無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ: 11.トラブルシューティング

FreeRadiusでEAP-TLS方式を利用し、かつCRLを有効にしている場合に起きる事象。

(1)発生事象
最初はきちんとつながっているが、ある日突然全クライアントがEAP-TLSで認証できなくなることがある。
オーセンティケータ(WLCやAP)側では認証失敗のメッセージが出るはず。

radiusd.logには次のようなメッセージが出る。
Error: --> verify error:num=12:CRL has expired
Error: TLS Alert write:fatal:certificate expired
Error:     TLS_accept: error in SSLv3 read client certificate B
Error: rlm_eap: SSL error error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Error: SSL: SSL_read failed in a system call (-1), TLS session fails.
Auth: Login incorrect (CRL has expired): [testuser6] (from client 10.0.1.135 port 0 cli 1ce62bbbd022)

(2)理由
理由は、CRLの有効期限が切れてしまっていること。CRLを有効にし、かつCRLの有効期限が切れてしまうと、EAP-TLSのすべての認証が失敗する。

CRLには有効期限があり、デフォルトでは30日になっている。設定箇所は/etc/pki/tls/openssl.cnfの下記の箇所。

default_days    = 365                   # how long to certify for
default_crl_days= 30                    # how long before next CRL

(3)対処方法
暫定対処
・CRLを再発行し、FreeradiusのCRLディレクトリにコピーする。

根本対処
・CRLの有効期限を長くする(例:1年とか)
・CRLの発行と、FreeradiusのCRLディレクトリへのコピーをcronなどで自動化する。



「Diagnostics」タブのNetwork > AAA Test Serverにて、認証サーバへの疎通テストができる。

Authentication methodとしてMSCHAPv2とPAPがあるが、基本的にはPAPを選択する。
※CHAPはサポートしていないような気がする。

表示内容
Internal Error : Invalid response (-1)IPレベルで届かない場合(Pingも届かない)や認証設定が違う場合
Authentication failedパスワードが違うなどによる失敗
Authentication Successful成功

※表示が全て赤なので成功か失敗かが視覚的に分かりにくい。成功したら青などの違う色にしてほしい。

WLCからPing試験ができる。切り分けや試験には便利である。
当然ながら、CLIでもできる。
ping






「IP Address」の欄にIPアドレスを入れ、「Ping」のボタンを押す。
結果は、以下のようにポップアップされる。ちなみに、今回はNGの画面。
ポップアップでなく、Web画面に表示すればいいのにと思ってしまう。
ping2

クライアント認証時に、
 RADIUSサーバ:securelogin.arubanetworks.com
 ルートCA:AddTrust External CA Root
と表示されて、実際のRADIUSサーバや登録したはずのCA証明書が出てこない

名称未設定 6
















原因は、802.1X Authentication Profileの設定誤りである。


名称未設定 5















ここに誤ってチェックを入れていないだろうか。この設定は、EAPをターミネーションする設定(つまり、WLCがRADIUSとして動作してしまう)である。WLCがProxy-RADIUSとして動作してしまうので、WLCに内蔵された証明書が表示されてしまうのだ。

 


Windowsの証明書サービスで、「失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした」というエラーによって証明書の取得ができないことがある。

対処方法は、証明書サービスの再起動である。

理由は、Delta CRL(失効した証明書の差分情報)の発行に失敗したかららしい。

証明書サービスで、「失効した証明書」のプロパティを確認する。
001

















すると、Delta CRLのところで、「CRLは取得できません。パラメータが誤っています。0x80070057」と表示されている。
004




























確認したら、証明書サービスを再起動する。
証明書サービスの左ペインで、証明書サーバを右クリックし、「サービスの停止」を選ぶ。
その後、「サービスの開始」を選ぶと、再起動完了。
005












Delta CRLの「公開の状態」がOKになっていれば正常に動作している。

006





f
こんな相談を受けました。
どうしたらいいでしょう。





問題は大きく2つあるでしょう。
①電波があふれ、電波干渉が起こる。→無線LANが途切れる、通信が遅くなる
②不正APがネットワークに接続される。→セキュリティ上問題がある。

対策であるが、①電波を避ける方法、②電波を取り込む方法がある。


電波を避ける方法
 個人のポケットWiFiなどは、2.4GHz帯を使っていることがほとんど。5GHzには対応していないからね。5GHzの周波数帯はかなりクリーンな場合が多いから、これに切り替えるとよい。特に無線IP電話などは、干渉が多いと途切れてしまうからイライラする。
 他には、無線LANコントローラの電波の自動調整機能を使うのも方法だ。
 
電波を取り込む方法
 無線LANのルールを決め、使用する場合には会社にて決められたルールで使用してもらうようにする。その代り、無線LAN環境は提供する。
 不正な電波やAPは検知する必要がある。そのためには、AirWaveなどを導入し、不正APを検出しよう。AirMagnetなどの電波調査ツールでは、不正な電波が分かっても、不正APかどうかまでは分からない。Airwaveでは、パケットの中身も判断できるので、そのAPのデフォルトGWがネットワークのものと同じであれば、不正に設置して社内NWに接続されたものだと判断できる。


スポンサードリンク

このページのトップヘ