無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ: 6.各種サーバの設定

IASのインストール
「コントロール パネル」「プログラムの追加と削除」「Windowsコンポーネントの追加と削除」「ネットワーク サービス」「詳細」ボタン
「インターネット認証サービス」をインストール

ias
 



   









IASの起動
「新しいRADIUSクライアント」を作る
ias2

   






名前とIPアドレスを入れる。
今回はWLCのIPアドレス(192.168.0.201)を設定する。
wlc3










クライアントベンダはデフォルトとする。※通常のRaiusなので「RADIUS Standard」

共有シークレットを入れる。(WLC側と合わせる)
ias3












IASのユーザとして、ADのアカウントを使うための設定をする。
ias4 










リモートアクセスポリシーの設定
①「リモートアクセスポリシー」「新しいリモートアクセスポリシー」をクリックして「次へ」
②ポリシーの構成方法は、ウィザードを使ってもいいが、ここでは「カスタム ポリシーを設定する」にチェックを入れ、ポリシー名をつける
policy












③ポリシー条件を「追加」ボタンで追加する。ここにあるように、送信元のIPアドレスや時間帯など、様々な要件でポリシーが作成される。深い意味は無いが、ここではWindows-Groupとする。
Domain Usersとしているが、Radius用のグループを作ってそれを指定するのが本来であろう。
policy2












policy3














④「リモートアクセス許可を与える」にチェックを入れる。(当然)
⑤プロファイルにて「プロファイルの編集」を押す
⑥「認証」タブで「暗号化されていない認証」にチェックを入れる。
※IEEE802.1X認証をするときは違う設定になる。
policy4

















⑦「次へ」「完了」

ADのアカウント側でも設定が必要である。
該当アカウントのプロパティで「ダイヤルイン」「アクセスを許可」にチェックを入れる。
ad


















※Radiusが正常に動作するかはNTRadPingにて試験するとよい。
また、ログの取得も大事だ。

CentOS6.3でのCA構築方法。

①OpenSSLの設定を変更しておく。最近の推奨値である鍵長2048bit、メッセージダイジェストsha256に変更する。
# vi /etc/pki/tls/openssl.cnf

106~107行目
default_bits            = 1024
default_md              = sha1
  ↓
default_bits            = 2048
default_md              = sha256

75行目
 default_md      = default               # use public key default MD
  ↓
 default_md      = sha256               # use public key sha256
CA証明書の使用用途(KeyUsage,ExtendedKeyUsage)を指定しておく。[ v3_ca]セクションで、次の行を有効にしておく。それぞれの意味は、NIIのサイトに詳しい解説がある。
basicConstraints = critical,CA:true
keyUsage = cRLSign, keyCertSign , digitalSignature,keyAgreement , keyCertSign , keyEncipherment
extendedKeyUsage = serverAuth, clientAuth

さらに、CSRを作成するときの手間を減らすための設定をする。毎回国名や組織名を入力するのは大変手間がかかる。そこで、入力の手間を減らせるようにopenssl.cnfを変更する。変更した内容が、入力時のデフォルト値になる。

[ req_distinguished_name ]セクションを変更する。内容はサンプルなので、CAを作成したときの名前にあわせて変更する。
・130行目付近
  countryName_default             = XX
   ↓
  countryName_default             = jp

・135行目付近
   #stateOrProvinceName_default    = Default Province
   ↓
   stateOrProvinceName_default   = Japan


・141行目付近
   0.organizationName_default      = Default Company Ltd
   ↓
   0.organizationName_default    = viva-musen

また、クライアント証明書やサーバ証明書を発行するためのテンプレートも作っておく。最終行に追加しておく。これは、証明書の種類がクライアント証明書やサーバ証明書であると言うことを示す情報だ。
[ clientAuth ]
extendedKeyUsage = clientAuth
basicConstraints=CA:FALSE
keyUsage = digitalSignature, keyEncipherment
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer

[ serverAuth ]
extendedKeyUsage = serverAuth , clientAuth
basicConstraints=CA:FALSE
keyUsage = digitalSignature, keyEncipherment
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer


②CA管理用のスクリプトを修正。
# cd /etc/pki/tls/misc/
# cp CA CA.sh

# vi CA.sh

65行目
CADAYS="-days 1095"     # 3 years

CADAYS="-days 3650"     # 10 years  ・・・CA証明書の有効期間は長い方が運用上楽。

130行目
 -out ${CATOP}/$CAREQ
 ↓
 -out ${CATOP}/$CAREQ -sha256 -newkey rsa:2048  ・・・鍵長は2048bitにしておこう。

③新規CAの作成。
# ./CA.sh -newca
CA certificate filename (or enter to create)
(enterを押す)
Making CA certificate ...
Generating a 2048 bit RSA private key
...........+++
.............................+++
writing new private key to '/etc/pki/CA/private/./cakey.pem'
Enter PEM pass phrase: (CAの秘密鍵のパスフレーズを入力)
Verifying - Enter PEM pass phrase:(CAの秘密鍵のパスフレーズを再入力)
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:jp ・・・国名を2文字で入力。
State or Province Name (full name) []:Japan ・・・国名または州名を入力(何か入れておかないと、後でエラーになる)
Locality Name (eg, city) [Default City]:. ・・・都市名を入力。空欄にする場合はピリオド。
Organization Name (eg, company) [Default Company Ltd]:viva-musen ・・・組織名(会社名など)を入力
Organizational Unit Name (eg, section) []: ・・・組織単位(部署名など)を入力。
Common Name (eg, your name or your server's hostname) []:viva-musen-CA  ・・・CAの名前を入力
Email Address []: ・・・emailを入力。空欄でもOK。

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: ・・・enterでOK
An optional company name []: ・・・enterでOK
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/./cakey.pem:(CAの秘密鍵のパスフレーズを入力)
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            **:09:ba:8e:7c:5f:**:16
        Validity
            Not Before: Dec  8 02:31:43 2012 GMT
            Not After : Dec  6 02:31:43 2022 GMT
        Subject:
            countryName               = jp
            stateOrProvinceName       = Japan
            organizationName          = viva-musen
            commonName                = viva-musen-CA
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                7D:75:1A:**:C0:7D:57:0D:6F:**:45:27:2A:5D:C3:3B:**:06:E0:9B
            X509v3 Authority Key Identifier:
                keyid:**:75:1A:61:C0:7D:57:0D:6F:9D:45:27:2A:**:C3:3B:0D:**:E0:9B

            X509v3 Basic Constraints:
                CA:TRUE
Certificate is to be certified until Dec  6 02:31:43 2022 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated
#chmod 600 /etc/pki/CA/private/cakey.pem
CAの秘密鍵を、root以外がアクセスできないように修正


失敗したら、
# rm -rf /etc/pki/CA/*
を実行してから、再度newscaする。
※CAの構築後は、/etc/pki/CA/のファイルは消してはならない!

この時点で、/etc/pki/CA/にたくさんのファイルができている。
/etc/pki/CA/cacert.pem  ・・・CAの公開鍵証明書(RADIUSサーバやクライアントに配布するファイル)
 →Windowsでインポートする場合には、cacert.cerにリネームしておく。
/etc/pki/CA/private/cakey.pem ・・・CAの秘密鍵(非公開のファイル。厳重に管理すること!)


④出来上がったCA証明書の内容確認
# openssl x509 -in /etc/pki/CA/cacert.pem -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            bb:09:ba:8e:7c:5f:82:16
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=jp, ST=Japan, O=viva-musen, CN=viva-musen-CA
        Validity
            Not Before: Dec  8 02:31:43 2012 GMT
            Not After : Dec  6 02:31:43 2022 GMT
        Subject: C=jp, ST=Japan, O=viva-musen, CN=viva-musen-CA
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
 ・
 ・
 ・
O7LRl2gxmbq/XUvbXBWouiBuuizpuCyDTJRjsKIhjw/Pi794CVeQyQVj9/WMra3O
U8RtZlIpGKGCEdg=
-----END CERTIFICATE-----



ツールを使って試験をする。
WLCにていきなり試験をしてもいいが、そもそもRADIUSがきちんと動作しているかの確認を取った方がいい。
たとえば、NTRadPingを使って簡単に試験ができる。
Ntradp












「Send」ボタンを押して成功すると「response:Access-Accept」と表示される。

イベントビューワでのログ確認

トラブルシューティングにはログ分析が欠かせない。
「スタート」「管理ツール」「イベントビューワ」で確認をするとよい。
以下のように、どこでエラーになったかが表示される。

※ログの取得はデフォルトでONだと思う。もし取れない場合は、IAS管理画面の「インターネット認証サービス」を右クリック「プロパティ」で設定をする。
ivent

















ArubaのWLC(無線LANコントローラ)からテストをする。
「Diagnostics」タブより、「Network」「AAA Test Server」にて、認証サーバを選択し、ユーザ名とパスワードを入力する。
「Begin Test」にてテストを行える。

「Authentication Successful」が出れば成功。「Authentication failed」で失敗。
aruba_aaa_test

PEAPやEAP-TLSで必要となる、RADIUSサーバの秘密鍵と証明書ファイルの作成方法。

Freeradiusパッケージをインストールすると、デフォルトでサンプルのCAがあるので、まずこれを削除しておく。


# rm -rf /etc/raddb/certs/*

①RADIUSサーバ用の秘密鍵の作成。

作業ディレクトリは、Freeradiusの証明書関係ディレクトリがやりやすい。
# cd /etc/raddb/certs/

# openssl genrsa -aes256 2048 > radius_key.pem
Generating RSA private key, 2048 bit long modulus
........+++
.......+++
e is 65537 (0x10001)
Enter pass phrase: ・・・RADIUSサーバ用の秘密鍵ファイルのパスフレーズを入力
Verifying - Enter pass phrase: ・・・RADIUSサーバ用の秘密鍵ファイルのパスフレーズを再入力
#

radius_key.pemファイルができているのを確認する。

②RADIUSサーバ用証明書要求ファイル(CSR)の作成

# openssl req -new -key radius_key.pem -out radius_csr.pem
Enter pass phrase for radius_key.pem: ・・・RADIUSサーバ用の秘密鍵ファイルのパスフレーズを入力
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:jp  ・・・国名(2文字)を入力。CAとあわせておく。
State or Province Name (full name) []:Japan  ・・・国名または州名を入力。CAとあわせておく。
Locality Name (eg, city) [Default City]:.
Organization Name (eg, company) [Default Company Ltd]:viva-musen   ・・・組織名(会社名など)を入力。CAとあわせておく。
Organizational Unit Name (eg, section) []:.   ・・・組織単位(部署名など)を入力。
Common Name (eg, your name or your server's hostname) []:radius.viva-musen.net   ・・・共通名(FQDN名やホスト名)を入力。
Email Address []:.

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:   ・・・EnterでOK
An optional company name []: ・・・EnterでOK
#

CSRファイル(radius_csr.pem)ファイルができたことを確認しておく。

③CSRファイルから、証明書を作成する。
ここからは、CAの作業である。

# openssl ca -in radius_csr.pem -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -out radius_cert.pem
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/cakey.pem:・・・CAの秘密鍵ファイルのパスフレーズを入力
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            bb:**:ba:8e:7c:5f:**:17
        Validity
            Not Before: Dec  8 04:10:49 2012 GMT
            Not After : Dec  8 04:10:49 2013 GMT
        Subject:
            countryName               = jp
            stateOrProvinceName       = Japan
            organizationName          = viva-musen
            commonName                = radius.viva-musen.net
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                E1:A6:A3:D0:79:**:CC:DA:5B:09:**:88:17:91:09:**:67:8C:**:39
            X509v3 Authority Key Identifier:
                keyid:7D:75:**:61:C0:7D:57:**:6F:9D:45:27:2A:5D:C3:**:0D:06:E0:9B

Certificate is to be certified until Dec  8 04:10:49 2013 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
#

証明書ファイル(radius_cert.pem)ができたことを確認する。



リモートアクセスポリシーの「プロファイルの編集」「詳細設定」にて属性(Attribute)の設定ができる。
以下は例としてClassにstudentという値を入れた例である。使用できる属性はかなりある。ポイントとなるのは属性の番号(この場合は25)であり、それを問い合わせる側と合わせることがポイント。なので、IPアドレスの属性を使おうが何をしようが、両者で合わせればいいだろう。
attribute












NTRadPingを使って試験をすると、以下のようにClassの属性もきちんと返されている。
class25

WindowsSever2012では、NPS(ネットワークポリシーサーバー)がRADIUSを提供している。

1)NPSのインストール
 サーバマネージャから「役割と機能の追加」をクリックしてインストールする。
rd001






















パラメータは全部デフォルトでOK。

2)ActiveDirectoryにサーバにNPSサーバを登録する。
管理ツールから「ネットワークポリシーサーバ」を起動する。
NPSを右クリックし、「ActiveDirectoryにサーバを登録」を選択する。
rd003















質問は全部「OK」で完了。

3)ウィザードによるポリシーの追加

ウィザードに従えば、簡単に802.1X用のポリシーを追加できる。

NPS管理画面の右側にあるメニューから、「802.1Xワイヤレス接続またはワイヤード(有線)接続用のRADIUSサーバ」を選択し、下にある「802.1Xを構成する」をクリック。
rd004
















「802.1X接続の種類の選択」で「ワイヤレス接続をセキュリティで保護する」を選択。
名前は自動的に入力されるので、必要なら変更して次へ。
rd005











「802.1Xスイッチの指定」でRADIUSクライアント(WLC)を追加する。「追加」をクリックして、必要項目を入力。
ここでIPアドレスが登録されていないRADIUSクライアントからのリクエストには、NPSは応答しない。
共有シークレットは、RADIUSクライアント(=WLC)とあわせておく。
rd006
























RADIUSクライアントが登録されたのを確認して、次へ。

「認証方法の構成」はPEAP・TLSを使う場合には変更が必要。
(ただし、先に証明書サービスがインストールされていなければならない)

PEAPの場合には、「保護されたEAP(PEAP)」を選択し、「構成」をクリック。

NPSサーバの証明書を選択する。



「ユーザグループの指定」では、認証を許可するグループを指定する。
今回は全ユーザを対象にするので、「ドメイン名\Domain Users」を指定。
rd007














「トラフィック制御の構成」はそのまま次へ。
「完了」を押すと、ポリシーが登録される。

接続要求ポリシーと、ネットワークポリシーの両方にポリシーが表示されればOK。
rd008








rd009


















Windows2003サーバの認証局の設定を記載する。正直、入れるだけである。簡単。

認証局(CA)のインストール

1)「スタート」「コントロールパネル」「プログラムの追加と削除」を起動。
左側の「Windowsコンポーネントの追加と削除(A)」を選択

2)「Windowsコンポーネントウィザード」画面が起動する。
「証明書サービス」のチェックボックスにチェックを入れる。
ca1












3)CAの種類は、エンタープライズルートCAを選ぶ。
スタンドアロンよりも高度な機能があるため、エンタープライズがお勧め。
ただ、証明書を発行するだけならスタンドアロンでも可能。ADがインストールされていないと、エンタープライズは選択できなかったかもしれない。
ca2










4)次にCAの名前を入れる。ぶっちゃけ、なんでもいい。
※下の方に有効期限があるが、これは価値観にもよるが、私は長くしている。
有効期限を短くすると、期限がきたら更新処理をしなければいけない。1000人の証明書を発行したら、それだけのユーザに影響がでる。慎重に検討しよう。

ca3

5)「次へ」で進むとインストールが始まる。

これで完了。


スポンサードリンク

このページのトップヘ