captive-config















★RADIUSサーバ(同じRADIUSサーバで別の条件で認証させるために、nas-identifierを定義
!
aaa authentication-server radius "ad-radius-captive"
   host "10.0.1.100"
   key ********
   nas-identifier "CAPTIVE"
!
aaa server-group "radius-server-group-captive"
 auth-server ad-radius-captive
!

★captive認証の設定
aaa authentication captive-portal "L3auth-captive"
   default-role "authenticated"
   server-group "radius-server-group-captive"
!

★ユーザロールの作成
!
user-role UserRole-Captive
 captive-portal "L3auth-captive" ←作成したCaptiveを割り当てる
 access-list session logon-control ←captive認証するための最低限のACL割り当て
 access-list session captiveportal ←captive認証するための最低限のACL割り当て
!


★AAA profileの作成
aaa profile "AAA-profile-captive"
   initial-role "UserRole-Captive" ←認証前のroleで、Captiveと関連付けたUserRoleを割り当てる
   authentication-dot1x "default-psk" ←WPA2-PSKの設定をするときに必要
!

★SSID profileの作成
!
wlan ssid-profile "ssid-profile-captive"
   essid "aruba-ap-captive"
   opmode wpa2-psk-aes ←WEPだとセキュリティ的に不安。WAP2-PSKは設定したい。
   wpa-passphrase ********
!

★VirtualAPに、AAA profileとSSID profileを割り当てる
!
wlan virtual-ap "VirtuelAp2-captive"
   aaa-profile "AAA-profile-captive"
   ssid-profile "ssid-profile-captive"
!

★APgroupに、Captive用VirtualAPを割り当てる。
ap-group "APgroup1"
   virtual-ap "VirtualAP1"
   virtual-ap "VirtuelAp2-captive"
!

※メモ
WLCからRADIUSサーバに対しては、PAPで問い合わせしている。NPSをRADIUSとして使っている場合、GPOで「暗号化を元に戻せる状態でパスワードを保存する」を有効にしておかないと認証に失敗する。
plane-passwd









無効・未定義の場合、イベントビューアの出力はこんな感じ。
non-plain-passwd










キャプティブは、現状PAPのみ。(CHAPを使うオプションもあるが、メーカー非推奨なので使ってはならない。)