけなら
全てのユーザが所属する Domain Users のセキュリティグループを選択すればいいだけです。ユーザごとに
ダイナミックVLANなどを適用したい場合は、AD上でセキュリティグループを複数作成してそれらのグループ
をここでSelectする必要があります。また、1つのドメイン配下に信頼関係のある複数のドメインが存在しても
それらが1つのフォレストである場合、test.comと ACS が連携出来ていればその配下のexam.comとも連携
することができます。但し、LDAPではexam.comの情報まで拾えないので、静的に定義する必要があります。
test.com/Users/Domain Users ← これは「Select」ボタンから動的に定義できる。
exam.com/Users/Domain Users ← これは「Group Name」で静的に書いて、Addボタンを選択する。
exam.com のActive Directoryのユーザ名を使用してログインするためには、exam.com と test.com と同じフォレストであること。
設定完了後、Save Changeを選択します。さて、デフォルトでは下図のとおりネットワークアクセスに対して
Internal Usersを参照しています。これを Active Directory を参照するように設定変更する必要があります。
以下の設定によって、外部データベースにActive Directoryを使用したユーザ認証が行えるようになります。
|