Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

例:EX シリーズ スイッチと Aruba ClearPass Policy Manager を使用した 802.1X-PEAP および MAC RADIUS 認証の設定

この設定例では、次の方法を示します。

  • EX シリーズ スイッチ、Aruba ClearPass Policy Manager、Windows 7 を実行しているラップトップを 802.1X PEAP 認証用に構成します

  • MAC RADIUS認証向けにEXシリーズスイッチとAruba ClearPassを設定する

  • EXシリーズスイッチとAruba ClearPassを構成して、動的VLANとファイアウォールフィルターを実装する

要件

この例では、ポリシー インフラストラクチャに次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • Junos OSリリース14.1X53-D30以降を実行するEX4300スイッチ

  • 6.3.3.63748 以降を実行する Aruba ClearPass Policy Manager プラットフォーム

  • Microsoft Windows 7 Enterpriseを実行しているラップトップ

概要とトポロジー

この例では、ポリシーインフラストラクチャコンポーネントは、次のエンドポイントを認証するように設定されています。

  • 802.1X PEAP 認証用に構成された従業員のラップトップ。

    構成例では、Aruba ClearPass Policy Manager が、ローカル・ユーザー・データベースを使用して 802.1X ユーザーを認証するように構成されています。認証された従業員が財務部門に属するものとしてデータベースにリストされている場合、Aruba ClearPassはRADIUS属性でVLAN ID 201をスイッチに返します。次に、スイッチはラップトップ アクセス ポートが VLAN 201 になるように動的に設定します。

  • 802.1X 認証用に構成されていないゲスト用ラップトップ。

    この場合、スイッチは、エンドポイントに 802.1X サプリカントがないことを検出します。MAC RADIUS認証もインターフェイスで有効になっているため、スイッチはMAC RADIUS認証を試みます。ゲスト用ラップトップの場合のように、ラップトップのMACアドレスがAruba ClearPassのMACアドレスデータベースにない場合、Aruba ClearPassはスイッチがアクセスポートに適用すべきファイアウォールフィルターの名前を返すように設定されます。このファイアウォールフィルターはスイッチ上で設定され、ゲストはサブネット 192.168.0.0/16 を除くネットワーク全体にアクセスできます。

図 1 に、この例で使用するトポロジを示します。

図1:この例 Topology Used in this Exampleで使用されるトポロジー

構成

このセクションでは、次の手順について説明します。

EX4300スイッチの設定

CLIクイック構成

この例を素早く設定するには、以下のコマンドをコピーしてテキスト・ファイルに貼り付け、改行を削除し、ネットワーク・コンフィギュレーションに合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、コンフィギュレーション・モードからコミットを入力してください。

手順

EX4300スイッチを設定する一般的な手順は次のとおりです。

  • Aruba ClearPass Policy Manager への接続を構成します。

  • 802.1Xプロトコルで使用されるアクセスプロファイルを作成します。アクセス プロファイルは、802.1X プロトコルに、使用する認証サーバーと、認証方法と順序を指示します。

  • 802.1X プロトコルを構成します。

  • ge-0/0/10およびge-0/0/22のアクセス ポートでイーサネット スイッチングを設定します。

  • ゲスト ラップトップがポートに接続するときに使用するファイアウォール ポリシーを作成します。

EX4300スイッチを設定するには、次の手順に従います。

  1. RADIUS サーバーの接続情報を指定します。

  2. アクセスプロファイルを設定します。

  3. Aruba-Test-Profileを使用し、各アクセスインターフェイスで実行するように802.1Xプロトコルを設定します。さらに、MAC RADIUS認証を使用し、それぞれを個別に認証する必要がある複数のサプリカントを許可するようにインターフェイスを設定します。

  4. アクセス ポートを設定します。

  5. 財務部門のメンバーである従業員に使用される VLAN 201 を構成します。

    ダイナミックVLANの割り当てが機能するためには、認証が試行される前にVLANがスイッチ上に存在している必要があります。VLAN が存在しない場合、認証は失敗します。

  6. ゲスト ラップトップがポートに接続するときに使用するファイアウォール フィルターを構成します。

結果

設定モードから、次のコマンド show を入力して設定を確認します。

デバイスの設定が完了したら、設定モードから を入力します commit

Aruba ClearPass Policy Manager の設定

手順

Aruba ClearPassを設定するための一般的な手順は以下の通りです。

  • ジュニパーネットワークスRADIUS辞書ファイルを追加します。

  • EX4300をネットワークデバイスとして追加します。

  • 802.1X PEAP 認証に使用されるサーバー証明書がインストールされていることを確認します。

  • この例で使用するローカル ユーザーを追加し、そのユーザーを Finance グループに割り当てます。

  • 2 つの実施プロファイルを作成します。

    • 動的ファイアウォールフィルターのRADIUS属性を定義するプロファイル。

    • 動的VLANのRADIUS属性を定義するプロファイルです。

  • 次の 2 つの強制ポリシーを作成します。

    • MAC RADIUS認証が使用されるときに呼び出されるポリシーです。

    • 802.1X 認証が使用されるときに呼び出されるポリシー。

  • MAC RADIUS 認証サービスと 802.1X 認証サービスを定義します。

  • MAC RADIUS 認証サービスが 802.1X 認証サービスよりも先に評価されていることを確認します。

Aruba ClearPassを設定するには、次の手順に従います。

  1. ジュニパーネットワークスRADIUS辞書ファイルを追加します。

    手順

    1. 以下の内容をデスクトップ上の Juniper.dct という名前のファイルにコピーします。

    2. Aruba ClearPassで、RADIUS>「管理>辞書」に移動し、「インポート」をクリックしてJuniper.dctファイルをインポートします。

  2. EX4300スイッチをネットワークデバイスとして追加します。

    手順

    1. [構成] > [ネットワーク > デバイス] で、[ 追加] をクリックします。

    2. [デバイス]タブで、スイッチのホスト名とIPアドレス、およびスイッチに設定したRADIUS共有シークレットを入力します。[ベンダー名] フィールドを [ジュニパー] に設定します。

  3. 802.1X PEAP 認証用のサーバー証明書が存在することを確認します。

    [管理>証明書] > [サーバー証明書] で、Aruba ClearPass に有効なサーバー証明書がインストールされていることを確認します。そうでない場合は、有効なサーバー証明書を追加します。Aruba ClearPassのドキュメントおよび認証局には、証明書を取得してClearPassにインポートする方法の詳細が記載されています。

  4. ローカル・ユーザー・リポジトリーにテスト・ユーザーを追加します。

    このユーザーは、802.1X 認証の検証に使用されます。

    手順

    1. [構成] -[> ID] -[ローカル ユーザー>] で、[ 追加] をクリックします。

    2. 「ローカル・ユーザーの追加」ウィンドウで、ユーザー ID (usertest1)、ユーザー名 (テスト・ユーザー)、パスワードを入力し、ユーザー・ロールとして 「従業員 」を選択します。[属性] で [ 部門 ] 属性を選択し、[値] に 「財務 」と入力します。

  5. 動的フィルター実施プロファイルを設定します。

    このプロファイルは、RADIUSフィルターID属性を定義し、スイッチに設定したファイアウォールフィルターの名前を割り当てます。この属性は、エンドポイントのMACアドレスがMACデータベースにない場合にスイッチに送信され、スイッチがファイアウォールフィルターをアクセスポートに動的に割り当てることを可能にします。

    手順

    1. 「構成>適用>プロファイル」で、「 追加」をクリックします。

    2. [プロファイル] タブで、[テンプレート] を [RADIUS ベースの適用 ] に設定し、[名前] フィールドにプロファイル名 Juniper_DACL_1 を入力します。

    3. [属性] タブで、[種類] を [ Radius:IETF] に、[名前] を [フィルター ID (11)] に設定し、[値] フィールドにファイアウォール フィルターの名前 (mac_auth_policy_1) を入力します。

  6. 動的VLAN実施プロファイルを設定します。

    このプロファイルは、VLAN 201 を指定するための RADIUS 属性を定義します。財務部門に所属するユーザーが 802.1X を使用して認証を行うと、これらの RADIUS 属性がスイッチに送信され、スイッチがアクセス ポートに VLAN 201 を動的に割り当てることができます。

    手順
    1. 「構成>適用>プロファイル」で、「 追加」をクリックします。

    2. プロファイル タブで、テンプレートを RADIUS ベースの適用 に設定し、プロファイルの名前 Juniper_Vlan_201 を [名前] フィールドに入力します。

    3. [属性]タブで、次のようにRADIUS属性を定義します。

  7. MAC RADIUS認証強化ポリシーを設定します。

    このポリシーは、エンドポイントのMACアドレスがRADIUSデータベースに存在するかどうかに応じて、以下のいずれかのアクションを取るようにAruba ClearPassに指示します。

    • アドレスが RADIUS データベースにある場合は、アクセス承認メッセージをスイッチに送信します。

    • アドレスがRADIUSデータベースにない場合は、MAC RADIUS認証プロファイルで定義されているファイアウォールフィルターの名前とともに、アクセス受け入れメッセージをスイッチに送信します。

    手順

    1. [構成>適用> ポリシー] で、[ 追加] をクリックします。

    2. [適用] タブで、ポリシーの名前 (Juniper-MAC-Auth-Policy) を入力し、[既定のプロファイル] を [Juniper_DACL_1 (手順 5 で定義したプロファイル) に設定します。

    3. [ルール] タブで、[ルール の追加] をクリックし、表示されている 2 つのルールを追加します。

      ルールを順番に追加するには、ルール エディタで最初のルールを作成し、[保存] をクリックしてから 2 番目のルールを作成する必要があります。

  8. 802.1X 強制ポリシーを構成します。

    このポリシーは、ユーザーが財務部門に属しているかどうかに応じて、以下のいずれかのアクションを実行するようにAruba ClearPassに指示します。

    • ユーザーが財務部門に属している場合は、Access Acceptメッセージをスイッチに送信し、802.1X実施プロファイルで定義されたVLAN 201情報を送信します。

    • ユーザーが財務部門に所属していない場合は、スイッチに Access Accept メッセージを送信します。

    手順

    1. [構成>適用> ポリシー] で、[ 追加] をクリックします。

    2. [適用] タブで、ポリシーの名前 (Juniper_Dot1X_Policy) を入力し、[既定のプロファイル] を [アクセス プロファイルを許可] に設定します。(これはAruba ClearPassに同梱されているパッケージ済みプロファイルです。

    3. [ルール] タブで、[ルール の追加] をクリックし、表示されたルールを追加します。

  9. MAC RADIUS 認証サービスを構成します。

    このサービスの設定では、受信したRADIUSユーザー名属性とクライアントMACアドレス属性が同じ値の場合、MAC RADIUS認証が実行されます。

    手順

    1. 「構成>サービス」で、「 追加」をクリックします。

    2. [サービス] タブで、表示されているフィールドに入力します。

    3. [認証] タブで、[認証方法] ボックスの一覧から [MAC AUTH ] を削除し、[ EAP MD5] を一覧に追加します。

    4. 適用 タブで、 Juniper-MAC-Auth-Policy を選択します。

  10. 802.1X 認証サービスを構成します。

    手順

    1. 「構成>サービス」で、「 追加」をクリックします。

    2. [サービス] タブで、次のようにフィールドに入力します。

    3. [認証] タブで、[認証ソース] を [ローカル ユーザー リポジトリ][ローカル SQL DB] に設定します。

    4. [適用] タブで、[適用ポリシー] を [Juniper_Dot1X_Policy] に設定します。

  11. MAC RADIUS 認証サービス ポリシーが、802.1X 認証サービス ポリシーよりも先に評価されていることを確認します。

    Aruba ClearPassは、同じ値を持つRADIUSユーザー名属性とクライアントMACアドレス属性によってMAC RADIUS認証要求を認識するように構成されているため、MAC RADIUSサービスポリシーを最初に評価する方が効率的です。

    サービスのメインウィンドウで、次に示すように、サービスリストのJuniper-MAC_Dot1X_Policyの前にJuniper-MAC-Auth-Policyが表示されていることを確認します。表示されない場合は、[並べ替え] をクリックし、Juniper-MAC-Auth-Policy を Juniper-MAC_Dot1X_Policy の上に移動します。

ラップトップでの Windows 7 サプリカントの設定

手順

このネットワーク構成例では、Windows 7 ラップトップのネイティブ 802.1X サプリカントを使用します。このサプリカントは、802.1X PEAP認証用に構成する必要があります。

Windows 7 サプリカントを設定するための一般的な手順は次のとおりです。

  • ワイヤード自動構成サービスが開始されていることを確認します。

  • ローカル エリア接続に対して 802.1X PEAP 認証を有効にします。

  • サーバー証明書の検証の設定を構成します。

  • ユーザー資格情報の設定を構成します。

  1. ラップトップで有線自動構成サービスが開始されていることを確認します。

    [コントロール パネル] > [管理ツール] > [サービス] を選択します。 [Wired AutoConfig Status]フィールドに[開始済み]と表示されます。

  2. ローカル エリア接続に対して 802.1X PEAP 認証を有効にします。

    手順
    1. [コントロール パネル] > [ネットワークと共有センター] > [アダプターの設定の変更] で、[ ローカル エリア接続 ] を右クリックし、[ プロパティ] をクリックします。

    2. 「ローカル・エリア接続プロパティー」ウィンドウの「認証」タブで、以下のようにプロパティーを構成します。

  3. ラップトップがAruba ClearPassサーバー証明書を検証するかどうかを設定します。

    [ 設定 ] をクリックして、[保護された EAP のプロパティ] ウィンドウを表示します。

    • ラップトップで ClearPass サーバー証明書を検証しない場合は、[サーバー証明書を検証する] のチェックを外します。

    • ラップトップで ClearPass サーバー証明書を検証する場合は、[サーバー 証明書を検証する] をオンにして、ClearPass サーバーの名前を入力し、ClearPass サーバー証明書の信頼されたルート証明機関を選択します。サーバー名は、サーバー証明書の CN と一致する必要があります。

  4. ユーザー資格情報の設定を構成します。

    この設定例では、ユーザー認証に Windows Active Directory 資格情報を使用しません。代わりに、Aruba ClearPass サーバーで定義されたローカルユーザーの認証情報を使用します。

    手順

    1. [保護された EAP のプロパティ] ウィンドウで、[ 構成 ] をクリックしてセキュリティで保護されたパスワード (EAP-MSCHAP v2) を構成します。[ Windows ログオン名とパスワードを自動的に使用する ] チェック ボックスをオフにします。

      Aurba ClearPass サーバーが Windows Active Directory を使用してユーザーを認証するように設定されている場合は、このオプションを選択したままにします。

    2. [ OK] をクリックして、保護された PEAP プロパティの構成を完了します。

    3. [ローカル エリア接続のプロパティ] の [認証] タブで、[追加設定] をクリックします。

    4. [詳細設定] で、認証モードとして [ ユーザー認証 ] を選択し、[ 資格情報の置換] をクリックします。

    5. Aruba ClearPassサーバー上のローカルユーザーデータベースに追加したローカルユーザーのユーザーID(usertest1)とパスワードを入力します。

検証

設定が正常に機能していることを確認します。

EX4300スイッチでの認証の確認

目的

テスト ユーザー usertest1 が認証され、正しい VLAN に配置されていることを確認します。

アクション

  1. EX4300スイッチで、ラップトップ上のWindows 7サ プリカントの設定 の説明に従って設定されたWindows 7ラップトップをge-0/0/22に接続します。

  2. スイッチで、次のコマンドを入力します。

  3. ダイナミックVLANの割り当てを含む詳細については、次のように入力します。

意味

802.1X 認証は設定どおりに動作しています。usertest1 は正常に認証され、VLAN 201 に配置されています。

show dot1x コマンドを使用して、ゲスト ラップトップが MAC RADIUS 認証を使用して適切に認証されていることを確認することもできます。

Aruba ClearPass Policy Managerでの認証リクエストのステータスの確認

目的

エンドポイントが正しく認証されていること、およびスイッチとAruba ClearPassの間で正しいRADIUS属性が交換されていることを確認します。

アクション

  1. モニタリング>ライブモニタリング>アクセストラッカーに移動して、認証要求のステータスを表示します。

    アクセストラッカーは、認証要求の発生を監視し、そのステータスを報告します。

  2. 特定のリクエストについて、スイッチからAruba ClearPassに送信されたRADIUS属性を確認するには、リクエストをクリックし、「リクエストの詳細」ウィンドウの「入力」タブをクリックします。

  3. この要求のためにAruba ClearPassがスイッチに送り返したRADIUS属性を確認するには、[出力]タブをクリックします。

意味

アクセス トラッカーの [ログイン ステータス] フィールドには、従業員のラップトップとゲスト ラップトップが正常に認証されていることが示されます。usertest1 からの認証リクエストのリクエストの詳細は、スイッチが正しい RADIUS 属性を Aruba ClearPass に送信していること、および ClearPass が VLAN 201 を指定する正しい RADIUS 属性をスイッチに返していることを示しています。