WCS での RADIUS 認証および TACACS+ 認証の概要
内容
概要
前提条件
要件
使用するコンポーネント
表記法
WCS での RADIUS Access-Accept パケット
付録 A：ACS からの一般的な Access-Accept
関連情報
概要
このドキュメントでは、AAA サーバから Wireless Control System（WCS）で受信する RADIUS access-accept パケットについて
説明し、RADIUS 認証と TACACS+ 認証の両方のトラブルシューティングのヒントを提示します。
注：このドキュメントでは、WCS が TomCat を使用してユーザを認証する方法については説明しません。RADIUS access-accept
形式について説明し、適切な access-accept 応答の例を示します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
WCS に関する知識
Lightweight アクセス ポイント プロトコル（LWAPP）に関する知識
使用するコンポーネント
このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
WCS での RADIUS Access-Accept パケット
お客様が RADIUS サーバまたは TACACS+ サーバを使用して WCS にログインすると、AAA サーバはユーザ名とパスワードを確認し
た後で、ユーザグループおよびユーザが実行できるタスクのリストとともに access-accept パケットを返送します。
注：ユーザ グループによっては多数のタスクが割り当てられているので、この Access-Accept は断片化されたパケットとして送
られてきます。
どのタスクがどのユーザ グループに関連しているかを WCS に表示させるプロセスについては、『シスコ以外の ACS サーバに
WCS を追加して RADIUS と併用する』を参照してください。
または、次のファイルを調べることもできます。
C:\Program Files\WCS4.1\webnms\webacs\WEB-INF\security\usergroup-map.xml
これは、さまざまなユーザが実行できるタスクを含むファイルです。
タスクはベンダー固有の属性として返されます。基本的なレイアウトは次のとおりです。
これは Type、Length、Value（TLV）と呼ばれます。この場合は値にも TLV が含まれます。
次に、access-accept パケットのデータ部分の例を示します。この Admin ユーザ グループ ログインの出力の一部では、ロール
が 1 つしか返送されていません（role0 -> Admin）。そのロールに関連しているタスクは task0 から始まり、task1、task2 と
いうように増加します。
0000
0010
0020
0030
0040
0050
0060
0070
0080
06
a2
00
3a
00
3a
20
69
31
6d
5a
09
72
09
74
47
72
3d
0e
fa
01
6f
01
61
72
65
41
59
84
1a
6c
25
73
6f
6c
75
07
38
57
65
57
6b
75
65
64
3d
20
69
30
69
30
70
73
69
6a
e4
72
3d
72
3d
73
73
74
24
e2
65
41
65
55
1a
2d
20
02
3a
6c
64
6c
73
27
57
54
47
3a
65
6d
65
65
00
43
72
07
bc
73
69
73
72
00
53
61
35
e5
73
6e
73
73
00
3a
69
d2
1a
2d
1a
2d
20
09
74
6c
12
20
57
2b
57
61
01
61
73
a4
00
43
00
43
6e
21
73
xx
eb .m.Y.=j$.G.5....
00 .Z..8 ..::... ..
53 ....Wireless-WCS
00 :role0=Admin.+..
53 ...%Wireless-WCS
64 :task0=Users and
57
Groups.'.....!W
6b ireless-WCS:task
xx 1=Audit Trails.*
それぞれのタスクは 1a, 26（10 進数）から始まります。これは上の図の Type であり、ベンダー属性であることを示します。次
のエントリ Length は、次の TLV に達するためにスキップする総バイト数です。task0、Users and Groups の場合は、10 進数の
2b または 43（バイト）であり、これをスキップすると、次の TLV に到達します。次は 4 バイト フィールドであり、Vendor
Cisco 09 を本質的に識別します。
次に、WCS が読み取る TLV が続きます。最初の部分の 01 は Cisco AV Pair を示します。次のバイトは Length フィールドであ
り、25（10 進数の 37（バイト））になっています。次に 16 進数のテキスト文字列 Wireless-WCS:task0=Users and Groups が
続きます。
この後は次の TLV であり、それまではデータ部分が完全に処理されます。Access Control Server（ACS）はパケットの末尾に、
その他 3 つの TLV を付けます。
1. RADIUS タイプ 8（Framed IP Address）の 255.255.255.255
2. 文字列の Class を示すタイプ 25（0x19）
3. メッセージ オーセンティケータであるタイプ 80（0x50）
注：最後のTLV、タイプ 80は、WCS バージョン 4.2 以降では不要です。TLV タイプ 80 は、Cisco bug ID CSCsj29057 のため
に、4.2 より前の WCS バージョンで必要となりました。
RADIUS 認証をトラブルシューティングするには、次のことを実行する必要があります。
1. ACS Passed Authentication Log または有線のスニファ トレースにより、RADIUS パケットが access-accept であることを
確認します。
2. ACS Passed Authentication Log または有線のスニファ トレースにより、access-accept のユーザ グループのタスク名を
確認します。
3. RADIUS パケットのさまざまな長さのフィールドを確認します。
TACACS+ 認証をトラブルシューティングするには、次のことを実行する必要があります。
ACS Passed Authentication Log により、TACACS+ パケットが access-accept であることを確認します。
注：サービス名 Wireless-WCS およびメソッド HTTP では大文字と小文字が区別され、正確に一致する必要があります。WCS は、
access-accept を ACS から受信すると、返信でそのサービス名を検索します。WCS は、access-accept でサービス名を検索でき
ない場合、ユーザをエラーにして次のメッセージを WCS ログに書き込みます。
User has no usergroups/roles or tasks/permissions
注：ACS の Failed Attempts Log がサービス拒否を示す場合は、ACS で未定義サービス名を有効にする（チェックする）必要が
あります。これがグループから欠落している場合は、[Interface Configuration] --> [Advanced Configuration Options] で
[Advanced TACACS features] がオンになっていることを確認します。[Display enable default (undefined) service
configuration] もオンにしてください。グループに移動し、[Default (undefined) Services] をオンにします。
付録 A：ACS からの一般的な Access-Accept
注：ユーザ グループによっては多数のタスクが割り当てられているので、この Access-Accept は断片化されたパケットとして送
られてきます。
以下は、Admin ユーザ グループの 2 フラグメント access-accept の最初のパケットです。データ部分はバイト 2a（02）から始
まり、これは access-accept を示します。次に、パケット識別子、長さ、オーセンティケータ文字列が続きます。最初の Cisco
AV Pair はバイト 3e（1a）から始まります。第 2 パケットのバイト 015b は、フレーム化された IP アドレスの始まりです。
0000
0010
0020
0030
0040
0050
0060
0070
0080
0090
00a0
00b0
00c0
00d0
00e0
00f0
0100
0110
0120
0130
0140
0150
0160
0170
0180
0190
01a0
01b0
01c0
01d0
01e0
01f0
0200
0210
0220
0230
0240
0250
0260
0270
0280
0290
02a0
02b0
02c0
02d0
02e0
02f0
0300
0310
0320
0330
0340
0350
0360
0370
0380
0390
03a0
03b0
03c0
03d0
03e0
03f0
0400
0410
0420
0430
0440
0450
0460
0470
0480
00
05
01
a4
00
43
00
43
6e
21
73
1a
2d
53
01
61
65
65
67
65
4c
38
73
73
6c
69
37
65
73
74
00
3a
63
00
53
65
2e
57
20
00
53
61
1a
2d
20
74
73
76
74
6c
43
6c
65
3d
61
6c
43
20
69
31
65
01
61
41
70
72
30
65
57
6b
72
69
32
30
dc
33
eb
00
53
00
53
64
57
6b
2a
57
2b
23
73
72
73
67
6c
69
57
6b
6b
65
72
3d
73
73
65
09
74
20
00
3a
72
00
43
4e
00
3a
6e
32
57
61
73
73
65
69
65
6f
6c
6c
43
74
65
6f
47
72
38
73
36
73
63
6c
65
3d
20
69
32
6f
72
32
48
0e
06
a2
00
3a
00
3a
20
69
31
00
43
20
57
6b
73
73
69
65
63
69
36
73
63
65
55
1a
2d
6d
01
61
49
09
74
74
00
53
6f
09
74
64
00
43
6e
1a
2d
72
6f
73
6e
65
65
6f
65
73
6e
72
65
3d
73
57
6b
63
61
6c
43
50
72
31
6c
65
3d
42
44
6d
5a
09
72
09
74
47
72
3d
00
53
53
69
33
1a
2d
6e
73
65
72
3d
20
74
6c
73
2a
57
20
2b
73
6e
01
61
73
00
3a
74
01
61
20
00
53
64
32
57
69
6e
73
66
72
73
6e
73
73
66
6f
6c
43
20
69
31
65
74
65
6f
6f
65
3d
6c
6c
4d
c3
20
0e
fa
01
6f
01
61
72
65
41
00
3a
65
72
3d
22
57
67
73
6e
65
53
61
69
65
65
00
43
53
57
6b
66
2c
73
20
09
74
69
2d
73
43
00
3a
20
00
43
74
1a
2d
69
73
73
66
1a
2d
69
75
65
6f
50
72
39
73
65
73
6e
69
6c
4d
65
65
6f
48
00
59
84
1a
6c
25
73
6f
6c
75
09
74
72
65
52
00
43
1a
2d
73
6c
63
6e
6f
73
72
00
53
65
69
39
6f
57
6b
61
01
61
66
57
6b
6c
09
74
55
00
53
79
31
57
67
1a
2d
69
33
57
67
70
73
6e
6f
65
3d
73
73
73
66
6e
65
6f
72
73
6e
00
80
07
38
57
65
57
6b
75
65
64
01
61
76
6c
41
00
53
24
57
69
65
68
64
6e
73
20
00
3a
74
72
3d
72
69
31
6e
28
73
69
69
31
65
01
61
6e
00
3a
20
00
43
75
2f
57
67
00
43
75
73
73
66
69
6c
43
20
1a
2d
69
74
73
6e
73
73
69
14
11
3d
20
69
30
69
30
70
73
69
24
73
65
65
44
00
3a
00
43
6e
73
65
20
1a
2d
50
09
74
74
65
44
6d
72
30
64
57
6b
63
72
32
61
2c
73
70
09
74
43
00
53
72
00
43
75
00
53
72
1a
2d
69
6e
65
6f
50
32
57
67
73
73
69
1a
2d
74
2a
f0
6a
e4
72
3d
72
3d
73
73
74
57
6b
72
73
49
09
74
00
53
67
73
64
44
2b
57
72
01
61
69
6c
69
61
65
3d
20
69
31
61
65
3d
72
57
6b
69
01
61
6f
00
3a
65
00
53
72
00
3a
65
33
57
67
74
73
6e
6f
00
43
75
1a
2d
74
31
57
6f
0a
7e
24
e2
65
41
65
55
1a
2d
20
69
32
73
73
55
01
61
00
3a
1a
2d
75
61
00
43
65
24
73
6e
65
61
74
6c
56
45
72
31
74
6c
44
20
69
31
63
2c
73
6e
09
74
20
00
3a
65
09
74
20
00
43
75
73
73
66
69
00
53
72
2f
57
6f
00
43
72
eb
0a
02
3a
6c
64
6c
73
27
57
54
72
3d
1a
2d
53
1c
73
09
74
3e
57
6c
74
00
53
66
57
6b
67
73
67
69
65
69
76
65
3d
69
65
65
41
72
33
6b
57
6b
66
01
61
43
09
74
20
01
61
43
00
53
72
1a
2d
69
6e
00
3a
65
00
43
72
00
53
20
b6
04
47
3a
65
6d
65
65
00
43
72
65
54
29
57
20
57
6b
01
61
00
43
65
61
00
3a
65
69
38
73
73
6e
6f
73
65
65
6c
45
6f
73
6c
6c
65
3d
20
69
31
69
2b
73
6f
01
61
54
2d
73
6f
00
3a
65
3c
57
67
74
09
74
20
00
53
20
00
3a
41
08
01
07
bc
73
69
73
72
00
53
61
6c
41
00
43
53
69
34
1e
73
00
53
64
20
09
74
72
72
3d
1a
2d
6f
6e
73
77
6e
65
6d
6e
73
65
65
6c
50
41
72
34
67
57
6b
6e
29
73
65
57
6b
6e
09
74
20
00
43
75
20
01
61
43
00
3a
43
09
74
63
00
14
35
e5
73
6e
73
73
00
3a
69
65
43
00
53
65
72
3d
57
6b
00
3a
20
43
01
61
65
65
53
31
57
73
1a
2d
20
74
73
61
1a
2d
74
72
65
69
6c
65
3d
75
69
31
74
57
6b
6d
69
31
66
01
61
41
00
53
72
54
2c
73
68
09
74
6f
01
61
63
45
0a
d2
1a
2d
1a
2d
20
09
74
6c
73
41
00
3a
72
65
4c
69
35
09
74
54
6f
25
73
6e
6c
79
00
43
74
32
57
41
73
73
69
33
57
65
74
73
63
65
6c
53
72
72
35
72
69
31
70
72
37
69
2d
73
63
00
3a
65
65
57
6b
6f
01
61
6e
2b
73
65
00
04
12
20
57
2b
57
61
01
61
73
73
43
09
74
76
6c
6f
72
3d
01
61
61
6c
57
6b
63
65
73
00
53
69
00
43
6c
1a
2d
6c
00
43
20
73
73
6b
72
65
65
61
65
3d
6f
72
36
6c
65
3d
67
57
6b
63
09
74
20
6d
69
32
6b
29
73
74
57
6b
73
.0HB.H..*.....E.
...D ....~......
.3.m.Y.=j$.G.5..
...Z..8 ..::...
......Wireless-W
CS:role0=Admin.+
.....%Wireless-W
CS:task0=Users a
nd Groups.'.....
!Wireless-WCS:ta
sk1=Audit Trails
.*.....$Wireless
-WCS:task2=TACAC
S+ Servers.)....
.#Wireless-WCS:t
ask3=RADIUS Serv
ers."......Wirel
ess-WCS:task4=Lo
gging.$......Wir
eless-WCS:task5=
Licensing.>.....
8Wireless-WCS:ta
sk6=Scheduled Ta
sks and Data Col
lection.+.....%W
ireless-WCS:task
7=User Preferenc
es.*.....$Wirele
ss-WCS:task8=Sys
tem Settings.1..
...+Wireless-WCS
:task9=Diagnosti
c Information.2.
....,Wireless-WC
S:task10=View Al
erts and Events.
......(WirelessWCS:task11=Email
Notification.3.
....-Wireless-WC
S:task12=Delete
and Clear Alerts
.2.....,Wireless
-WCS:task13=Pick
and Unpick Aler
ts.2.....,Wirele
ss-WCS:task14=Se
verity Configura
tion.1.....+Wire
less-WCS:task15=
Configure Contro
llers./.....)Wir
eless-WCS:task16
=Configure Templ
ates.3.....-Wire
less-WCS:task17=
Configure Config
Groups.3.....-W
ireless-WCS:task
18=Configure Acc
ess Points.<....
.6Wireless-WCS:t
ask19=Configure
Access Point Tem
plates.2.....,Wi
reless-WCS:task2
0=Configure Chok
e Points./.....)
Wireless-WCS:tas
k21=Monitor Cont
rollers.1.....+W
ireless-WCS:task
22=Monitor Acces
0490
04a0
04b0
04c0
04d0
04e0
04f0
0500
0510
0520
0530
0540
0550
0560
0570
0580
0590
05a0
05b0
05c0
05d0
05e0
73
57
6b
6e
65
6f
09
74
65
69
32
70
72
37
65
72
38
00
43
20
57
6b
20
69
32
74
73
6e
01
61
63
72
36
6f
65
3d
70
65
3d
00
53
52
69
33
50
72
33
73
73
69
26
73
75
65
3d
69
6c
41
6f
6c
4d
00
3a
65
72
30
6f
65
3d
1a
2d
74
57
6b
72
6c
4d
6e
65
63
72
65
65
09
74
70
65
3d
69
6c
4d
28
57
6f
69
32
69
65
6f
74
73
63
74
73
73
01
61
6f
6c
49
6e
65
6f
00
43
72
72
35
74
73
6e
73
73
65
73
73
68
24
73
72
65
6e
74
73
6e
00
53
20
65
3d
79
73
69
1a
2d
73
1a
2d
20
57
6b
74
73
76
73
73
69
00
3a
54
6c
4d
1a
2d
74
30
57
73
28
57
52
69
32
73
73
65
1a
2d
74
09
74
61
65
6f
2f
57
6f
00
43
20
00
43
65
72
39
1a
2d
6e
2b
57
6f
01
61
67
73
6e
00
43
72
00
53
50
00
53
70
65
3d
2d
57
74
00
43
72
22
73
73
73
69
00
53
20
00
3a
6f
00
3a
6f
6c
43
00
43
00
53
20
57
6b
1a
2d
74
00
3a
43
09
74
69
09
74
72
65
6c
00
53
00
3a
43
69
32
2c
57
6f
09
74
68
01
61
6e
01
61
74
73
69
00
3a
09
74
6c
72
34
00
43
72
01
61
6f
2a
73
74
22
73
73
73
65
09
74
01
61
69
65
3d
00
53
20
29
73
6b
57
6b
20
57
6b
1a
2d
6e
01
61
25
73
65
6c
4d
00
3a
53
57
6b
65
69
32
52
69
32
2a
57
74
27
73
s Points.+.....%
Wireless-WCS:tas
k23=Monitor Clie
nts.(....."Wirel
ess-WCS:task24=M
onitor Tags.,...
..&Wireless-WCS:
task25=Monitor S
ecurity./.....)W
ireless-WCS:task
26=Monitor Choke
points.0.....*Wi
reless-WCS:task2
7=Access Point R
eports.(....."Wi
reless-WCS:task2
8=Mesh Reports.*
.....$Wireless-W
CS:task29=Client
Reports.-.....'
Wireless-WCS:tas
k30=Invent
00
14
1a
2d
6f
2c
57
69
09
74
20
65
3d
1a
2d
6e
09
74
61
65
3d
ff
30
2f
2f
45
0a
2f
57
72
00
43
74
01
61
4f
6c
4d
2b
57
74
01
61
74
6c
50
ff
30
66
22
00
04
00
43
6d
00
53
79
24
73
6e
65
61
00
43
20
24
73
69
65
6c
ff
34
65
eb
.0HB.H..*.....E.
...D............
.3ory Reports./.
....)Wireless-WC
S:task31=Perform
ance Reports.,..
...&Wireless-WCS
:task32=Security
Reports.*.....$
Wireless-WCS:tas
k33=Maps Read On
ly.+.....%Wirele
ss-WCS:task34=Ma
ps Read Write.+.
....%Wireless-WC
S:task35=Client
Location.*.....$
Wireless-WCS:tas
k36=Rogue Locati
on.).....#Wirele
ss-WCS:task37=Pl
anning Mode.....
..$CISCOACS:0004
4043/0a040133/fe
felixP..D.W../".
...-.6.
第 2 パケット（フラグメント）に続きます。
0000
0010
0020
0030
0040
0050
0060
0070
0080
0090
00a0
00b0
00c0
00d0
00e0
00f0
0100
0110
0120
0130
0140
0150
0160
0170
0180
0190
00
01
01
00
53
61
00
3a
20
57
6b
6c
73
70
00
53
4c
57
6b
6f
73
61
ff
34
66
80
30
89
33
00
3a
6e
09
74
52
69
33
79
73
73
00
3a
6f
69
33
6e
73
6e
19
30
65
ba
48
0e
6f
09
74
63
01
61
65
72
33
1a
2d
20
09
74
63
72
36
1a
2d
6e
24
34
6c
80
42
44
72
01
61
65
26
73
70
65
3d
2b
57
52
01
61
61
65
3d
29
57
69
43
33
69
2d
c3
00
79
29
73
20
57
6b
6f
6c
4d
00
43
65
25
73
74
6c
52
00
43
6e
49
2f
78
c1
48
b9
20
57
6b
52
69
33
72
65
61
00
53
61
57
6b
69
65
6f
00
53
67
53
30
50
36
00
80
52
69
33
65
72
32
74
73
70
00
3a
64
69
33
6f
73
67
00
3a
20
43
61
12
9d
14
11
65
72
31
70
65
3d
73
73
73
09
74
20
72
35
6e
73
75
09
74
4d
4f
30
f4
2a
14
70
65
3d
6f
6c
53
1a
2d
20
01
61
57
65
3d
1a
2d
65
01
61
6f
41
34
44
0a
19
6f
6c
50
72
65
65
2a
57
52
25
73
72
6c
43
2a
57
20
23
73
64
43
30
a6
eb
0a
72
65
65
74
73
63
00
43
65
57
6b
69
65
6c
00
43
4c
57
6b
65
53
31
57
b6
04
74
73
72
73
73
75
00
53
61
69
33
74
73
69
00
53
6f
69
33
08
3a
33
fb
08
01
73
73
66
1a
2d
72
00
3a
64
72
34
65
73
65
00
3a
63
72
37
06
30
33
d7
関連情報
Cisco Wireless Control System コンフィギュレーション ガイド、リリース 4.2（英語）
Wireless Control System のトラブルシューティング（英語）
Wireless Control System（WCS）のエラー メッセージとシステム メッセージ（英語）
テクニカルサポートとドキュメント - Cisco Systems
1992 - 2014 Cisco Systems, Inc. All rights reserved.
Updated: 2014 年 4 月 2 日
http://www.cisco.com/cisco/web/support/JP/112/1122/1122215_understand-rad-aa-packets-j.html
Document ID: 99951