NPSを使って、認証ユーザごとに異なるVLANを割り当てる設定方法を説明する。
NPSでは、ユーザに直接VLANを割り当てることができない。ADのセキュリティグループにVLANを割り当てる。
たとえば、group210というセキュリティグループにVLAN210、group220というセキュリティグループにVLAN220を割り当てる。
部署ごとなどでセキュリティグループを作っておくとよいだろう。有線LANでVLANを分けているのであれば、その有線LANの割り当てを参考にすればよい。ユーザをセキュリティグループに所属させると、そのユーザで認証したときに、所属グループに基づくVLANを割り当てできる。
パラメータは次のとおり。
ネットワークポリシー
設定は、NPSのウィザードを使うと簡単だ。途中まではPEAPやEAP-TLSの設定と同じである。
①NPSの初期画面で「一覧化エア構成シナリオを選択し、下のリンクをクリックしてシナリオウィザードを開きます」のメニューから、「802.1Xワイヤレス接続またはワイヤード(有線)接続用のRADIUSサーバ」を選択し、「→802.1Xを構成する」をクリック。

②802.1X接続の種類では「ワイヤレス接続をセキュリティで保護するを」選び、ポリシーの名前を入力する。ここでは「PEAP-VLAN210」としておく。ポリシー名には、認証方法やVLANID、セキュリティグループなどの名前を入れておくとわかりやすい。

③オーセンティケータ(RADIUSクライアント)を選択する。すでに設定されていれば自動的に表示される。新規の追加も可能。

④認証方法を選択する。今回はPEAP(「Microsoft保護されたEAP(PEAP))」」を選択、構成をクリック。

⑤PEAP認証時に使う、RADIUSサーバ証明書を選択する。この証明書が認証時にクライアントに提示される。

⑥ADのセキュリティグループを選択する。このグループに所属しているユーザに認証を許可と、VLANIDを割り当てるための設定だ。複数のグループを設定することもできる。

⑦トラフィック制御の構成が今回の設定のポイント。ここでは、認証に成功したときに、オーセンティケータ(WLCやIAP)にどのような情報を通知するかを設定する。
「構成」をクリックする。

⑧RADIUSの属性名と、値をここで設定する。設定するのはTunnel-Type、Tunnel-Medium-Type、Tunnel-Pvt-Group-IDの3つだ。まずTunnel-Typeを選択し、「構成」をクリック。

(補足)Arubaの設定では、本来Tunnel-Pvt-Group-IDにVLANIDを設定するだけでVLANを割り当て可能。しかし、一般的には3つの属性値を必要とする機種もあるため、ここでは3箇所とも設定する手順を説明する。
Tunnell-Typeとは、どのようなトンネルの方式を使うかの設定である。今回はVLANを割り当てるので、VLANとしておく。「追加」をクリック。(802.1Xの場合、VLANを設定しておけばOK)

「802.1Xで一般的に使用する」をクリックし、「Virtual LANs(VLAN)」を選択する。

属性値に「Virtual LANs(VLAN)」に設定されたことを確認し、「OK」をクリック。

次は、「Tunnel-Medium-Type」を構成する。Tunnel-Medium-Typeとは、トンネルプロトコル(上記で設定したVLAN)をどのようにトランスポート(輸送)するかを設定する。「追加」をクリック。

「802.1Xで一般的に使用する」を選び、さらに「802(includes all 802 media plus Ethernet canonical format)」を選び、OK。

属性値に「802(includes all 802 media plus Ethernet canonical format)」が設定できたことを確認し「OK」。

最後はTunnel-Pvt-Group-Idである。VLANIDを設定する。「追加」をクリック。

「文字列」を選択し、ユーザに割り当てるVLANIDを入力、「OK」をクリック。

VLANIDが設定されたことを確認し、「OK」をクリック。

Tunnel-Type、Tunnel-Medium-Type、Tunnel-Pvt-Group-IDの3つが設定できたことを確認し「OK」をクリック。

⑨「802.1Xを構成する」の画面に戻るので、「次へ」をクリック。

⑩「完了」をクリックすると、接続要求ポリシーとネットワークポリシーの2つが作成される。
この2つのポリシーの違いはここを参照。

⑪接続要求ポリシーとネットワークポリシーがそれぞれ作成されたことを確認する。


別のグループに別のVLANを設定する場合、同じように作成するか、ネットワークポリシーを複製して編集する。複製のほうが楽。
複製方法は次のとおり。
①作成済みのネットワークポリシーを右クリックし、「複製」を選択。

②名前を変更する。変更後、ダブルクリックして編集する。

③複製直後のポリシーは無効になっている。そのため、「ポリシーを有効にする」にチェックして有効化する。

④「条件」タブに移動。Windowsグループが表示されているので、選択して「編集」をクリック。

グループを編集する。ここで設定したグループに、この後設定するVLANIDを割り当てる。最初は複製元のグループが表示されているので、忘れないように削除しておく。

Windowsグループを割り当てなおしたことを確認する。

⑤「設定」タブに移動。ここでVLANIDを割り当てる。Tunnel-Pvt-Group-Idを選択し「編集」をクリック。
設定方法は、ウィザードでの設定方法と同じだ。

Tunnel-Pvt-Group-Idを変更したのを確認し、「OK」をクリック。

⑥ポリシーの適用順序を変更する。複製直後は順序が最後になっており、処理されないからだ。右クリックで「上へ移動」を選択し、適切な場所に移動させる。


スポンサードリンク
NPSでは、ユーザに直接VLANを割り当てることができない。ADのセキュリティグループにVLANを割り当てる。
たとえば、group210というセキュリティグループにVLAN210、group220というセキュリティグループにVLAN220を割り当てる。
部署ごとなどでセキュリティグループを作っておくとよいだろう。有線LANでVLANを分けているのであれば、その有線LANの割り当てを参考にすればよい。ユーザをセキュリティグループに所属させると、そのユーザで認証したときに、所属グループに基づくVLANを割り当てできる。
パラメータは次のとおり。
ネットワークポリシー
ポリシー名 | ADセキュリティグループ | 認証方法 | VLANID |
PEAP-VLAN210 | group210 | PEAP / | 210 |
PEAP-VLAN220 | group220 | PEAP / | 220 |
・・・ | ・・・ | PEAP / EAP-TLS | |
・・・ | ・・・ | PEAP / EAP-TLS | |
①NPSの初期画面で「一覧化エア構成シナリオを選択し、下のリンクをクリックしてシナリオウィザードを開きます」のメニューから、「802.1Xワイヤレス接続またはワイヤード(有線)接続用のRADIUSサーバ」を選択し、「→802.1Xを構成する」をクリック。

②802.1X接続の種類では「ワイヤレス接続をセキュリティで保護するを」選び、ポリシーの名前を入力する。ここでは「PEAP-VLAN210」としておく。ポリシー名には、認証方法やVLANID、セキュリティグループなどの名前を入れておくとわかりやすい。

③オーセンティケータ(RADIUSクライアント)を選択する。すでに設定されていれば自動的に表示される。新規の追加も可能。

④認証方法を選択する。今回はPEAP(「Microsoft保護されたEAP(PEAP))」」を選択、構成をクリック。

⑤PEAP認証時に使う、RADIUSサーバ証明書を選択する。この証明書が認証時にクライアントに提示される。

⑥ADのセキュリティグループを選択する。このグループに所属しているユーザに認証を許可と、VLANIDを割り当てるための設定だ。複数のグループを設定することもできる。

⑦トラフィック制御の構成が今回の設定のポイント。ここでは、認証に成功したときに、オーセンティケータ(WLCやIAP)にどのような情報を通知するかを設定する。
「構成」をクリックする。

⑧RADIUSの属性名と、値をここで設定する。設定するのはTunnel-Type、Tunnel-Medium-Type、Tunnel-Pvt-Group-IDの3つだ。まずTunnel-Typeを選択し、「構成」をクリック。

(補足)Arubaの設定では、本来Tunnel-Pvt-Group-IDにVLANIDを設定するだけでVLANを割り当て可能。しかし、一般的には3つの属性値を必要とする機種もあるため、ここでは3箇所とも設定する手順を説明する。
Tunnell-Typeとは、どのようなトンネルの方式を使うかの設定である。今回はVLANを割り当てるので、VLANとしておく。「追加」をクリック。(802.1Xの場合、VLANを設定しておけばOK)

「802.1Xで一般的に使用する」をクリックし、「Virtual LANs(VLAN)」を選択する。

属性値に「Virtual LANs(VLAN)」に設定されたことを確認し、「OK」をクリック。

次は、「Tunnel-Medium-Type」を構成する。Tunnel-Medium-Typeとは、トンネルプロトコル(上記で設定したVLAN)をどのようにトランスポート(輸送)するかを設定する。「追加」をクリック。

「802.1Xで一般的に使用する」を選び、さらに「802(includes all 802 media plus Ethernet canonical format)」を選び、OK。

属性値に「802(includes all 802 media plus Ethernet canonical format)」が設定できたことを確認し「OK」。

最後はTunnel-Pvt-Group-Idである。VLANIDを設定する。「追加」をクリック。

「文字列」を選択し、ユーザに割り当てるVLANIDを入力、「OK」をクリック。

VLANIDが設定されたことを確認し、「OK」をクリック。

Tunnel-Type、Tunnel-Medium-Type、Tunnel-Pvt-Group-IDの3つが設定できたことを確認し「OK」をクリック。

⑨「802.1Xを構成する」の画面に戻るので、「次へ」をクリック。

⑩「完了」をクリックすると、接続要求ポリシーとネットワークポリシーの2つが作成される。
この2つのポリシーの違いはここを参照。

⑪接続要求ポリシーとネットワークポリシーがそれぞれ作成されたことを確認する。


別のグループに別のVLANを設定する場合、同じように作成するか、ネットワークポリシーを複製して編集する。複製のほうが楽。
複製方法は次のとおり。
①作成済みのネットワークポリシーを右クリックし、「複製」を選択。

②名前を変更する。変更後、ダブルクリックして編集する。

③複製直後のポリシーは無効になっている。そのため、「ポリシーを有効にする」にチェックして有効化する。

④「条件」タブに移動。Windowsグループが表示されているので、選択して「編集」をクリック。

グループを編集する。ここで設定したグループに、この後設定するVLANIDを割り当てる。最初は複製元のグループが表示されているので、忘れないように削除しておく。

Windowsグループを割り当てなおしたことを確認する。

⑤「設定」タブに移動。ここでVLANIDを割り当てる。Tunnel-Pvt-Group-Idを選択し「編集」をクリック。
設定方法は、ウィザードでの設定方法と同じだ。

Tunnel-Pvt-Group-Idを変更したのを確認し、「OK」をクリック。

⑥ポリシーの適用順序を変更する。複製直後は順序が最後になっており、処理されないからだ。右クリックで「上へ移動」を選択し、適切な場所に移動させる。

