|
◆ Cisco Secure ACS - IEEE802.1X認証( PEAP-MS-CHAPv2 )
IEEE802.1X認証といえば、一般的にEAP-TLSかPEAP-MS-CHAPv2を使用することが多いのですが
今回はPEAP-MS-CHAPv2を使用したIEEE802.1X認証の設定方法を紹介します。なお、ここで紹介する
ACSの設定はユーザアカウントに外部のADではなくACS内部のローカルデータベースを使用する方法。
◆ Cisco Secure ACS - IEEE802.1X認証のための設定(ネットワーク機器)
Cisco Secure ACSを使用して、IEEE802.X認証を行う場合のネットワーク機器の設定は以下のとおりです。
以下の設定は、IEEE802.1X認証のクライアントPCがインターフェースF0/1に接続することを前提とします。
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
radius-server host 10.1.1.1 auth-port 1812 acct-port 1813 key cisco
interface FastEthernet0/1
switchport mode access
authentication port-control auto
dot1x pae authenticator
◆ Cisco Secure ACS - PEAP-MS-CHAPv2 - 認証設定
ここで紹介する設定は、前回のCisco Secure ACSの設定( NW機器へのログイン認証のための設定 )が
すでに存在することが前提です。前回の設定ですでに「C2960S-01」のデバイスをtacacs+クライアントと
して登録していたので、このデバイスをradiusクライアントとして動作させるよう、以下の通り RADIUS の
部分にもチェックをします。そして、ネットワーク機器で設定した同じ Shared Secret の値を入力します。
次に「Access Policies」⇒「Default Network Access」の順番で「Allowed Protocols」のタブを選択。
デフォルトでは、色々なプロトコルが許可されているので、無駄なチェックを外します。今回のIEEE802.1X
認証では、PEAP-MS-CHAPv2を使用することから、以下の通りに選択して最後に「Submit」を選択します。
続いて、クライアントPCがIEEE802.1X認証の際に入力するユーザ名とパスワードの設定を行います。現在の
設定ではネットワーク機器のログイン用のユーザとしてadmin-userというユーザ名を作成しています。また、
admin-userはadmin-groupsに所属させています。今回は、IEEE802.1X認証用のユーザとしてcheck1という
ユーザを作成して、check1はuser-groupsというグループに所属させるために user-groups を作成ましょう。
今回の場合は前回の手順とは設定順序が異なりますが、先ずグループを作成して、次にユーザを作成します。
次に「Users and Identity Stores」⇒「Internal Identity Stores」⇒「Users」で、クライアントPC上の
ログイン画面で入力するユーザ名とパスワードを作成するために「Create」を選択します。
check1というユーザ名を入力した後、Identity Groupの項目で "Select" を選択して先ほど作成したグループ
を指定します。パスワードは例えば cisco1234 入力します。以下の内容で最後に Submit を選択しましょう。
※ クライアントPCでもユーザ名:check1 パスワード:cisco1234 のWindowsログインアカウントを作成しておく必要があります。
|