前回APがjoinしない件について掲載しましたが、その後題記の通りの
検証をしましたので、備忘として記載していきます。
-----------------------------------------
cisco WLC 2503
software version は8.0.140.0
を利用しております。
またAPModeはFLexConnectを利用しました。
認証サーバに関してはSolitonシステムズのNetAttestEPSを利用し、
LDAPはwindowsサーバのActiveDirectory(AD)になります。
-----------------------------------------
認証方式はRADIUSサーバを利用し、WLC→RADIUSサーバ→LDAPサーバの情報を検索し
認証したいオブジェクトがLDAPに存在すれば認証OKとする構成にしております。
一般的な構成かと思います。
そこで、、、、今回は認証OKの時にRADIUSサーバ側で認証要求をしてきた
ユーザやコンピュータの特定の属性を検索して属性の値によってそれぞれのVLANをリプライし
WLCで設定されているVLANをRADIUSサーバで上書きする方法を検証しておりました。
1つのSSIDでユーザやコンピュータごとに
VLANを分けるdynamicVLANということになります。
ユーザの場合はTelephonenumberへ任意の文字列を登録または
コンピュータの場合はDescriptionへ任意の文字列を登録しました。
ユーザの場合の登録例
検証例:ADの設定値
↓
でいけるかなーーーーーと思っていましたが、できず(◎_◎;)
WLCのログを確認するとどうやら、RADIUSサーバ側では属性検索できており、
指定したVLANをWLCへリプライして飛ばしている模様。。
下記のFlexConnectの設定が足りていなかったみたいでした、、、
上記のように利用したいVLANをFlexConnect Groups→ACL Mapping→AAA VLAN-ACL Mappingにて
定義すると。
RADIUSサーバでリプライした通りのVLANがユーザに割り当てられることを確認しました!!(^^)/