無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

タグ:802.1X

無線LANクライアントに、認証したユーザに応じたVLANを割り当てる方法を紹介する。
ダイナミックVLANと呼ぶこともある。

前提として次の二つの作業が必要。
(1)RADIUSサーバ側で、ユーザに応じたRADIUSアトリビュートを返す設定をしておく
NPSの設定例 FreeRADIUSでの設定例を参照のこと
(2)IAPを接続しているSWのポートに、タグVLANの設定をしておく。
簡単なのは、管理IPアドレス用のVLANはタグなし(UntagやネイティブVLANとも言う)にしておき、クライアントに割り当てるVLANについては802.1QのタグVLANを設定する方法だ。

IAPでは、RADIUSサーバから返されるアトリビュートの情報を元に、VLANを割り当てることができる。
例として、ユーザに応じてVLAN200、VLAN210、VLAN220の3つのいずれかを割り当てる設定を紹介する。

ネットワーク(SSID)は、すでに設定済みのものを変更してもよいし、新規で設定してもよい。
今回は、新規設定を例に解説する。

「ネットワーク」→「新規」をクリック。SSIDを入力する。用途は従業員でOK。
001

















クライアントIPとVLANの割り当てもそのままでOK。
002

















セキュリティは、WPA2エンタープライズを選択し、RADIUSサーバを指定しておく。
003

















アクセスの設定がポイントだ。ここでは、
・どのような条件のときに(ロールの割り当てルール)→RADIUSサーバから返された属性がどのような条件か
・どのように動作するか(ロール)→VLANを割り当てる。
を設定する。(設定の順序はこの逆なので注意。)

アクセスルールはロールベースを設定する。
004

















ロールの「新規」をクリックし、ロールの名前を決める。ここでは割り当てるVLAN名をロール名とした。
005


















アクセスルールの「新規」をクリック。
006


















新しいルールが表示されるので、ルールタイプを「アクセス制御」から「VLANの割り当て」に変更する。
007


















割り当てるVLAN番号を入力し、「OK」する。
008


















同様に、VLAN210とVLAN220を作る。
009


















次に、ロールの割り当てルールを設定する。「ロールの割り当てルール」の「新規」をクリックする。
条件が出てくるので、
属性:「Tunnel-Private-Group-Id」(VLANIDを示す属性)
演算子:「次に一致」
文字列:VLAN番号(VLANID)
ロール:作成したロール(VLANの割り当てを行うロール)
を設定し、「OK」する。
010
















Tunnel-Private-Group-Idとは、RADIUSサーバから返される属性値であり、VLAN番号を意味する。


同様に、VLAN210、220も作成する。
011


















これでOK。

なお、SSID名と同じロールはデフォルトロールと呼び、どの条件にも当てはまらない場合の動作を規定する。
たとえば、認証は成功したがTunnel-Private-Group-Idが300だったような場合だ。(300はロールの割り当てルールに設定をしていない)

アクセスコントロールをシビアに設定するのであれば、デフォルトロールのアクセスルールも厳しめにしておいたほうがよいかもしれない。



802.1Xを利用するとき、ユーザごとに異なるVLANを割り当てることができる。もちろんARUBAのAPでも可能

しくみは、認証時に、オーセンティケータ(WLCやIAP)へのRADIUSレスポンスに、VLANIDもあわせて通知するのだ。VLANIDを受け取ったWLCやIAPは、「その端末はVLAN○○○だ」と認識してパケットを取り扱う。

名称未設定 3












注意が必要なのは、本来は無線区間にはVLANの仕組みはない。クライアントから無線で届いたパケットを、たWLCやIAPが「このクライアントは、VLAN○○○だ」と認識してVLANの処理を行うのである。802.1Xや無線LANの標準機能ではなく、あくまでWLCやIAPなど、オーセンティケータの独自機能である。

メリットは次の点。
・ユーザのVLANを変更するときに、RADIUSサーバ側で設定を変更すればよい。
 (クライアントの設定や、WLC・IAPの設定を変更する必要がない)
・セキュリティの確保。ユーザが自分以外のVLANに(直接)はアクセスできない。
 (有線でのVLANを使うときのメリットと同じ)

デメリットは次の点。
・RADIUSからVLANIDを通知するする方法が、オーセンティケータの機種によって多少異なる。
 (必要とするアトリビュートが微妙に異なる)
・ネットワーク設計が複雑になる。たとえば、WLCやIAPとL2/L3SW間のタグ設定など。


 ユーザ数が多くなると、EAP-TLS用のクライアント証明書を配布するのは大変な作業である。そこで、WindowsServer2012のActiveDirectory(AD)を利用して、クライアント証明書(ユーザ証明書)を自動的に配布する仕組みを紹介する。

前提条件:
・WindowsServer2012で、ActiveDirectoryの設定が終わっていること
・WindowsServer2012で、証明機関のインストール構成が終わっていること。

(1)「管理ツール」から「証明機関」を起動
000















(2)証明書テンプレートを作成する。
左ペインから「証明書テンプレート」を右クリックして「管理」を選択
001














テンプレート「ユーザ」を右クリックし、「テンプレートの複製」を選択。
002














「ユーザ」テンプレートを複製し、ユーザに証明書を自動配布するテンプレートを作成する。

証明書テンプレートのプロパティが表示される。互換性はデフォルトでよい。
特にWindowsXPなどが残っている場合に下位互換性が確保できるからだ。
003

































「全般」タブを開き、テンプレート名を変更する。ここでは、「ユーザ証明書の自動発行」としておく。
「有効期間」は証明書の有効期間、「更新期間」は有効期限が切れるどのくらい前に更新を行うかの設定である。
005
































「要求処理」タブでは、秘密キーのエクスポート(取り出し)のチェックをはずしておこう。
秘密キー(秘密鍵)が第三者に漏れてしまうと、なりすましができてしまうからだ。
007
































「サブジェクト名」タブでは、「サブジェクト名に電子メール名を含める」と「電子メール名」のチェックをはずしておく。ADで電子メールアドレスが登録されていないと、証明書の自動発行が失敗してしまうからだ。
009
































「セキュリティ」タブで、「Domain Users」に読み取りの許可と自動登録の許可を与える。
この設定を行うことで、Domain Users、つまりADの全ユーザがこのポリシーを使った証明書の自動発行の許可を受ける。
011































ここまでの設定が終わったら、「適用」「OK」を押して保存する。

(3)証明書テンプレートの発行
 ここでは(2)で作った証明書テンプレートを発行(有効化)する。

「証明機関」の「証明書テンプレート」を右クリックし、「新規作成」「発行する証明書テンプレート」を選択する。
012















「証明書テンプレートの選択」で、(2)で作成したテンプレート(ここでは、「ユーザ証明書の自動発行」)を選択し、「OK」を押す
013

















「証明機関」の「証明書テンプレート」で、「ユーザ証明書の自動発行」のテンプレートが表示されるのを確認。
014

















証明書テンプレートの作業はここまでである。

(4)グループポリシーオブジェクト(GPO)の割り当て
証明書テンプレートの作成だけでは、まだ証明書の自動配布はできない。自動配布を行うADのオブジェクト(ドメイン全体、OU、サイトなど)に対して、GPOを使って証明書自動配布のポリシーを割り当てる必要がある。

「管理ツール」から「グループポリシーの管理」を起動する。
015
















GPOを割り当てるオブジェクト(ここではドメイン全体)で右クリックし、「このXXにGPOを作成し、このコンテナーにリンクする」を選択する。
016


















GPO名を入力する。ここでは「ユーザ証明書の自動配布」とする。
017











「グループポリシーの管理」ツールで、先ほど作ったGPOが表示されるので、右クリックして「編集」を選択する。
018


















「グループポリシー管理エディタ」で、「ユーザの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「公開キーのポリシー」を選択する。
右ペインに「証明書サービスクライアント」が出てくるので、ダブルクリックする。
019


















構成モデルを「未構成」から「有効」に変更し
・有効期限が切れた証明書を書き換え、保留中の証明書を更新、および執行した証明書を削除する
・証明書テンプレートを使用する証明書を更新する
の2つにチェックを入れる
021





























適用を押して、設定は完了である。
コマンドラインを起動し「gpupdate」コマンドを実行しておく。このコマンドで、GPOはドメインに即時反映される。

(5)確認方法
クライアントPCでActiveDirectoryにログオンし、「certmgr.msc」(証明書管理ツール)を確認する。
ユーザ証明書が発行できていれば、「個人」のところに証明書があるはずだ。
025














また、サーバ側の「証明機関」管理ツールの、「発行した証明書」のところにも、発行したユーザ証明書が表示されているはずである。
023


















もしうまく発行できない場合、イベントビューアで確認すると失敗の理由が表示されていることもある。

iOSデバイス(iPhone,iPad,iPad mini,iPod touch)での802.1X認証は,接続だけでよければ簡単である。ただし,RADIUSサーバ側の証明書を厳密に検証しようとすると,iPhone構成ユーティリティでの設定が必要だ。

まず,簡易版として簡単にEAP-TLSを設定する方法を紹介する。この方法では,RADIUSサーバ証明書の検証はできないが,RADIUSサーバ側ではクライアントの証明書の検証はできる。

設定の流れは,
①CA証明書のインポート
②クライアント証明書・秘密鍵(PKCS#12)のインポート
③無線LANの設定
だ。

①CA証明書のインポート
・CA証明書ファイル(拡張子.cer)と、PKCS#12形式のクライアント証明書・秘密鍵ファイル(拡張子.p12)を、メールでiOSデバイスに送る。
・CA証明書をタップ。
001

















CA証明書が表示されるのでインストールをタップする。
※この段階で「信頼されていません」が出るのは,この証明書を信頼するための情報がないため。
002

































警告が出るので,内容を確認して「インストール」をタップ。
003

































パスフレーズを聞かれるので,入力。
004

































CA証明書のインストールが完了。「完了」をタップすると,終了。
005

































②クライアント証明書・秘密鍵のインポート

メールで送信した,PKCS#12のファイルをタップする。
001
















証明書インポートの画面が出るので,「インストール」をタップ。
001

































確認画面が出るので,再度「インストール」をタップ。
002

































パスコードを入力
003

































PKCS#12ファイルに設定したパスワードを入力。
(PKCS#12ファイル作成時に設定したパスワード)
004
































クライアント証明書のインポートが完了。「完了」で終了。
005

































③無線LAN(EAP-TLS)の設定

設定で,Wi-Fiを選択する。802.1Xを設定したSSIDをタップする。
001

































認証設定の画面が出るので,「モード」をタップする。
002

































デフォルトでは「自動」になっているので,「EAP-TLS」を選択する。
003

































前の画面に戻ると「パスワード」だった箇所が「ID」に変わっている。「ID」をタップする。
004

































インポートしたクライアント証明書が表示されているので,チェックし,前の画面に戻る。
005

































パスワード入力画面に戻っても,IDは表示されない。実際にはクライアント証明書が登録されているので,そのまま「接続」をタップする。
006
































RADIUSサーバ証明書の確認画面が出てくる。未検証となる理由は,CA証明書をインポートしただけではRADIUSサーバ証明書を検証してくれないから。
接続はできるので,念のため詳細を確認後,「了解」をタップ。
007

































WiFi設定画面に戻る。802.1Xを設定したSSIDに接続できていることを確認する。
008




































スポンサードリンク

このページのトップヘ