2024年1月24日 (初版)
TAC SR Collection |
主な問題 |
802.1x認証のWLANではFlex local authentication及びFlex local switchingを行うように設定しており、AP自身をRADIUSクライアントとしています。 また、RADIUSサーバへ認証する時にRADIUS AttributeのNAS-IDにSSID名を付与する設定をします。
この構成で、ソフトウェアプラットフォームがIOS-XEでもAireOSでも、クライアントが802.1x認証を行う時に認証が失敗した報告があります。 また、認証失敗時に取得したパケットキャプチャを確認しました結果、APからRADIUSサーバへ認証パケットを送信する際に、RADIUS ArributesにはNAS-IDが付与されていないことを確認できます。
|
原因 |
Local authencationを行う際に、APからNAS-ID Attributesを送信しないのは仕様動作です。
|
解決策 |
Central authenticationの場合は、WLCからNAS-ID Attributesを送信しますので、代わりにFlex central authentication設定に変更してください。 その一方、Local authenticationを利用したい場合は、NAS-IdentifierやNAS-IP-AddressやNAS-IPv6-Addressの中のいずれかがRADIUS Attributesに含まれましたら認証ができますので、RADIUSサーバ側の設定を調整して、NAS-ID以外の条件を付けてください。
|
備考
本不具合は、Bug Search Tool でも確認できます。
各製品の TAC SR Collection の一覧は、よくある質問と解決方法 (TAC SR Collection) から確認できます。