Windows の NPS Server と連携して、RADIUS で、802.1x 認証をさせたときの Cisco AP側の設定内容です。
あとで、NPS側の設定を記事化するので、そこから 本ページへリンクする予定です。
検証に使用した機器
Cisco AIR-AP1832I-Q-K9
802.1x 認証機器の設定
- WiFi AP の設定画面に接続
https://10.16.47.240
- ログイン
- RADIUSサーバー (NPSサーバー) の IPアドレスと、RADIUSシークレットを入力
※「共有秘密鍵」が RADIUSシークレット の事を示しています。
簡易テスト
- WiFi機器側のテスト機能が活用できます。
この場合、認証エラーになります。
ここでのエラーメッセージは、あまり気にしないでください。
- NPS Server の イベントログには、以下のように出力されます。
正常なユーザーでは認証され、 NG なユーザー では弾かれることを確認してください。
(認証が通った場合)
「ユーザーが、一致するネットワークポリシーで有効になっていない認証方法を使用しようとしました。」
(存在するユーザーで、パスワードを間違えた場合 or 存在しないユーザー)
ユーザー資格情報の不一致のため、認証に失敗しました。入力したユーザー名が既存のユーザーアカウントにマップされていないか、パスワードが間違っています。
ひとまず、上記を参考に 正常なユーザーでは認証され、 NG なユーザーでは弾かれていることが確認できれば、RADIUS としての連携はちゃんと動いています。
NPS サーバーから応答がない場合
以下のようなエラーがでます。
この場合は、イベントログ側にも何もログが残りません。
WiFi-AP と、NPSサーバー間で、疎通さえ出来ない場合や、 NPS サーバー側の ファイアウォールで RADIUSプロトコル(UDP:1812) がブロックされている場合などが考えられます。
そのあたりを疑って、トラブルシューティングを実施してみましょう。