Novell eDirectory のデータベースに対する認証の Unified Wireless Network の設定

目次

はじめにテストされたトポロジーテストされるソリューションネットワーク トポロジ設定Novell eDirectory 設定WLC の設定クライアントの設定デバッグ関連情報

はじめに

K-12 教育領域では、eDirectory Novell の内で作成されるアカウントによって無線ユーザを認証する増加する必要がずっとあります。 K-12 環境の分散 性質が原因で、個々の学校は各サイトにRADIUSサーバを置くリソースがないかもしれませんでしたり望みますこれらの RADIUSサーバの設定の追加オーバーヘッドを。 これを達成する唯一の方法は LDAP の使用によってワイヤレスLAN コントローラ（WLC）と LDAPサーバの間で通信するのに行います。 Ciscoワイヤレス LANコントローラは Microsoft Active Directory のような外部 LDAP データベースに対してローカルEAP 認証をサポートします。 このホワイト ペーパーでは、フル機能の LDAP サーバとしてイネーブルにされた Novell の eDirectory に対してローカル EAP 認証用に設定されている Cisco WLCについて説明します。 注意するべき 1 警告–テストされたクライアントは 802.1X 認証を行うのに Cisco Aironet デスクトップ ユーティリティを使用していました。 Novell は現時点で現在 クライアントとの 802.1X をサポートしません。 その結果、クライアントによって、二段式ログインプロセスは行われる可能性があります。 これらの参照に注意して下さい:

Novell 802.1X 文

「現在、それらはログイン二度なります。 Novellクライアントがインストールされているとき802.1X ユーザ認証を許可するデスクトップが初期化される、それからそれらは「レッド N」ログオン ユーティリティを使用して Novellネットワークにログインなりますとき、ユーザはワークステーション 最初のログイン ダイアログのチェックボックスだけを使用してログインなり。 これは二段式ログオンと言われます」。

「ワークステーション ログオンだけ」への代替は高度ログイン設定で「最初の NovellLogin=Off」を使用するために Novellクライアントを設定することです（デフォルトは「最初のNovell Login=On」です）。 詳細については、Windows のための 802.1X 認証および Novellクライアントを参照して下さい 。

Meetinghouse Aeigs クライアント（Cisco Secure Services Client）のようなサード パーティ クライアントは Novell 技術パートナー二重ログオンを必要としないかもしれません。 詳細については、保護 SecureConnect を参照して下さい 。

Novellクライアントのためのもう一つの実行可能な回避策は実行されている Novell ジナ前のWLAN へのマシン（かユーザ）認証する（802.1X）を持つことです。

Novellクライアントおよび 802.1X の単一 サインのためにソリューションをテストすることはこの白書の範囲を超えてあります。

テストされたトポロジー

テストされるソリューション

6.0.188.0 ソフトウェアの Ciscoワイヤレス LAN コントローラ●

Cisco Aironet LWAPP AP 1242AG●

Cisco Aironet デスクトップ ユーティリティ 4.4 の Windows XP●

Novell eDirectory 8.8,5 の Windows サーバ 2003 年●

Novell ConsoleOne 1.3.6h （eDirectory 管理ユーティリティ）●

ネットワーク トポロジ

図 1

デバイス IP アドレスサブネット マスク

デフォルト ゲートウェイ

eDirectory Novell 192.168.3.3255.255.255.0

192.168.3.254

レイヤ 3 スイッチ 192.168.3.254255.255.255.0

-

APL3 スイッチからの DHCP によって割り当て

255.255.255.0

192.168.3.254

られるWLC マネージメントインターフェイスWLC AP マネージャインターフェイス

192.168.3.253192.168.3.252

255.255.255.0

192.168.3.254

設定

Novell eDirectory 設定

完全な Novell eDirectory インストールおよび設定はこの白書の範囲を超えてあります。eDirectory Novell は、また対応する LDAP コンポーネント インストールする必要があります。

必要なキー コンフィギュレーションパラメータが単純なパスワードがユーザアカウントのために有効に する必要があり、認証された LDAP が設定する必要があることです。 LDAP のためのTLS を使用する WLC コードの前のバージョンでサポートされました（4.2）; ただし、セキュアLDAP は Cisco WLAN コントローラ ソフトウェアでもはやサポートされません。

eDirectory の LDAPサーバ部分を設定した場合、ことを暗号化されていない LDAP ポート確かめて下さい（389） 有効に されます。 Novell iManager アプリケーションから図 2 参照して下さい。図 2

1.

eDirectory インストールの間に、それはツリーストラクチャをかドメイン名、先祖など頼みます eDirectory 既に、Novell の ConsoleOne インストールされています（図は 3）eDirectory 構造を表示するため容易なツールです。 適切なスキーマが WLC に通信を確立することを試みるときであるもの見つけることは重要です。 また WLC が LDAPサーバに認証されたバインドを行うようにするアカウントを作成してもらわなければなりません。 わかりやすくするために、この場合、Novell eDirecotry 管理者アカウントは認証されたバインドのために使用されます。図3

2.

LDAP グループがクリアテキスト パスワードを可能にすることを確認するためにConsoleOne を使用して下さい。図 4

3.

単純なパスワードが有効に なることことを OU の下で、セキュリティ設定確認して下さい4.

。図 5

Novell eDirectory 構造を表示することはブラウザである別の役に立つツールはデフォル トインストールと含んでいました。

図 6

WLC の設定

テスト ネットワークの物理トポロジーのために図 1 参照して下さい。 このテストで使用されたWLC は同じ サブネットの AP マネージャおよびマネージメントインターフェイス両方で標準的技法に従っておよび VLAN 観点からタグが付いていない設定されました。

図 7

設定ローカル EAP 認証: セキュリティ > ローカル EAP > 概要。標準デフォルトは変更されませんでした。図 8

1.

新しいローカル EAP プロファイルを作成して下さい: セキュリティ > ローカル EAP > プロファイル。このテストケースに関しては、選択されたローカル EAP Profile Name はeDirectory でした。 選択された認証方式は LEAP、EAP-FAST および PEAP でした; ただし、PEAP だけこの資料でテストされました。図 9

PEAP のためのローカル EAP 認証を設定するとき、WLC でインストールされる証明書がなければなりません。 この場合、テストの目的で、Cisco プレ インストール証明書は使用されました; ただし、顧客によって提供される証明書はまたインストールすることができます。 PEAP-GTC の使用にクライアント側の認証が必要となりません、内側の PEAP 方式のために必要であれば有効に することができます。図 10

2.

LDAP のための認証 優先順位を設定 して下さい: セキュリティ > ローカル EAP > 認証 優先順位。図 11

3.

WLC に LDAPサーバを追加して下さい: セキュリティ > AAA > LDAP。図 124.

新しい eDirecotry 使用するために WLC を設定して下さい（図 13 参照して下さい）:簡単なバインド方式のために認証されて選択して下さい。バインド ユーザ名を入力して下さい。WLC が eDirectory に結合 することができるように使用される eDirectory の内で作成されたこれはアカウントです。注: ユーザ名のための正しいディレクトリ属性を入力することを確かめて下さい。 このテストケースに関しては、「cn=Admin、o=ZION」は使用されました。バインド パスワードを入力して下さい。 これはバインド ユーザアカウントのためのパスワードです。ユーザベース DN を入力して下さい。 これは無線ユーザ ユーザー アカウントが見つけられるドメイン名です。 テストケースでは、ユーザは DN （o=Zion）のルートにいました。 彼らが他のグループ/組織の内で入り込む場合、カンマとともにそれらを連鎖して下さい（たとえば、「o=ZION、o=WLCUser」）。ユーザ属性を入力して下さい。 これは Common Name （CN）です（図を 6）参照して下さい。ユーザ オブジェクト オブジェクト・タイプ–これはユーザに設定 されます。図 13

5.

Novell eDirectory クライアントに使用してほしいこと WLAN を作成して下さい。 このテストケースに関しては、WLAN Profile Name は eDirectory であり、SSID は Novell です（図14 参照して下さい）。図 14

6.

WLAN を有効に し、適切な無線ポリシーを適用し、インターフェイスさせて下さい。 このテストケースに関しては、Novell SSID は 802.11a ネットワークのためにだけ有効に なり、マネージメントインターフェイスに接続しました。図 15

7.

適切なレイヤ2 セキュリティ設定を設定して下さい。 このテストケースに関しては、キー管理のための WPA+WPA2 セキュリティ、WPA2 ポリシー、AES 暗号化および 802.1X は選択されました。図 16

8.

ローカル EAP 認証 設定を完了するために、LDAPサーバを使用してローカル EAP 認証のための WLAN を設定して下さい:有効に なるローカル EAP 認証を選択し、作成された EAP プロファイルを適用して下さい（eDirectory）。LDAPサーバの下で、設定された eDirectoryサーバの IP アドレスを選択して下さい（192.168.3.3）。図 17

9.

クライアントの設定

PEAP-GTC は K-12 学校の大半のための現在の認証 要件です。 WLC はローカル EAP 認証のための MSCHAPv2 をサポートしません。 その結果、クライアントの EAP 認証型のための GTC を選択して下さい。

次の図は WLAN SSID Novell に接続するべき PEAP-GTC のための Cisco Aironet デスクトップ ユーティリティの設定のチュートリアルです。 同じようなコンフィギュレーションは PEAP-GTCサポートの Microsoft ネイティブ クライアントと実現します。

クライアント Profile Name および SSID （Novell）を設定して下さい。図 181.

EAP 型のセキュリティおよび PEAP （EAP-GTC）のために『WPA/WPA2/CCKM』 を選択して下さい。図 19

2.

設定 PEAP-GTC:検証しますサーバ識別およびスタティック パスワードを選択して下さい。アカウントのためのユーザ名 および パスワードを入力すればサプリカントはログオンで資格情報のためにプロンプト表示します。これが必要とならないように、<ANY> Novell ディレクトリ スキーマで入力しないで下さい。図 20

3.

プロファイルが完了したら、それをアクティブにすれば認証プロセスは開始される必要があります。図 21

4.

図 22 PEAP-GTC によって正常なアソシエーションおよび認証を描写します。

図 22

デバッグ

認証された BIND、またユーザ認証を行えることを確認するために eDirectory のためのこれらのトレース オプションを有効に して下さい:

認証●

LDAP●

NMAS●

図 23

デバッグに示すように、正常な LDAP認証応答は 192.168.3.253 のワイヤレス LAN コントローラに提供されます:

LDAP : (192.168.3.253:36802)(0x0020:0x63) DoSearch on connection

0x34367d0

LDAP : (192.168.3.253:36802)(0x0020:0x63) Search request:

base: "o=ZION"

scope:2 dereference:0 sizelimit:0 timelimit:5 attrsonly:0

filter: "(&(objectclass=user)(cn=sorr))"

attribute: "dn"

attribute: "userPassword"

Auth : Starting SEV calculation for conn 23, entry .sorr.ZION.ZION..

Auth : 1 GlobalGetSEV.

Auth : 4 GlobalGetSEV succeeded.

Auth : SEV calculation complete for conn 23, (0:0 s:ms).

LDAP : (192.168.3.253:36802)(0x0020:0x63) Sending search result entry

"cn=sorr,o=ZION" to connection 0x34367d0

LDAP : (192.168.3.253:36802)(0x0020:0x63) Sending operation result 0:"":"" to

connection 0x34367d0

LDAP : (192.168.3.253:36802)(0x0021:0x63) DoSearch on connection 0x34367d0

LDAP : (192.168.3.253:36802)(0x0021:0x63) Search request:

base: "o=ZION"

scope:2 dereference:0 sizelimit:0 timelimit:5 attrsonly:0

filter: "(&(objectclass=user)(cn=sorr))"

attribute: "dn"

attribute: "userPassword"

LDAP : (192.168.3.253:36802)(0x0021:0x63) Sending search result entry

"cn=sorr,o=ZION" to connection 0x34367d0

LDAP : (192.168.3.253:36802)(0x0021:0x63) Sending operation result 0:"":"" to

connection 0x34367d0

LDAP : (192.168.3.253:36802)(0x0022:0x60) DoBind on connection 0x34367d0

LDAP : (192.168.3.253:36802)(0x0022:0x60) Bind name:cn=sorr,o=ZION, version:3,

authentication:simple

Auth : [0000804d] <.sorr.ZION.ZION.> LocalLoginRequest. Error success, conn:

22.

LDAP : (192.168.3.253:36802)(0x0022:0x60) Sending operation result 0:"":"" to

connection 0x34367d0

Auth : UpdateLoginAttributesThread page 1 processed 1 login in 0 milliseconds

注: スペースの制約があるため、このデバッグの出力行の一部が省略されています。

WLC が eDirectory サーバに認証の成功 要求を作っていることを確認するために、WLC のこれらの debug コマンドを発行して下さい:

debug aaa ldap enable

debug aaa local-auth eap method events enable

debug aaa local-auth db enable

認証の成功からの出力例:

*Dec 23 16:57:04.267: LOCAL_AUTH: (EAP) Sending password verify request profile

'sorr' to LDAP

*Dec 23 16:57:04.267: AuthenticationRequest: 0xcdb6d54

*Dec 23 16:57:04.267: Callback.....................................0x84cab60

*Dec 23 16:57:04.267: protocolType.................................0x00100002

*Dec 23 16:57:04.267: proxyState...................................

00:40:96:A6:D6:CB-00:00

*Dec 23 16:57:04.267: Packet contains 3 AVPs (not shown)

*Dec 23 16:57:04.267: EAP-AUTH-EVENT: Waiting for asynchronous reply from LL

*Dec 23 16:57:04.267: EAP-AUTH-EVENT: Waiting for asynchronous reply from LL

*Dec 23 16:57:04.267: EAP-AUTH-EVENT: Waiting for asynchronous reply from method

*Dec 23 16:57:04.267: ldapTask [1] received msg 'REQUEST' (2) in state

'CONNECTED' (3)

*Dec 23 16:57:04.267: disabled LDAP_OPT_REFERRALS

*Dec 23 16:57:04.267: LDAP_CLIENT: UID Search (base=o=ZION,

pattern=(&(objectclass=user)(cn=sorr)))

*Dec 23 16:57:04.269: LDAP_CLIENT: ldap_search_ext_s returns 0 85

*Dec 23 16:57:04.269: LDAP_CLIENT: Returned 2 msgs including 0 references

*Dec 23 16:57:04.269: LDAP_CLIENT: Returned msg 1 type 0x64

*Dec 23 16:57:04.269: LDAP_CLIENT: Received 1 attributes in search entry msg

*Dec 23 16:57:04.269: LDAP_CLIENT: Returned msg 2 type 0x65

*Dec 23 16:57:04.269: LDAP_CLIENT : No matched DN

*Dec 23 16:57:04.269: LDAP_CLIENT : Check result error 0 rc 1013

*Dec 23 16:57:04.269: LDAP_CLIENT: Received no referrals in search result msg

*Dec 23 16:57:04.269: ldapAuthRequest [1] called lcapi_query base="o=ZION"

type="user" attr="cn" user="sorr" (rc = 0 - Success)

*Dec 23 16:57:04.269: Attempting user bind with username cn=sorr,o=ZION

*Dec 23 16:57:04.273: LDAP ATTR> dn = cn=sorr,o=ZION (size 14)

*Dec 23 16:57:04.273: Handling LDAP response Success

*Dec 23 16:57:04.274: LOCAL_AUTH: Found context matching MAC address - 448

*Dec 23 16:57:04.274: LOCAL_AUTH: (EAP:448) Password verify credential callback

invoked

*Dec 23 16:57:04.274: eap_gtc.c-TX-AUTH-PAK:

*Dec 23 16:57:04.274: eap_core.c:1484: Code:SUCCESS ID:0x 8 Length:0x0004

Type:GTC

*Dec 23 16:57:04.274: EAP-EVENT: Received event 'EAP_METHOD_REPLY' on handle

0xBB000075

*Dec 23 16:57:04.274: EAP-AUTH-EVENT: Handling asynchronous method response for

context 0xBB000075

*Dec 23 16:57:04.274: EAP-AUTH-EVENT: EAP method state: Done

*Dec 23 16:57:04.274: EAP-AUTH-EVENT: EAP method decision: Unconditional Success

*Dec 23 16:57:04.274: EAP-EVENT: Sending method directive 'Free Context' on

handle 0xBB000075

*Dec 23 16:57:04.274: eap_gtc.c-EVENT: Free context

*Dec 23 16:57:04.274: id_manager.c-AUTH-SM: Entry deleted fine id 68000002 -

id_delete

*Dec 23 16:57:04.274: EAP-EVENT: Sending lower layer event 'EAP_SUCCESS' on

handle 0xBB000075

*Dec 23 16:57:04.274: peap_inner_method.c-AUTH-EVENT: EAP_SUCCESS from inner

method GTC

*Dec 23 16:57:04.278: LOCAL_AUTH: EAP: Received an auth request

*Dec 23 16:57:04.278: LOCAL_AUTH: Found context matching MAC address - 448

*Dec 23 16:57:04.278: LOCAL_AUTH: (EAP:448) Sending the Rxd EAP packet (id 9) to

EAP subsys

*Dec 23 16:57:04.280: LOCAL_AUTH: Found matching context for id - 448

*Dec 23 16:57:04.280: LOCAL_AUTH: (EAP:448) ---> [KEY AVAIL] send_len 64,

recv_len 64

*Dec 23 16:57:04.280: LOCAL_AUTH: (EAP:448) received keys waiting for success

*Dec 23 16:57:04.280: EAP-EVENT: Sending lower layer event 'EAP_SUCCESS' on

handle 0xEE000074

*Dec 23 16:57:04.281: LOCAL_AUTH: Found matching context for id - 448

*Dec 23 16:57:04.281: LOCAL_AUTH: (EAP:448) Received success event

*Dec 23 16:57:04.281: LOCAL_AUTH: (EAP:448) Processing keys success

*Dec 23 16:57:04.281: 00:40:96:a6:d6:cb [BE-resp] AAA response 'Success'

*Dec 23 16:57:04.281: 00:40:96:a6:d6:cb [BE-resp] Returning AAA response

*Dec 23 16:57:04.281: 00:40:96:a6:d6:cb AAA Message 'Success' received for

mobile 00:40:96:a6:d6:cb

注: いくつかの出力の行は領域ずっと制約がラップされた原因です。

より多くの K-12 学校が Cisco WLAN アーキテクチャを採用するので、eDirectory Novell に無線ユーザ 認証をサポートする増加する必要があります。 この用紙はローカル EAP 認証のために設定されたとき Cisco WLC が Novell の eDirectory LDAP データベースに対してユーザを認証でき

ることを確認しました。 同じような設定はまた eDirectory Novell へのユーザを認証する CiscoSecure ACS とすることができます。 より詳しい調査は Cisco Secure Services Client およびMicrosoft Windows ゼロ設定のような他の WLANクライアントの単一 サインのためにする必要があります。

関連情報

ワイヤレス LAN コントローラでの EAP-FAST および LDAP サーバを使用したローカル EAP認証の設定例

●

Unified Wireless Network ローカル EAP サーバの設定例●

ワイヤレス LAN コントローラおよび外部 RADIUS サーバを使用する EAP-FAST 認証の設定例

●

テクニカル サポートとドキュメント – Cisco Systems●