5-7(1) Web認証 [Arubaの設定]

Wizardの設定はやはり楽である。
①「Configuration」「WLAN/LANs Wizard」から実行
②Campus Only
③Groupを選ぶ。APのグループを選ぶのであるが、「default」のままでいいだろう。
④次にWLANを設定するが、これはSSIDに関連するため、新規に作ろう。
⑤「Forwarding Mode」はTunnel
⑥Radio Typeは「all」
VLANを割り当ててもいいし、デフォルトのVLAN1しか使っていなければ何も入力せずにそのままでもいい
⑦内部用なのでinternal
⑧Web認証のみだとセキュリティが無いに等しく、暗号もされない。
WPA2-PSKくらいはやったほうがいい。
⑨「Specify Captive Portal Options ~」ここからが、Web認証の設定画面
「Eable Captive Portal」にチェックを入れると、ポータル画面などの設定ができるが、とりあえずこのまま設定する。
webauth2

⑩「Specify Authentication Server
にて認証サーバを設定する。
まだサーバを設定していなければ、以下のように直接入力する。
webauth3

⑪あとはデフォルトでいいだろう。

接続してブラウザを起動すると、自動でWeb認証画面が起動する。
webauth

※Web認証はCaptive Portal L3 Authenticationにて設定する

5-7(3) Web認証の設定 [ArubaのCLI設定]

captive-config

★RADIUSサーバ(同じRADIUSサーバで別の条件で認証させるために、nas-identifierを定義
!
aaa authentication-server radius “ad-radius-captive”
   host “10.0.1.100”
   key ********
   nas-identifier “CAPTIVE”
!
aaa server-group “radius-server-group-captive”
 auth-server ad-radius-captive
!

★captive認証の設定
aaa authentication captive-portal “L3auth-captive”
   default-role “authenticated”
   server-group “radius-server-group-captive”
!

★ユーザロールの作成
!
user-role UserRole-Captive
 captive-portal “L3auth-captive” ←作成したCaptiveを割り当てる
 access-list session logon-control ←captive認証するための最低限のACL割り当て
 access-list session captiveportal ←captive認証するための最低限のACL割り当て
!

★AAA profileの作成
aaa profile “AAA-profile-captive”
   initial-role “UserRole-Captive” ←認証前のroleで、Captiveと関連付けたUserRoleを割り当てる
   authentication-dot1x “default-psk” ←WPA2-PSKの設定をするときに必要
!

★SSID profileの作成
!
wlan ssid-profile “ssid-profile-captive”
   essid “aruba-ap-captive”
   opmode wpa2-psk-aes ←WEPだとセキュリティ的に不安。WAP2-PSKは設定したい。
   wpa-passphrase ********
!

★VirtualAPに、AAA profileとSSID profileを割り当てる
!
wlan virtual-ap “VirtuelAp2-captive”
   aaa-profile “AAA-profile-captive”
   ssid-profile “ssid-profile-captive”
!

★APgroupに、Captive用VirtualAPを割り当てる。
ap-group “APgroup1”
   virtual-ap “VirtualAP1”
   virtual-ap “VirtuelAp2-captive”
!

※メモ
WLCからRADIUSサーバに対しては、PAPで問い合わせしている。NPSをRADIUSとして使っている場合、GPOで「暗号化を元に戻せる状態でパスワードを保存する」を有効にしておかないと認証に失敗する。
plane-passwd

無効・未定義の場合、イベントビューアの出力はこんな感じ。
non-plain-passwd

キャプティブは、現状PAPのみ。(CHAPを使うオプションもあるが、メーカー非推奨なので使ってはならない。)