【Aruba ClearPass】EAP-PEAP 認証のサービスを設定する

インフラサーバ

はじめに

  • Aruba ClearPass Policy Manager にて EAP-PEAP 認証をするための設定例を記載します
  • 認証ソースについてはローカルユーザ認証とします

作業環境

  • 認証サーバ
    • Aruba ClearPass Policy Manager 6.7.X
  • オーセンティケータ
    • Cisco C891FJ-K9
    • バージョン:15.3(3)M5
  • サプリカント
    • Windows 10

検証構成

【ClearPass】EAP-PEAP 認証のための設定

以下の設定を行います。

  • デバイス設定
  • ローカルユーザ設定
  • サービス設定

デバイス設定

デバイス設定では、RADIUS オーセンティケータとなる機器を登録します。

[設定 » ネットワーク » デバイス] 画面にて [デバイスの追加] をクリックします。

以下の画面が表示されるため [デバイス] タブの各項目を設定し [Add] をクリックします。

  • 名前: デバイスの表示名
  • IPまたはサブネットアドレス: デバイスの IP アドレスまたは IP セグメント
  • RADIUSシークレット: RADIUS キー
  • ベンダー名: デバイスのベンダー

デバイス画面でデバイスが追加されていることを確認します。

ローカルユーザ設定

EPA-PEAP における認証で使用するユーザを設定します。

[設定 » ID » ローカルユーザー] 画面にて [ユーザーの追加] をクリックします。

以下の画面が表示されるため各項目を設定し [追加] をクリックします。

  • ユーザーID: ログイン時に使用するユーザー ID
  • 名前: 表示名
  • パスワード: ログインパスワード
  • ロール: ロール

ローカルユーザ―画面でユーザが追加されていることを確認します。

サービス設定

有線クライアントに対する EAP-PEAP 認証のサービスを設定します。

[設定 » サービス] 画面にて [サービスの追加] をクリックします。

サービスの設定画面が表示されるため、各タブの設定をしていきます。

サービスタブでは以下の通り設定します。

  • タイプ:
    • 有線クライアントで 802.1X を使用するため [802.1X Wired – Identity Only] を選択します
  • 名前: サービスの表示名を指定します

認証タブでは以下の通り設定します。

  • 認証方式: [EPA-PEAP] のみにします
    • 既存項目はクリックして選択後 Remove ボタンで削除可能
  • 認証ソース: [Local User Repository] を選択します

ロールタブではデフォルトのままとします。

エンフォースメントタブではデフォルトのままとします。

サマリータブで設定内容を確認した上で [保存] をクリックします。

サービスが追加されていることを確認します。
追加したサービスの順序が最後になっているため、順序を先頭へ変更します。
[順序変更] をクリックします。

以下の画面で、順序変更したい [Wired] EAP-PEAP をクリックし、一番上にマウスカーソルを移動してMove to 1st position と表示されている状態でクリックします。

以下画像のように対象サービスが一番上に移動したことを確認し [保存] をクリックします。

サービス一覧で順序が 1 になったことを確認します。

オーセンティケータ(Cisco)の設定

## 1. AAA の有効化
aaa new-model

## 2. RADIUS サーバの設定
radius server radsv
 address ipv4 10.1.10.60 auth-port 1812 acct-port 1813
 key radiuskey

## 3. RADIUS サーバグループの設定
aaa group server radius group-radius
 server name radsv

## 4. IEEE 802.1X 認証リストの設定
aaa authentication dot1x default group group-radius

## 5. グローバルでの IEEE 802.1X 認証の有効化
dot1x system-auth-control

## 6. クライアント接続ポートの設定
interface GigabitEthernet0
 # 6.1. アクセスポート設定
 switchport mode access
 switchport access vlan 111
 # 6.2. IEEE 802.1X 認証の有効化
 authentication port-control auto
 # 6.3. オーセンティケータとしてのみ動作させる設定
 dot1x pae authenticator

C9000シリーズでは、インターフェース設定での認証オーダの設定は必須です。設定していない場合、対象ポートに端末を接続しても認証動作が開始されません。

interface GigabitEthernet0
 authentication order dot1x

サプリカント(Windows 10)の設定

Wired AutoConfig サービスの起動

デフォルトでは停止しているため起動します。
必要に応じてスタートアップの種類を「自動」に設定します。

ネットワークアダプタでの認証設定

オーセンティケータに接続するネットワークアダプタのプロパティを開きます。

[認証] タブにて以下画像の通り設定します。

続けて以下の画像の通り設定します。

上画像のように設定すると、端末に LAN ケーブルを接続したときに以下のサインイン画面が表示されます。

[ログオンするたびに、この接続用の資格情報を使用する] にチェックを入れると、一度認証に成功した後は上のサインイン画面が表示されずに同じユーザ情報で自動でサインインします。

認証動作確認

端末に LAN ケーブル を接続すると以下の画面が表示されるためユーザ情報を入力します。

Windows 10 のコントロールパネルのアダプタ一覧画面の表示で状態を確認できます。

■認証試行中

■認証処理終了

※この画面だけでは認証成功したかどうかの判断はできないため通信試験や認証サーバのログ確認を行います

■認証失敗

オーセンティケータ(Cisco)のログ確認

  • show authentication sessions
Router#show authentication sessions

Interface      MAC Address     Method   Domain   Status         Session ID
Gi0            7085.c202.646d  dot1x    DATA     Authz Success  0A010AC9000000030064E4AC

Status が Authz Success となっていることから認証成功を確認できます。
※機器型番によっては Authz Success とは異なる表記になります

ClearPass のログ確認

[モニタリング » Live Monitoring » アクセス・トラッカー] 画面にてサービスの動作ログを確認できます。

Login Status が ACCEPT となっていることから認証成功を確認できます。

レコードをクリックするとより詳細なログを確認できます。

―――――――――――――

タイトルとURLをコピーしました