無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ:5.無線LANコントローラ > 5-6 EAP-TLSの設定

設定の前に、必要な機器やサーバと、その役割を理解しよう。
とはいっても、基本的にはPEAPと同じである。

・CA(認証局):CA証明書・サーバ証明書・クライアント証明書などの証明書を発行する
・RADIUSサーバ:ユーザを認証する。今回はユーザ情報をADで管理している。また、サプリカント(クライアント)から送信された証明書とディジタル署名の検証を行うことで、クライアントの真正性を確認している。ここがPEAPとの大きな違い。
・ドメインコントローラ:ユーザ情報(アカウント名やパスワードなど)を管理するサーバ。
※RADIUSではADが必須とされているわけではない。AD以外の方法でユーザ情報を管理してもよい。
・AP・WLC:オーセンティケータとも言う。クライアントと無線で通信したり、サプリカントとRADIUSサーバ間の認証通信を仲立ちをする。
・PC:802.1Xの認証を受ける機能やソフトウェアをサプリカントという。

名称未設定 13

















設定の流れは次のとおりである。
WindowsServer2012でCA・RADIUSの設定
・WindowsServer2012でActiveDirectoryサーバ(ドメインコントローラ)を構築する。
・WindowsServer2012でCA(認証局)を立てる。
・WindowsServer2012でNPS(RADIUSサーバ)を構築する。
・AD上でユーザを登録する。(このユーザアカウントでEAP-TLSの認証を行う)
※説明では、ドメインコントローラ・CA・NPSを同一サーバで構築している。

ARUBAのWLCの設定
WLCの設定は、PEAPとTLSで全く同じである。
i

全く同じですか?
証明書の仕組みが違ったりするので、設定も違うのでは?



WLCはPCのサプリカントと、認証サーバをつなぐオーセンティケータとしての機能であり、中継機能だけを実現している。また、IEEE802.1X認証では、複数の認証方式から選択できるのも特徴である。

詳しくはPEAPの設定を確認してほしいが、以下にその流れを紹介する。

・RADIUSサーバを登録する。
・サーバグループに、RADIUSサーバを登録する。
・AAAプロファイル(認証方式)を作成する。
・SSIDプロファイル(SSIDや暗号化方式)を作成する。
・バーチャルAPを作り、AAAプロファイルとSSIDプロファイルを関連付ける。
・バーチャルAPをAPグループに割り当てる。
・APをAPグループに登録する。

dot1x-config










クライアント側の設定
CAの証明書を取得して、インストールする
・クライアント証明書を取得して、インストールする。
・EAP-TLSの設定を行い、CAの証明書を信頼する
詳しくはWindows7の802.1X(EAP-TLS)接続方法

NPSでEAP-TLSを設定するのも簡単である。WLC側の設定は、PEAPと同じなので割愛する。

①NPSのシナリオウィザードで、「802.1Xワイヤレス接続またはワイヤード(有線)接続用のRADIUSサーバー」を選択し、「802.1Xを構成する」をクリックする。



②802.1Xの接続の種類で、「ワイヤレス接続をセキュリティで保護する」を選択する。
名前は、TLSを使うことがわかるような名前にしておくと便利だろう。


③802.1Xスイッチの指定では、RADIUSクライアント(WLC)を登録する。
このへんはPEAPのときと同じである。

④認証方法の構成では、「スマートカードまたはその他の証明書」を選択する。
ここがPEAPとの大きな違いである。


⑤「構成」をクリックして、サーバ証明書を指定する。


⑤ユーザグループの指定で、TLSでのアクセスを許可するグループを指定する。
このあたりもPEAPと同様である。

⑥残りのパラメータはデフォルトでよいだろう。最後は「完了」でポリシーが作成できる。



クライアント証明書にはコンピュータの証明書と、ユーザの証明書の2パターンがある。
ユーザ証明書は、ブラウザ上に表示されるが、コンピュータの証明書はブラウザには出ない。
MMCでコンソールを開き、ファイルから「スナップインの追加と削除」、一番下にある「証明書」を選び「ユーザアカウント」か「コンピュータアカウント」を選ぶことで、それぞれの証明書を確認できる。

では、どちらでやるか。
一般的には、ユーザの証明書を使うことが多いと思われる。
TLSはコンピュータを認証するものであるが、ユーザの証明書を使うことで、ユーザのCNをみて、ユーザアカウントが存在するかもチェックする
以下はソリトンさんのNetAttestの設定
https://www.soliton.co.jp/products/assets/docs/netattest_eps/EPS_Xirrus_rev02_181225.pdf
p20の802.1Xの設定で、認証モードを「コンピュータ」ではなく「ユーザ」としている。
これで、ユーザ証明書をみていることになる(と思われる) 設定画面は以下も参照。
musen

一方、共通PCであったり、(実際には前回の無線LANの接続情報で接続するので関係ないと思うが、)
PCを起動してPCにログインする前にWifiを接続(ネットワークを接続)し、たとえばADのグループポリシーを適用したいのであれば、コンピュータ証明書を使うのがいいと思う。その場合は、上記の「認証モードを指定する」にて「コンピュータ認証」を選択する。


スポンサードリンク

このページのトップヘ