AAA Profileの設定 [CLI]

AAA Profileの設定

CLIの設定  一部の設定を紹介する。 ※内容は要確認

(config) # aaa profile “wpa2-psk”
(AAA Profile ” wpa2-psk “) # initial-role authenticated ←ユーザ認証前にアサインされるRole を指定
(AAA Profile ” wpa2-psk “) # authentication-dot1x “default-psk” ←WPA2-PSKの設定をするときに必要

AAA Profileの確認

CLIの設定  
AAA Profileの確認方法

(config) # show aaa profile

上記コマンドを見ていただければわかるが、Predefinedとして、以下のプロファイルが作成されている。
default
default-dot1x    
default-dot1x-psk
default-mac-auth 
default-open
default-xml-api
NoAuthAAAProfile

個別のAAA Profileの確認方法
以下は、defaultを確認した結果である。

(Aruba650) #show aaa profile default
AAA Profile “default”
———————
Parameter                                           Value
———                                                —–
Initial role                                           logon
MAC Authentication Profile                N/A
MAC Authentication Default Role       guest
MAC Authentication Server Group     default
802.1X Authentication Profile             N/A
802.1X Authentication Default Role    guest
802.1X Authentication Server Group  N/A
L2 Authentication Fail Through           Disabled
RADIUS Accounting Server Group      N/A
RADIUS Interim Accounting                Disabled
XML API server                                  N/A
RFC 3576 server                                N/A
User derivation rules                           N/A
Wired to Wireless Roaming                Enabled
SIP authentication role                       N/A
Device Type Classification                  Enabled
Enforce DHCP                                    Disabled

AAA Profileの設定内容 ※作成中

以下に整理しようと思っていますが、作成途中です。
嘘も多いので、ご注意ください。

項目 初期値 WPA
-PSK
MAC
認証
802.1X
認証
Web
認証
説明
Initial role authen
ticated
別途作成する ユーザ認証前のロールを指定する
MAC Authentication Profile guest default MAC認証用のプロファイルを指定する
MAC Authentication Default Role N/A authen
ticated
MAC認証後のデフォルトのロールを指定する
MAC Authentication Server Group default 認証するServer Groupを指定 MAC認証に利用するサーバ(サーバグループ)を指定する
802.1X Authentication Profile default
※注
default PSKや802.1Xと併用する場合は設定する 802.1X認証用のプロファイルを指定する
802.1X Authentication Default Role guest 802.1X認証後のデフォルトのロールを指定する
802.1X Authentication Server Group N/A 認証するServer Groupを指定 802.1X認証に利用するサーバ(サーバグループ)を指定する
RADIUS Accounting Server Group N/A
User derivation rules N/A
Wired to Wireless Roaming Enabled
備考 別途aaa authentication captive-portalを設定する?

※注:WPA-PSKは802.1X認証ではないが、ここで指定する

サーバの設定

認証サーバの設定
(config)# aaa authentication-server

Radiusの場合
(config)# aaa authentication-server radius <サーバ名>

設定項目 設定内容 設定例
host RadiusサーバのIPアドレス 10.0.1.100
key Radiusサーバと認証するためのキー secret
acctport Accounting用のポート番号 1813(初期値)
authport 認証用のポート番号 1812(初期値)
nas-identifier
nas-ip


LDAPの場合
(config)# aaa authentication-server ldap <サーバ名>
 

設定項目 設定内容 設定例
host LDAPサーバのIPアドレス 10.0.1.100
Admin-DN ADのadmin権限のIDだと思う cn=administrator,cn=Users,
dc=viva-musen,dc=net
Admin-Passwd 上記のパスワード
Allow Clear-Text パスワードを暗号化しない
(と思う)
Auth Port 389
Base-DN ユーザDBが入っているDN cn=users,dc=viva-musen,
dc=net
Filter (objectclass=*)
Key Attribute ADの場合は次「sAMAccountName」


サーバグループの設定
(config)# aaa server-group <サーバグループ名>
(config)# auth-server <グループに入れるサーバを指定>
 
ローカルDBの設定
(config)# local-userdb add username <ユーザ名> password <パスワード> role <ロール名