無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ:6.各種サーバの設定 > 6-3 Radius(NPS)

WindowsSever2012では、NPS(ネットワークポリシーサーバー)がRADIUSを提供している。

1)NPSのインストール
 サーバマネージャから「役割と機能の追加」をクリックしてインストールする。
rd001






















パラメータは全部デフォルトでOK。

2)ActiveDirectoryにサーバにNPSサーバを登録する。
管理ツールから「ネットワークポリシーサーバ」を起動する。
NPSを右クリックし、「ActiveDirectoryにサーバを登録」を選択する。
rd003















質問は全部「OK」で完了。

3)ウィザードによるポリシーの追加

ウィザードに従えば、簡単に802.1X用のポリシーを追加できる。

NPS管理画面の右側にあるメニューから、「802.1Xワイヤレス接続またはワイヤード(有線)接続用のRADIUSサーバ」を選択し、下にある「802.1Xを構成する」をクリック。
rd004
















「802.1X接続の種類の選択」で「ワイヤレス接続をセキュリティで保護する」を選択。
名前は自動的に入力されるので、必要なら変更して次へ。
rd005











「802.1Xスイッチの指定」でRADIUSクライアント(WLC)を追加する。「追加」をクリックして、必要項目を入力。
ここでIPアドレスが登録されていないRADIUSクライアントからのリクエストには、NPSは応答しない。
共有シークレットは、RADIUSクライアント(=WLC)とあわせておく。
rd006
























RADIUSクライアントが登録されたのを確認して、次へ。

「認証方法の構成」はPEAP・TLSを使う場合には変更が必要。
(ただし、先に証明書サービスがインストールされていなければならない)

PEAPの場合には、「保護されたEAP(PEAP)」を選択し、「構成」をクリック。

NPSサーバの証明書を選択する。



「ユーザグループの指定」では、認証を許可するグループを指定する。
今回は全ユーザを対象にするので、「ドメイン名\Domain Users」を指定。
rd007














「トラフィック制御の構成」はそのまま次へ。
「完了」を押すと、ポリシーが登録される。

接続要求ポリシーと、ネットワークポリシーの両方にポリシーが表示されればOK。
rd008








rd009


















NPSでのRADIUS認証の成功・失敗については、NPSサーバ上のイベントビューアで確認できる。

イベントビューア→Windowsログ→セキュリティで、「タスクのカテゴリ」が「ネットワークポリシーサーバ」にある。
イベントビューア











ただ、ここの方法だとNPS以外のセキュリティログも大量に出力される。そこで、NPS専用のカスタムビューを作るとよい。設定のサンプルを紹介する。
NPSログ

NPSのウィザードを使って802.1Xを構成すると、接続要求ポリシーとネットワークポリシー、2つのポリシーを生成する。役割の違いを説明しておく。
NPS-2









(1)接続要求ポリシー
 RADIUSのリクエストを、どのサーバで処理するかを決めるポリシーである。基本的には要求がきたときに自身で処理するような設定になる。
 RADIUSサーバがの構成が複雑な場合(部署ごと、サービスごとにRADIUSサーバが分かれている、など)でなければ、意識する必要はない。

(2)ネットワークポリシー
RADIUSでの認証リクエストに対して
・どのような条件のとき(ユーザが所属するセキュリティグループ、RADIUS要求内のアトリビュートなど)
・どのような認証で(PEAP/EAP-TLS)
・どのように認証を許可するか(許可・拒否、RADIUS応答で返すアトリビュートなど)
を設定する。


NPSのウィザードで設定を追加すると、接続要求ポリシーも複数できてしまう。しかし、内容は同じため、一番上にあるポリシーが適用される(上記の画面では、3つの接続要求ポリシーpeap-vlan200・peap-vlan210・peap-vlan220は同じ内容であり、peap-vlan200が適用される)。

これではログを見るときに不便(接続要求ポリシー名と、ネットワークポリシー名が一致しないことがある)なので、あとでひとつにまとめてしまう(不要なものを消す)ほうがよいだろう。

ポリシー名


802.1Xを利用するとき、ユーザごとに異なるVLANを割り当てることができる。もちろんARUBAのAPでも可能

しくみは、認証時に、オーセンティケータ(WLCやIAP)へのRADIUSレスポンスに、VLANIDもあわせて通知するのだ。VLANIDを受け取ったWLCやIAPは、「その端末はVLAN○○○だ」と認識してパケットを取り扱う。

名称未設定 3












注意が必要なのは、本来は無線区間にはVLANの仕組みはない。クライアントから無線で届いたパケットを、たWLCやIAPが「このクライアントは、VLAN○○○だ」と認識してVLANの処理を行うのである。802.1Xや無線LANの標準機能ではなく、あくまでWLCやIAPなど、オーセンティケータの独自機能である。

メリットは次の点。
・ユーザのVLANを変更するときに、RADIUSサーバ側で設定を変更すればよい。
 (クライアントの設定や、WLC・IAPの設定を変更する必要がない)
・セキュリティの確保。ユーザが自分以外のVLANに(直接)はアクセスできない。
 (有線でのVLANを使うときのメリットと同じ)

デメリットは次の点。
・RADIUSからVLANIDを通知するする方法が、オーセンティケータの機種によって多少異なる。
 (必要とするアトリビュートが微妙に異なる)
・ネットワーク設計が複雑になる。たとえば、WLCやIAPとL2/L3SW間のタグ設定など。


NPSを使って、認証ユーザごとに異なるVLANを割り当てる設定方法を説明する。

NPSでは、ユーザに直接VLANを割り当てることができない。ADのセキュリティグループにVLANを割り当てる。
たとえば、group210というセキュリティグループにVLAN210、group220というセキュリティグループにVLAN220を割り当てる。

部署ごとなどでセキュリティグループを作っておくとよいだろう。有線LANでVLANを分けているのであれば、その有線LANの割り当てを参考にすればよい。ユーザをセキュリティグループに所属させると、そのユーザで認証したときに、所属グループに基づくVLANを割り当てできる。

パラメータは次のとおり。

ネットワークポリシー
ポリシー名ADセキュリティグループ認証方法VLANID
PEAP-VLAN210
group210
PEAP  /  EAP-TLS
210
PEAP-VLAN220group220PEAP  /  EAP-TLS220
・・・
・・・PEAP  /  EAP-TLS
・・・
・・・
PEAP  /  EAP-TLS  




設定は、NPSのウィザードを使うと簡単だ。途中まではPEAPやEAP-TLSの設定と同じである。

①NPSの初期画面で「一覧化エア構成シナリオを選択し、下のリンクをクリックしてシナリオウィザードを開きます」のメニューから、「802.1Xワイヤレス接続またはワイヤード(有線)接続用のRADIUSサーバ」を選択し、「→802.1Xを構成する」をクリック。
002



















②802.1X接続の種類では「ワイヤレス接続をセキュリティで保護するを」選び、ポリシーの名前を入力する。ここでは「PEAP-VLAN210」としておく。ポリシー名には、認証方法やVLANID、セキュリティグループなどの名前を入れておくとわかりやすい。
003
























③オーセンティケータ(RADIUSクライアント)を選択する。すでに設定されていれば自動的に表示される。新規の追加も可能。
004

























④認証方法を選択する。今回はPEAP(「Microsoft保護されたEAP(PEAP))」」を選択、構成をクリック。
005

























⑤PEAP認証時に使う、RADIUSサーバ証明書を選択する。この証明書が認証時にクライアントに提示される。
006






















⑥ADのセキュリティグループを選択する。このグループに所属しているユーザに認証を許可と、VLANIDを割り当てるための設定だ。複数のグループを設定することもできる。
007























⑦トラフィック制御の構成が今回の設定のポイント。ここでは、認証に成功したときに、オーセンティケータ(WLCやIAP)にどのような情報を通知するかを設定する。
「構成」をクリックする。
008























⑧RADIUSの属性名と、値をここで設定する。設定するのはTunnel-Type、Tunnel-Medium-Type、Tunnel-Pvt-Group-IDの3つだ。まずTunnel-Typeを選択し、「構成」をクリック。
009





















(補足)Arubaの設定では、本来Tunnel-Pvt-Group-IDにVLANIDを設定するだけでVLANを割り当て可能。しかし、一般的には3つの属性値を必要とする機種もあるため、ここでは3箇所とも設定する手順を説明する。


Tunnell-Typeとは、どのようなトンネルの方式を使うかの設定である。今回はVLANを割り当てるので、VLANとしておく。「追加」をクリック。(802.1Xの場合、VLANを設定しておけばOK)
010



















「802.1Xで一般的に使用する」をクリックし、「Virtual LANs(VLAN)」を選択する。
011


















属性値に「Virtual LANs(VLAN)」に設定されたことを確認し、「OK」をクリック。
012



















次は、「Tunnel-Medium-Type」を構成する。Tunnel-Medium-Typeとは、トンネルプロトコル(上記で設定したVLAN)をどのようにトランスポート(輸送)するかを設定する。「追加」をクリック。
013



















「802.1Xで一般的に使用する」を選び、さらに「802(includes all 802 media plus Ethernet canonical format)」を選び、OK。
014















属性値に「802(includes all 802 media plus Ethernet canonical format)」が設定できたことを確認し「OK」。
015



















最後はTunnel-Pvt-Group-Idである。VLANIDを設定する。「追加」をクリック。
016



















「文字列」を選択し、ユーザに割り当てるVLANIDを入力、「OK」をクリック。
017
















VLANIDが設定されたことを確認し、「OK」をクリック。
018



















Tunnel-Type、Tunnel-Medium-Type、Tunnel-Pvt-Group-IDの3つが設定できたことを確認し「OK」をクリック。
019























⑨「802.1Xを構成する」の画面に戻るので、「次へ」をクリック。
020























⑩「完了」をクリックすると、接続要求ポリシーとネットワークポリシーの2つが作成される。
この2つのポリシーの違いはここを参照。
021
























⑪接続要求ポリシーとネットワークポリシーがそれぞれ作成されたことを確認する。
022


















023





























別のグループに別のVLANを設定する場合、同じように作成するか、ネットワークポリシーを複製して編集する。複製のほうが楽。

複製方法は次のとおり。

①作成済みのネットワークポリシーを右クリックし、「複製」を選択。
030













②名前を変更する。変更後、ダブルクリックして編集する。
031












③複製直後のポリシーは無効になっている。そのため、「ポリシーを有効にする」にチェックして有効化する。
033



















④「条件」タブに移動。Windowsグループが表示されているので、選択して「編集」をクリック。
034



















グループを編集する。ここで設定したグループに、この後設定するVLANIDを割り当てる。最初は複製元のグループが表示されているので、忘れないように削除しておく。
036















Windowsグループを割り当てなおしたことを確認する。
037




















⑤「設定」タブに移動。ここでVLANIDを割り当てる。Tunnel-Pvt-Group-Idを選択し「編集」をクリック。
設定方法は、ウィザードでの設定方法と同じだ。
038




















Tunnel-Pvt-Group-Idを変更したのを確認し、「OK」をクリック。
039



















⑥ポリシーの適用順序を変更する。複製直後は順序が最後になっており、処理されないからだ。右クリックで「上へ移動」を選択し、適切な場所に移動させる。
040

















041

























スポンサードリンク

このページのトップヘ