8-13の記事でDynamicVlanする場合の無線コントローラ側の設定等について記載しましたが、今回は認証サーバ側の設定について記載していきます。
認証サーバとしてはSolitonSystemsのNetAttestEPSになります。
ActiveDirectoryとユーザの認証を連携する構成とします。
方法としてはActiveDirectoryのユーザまたはコンピュータの特定の属性の値を検索してその値と一致した場合は、特定のvlanをリプライするということになります。
説明するとわかりづらいので(;^_^A
下記設定例です。
-------------------------------------------------
■ADの設定
特定のユーザのみ電話番号(TelephoneNumber)欄にadminと入力する。
■NetAttest-EPSの設定
TelephoneNumberの属性を検索できるようにする。
検索した属性の値がadminとあればVlan100をリプライする。
-------------------------------------------------
実際のNetAttestの詳細設定を記載しておきます。設定例は上記の記載のものとします。
1.参照データベース設定のユーザ検索にてLDAP属性マップファイルを一旦保存し、ダウンロードする。
2.上記のファイルを開き 下記の通り変更する。
checkItem Group epsMemberOf → checkItem Group TelephoneNumber
3.変更したファイルをアップロードする。
4.参照データベース設定のグループ検索にて、メンバシップ文字列検索にチェックを入れ、ローカルデータベースのグループを検索するにもチェックをいれる。
5.RADIUSプロファイル作成→VLAN100をリプライ
6.RADIUSグループの作成→メンバシップ検索文字列をadminとし、デフォルトプロファイルを上記項番4で作成したものを選択
7.ADでvlan100にしたいユーザの電話番号欄にadminと入力する。
コンピュータごとの場合はADのコンピュータオブジェクトのプロパティを開くと説明という欄がありますので、管理人の場合はこれを利用しDynamicVlan可能であることを確認しました!
この場合はTelephoneNumber→Descriptionに変更すればあとは同じでいけます(^^)/