Cisco Secure ACS - PEAP-MS-CHAPv2 - Part 1



 ◆ Cisco Secure ACS - IEEE802.1X認証( PEAP-MS-CHAPv2 )

 IEEE802.1X認証といえば、一般的に
EAP-TLSPEAP-MS-CHAPv2を使用することが多いのですが
 今回はPEAP-MS-CHAPv2を使用したIEEE802.1X認証の設定方法を紹介します。なお、ここで紹介する
 ACSの設定はユーザアカウントに外部のADではなくACS内部のローカルデータベースを使用する方法。



 ◆ Cisco Secure ACS - IEEE802.1X認証のための設定(ネットワーク機器)

 Cisco Secure ACSを使用して、IEEE802.X認証を行う場合のネットワーク機器の設定は以下のとおりです。
 以下の設定は、IEEE802.1X認証のクライアントPCがインターフェースF0/1に接続することを前提とします。

 
aaa new-model

 aaa authentication dot1x default group radius
 aaa authorization network default group radius

 dot1x system-auth-control

 radius-server host 10.1.1.1 auth-port 1812 acct-port 1813 key cisco

 interface FastEthernet0/1
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator



 ◆ Cisco Secure ACS - PEAP-MS-CHAPv2 - 認証設定

 ここで紹介する設定は、前回のCisco Secure ACSの設定( NW機器へのログイン認証のための設定 )が
 すでに存在することが前提です。前回の設定ですでに「C2960S-01」のデバイスをtacacs+クライアントと
 して登録していたので、このデバイスをradiusクライアントとして動作させるよう、以下の通り RADIUS の
 部分にもチェックをします。そして、ネットワーク機器で設定した同じ Shared Secret の値を入力します。

 



 次に「Access Policies」⇒「Default Network Access」の順番で「Allowed Protocols」のタブを選択。

 



 デフォルトでは、色々なプロトコルが許可されているので、無駄なチェックを外します。今回のIEEE802.1X
 認証では、PEAP-MS-CHAPv2を使用することから、以下の通りに選択して最後に「Submit」を選択します。

             



 続いて、クライアントPCがIEEE802.1X認証の際に入力するユーザ名とパスワードの設定を行います。現在の
 設定ではネットワーク機器のログイン用のユーザとしてadmin-userというユーザ名を作成しています。また、
 admin-userはadmin-groupsに所属させています。今回は、IEEE802.1X認証用のユーザとしてcheck1という
 ユーザを作成して、check1はuser-groupsというグループに所属させるために user-groups を作成ましょう。
 今回の場合は前回の手順とは設定順序が異なりますが、先ずグループを作成して、次にユーザを作成します。

 


 


 次に「Users and Identity Stores」⇒「Internal Identity Stores」⇒「Users」で、クライアントPC上の
 ログイン画面で入力するユーザ名とパスワードを作成するために「Create」を選択します。

 



 check1というユーザ名を入力した後、Identity Groupの項目で "Select" を選択して先ほど作成したグループ
 を指定します。パスワードは例えば cisco1234 入力します。以下の内容で最後に Submit を選択しましょう。
 
※ クライアントPCでもユーザ名:check1 パスワード:cisco1234 のWindowsログインアカウントを作成しておく必要があります。

 



Cisco Secure ACS 設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.