無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

タグ:PEAP

AndroidでPEAPを使って無線LANに接続する方法。

困ったことに、CA証明書をインポートしていない状態でもPEAP認証できてしまう機種が多い模様。(証明書のワーニングも出てこない)

CA証明書なしでPEAP認証ができてしまった機種は下記のとおり。
・T-01C(Android 2.2.2)
・P-07D(Android 4.0.4)
・N-05D(Android 4.0.4)
・Nexus7(android4.2.2)
#その他の機種の情報があれば、ぜひご提供ください。

ここでは、Andoroid4.0系における、PEAP認証の設定方法を紹介する。

「端末の設定>無線とネットワーク>Wi-Fi」で、PEAP認証用のSSIDをタップする。
(ここでは、aruba-1x-Freeradius)
001



















接続パラメータを聞かれるので、「EAP方式」でPEAPを選択する。
CA証明書は、なぜか「(指定なし)」のままでも接続できてしまう。
002




















「ID」にユーザ名、「パスワード」にパスワードを入力し、「接続」をタップ。
003




















接続が完了し、IPアドレスを取得したら、「接続済み」の表示になる。
004





















SSIDをクリックすると、接続状況を確認できる。
005






















PEAP認証がうまくできない機種
SH106
SO02E

 

iPhone、iPad、iPodtouchなど、AppleのiOS7.0でもPEAP認証は使える。
手順はiOS6.1系と同じ。

まず、設定で802.1x認証用を有効にしたネットワークを選択する。(ここでは、aruba-1xとする)
001


ユーザ名とパスワードを聞かれるので、入力する。
002




RADIUSサーバの証明書の確認画面が出てくる。CA証明書を設定していなため「未検証」と表示されるが、「了解」をタップすれば接続できる。
003


「詳細」を開くと、証明書の詳細情報を見ることもできる。
004


接続できると、SSIDの横にチェックマークが表示される。
005

SSID名をクリックすると、取得したアドレスなどを確認できる。
006



NPSを使って、認証ユーザごとに異なるVLANを割り当てる設定方法を説明する。

NPSでは、ユーザに直接VLANを割り当てることができない。ADのセキュリティグループにVLANを割り当てる。
たとえば、group210というセキュリティグループにVLAN210、group220というセキュリティグループにVLAN220を割り当てる。

部署ごとなどでセキュリティグループを作っておくとよいだろう。有線LANでVLANを分けているのであれば、その有線LANの割り当てを参考にすればよい。ユーザをセキュリティグループに所属させると、そのユーザで認証したときに、所属グループに基づくVLANを割り当てできる。

パラメータは次のとおり。

ネットワークポリシー
ポリシー名ADセキュリティグループ認証方法VLANID
PEAP-VLAN210
group210
PEAP  /  EAP-TLS
210
PEAP-VLAN220group220PEAP  /  EAP-TLS220
・・・
・・・PEAP  /  EAP-TLS
・・・
・・・
PEAP  /  EAP-TLS  




設定は、NPSのウィザードを使うと簡単だ。途中まではPEAPやEAP-TLSの設定と同じである。

①NPSの初期画面で「一覧化エア構成シナリオを選択し、下のリンクをクリックしてシナリオウィザードを開きます」のメニューから、「802.1Xワイヤレス接続またはワイヤード(有線)接続用のRADIUSサーバ」を選択し、「→802.1Xを構成する」をクリック。
002



















②802.1X接続の種類では「ワイヤレス接続をセキュリティで保護するを」選び、ポリシーの名前を入力する。ここでは「PEAP-VLAN210」としておく。ポリシー名には、認証方法やVLANID、セキュリティグループなどの名前を入れておくとわかりやすい。
003
























③オーセンティケータ(RADIUSクライアント)を選択する。すでに設定されていれば自動的に表示される。新規の追加も可能。
004

























④認証方法を選択する。今回はPEAP(「Microsoft保護されたEAP(PEAP))」」を選択、構成をクリック。
005

























⑤PEAP認証時に使う、RADIUSサーバ証明書を選択する。この証明書が認証時にクライアントに提示される。
006






















⑥ADのセキュリティグループを選択する。このグループに所属しているユーザに認証を許可と、VLANIDを割り当てるための設定だ。複数のグループを設定することもできる。
007























⑦トラフィック制御の構成が今回の設定のポイント。ここでは、認証に成功したときに、オーセンティケータ(WLCやIAP)にどのような情報を通知するかを設定する。
「構成」をクリックする。
008























⑧RADIUSの属性名と、値をここで設定する。設定するのはTunnel-Type、Tunnel-Medium-Type、Tunnel-Pvt-Group-IDの3つだ。まずTunnel-Typeを選択し、「構成」をクリック。
009





















(補足)Arubaの設定では、本来Tunnel-Pvt-Group-IDにVLANIDを設定するだけでVLANを割り当て可能。しかし、一般的には3つの属性値を必要とする機種もあるため、ここでは3箇所とも設定する手順を説明する。


Tunnell-Typeとは、どのようなトンネルの方式を使うかの設定である。今回はVLANを割り当てるので、VLANとしておく。「追加」をクリック。(802.1Xの場合、VLANを設定しておけばOK)
010



















「802.1Xで一般的に使用する」をクリックし、「Virtual LANs(VLAN)」を選択する。
011


















属性値に「Virtual LANs(VLAN)」に設定されたことを確認し、「OK」をクリック。
012



















次は、「Tunnel-Medium-Type」を構成する。Tunnel-Medium-Typeとは、トンネルプロトコル(上記で設定したVLAN)をどのようにトランスポート(輸送)するかを設定する。「追加」をクリック。
013



















「802.1Xで一般的に使用する」を選び、さらに「802(includes all 802 media plus Ethernet canonical format)」を選び、OK。
014















属性値に「802(includes all 802 media plus Ethernet canonical format)」が設定できたことを確認し「OK」。
015



















最後はTunnel-Pvt-Group-Idである。VLANIDを設定する。「追加」をクリック。
016



















「文字列」を選択し、ユーザに割り当てるVLANIDを入力、「OK」をクリック。
017
















VLANIDが設定されたことを確認し、「OK」をクリック。
018



















Tunnel-Type、Tunnel-Medium-Type、Tunnel-Pvt-Group-IDの3つが設定できたことを確認し「OK」をクリック。
019























⑨「802.1Xを構成する」の画面に戻るので、「次へ」をクリック。
020























⑩「完了」をクリックすると、接続要求ポリシーとネットワークポリシーの2つが作成される。
この2つのポリシーの違いはここを参照。
021
























⑪接続要求ポリシーとネットワークポリシーがそれぞれ作成されたことを確認する。
022


















023





























別のグループに別のVLANを設定する場合、同じように作成するか、ネットワークポリシーを複製して編集する。複製のほうが楽。

複製方法は次のとおり。

①作成済みのネットワークポリシーを右クリックし、「複製」を選択。
030













②名前を変更する。変更後、ダブルクリックして編集する。
031












③複製直後のポリシーは無効になっている。そのため、「ポリシーを有効にする」にチェックして有効化する。
033



















④「条件」タブに移動。Windowsグループが表示されているので、選択して「編集」をクリック。
034



















グループを編集する。ここで設定したグループに、この後設定するVLANIDを割り当てる。最初は複製元のグループが表示されているので、忘れないように削除しておく。
036















Windowsグループを割り当てなおしたことを確認する。
037




















⑤「設定」タブに移動。ここでVLANIDを割り当てる。Tunnel-Pvt-Group-Idを選択し「編集」をクリック。
設定方法は、ウィザードでの設定方法と同じだ。
038




















Tunnel-Pvt-Group-Idを変更したのを確認し、「OK」をクリック。
039



















⑥ポリシーの適用順序を変更する。複製直後は順序が最後になっており、処理されないからだ。右クリックで「上へ移動」を選択し、適切な場所に移動させる。
040

















041
























FreeRADIUSを使って、認証ユーザごとに異なるVLANを割り当てる設定方法を説明する。
AP側の設定はこちらを参照のこと。

FreeRADIUSでは、/etc/raddb/usersファイルでユーザを管理する。この中に、ユーザ情報とともに属性値(VLANIDの情報など)を設定する。設定する属性値は3つ。
・Tunnell-Typeとは、どのようなトンネルの方式を使うかの設定(802.1Xの場合"VLAN")
・Tunnel-Medium-Typeとは、トンネルプロトコル(上記で設定したVLAN)をどのようにトランスポート(輸送)するかを設定(802.1Xの場合"IEEE-802")
Tunnel-private-Group-Idは認証後に所属するVLANIDを指定する。

設定例は以下のとおり。
testuser001       Cleartext-Password := "パスワード"
        Tunnel-Type = VLAN,    ←全ユーザでVLAN固定
        Tunnel-Medium-Type = IEEE-802,      ←全ユーザでIEEE-802固定
        Tunnel-Private-Group-Id = 210       ←VLANIDを210に設定
testuser002       Cleartext-Password := "パスワード"
        Tunnel-Type = 13,    ←全ユーザでVLAN固定(別の書き方)
        Tunnel-Medium-Type = 6,   ←全ユーザでIEEE-802固定(別の書き方)
        Tunnel-Private-Group-Id = 220       ←VLANIDを220に設定
testuser003       Cleartext-Password := "パスワード"
        Tunnel-Type = 13,
        Tunnel-Medium-Type = 6,
        Tunnel-Private-Group-Id = 200
※カンマの有無に注。
※testuser001とtestuser002では、Tunnel-TypeとTunnel-Medium-Typeの記述の仕方を変えているが、同じ意味の設定である。Tunnel-Typeが6であればVLANを意味し、 Tunnel-Medium-Typeが13ならばIEEE-802を意味するからだ。
※Arubaの設定では、本来Tunnel-Private-Group-IDにVLANIDを設定するだけでVLANを割り当て可能。しかし、一般的には3つの属性値を必要とする機種もあるため、ここでは3箇所とも設定している。
※DEFAULT設定が残っているときちんと動作しないことがある。余分な設定を全部消して、ユーザ情報だけにしておくほうがよい。

また、/etc/raddb/eap.confでも設定変更が必要。ユーザ名に基づく属性情報をNAS(オーセンティケータ)に送るかどうかのパラメータである。(noは送らない、yesは送る)
peap {
  ・・・
  use_tunneled_reply = no yes        ←デフォルトがnoなので、yesに変更
  ・・・

オーセンティケータとの認証シーケンスにおいて、アクセス認可と同時にこれらの属性値がRADIUSサーバからオーセンティケータに送信される。オーセンティケータは属性値に基づいて、ユーザのVLANを設定する。
RADIUSサーバからのパケットの一例を示す。usersで設定した属性値がオーセンティケータに送信されている。
RADIUSキャプチャ














(補足)
上記の/etc/raddb/usersは、下記のような書き方もできる。
testuser001       Cleartext-Password := "****"
        Tunnel-Private-Group-Id = 210
testuser002       Cleartext-Password := "****"
        Tunnel-Private-Group-Id = 220
testuser003       Cleartext-Password := "****"
        Tunnel-Private-Group-Id = 200

DEFAULT Auth-Type == EAP
        Tunnel-Type = VLAN,
        Tunnel-Medium-Type = IEEE-802
 全ユーザで共通となるTunnel-TypeとTunnel-Medium-Typeをデフォルト値として共用にしておく。こうしておけば、各ユーザのところでは Tunnel-Private-Group-Idを設定しておくだけでよい。
 なお、DEFALUTは全ユーザを定義した後に記述すること。ユーザ名より前に記述するときちんと動作しない。





iPhone、iPad、iPodtouchなど、AppleのiOSでもPEAP認証は使える。
とても簡単である。

まず、設定で802.1x認証用を有効にしたネットワークを選択する。(ここでは、aruba-1xとする)
001

















ユーザ名とパスワードを聞かれるので、入力する。
003











RADIUSサーバの証明書の確認画面が出てくる。CA証明書を設定していなため「未検証」と表示されるが、「了解」をタップすれば接続できる。
004















「詳細」を開くと、証明書の詳細情報を見ることもできる。
005





























iOSでは、CA証明書をインストールせずにPEAP設定した場合、証明書が「未検証」となってしまう。
「未検証」ではなく、きちんとCA証明書をインストールして使うときの手順を説明する。

(1)WindowsかMacを使ってAppleのサイトから「iphone構成ユーティリティ」をダウンロードし、インストールしておく。ツールの名前は「iPhone」だが、iPadやiPod touchなど、iOSであれば利用できる。


(2)ホスト側のOSに、インストールしたい証明書をダウンロードし、インポートしておく。

(3)iPhone構成ユーティリティを起動し、iPhone/iPad/iPod touch(以下、iOSデバイスと呼ぶ)を接続する。
001















(3)「構成プロファイル」の作成
構成プロファイルをクリックし、「新規」をクリックする。
ここでは、iOS機器にインストールする構成プロファイル(証明書とWiFi設定)を作成する。
002















「一般」をクリックし、プロファイルの名前や識別子の名前を入力する。
004
















「資格情報」→「構成」をクリックする。
005
















ホスト側(WindowsやMac)にインストールされている証明書が表示されるので、CA証明書を選択する。
006











































「WiFi」→「構成」をクリックする。
008
















SSIDを入力し、セキュリティの種類で「WPA/WPA2エンタープライズ」を選択する。
プロトコルの「対象ネットワークでサポートされる認証プロトコル」は「PEAP」をチェックする。
009
























「認証」をクリックする。構成プロファイルにユーザ名・パスワードを設定するのであれば
入力する。ひとつのプロファイルを多数のiOSデバイスにインストールするのであれば空欄
にしておく。
010
























「信頼」をクリックし、「資格情報」でインポートしたCA証明書の名前にチェックを入れる。
011























プロファイルの作成はこれで終わりだ。特に保存ボタンはない。自動的に保存される。

(4)構成プロファイルのインストール

出来上がった構成プロファイルをiOSデバイスにインストールする。
iOSデバイスをUSB経由で接続すると、デバイスのところに表示される。
デバイスを選択し、「構成プロファイル」タブに移動すると、作成した構成プロファイルが表示されている。
プロファイル名の右にある「インストール」を押すと、インストールが始まる。
012













iOSデバイス側の画面に「プロファイル」が表示されるので、インストールをタップする。
パスコードを聞かれるので入力する。
013



















ルート証明書の確認メッセージが出るので、「インストール」をタップ。
013-1



















ユーザ名を聞かれるので、PEAP認証用のユーザ名(RADIUSサーバに登録しているユーザ名)を入力する。
015




















パスワードを聞かれるので、PEAP認証用のパスワードを入力する。
016



















「完了」をタップすると設定は終わり。
017


















念のため、「詳細」も確認しておこう。CA証明書が表示されているはずだ。
018



















WiFi設定のところに移動すると、構成プロファイルで設定したSSIDが見える。タップするとPEAPで接続できる。
023








スポンサードリンク

このページのトップヘ