サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

list Table of Contents
このページの目次
keyboard_arrow_right

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

例:EX シリーズ スイッチと Aruba ClearPass Policy Manager を使用した 802.1X-PEAP および MAC RADIUS 認証の設定

date_range 04-Aug-23

この設定例では、次の方法を示します。

  • EX シリーズ スイッチ、Aruba ClearPass Policy Manager、Windows 7 を実行しているラップトップを 802.1X PEAP 認証用に構成します

  • MAC RADIUS認証向けにEXシリーズスイッチとAruba ClearPassを設定する

  • EXシリーズスイッチとAruba ClearPassを構成して、動的VLANとファイアウォールフィルターを実装する

要件

この例では、ポリシー インフラストラクチャに次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • Junos OSリリース14.1X53-D30以降を実行するEX4300スイッチ

  • 6.3.3.63748 以降を実行する Aruba ClearPass Policy Manager プラットフォーム

  • Microsoft Windows 7 Enterpriseを実行しているラップトップ

概要とトポロジー

この例では、ポリシーインフラストラクチャコンポーネントは、次のエンドポイントを認証するように設定されています。

  • 802.1X PEAP 認証用に構成された従業員のラップトップ。

    構成例では、Aruba ClearPass Policy Manager が、ローカル・ユーザー・データベースを使用して 802.1X ユーザーを認証するように構成されています。認証された従業員が財務部門に属するものとしてデータベースにリストされている場合、Aruba ClearPassはRADIUS属性でVLAN ID 201をスイッチに返します。次に、スイッチはラップトップ アクセス ポートが VLAN 201 になるように動的に設定します。

  • 802.1X 認証用に構成されていないゲスト用ラップトップ。

    この場合、スイッチは、エンドポイントに 802.1X サプリカントがないことを検出します。MAC RADIUS認証もインターフェイスで有効になっているため、スイッチはMAC RADIUS認証を試みます。ゲスト用ラップトップの場合のように、ラップトップのMACアドレスがAruba ClearPassのMACアドレスデータベースにない場合、Aruba ClearPassはスイッチがアクセスポートに適用すべきファイアウォールフィルターの名前を返すように設定されます。このファイアウォールフィルターはスイッチ上で設定され、ゲストはサブネット 192.168.0.0/16 を除くネットワーク全体にアクセスできます。

図 1 に、この例で使用するトポロジを示します。

図1:この例 Topology Used in this Exampleで使用されるトポロジー

構成

このセクションでは、次の手順について説明します。

EX4300スイッチの設定

CLIクイック構成

この例を素早く設定するには、以下のコマンドをコピーしてテキスト・ファイルに貼り付け、改行を削除し、ネットワーク・コンフィギュレーションに合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、コンフィギュレーション・モードからコミットを入力してください。

content_copy zoom_out_map
[edit]
set access radius-server 10.105.5.153 dynamic-request-port 3799
set access radius-server 10.105.5.153 secret password
set access radius-server 10.105.5.153 source-address 10.105.5.91
set access profile Aruba-Test-Profile accounting-order radius
set access profile Aruba-Test-Profile authentication-order radius
set access profile Aruba-Test-Profile radius authentication-server 10.105.5.153
set access profile Aruba-Test-Profile radius accounting-server 10.105.5.153
set access profile Aruba-Test-Profile radius options nas-identifier 10.105.5.153
set protocols dot1x authenticator authentication-profile-name Aruba-Test-Profile
set protocols dot1x authenticator interface ge-0/0/10 mac-radius
set protocols dot1x authenticator interface ge-0/0/22 mac-radius
set protocols dot1x authenticator interface ge-0/0/10 supplicant multiple
set protocols dot1x authenticator interface ge-0/0/22 supplicant multiple
set interfaces ge-0/0/10 unit 0 family ethernet-switching vlan members v201
set interfaces ge-0/0/22 unit 0 family ethernet-switching vlan members v201
set vlans v201 vlan-id 201
set firewall family ethernet-switching filter mac_auth_policy_1 term Block_Internal from ip-destination-address 192.168.0.0/16
set firewall family ethernet-switching filter mac_auth_policy_1 term Block_Internal then discard
set firewall family ethernet-switching filter mac_auth_policy_1 term Allow_All then accept

手順

EX4300スイッチを設定する一般的な手順は次のとおりです。

  • Aruba ClearPass Policy Manager への接続を構成します。

  • 802.1Xプロトコルで使用されるアクセスプロファイルを作成します。アクセス プロファイルは、802.1X プロトコルに、使用する認証サーバーと、認証方法と順序を指示します。

  • 802.1X プロトコルを構成します。

  • ge-0/0/10およびge-0/0/22のアクセス ポートでイーサネット スイッチングを設定します。

  • ゲスト ラップトップがポートに接続するときに使用するファイアウォール ポリシーを作成します。

EX4300スイッチを設定するには、次の手順に従います。

  1. RADIUS サーバーの接続情報を指定します。

    content_copy zoom_out_map
    [edit access]
    user@Policy-EX4300-01# set radius-server 10.105.5.153 dynamic-request-port 3799
    user@Policy-EX4300-01# set radius-server 10.105.5.153 secret password
    user@Policy-EX4300-01# set radius-server 10.105.5.153 source-address 10.105.5.91
  2. アクセスプロファイルを設定します。

    content_copy zoom_out_map
    [edit access]
    user@Policy-EX4300-01# set profile Aruba-Test-Profile accounting-order radius
    user@Policy-EX4300-01# set profile Aruba-Test-Profile authentication-order radius
    user@Policy-EX4300-01# set profile Aruba-Test-Profile radius authentication-server 10.105.5.153
    user@Policy-EX4300-01# set profile Aruba-Test-Profile radius accounting-server 10.105.5.153
    user@Policy-EX4300-01# set profile Aruba-Test-Profile radius options nas-identifier 10.105.5.153
  3. Aruba-Test-Profileを使用し、各アクセスインターフェイスで実行するように802.1Xプロトコルを設定します。さらに、MAC RADIUS認証を使用し、それぞれを個別に認証する必要がある複数のサプリカントを許可するようにインターフェイスを設定します。

    content_copy zoom_out_map
    [edit protocols]
    user@Policy-EX4300-01# set dot1x authenticator authentication-profile-name Aruba-Test-Profile
    user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/10 mac-radius
    
    user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22 mac-radius
    
    user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/10 supplicant multiple
    user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22 supplicant multiple
    
  4. アクセス ポートを設定します。

    content_copy zoom_out_map
    [edit interfaces]
    user@Policy-EX4300-01# set ge-0/0/10 unit 0 family ethernet-switching vlan members v201
    user@Policy-EX4300-01# set ge-0/0/22 unit 0 family ethernet-switching vlan members v201
  5. 財務部門のメンバーである従業員に使用される VLAN 201 を構成します。

    content_copy zoom_out_map
    [edit]
    user@Policy-EX4300-01# set vlans v201 vlan-id 201

    ダイナミックVLANの割り当てが機能するためには、認証が試行される前にVLANがスイッチ上に存在している必要があります。VLAN が存在しない場合、認証は失敗します。

  6. ゲスト ラップトップがポートに接続するときに使用するファイアウォール フィルターを構成します。

    content_copy zoom_out_map
    [edit firewall]
    user@Policy-EX4300-01# set family ethernet-switching filter mac_auth_policy_1 term Block_Internal from ip-destination-address 192.168.0.0/16
    user@Policy-EX4300-01# set family ethernet-switching filter mac_auth_policy_1 term Block_Internal then discard
    user@Policy-EX4300-01# set family ethernet-switching filter mac_auth_policy_1 term Allow_All then accept

結果

設定モードから、次のコマンド show を入力して設定を確認します。

content_copy zoom_out_map
user@Policy-EX4300-01# show access
radius-server {
    10.105.5.153 {
        dynamic-request-port 3799;
        secret "$9$FYxf3A0Ehrv87yl7Vs4DjfTz3Ct0BIcre"; ## SECRET-DATA
        source-address 10.105.5.91;
    }
}
profile Aruba-Test-Profile {
    accounting-order radius;
    authentication-order radius;
    radius {
        authentication-server 10.105.5.153;
        accounting-server 10.105.5.153;
        options {
            nas-identifier 10.105.5.153;
        }
    }
}                                                      
content_copy zoom_out_map
user@Policy-EX4300-01# show protocols                                       
dot1x {
    authenticator {
        authentication-profile-name Aruba-Test-Profile;
        interface {
            ge-0/0/10.0 {
                supplicant multiple;
                mac-radius;
            }
            ge-0/0/22.0 {
                supplicant multiple;
                mac-radius;
            }
        }
    }
} 
content_copy zoom_out_map
user@Policy-EX4300-01# show interfaces                                           
ge-0/0/10 {
    unit 0 {
        family ethernet-switching {
            vlan {
                members v201;
            }
        }
    }
}
ge-0/0/22 {
    unit 0 {
        family ethernet-switching;
            vlan {
                members v201;
            }
        }
    }
}
 
content_copy zoom_out_map
user@Policy-EX4300-01# show vlans                                                                    
v201 {                                                                                                                                                 
    vlan-id 201;                                                                                                                                       
}  
content_copy zoom_out_map
user@Policy-EX4300-01# show firewall                                             
family ethernet-switching {
    filter mac_auth_policy_1 {
        term Block_Internal {
            from {
                ip-destination-address {
                    192.168.0.0/16;
                }
            }
            then discard;
        }
        term Allow_All {
            then accept;
        }
    }
}

デバイスの設定が完了したら、設定モードから を入力します commit

Aruba ClearPass Policy Manager の設定

手順

Aruba ClearPassを設定するための一般的な手順は以下の通りです。

  • ジュニパーネットワークスRADIUS辞書ファイルを追加します。

  • EX4300をネットワークデバイスとして追加します。

  • 802.1X PEAP 認証に使用されるサーバー証明書がインストールされていることを確認します。

  • この例で使用するローカル ユーザーを追加し、そのユーザーを Finance グループに割り当てます。

  • 2 つの実施プロファイルを作成します。

    • 動的ファイアウォールフィルターのRADIUS属性を定義するプロファイル。

    • 動的VLANのRADIUS属性を定義するプロファイルです。

  • 次の 2 つの強制ポリシーを作成します。

    • MAC RADIUS認証が使用されるときに呼び出されるポリシーです。

    • 802.1X 認証が使用されるときに呼び出されるポリシー。

  • MAC RADIUS 認証サービスと 802.1X 認証サービスを定義します。

  • MAC RADIUS 認証サービスが 802.1X 認証サービスよりも先に評価されていることを確認します。

Aruba ClearPassを設定するには、次の手順に従います。

  1. ジュニパーネットワークスRADIUS辞書ファイルを追加します。

    手順

    1. 以下の内容をデスクトップ上の Juniper.dct という名前のファイルにコピーします。

      content_copy zoom_out_map
      ################################################################################
      # Juniper.dct - Radius dictionary for JUNOS devices
      
      # (See README.DCT for more details on the format of this file)
      ################################################################################
      # Use the Radius specification attributes
      #
      @radius.dct
      
      #
      # Juniper specific parameters
      #
      MACRO Juniper-VSA(t,s) 26 [vid=2636 type1=%t% len1=+2 data=%s%]
      
      ATTRIBUTE Juniper-Local-User-Name               Juniper-VSA(1,  string)  r
      ATTRIBUTE Juniper-Allow-Commands                Juniper-VSA(2,  string)  r
      ATTRIBUTE Juniper-Deny-Commands                 Juniper-VSA(3,  string)  r
      ATTRIBUTE Juniper-Allow-Configuration           Juniper-VSA(4,  string)  r
      ATTRIBUTE Juniper-Deny-Configuration            Juniper-VSA(5,  string)  r
      
      ATTRIBUTE Juniper-Interactive-Command           Juniper-VSA(8,  string)  r
      ATTRIBUTE Juniper-Configuration-Change          Juniper-VSA(9,  string)  r
      ATTRIBUTE Juniper-User-Permissions              Juniper-VSA(10, string)  r
      ATTRIBUTE Juniper-CTP-Group                     Juniper-VSA(21, integer) r
      VALUE Juniper-CTP-Group Read_Only 1
      VALUE Juniper-CTP-Group Admin 2
      VALUE Juniper-CTP-Group Privileged_Admin 3
      VALUE Juniper-CTP-Group Auditor 4
      ATTRIBUTE Juniper-CTPView-APP-Group             Juniper-VSA(22,integer) r
      VALUE Juniper-CTPView-APP-Group Net_View 1
      VALUE Juniper-CTPView-APP-Group Net_Admin 2
      VALUE Juniper-CTPView-APP-Group Global_Admin 3
      ATTRIBUTE Juniper-CTPView-OS-Group              Juniper-VSA(23, integer) r
      VALUE Juniper-CTPView-OS-Group Web_Manager 1
      VALUE Juniper-CTPView-OS-Group System_Admin 2
      VALUE Juniper-CTPView-OS-Group Auditor 3
      
      ATTRIBUTE Juniper-Primary-Dns                   Juniper-VSA(31, ipaddr)  r
      ATTRIBUTE Juniper-Primary-Wins                  Juniper-VSA(32, ipaddr)  r
      ATTRIBUTE Juniper-Secondary-Dns                 Juniper-VSA(33, ipaddr)  r
      ATTRIBUTE Juniper-Secondary-Wins                Juniper-VSA(34, ipaddr)  r
      ATTRIBUTE Juniper-Interface-id                  Juniper-VSA(35, string)  r
      ATTRIBUTE Juniper-Ip-Pool-Name                  Juniper-VSA(36, string)  r 
      ATTRIBUTE Juniper-Keep-Alive                    Juniper-VSA(37, integer) r
      ATTRIBUTE Juniper-CoS-Traffic-Control-Profile   Juniper-VSA(38, string)  r
      ATTRIBUTE Juniper-CoS-Parameter                 Juniper-VSA(39, string)  r
      ATTRIBUTE Juniper-encapsulation-overhead        Juniper-VSA(40, integer) r
      ATTRIBUTE Juniper-cell-overhead                 Juniper-VSA(41, integer) r
      ATTRIBUTE Juniper-tx-connect-speed              Juniper-VSA(42, integer) r
      ATTRIBUTE Juniper-rx-connect-speed              Juniper-VSA(43, integer) r
      ATTRIBUTE Juniper-Firewall-filter-name          Juniper-VSA(44, string)  r
      ATTRIBUTE Juniper-Policer-Parameter             Juniper-VSA(45, string)  r
      ATTRIBUTE Juniper-Local-Group-Name              Juniper-VSA(46, string)  r
      ATTRIBUTE Juniper-Local-Interface               Juniper-VSA(47, string)  r
      ATTRIBUTE Juniper-Switching-Filter              Juniper-VSA(48, string)  r
      ATTRIBUTE Juniper-VoIP-Vlan                     Juniper-VSA(49, string)  r
      
      
      ################################################################################
      # Juniper.dct - Juniper Networks dictionary
      ################################################################################
      
      
    2. Aruba ClearPassで、RADIUS>「管理>辞書」に移動し、「インポート」をクリックしてJuniper.dctファイルをインポートします。

  2. EX4300スイッチをネットワークデバイスとして追加します。

    手順

    1. [構成] > [ネットワーク > デバイス] で、[ 追加] をクリックします。

    2. [デバイス]タブで、スイッチのホスト名とIPアドレス、およびスイッチに設定したRADIUS共有シークレットを入力します。[ベンダー名] フィールドを [ジュニパー] に設定します。

  3. 802.1X PEAP 認証用のサーバー証明書が存在することを確認します。

    [管理>証明書] > [サーバー証明書] で、Aruba ClearPass に有効なサーバー証明書がインストールされていることを確認します。そうでない場合は、有効なサーバー証明書を追加します。Aruba ClearPassのドキュメントおよび認証局には、証明書を取得してClearPassにインポートする方法の詳細が記載されています。

  4. ローカル・ユーザー・リポジトリーにテスト・ユーザーを追加します。

    このユーザーは、802.1X 認証の検証に使用されます。

    手順

    1. [構成] -[> ID] -[ローカル ユーザー>] で、[ 追加] をクリックします。

    2. 「ローカル・ユーザーの追加」ウィンドウで、ユーザー ID (usertest1)、ユーザー名 (テスト・ユーザー)、パスワードを入力し、ユーザー・ロールとして 「従業員 」を選択します。[属性] で [ 部門 ] 属性を選択し、[値] に 「財務 」と入力します。

  5. 動的フィルター実施プロファイルを設定します。

    このプロファイルは、RADIUSフィルターID属性を定義し、スイッチに設定したファイアウォールフィルターの名前を割り当てます。この属性は、エンドポイントのMACアドレスがMACデータベースにない場合にスイッチに送信され、スイッチがファイアウォールフィルターをアクセスポートに動的に割り当てることを可能にします。

    手順

    1. 「構成>適用>プロファイル」で、「 追加」をクリックします。

    2. [プロファイル] タブで、[テンプレート] を [RADIUS ベースの適用 ] に設定し、[名前] フィールドにプロファイル名 Juniper_DACL_1 を入力します。

    3. [属性] タブで、[種類] を [ Radius:IETF] に、[名前] を [フィルター ID (11)] に設定し、[値] フィールドにファイアウォール フィルターの名前 (mac_auth_policy_1) を入力します。

  6. 動的VLAN実施プロファイルを設定します。

    このプロファイルは、VLAN 201 を指定するための RADIUS 属性を定義します。財務部門に所属するユーザーが 802.1X を使用して認証を行うと、これらの RADIUS 属性がスイッチに送信され、スイッチがアクセス ポートに VLAN 201 を動的に割り当てることができます。

    手順
    1. 「構成>適用>プロファイル」で、「 追加」をクリックします。

    2. プロファイル タブで、テンプレートを RADIUS ベースの適用 に設定し、プロファイルの名前 Juniper_Vlan_201 を [名前] フィールドに入力します。

    3. [属性]タブで、次のようにRADIUS属性を定義します。

  7. MAC RADIUS認証強化ポリシーを設定します。

    このポリシーは、エンドポイントのMACアドレスがRADIUSデータベースに存在するかどうかに応じて、以下のいずれかのアクションを取るようにAruba ClearPassに指示します。

    • アドレスが RADIUS データベースにある場合は、アクセス承認メッセージをスイッチに送信します。

    • アドレスがRADIUSデータベースにない場合は、MAC RADIUS認証プロファイルで定義されているファイアウォールフィルターの名前とともに、アクセス受け入れメッセージをスイッチに送信します。

    手順

    1. [構成>適用> ポリシー] で、[ 追加] をクリックします。

    2. [適用] タブで、ポリシーの名前 (Juniper-MAC-Auth-Policy) を入力し、[既定のプロファイル] を [Juniper_DACL_1 (手順 5 で定義したプロファイル) に設定します。

    3. [ルール] タブで、[ルール の追加] をクリックし、表示されている 2 つのルールを追加します。

      ルールを順番に追加するには、ルール エディタで最初のルールを作成し、[保存] をクリックしてから 2 番目のルールを作成する必要があります。

  8. 802.1X 強制ポリシーを構成します。

    このポリシーは、ユーザーが財務部門に属しているかどうかに応じて、以下のいずれかのアクションを実行するようにAruba ClearPassに指示します。

    • ユーザーが財務部門に属している場合は、Access Acceptメッセージをスイッチに送信し、802.1X実施プロファイルで定義されたVLAN 201情報を送信します。

    • ユーザーが財務部門に所属していない場合は、スイッチに Access Accept メッセージを送信します。

    手順

    1. [構成>適用> ポリシー] で、[ 追加] をクリックします。

    2. [適用] タブで、ポリシーの名前 (Juniper_Dot1X_Policy) を入力し、[既定のプロファイル] を [アクセス プロファイルを許可] に設定します。(これはAruba ClearPassに同梱されているパッケージ済みプロファイルです。

    3. [ルール] タブで、[ルール の追加] をクリックし、表示されたルールを追加します。

  9. MAC RADIUS 認証サービスを構成します。

    このサービスの設定では、受信したRADIUSユーザー名属性とクライアントMACアドレス属性が同じ値の場合、MAC RADIUS認証が実行されます。

    手順

    1. 「構成>サービス」で、「 追加」をクリックします。

    2. [サービス] タブで、表示されているフィールドに入力します。

    3. [認証] タブで、[認証方法] ボックスの一覧から [MAC AUTH ] を削除し、[ EAP MD5] を一覧に追加します。

    4. 適用 タブで、 Juniper-MAC-Auth-Policy を選択します。

  10. 802.1X 認証サービスを構成します。

    手順

    1. 「構成>サービス」で、「 追加」をクリックします。

    2. [サービス] タブで、次のようにフィールドに入力します。

    3. [認証] タブで、[認証ソース] を [ローカル ユーザー リポジトリ][ローカル SQL DB] に設定します。

    4. [適用] タブで、[適用ポリシー] を [Juniper_Dot1X_Policy] に設定します。

  11. MAC RADIUS 認証サービス ポリシーが、802.1X 認証サービス ポリシーよりも先に評価されていることを確認します。

    Aruba ClearPassは、同じ値を持つRADIUSユーザー名属性とクライアントMACアドレス属性によってMAC RADIUS認証要求を認識するように構成されているため、MAC RADIUSサービスポリシーを最初に評価する方が効率的です。

    サービスのメインウィンドウで、次に示すように、サービスリストのJuniper-MAC_Dot1X_Policyの前にJuniper-MAC-Auth-Policyが表示されていることを確認します。表示されない場合は、[並べ替え] をクリックし、Juniper-MAC-Auth-Policy を Juniper-MAC_Dot1X_Policy の上に移動します。

ラップトップでの Windows 7 サプリカントの設定

手順

このネットワーク構成例では、Windows 7 ラップトップのネイティブ 802.1X サプリカントを使用します。このサプリカントは、802.1X PEAP認証用に構成する必要があります。

Windows 7 サプリカントを設定するための一般的な手順は次のとおりです。

  • ワイヤード自動構成サービスが開始されていることを確認します。

  • ローカル エリア接続に対して 802.1X PEAP 認証を有効にします。

  • サーバー証明書の検証の設定を構成します。

  • ユーザー資格情報の設定を構成します。

  1. ラップトップで有線自動構成サービスが開始されていることを確認します。

    [コントロール パネル] > [管理ツール] > [サービス] を選択します。 [Wired AutoConfig Status]フィールドに[開始済み]と表示されます。

  2. ローカル エリア接続に対して 802.1X PEAP 認証を有効にします。

    手順
    1. [コントロール パネル] > [ネットワークと共有センター] > [アダプターの設定の変更] で、[ ローカル エリア接続 ] を右クリックし、[ プロパティ] をクリックします。

    2. 「ローカル・エリア接続プロパティー」ウィンドウの「認証」タブで、以下のようにプロパティーを構成します。

  3. ラップトップがAruba ClearPassサーバー証明書を検証するかどうかを設定します。

    [ 設定 ] をクリックして、[保護された EAP のプロパティ] ウィンドウを表示します。

    • ラップトップで ClearPass サーバー証明書を検証しない場合は、[サーバー証明書を検証する] のチェックを外します。

    • ラップトップで ClearPass サーバー証明書を検証する場合は、[サーバー 証明書を検証する] をオンにして、ClearPass サーバーの名前を入力し、ClearPass サーバー証明書の信頼されたルート証明機関を選択します。サーバー名は、サーバー証明書の CN と一致する必要があります。

  4. ユーザー資格情報の設定を構成します。

    この設定例では、ユーザー認証に Windows Active Directory 資格情報を使用しません。代わりに、Aruba ClearPass サーバーで定義されたローカルユーザーの認証情報を使用します。

    手順

    1. [保護された EAP のプロパティ] ウィンドウで、[ 構成 ] をクリックしてセキュリティで保護されたパスワード (EAP-MSCHAP v2) を構成します。[ Windows ログオン名とパスワードを自動的に使用する ] チェック ボックスをオフにします。

      Aurba ClearPass サーバーが Windows Active Directory を使用してユーザーを認証するように設定されている場合は、このオプションを選択したままにします。

    2. [ OK] をクリックして、保護された PEAP プロパティの構成を完了します。

    3. [ローカル エリア接続のプロパティ] の [認証] タブで、[追加設定] をクリックします。

    4. [詳細設定] で、認証モードとして [ ユーザー認証 ] を選択し、[ 資格情報の置換] をクリックします。

    5. Aruba ClearPassサーバー上のローカルユーザーデータベースに追加したローカルユーザーのユーザーID(usertest1)とパスワードを入力します。

検証

設定が正常に機能していることを確認します。

EX4300スイッチでの認証の確認

目的

テスト ユーザー usertest1 が認証され、正しい VLAN に配置されていることを確認します。

アクション

  1. EX4300スイッチで、ラップトップ上のWindows 7サ プリカントの設定 の説明に従って設定されたWindows 7ラップトップをge-0/0/22に接続します。

  2. スイッチで、次のコマンドを入力します。

    content_copy zoom_out_map
    user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 
    802.1X Information:
    Interface     Role           State           MAC address          User
    ge-0/0/22.0   Authenticator  Authenticated   00:50:56:9B:03:7F    usertest1    
    
  3. ダイナミックVLANの割り当てを含む詳細については、次のように入力します。

    content_copy zoom_out_map
    user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 detail 
    ge-0/0/22.0
      Role: Authenticator
      Administrative state: Auto
      Supplicant mode: Single
      Number of retries: 3
      Quiet period: 60 seconds
      Transmit period: 30 seconds
      Mac Radius: Enabled
      Mac Radius Restrict: Disabled
      Reauthentication: Enabled
      Configured Reauthentication interval: 3600 seconds
      Supplicant timeout: 30 seconds
      Server timeout: 30 seconds
      Maximum EAPOL requests: 2
      Guest VLAN member: not configured
      Number of connected supplicants: 1
        Supplicant: usertest1, 00:50:56:9B:03:7F
          Operational state: Authenticated
          Backend Authentication state: Idle
          Authentication method: Radius
          Authenticated VLAN: V201
          Session Reauth interval: 3600 seconds
          Reauthentication due in 3397 seconds
    

意味

802.1X 認証は設定どおりに動作しています。usertest1 は正常に認証され、VLAN 201 に配置されています。

show dot1x コマンドを使用して、ゲスト ラップトップが MAC RADIUS 認証を使用して適切に認証されていることを確認することもできます。

Aruba ClearPass Policy Managerでの認証リクエストのステータスの確認

目的

エンドポイントが正しく認証されていること、およびスイッチとAruba ClearPassの間で正しいRADIUS属性が交換されていることを確認します。

アクション

  1. モニタリング>ライブモニタリング>アクセストラッカーに移動して、認証要求のステータスを表示します。

    アクセストラッカーは、認証要求の発生を監視し、そのステータスを報告します。

  2. 特定のリクエストについて、スイッチからAruba ClearPassに送信されたRADIUS属性を確認するには、リクエストをクリックし、「リクエストの詳細」ウィンドウの「入力」タブをクリックします。

  3. この要求のためにAruba ClearPassがスイッチに送り返したRADIUS属性を確認するには、[出力]タブをクリックします。

意味

アクセス トラッカーの [ログイン ステータス] フィールドには、従業員のラップトップとゲスト ラップトップが正常に認証されていることが示されます。usertest1 からの認証リクエストのリクエストの詳細は、スイッチが正しい RADIUS 属性を Aruba ClearPass に送信していること、および ClearPass が VLAN 201 を指定する正しい RADIUS 属性をスイッチに返していることを示しています。

external-footer-nav