Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

WPA2-Enterprise を使用した RADIUS 認証の設定

Cisco Meraki MR アクセス ポイントは接続時における各種の認証方法をサポートしています。たとえば、WPA2-Enterprise をサポートするための外部認証サーバを利用することができます。このドキュメントでは、RADIUS サーバを WPA2-Enterprise 認証に使用する際のダッシュボードの設定と、RADIUS サーバの要件について説明します。また、Windows NPS を使用したサーバの構成例についても説明します。

概要

802.1x を使用した WPA2-Enterprise 認証を使用すれば、ドメイン内のユーザまたはコンピュータを認証できます。サプリカント(ワイヤレス クライアント)は、RADIUS サーバで設定された EAP 方式を使用して、RADIUS サーバ(認証サーバ)に対して認証を行います。ゲートウェイ AP(オーセンティケータ)の役割は、サプリカントと認証サーバの間で認証メッセージを送信することです。これは、RADIUS サーバがユーザの認証を行うことを意味します。

AP はサプリカントと EAPOL を交換し、それらを RADIUS アクセス要求メッセージに変換します。このメッセージは、ダッシュボードで指定された RADIUS サーバの IP アドレスと UDP ポートに送信されます。サプリカントがネットワークにアクセス可能な状態にするには、ゲートウェイ AP が RADIUS サーバから RADIUS アクセス許可メッセージを受信する必要があります。

パフォーマンスを最大限に高めるためには、RADIUS サーバとゲートウェイ AP を同じレイヤ 2 ブロードキャスト ドメイン内に配置して、ファイアウォール、ルーティング、または認証による遅延が発生しないようにすることをお勧めします。AP の役割は、ワイヤレス クライアントを認証することではなく、クライアントと RADIUS サーバの間の仲介者であることに留意してください。

次の図に、MSCHAPv2 アソシエーション プロセスを使用した PEAP の詳細を示します。

Radius Chart.jpg

サポートされる RADIUS 属性

802.1X を使用した WPA2-Enterprise 認証の設定では、Cisco Meraki アクセス ポイントから現在の RADIUS サーバに送信されるアクセス要求メッセージの次の属性を設定します。

注:これらの属性の詳細については、RFC 2865 を参照してください。特定の属性に関する追加の注意事項を以下に示します。 


  • User-Name
  • NAS-IP-Address
  • NAS-Port
  • Called-Station-ID:(1)Meraki アクセス ポイントの BSSID(すべて大文字。複数のオクテットはハイフンで区切られる)と、(2)ワイヤレス デバイスが接続されている SSID の 2 つのフィールドが含まれます。各フィールドはコロンで区切られます。 例:"AA-BB-CC-DD-EE-FF:SSID_NAME"。
  • Calling-Station-ID:ワイヤレス デバイスの MAC アドレス(すべて大文字、複数のオクテットがハイフンで区切られる)が含まれます。例:"AA-BB-CC-DD-EE-FF"。
  • Framed-MTU
  • NAS-Port-Type
  • Connect-Info

 

Cisco Meraki では、現在の RADIUS サーバから Cisco Meraki アクセス ポイントに送信されるアクセス許可メッセージで受け取った次の属性が優先されます。

  • Tunnel-Private-Group-ID:ワイヤレス ユーザまたはデバイスに適用する必要がある VLAN ID が含まれます(これは、管理者が Cisco Meraki クラウド コントローラで特定の SSID 用に設定した VLAN 設定を上書きするように設定できます)。
  • Tunnel-Type:トンネリング プロトコルを指定します。例:VLAN。
  • Tunnel-Medium-Type:トンネルの作成に使用するトランスポート メディアのタイプを設定します。例:802(802.11 を含む)。
  • Filter-Id / Reply-Message / Airespace-ACL-Name / Aruba-User-Role:これらの属性のいずれかを使用して、ワイヤレス ユーザまたはデバイスに適用するポリシーを伝達できます(属性のタイプは、Cisco Meraki クラウド コントローラの [構成(Configure)] タブ > [グループ ポリシー(Group policies)] ページで設定したタイプと一致する必要があります。また、属性値は、そのページで設定したポリシー グループの名前と一致する必要があります)。

RADIUS の設定

最も一般的な EAP の設定は、PEAP と MSCHAPv2 の組み合わせです。この設定では、ユーザはクレデンシャルの入力を求められます(ユーザまたはマシンの認証)。

注:Meraki プラットフォームでは EAP-TLS を使用する証明書ベースの認証もサポートされていますが、このドキュメントの範囲外です。EAP-TLS を使用した WPA2-Enterprise の詳細については、こちらのドキュメント を参照してください。


RADIUS サーバの要件

RADIUS で使用できるサーバ オプションは数多くあります。正しく設定することで、MR アクセス ポイントと連動させることができます。仕様については RADIUS サーバのドキュメントを参照してください。ここでは、WPA2-Enterprise と Meraki を組み合わせる場合の主な要件を示します。

  • サーバは、ネットワーク上のクライアントによって信頼されている認証局(CA)から取得した証明書をホストする必要があります。  
  • WPA2-Enterprise SSID をブロードキャストするすべてのゲートウェイ AP は、プレシェアド キーを使用して、サーバで RADIUS クライアント/オーセンティケータとして設定する必要があります。
  • RADIUS サーバに、認証の対象となるユーザ ベースを作成する必要があります。

RADIUS サーバを設定したら、下記の「ダッシュボードの設定」セクションを参照して、RADIUS サーバをダッシュボードに追加する方法を確認してください。

ユーザ認証とマシン認証

PEAP-MSCHAPv2 を使用した最も一般的な認証方式はユーザ認証です。ユーザ認証方式では、クライアントはドメイン クレデンシャルを入力するように要求されます。また、RADIUS をマシン認証用に設定することもできます。マシン認証ではコンピュータ自体が RADIUS に対して認証されるため、ユーザがアクセス権を取得するためにクレデンシャルを提供する必要はありません。マシン認証には一般に EAP-TLS が使用されますが、一部の RADIUS サーバ オプションでは、PEAP-MSCHAPv2 により簡単にマシン認証を実行できます(Windows NPS など。以下の設定例で説明します)。

注:「マシン認証」は MAC ベースの認証と同じではありません。MAC  ベースの認証は、ダッシュボードの [ワイヤレス(Wireless)] >[構成(Configure)]  > [アクセス制御(Access Control)] にある別の設定オプションです。マシン認証とは、具体的には RADIUS に対するデバイスの認証を表します。 


RADIUS の設定例(Windows NPS + AD)

次の設定例を通じて、ユーザ ベースとして機能する Active Directory を使用して、Windows NPS を RADIUS サーバとして設定する方法を説明します。

  1. ネットワーク ポリシー サーバ(NPS)の役割を Windows Server に追加します。
  2. 信頼できる証明書を NPS に追加します。
  3. NPS サーバに AP を RADIUS クライアントとして追加します。
  4. PEAP-MSCHAPv2 をサポートするように NPS のポリシーを設定します。
  5. (マシン認証用のオプション)グループ ポリシーを使用して、PEAP-MSCHAPv2 ワイヤレス ネットワーク設定をドメイン メンバーのコンピュータに展開します。

ネットワーク ポリシー サーバ(NPS)の役割を Windows Server に追加する

Microsoft のネットワーク ポリシー サーバ(NPS)は、Windows Server 2008 以降向けの RADIUS サーバ製品です。NPS の役割を Windows Server に追加する方法と、新しい NPS サーバを Active Directory に登録する方法(新しい NPS サーバがそのユーザ ベースとして AD を使用できるようにする方法)については、次の 2 つの Microsoft のドキュメントを参照してください。

信頼できる証明書を NPS に追加する

RADIUS サーバは、ネットワーク クライアントと Meraki AP の両方からサーバのアイデンティティを確認できる証明書をホストする必要があります。この証明書に関しては、次の 3 つのオプションがあります。

  • 信頼できる認証局から発行された証明書を取得する
    使用する CA がネットワーク上のクライアントから信頼されてさえいれば、証明書を購入して NPS にアップロードし、サーバ アイデンティティを確認することができます(クライアントで必須)。信頼できる CA の一般的な例として、GoDaddy や VeriSign などがあります。
  • 公開キー インフラストラクチャを実装し、証明書を生成する(高度)
    ネットワーク上に構築された PKI を使用して、ネットワーク上のクライアントが信頼できる証明書を発行することができます。このオプションは、PKI についてよく理解している場合にのみ使用することを推奨します。
  • 自己署名証明書を生成し、クライアント サーバの検証を無効にする(安全性が低い)
    テスト/ラボ用に自己署名証明書を生成できます。ただし、クライアントは自己署名証明書を信頼しないため、接続するにはサーバの検証を無効にする必要があります。 
    このオプションを使用すると安全性が大幅に低下するため、本番環境での使用は推奨されません。  

証明書を取得したら、Microsoft のドキュメントを参照して、証明書のインポート方法を確認してください。

NPS サーバに AP を RADIUS クライアントとして追加する

このシナリオでは、AP がクライアントと通信してドメイン クレデンシャルを受け取ります。クレデンシャルはその後、AP から NPS に転送されます。AP の RADIUS アクセス要求メッセージを NPS で処理するためには、まず、AP を IP アドレスにより RADIUS クライアント/オーセンティケータとして追加する必要があります。LAN 上ではゲートウェイ AP しか IP アドレスを設定できないため、ネットワーク内のゲートウェイ AP はすべて RADIUS クライアントとして NPS に追加する必要があります。

すべてのゲートウェイ AP の LAN IP アドレスをすばやく収集するには、ダッシュボードの [ワイヤレス(Wireless)] > [モニタ(Monitor)] > [アクセス ポイント(Access points)] に移動して、[LAN IP] 列がテーブルに追加されていることを確認し、リストされているすべての LAN IP をメモします。LAN IP が [N/A] の AP はリピータです。リピータを RADIUS クライアントとして追加する必要はありません。


 

ゲートウェイ AP の LAN IP のリストを収集したら、Microsoft のドキュメントを参照して、各 AP を NPS のクライアントとして追加する方法を確認してください。NPS で設定されているプレシェアド キーをメモしておきます。これは、ダッシュボードから参照できます。

注:時間を節約するために、サブネット全体を RADIUS クライアントとして NPS に追加することもできます。そのサブネットから送信されたリクエストはすべて NPS によって処理されます。ただし、この方法が推奨されるのは、セキュリティ リスクが低減されている状態、つまりすべての AP が独自の管理 VLAN とサブネット上にある場合だけです。


PEAP-MSCHAPv2 をサポートするように NPS のポリシーを設定する

NPS は認証方式として PEAP-MSCHAPv2 をサポートするように設定する必要があります。

これは、以下に示す 3 つの手順で実現できます(Windows Server 2008 の NPS の場合)。

  1. NPS ポリシーを作成する
  2. ポリシーの処理順序を変更する
  3. 自動修復を無効にする
NPS ポリシーを作成する
  1. ネットワーク ポリシー サーバのコンソールを開きます。
  2. [NPS(ローカル)(NPS(Local))] を選択します。[はじめに(Getting Started)] ペインが開きます。
  3. [標準構成(Standard Configuration)] ドロップダウンで [802.1X ワイヤレス接続またはワイヤード(有線)接続用の RADIUS サーバ(RADIUS server for 802.1X Wireless or Wired Connections)] を選択します。
  4. [802.1X を構成する(Configure 802.1X)] をクリックして、802.1x の構成ウィザードを開始します。
  5. [802.1X 接続の種類の選択(Select 802.1X Connections Type)] ウィンドウが表示されたら、[ワイヤレス接続をセキュリティで保護する(Secure Wireless Connections)] ラジオ ボタンを選択し、[名前(Name)] にポリシー名を入力するか、またはデフォルトを選択します。 [次へ(Next)] をクリックします。
  6. [802.1X スイッチの指定] ウィンドウでは、RADIUS クライアントとして追加した AP を確認します。[次へ(Next)] をクリックします。
  7. [認証方法の構成(Configure an Authentication Method)] で、[Microsoft:保護された EAP(PEAP)(Microsoft: Protected EAP (PEAP))] を選択します。 
  8. [構成(Configure)] をクリックし、[保護された EAP プロパティの編集(Edit Protected EAP Properties)] を確認します。サーバの証明書が [発行された証明書(Certificate issued)] ドロップダウンに表示されます。[すばやい再接続を有効にする(Enable Fast Reconnect)] がオンになっており、[EAP の種類(EAP type)] が [セキュリティで保護されたパスワード(EAP- MSCHAPv2)(Secure password (EAP-MSCHAPv2))] になっていることを確認します。[OK] をクリックします。 [次へ(Next)] をクリックします。
  9. [ユーザ グループの指定(Specify User Groups)] ウィンドウが表示されたら、[追加(Add)] をクリックします。 
  10. ドメイン ユーザ グループを入力または検索します。このグループは RADIUS サーバと同じドメイン内にあるはずです。
    注:RADIUS がマシン認証に使用されている場合は、ドメイン コンピュータ グループを検索します。
  11. グループを追加したら、[OK] をクリックします。[次へ(Next)] をクリックします。 
  12. [仮想 LAN(VLAN)の構成(Configure a Virtual LAN (VLAN))] ウィンドウで [次へ(Next)] をクリックします。
  13. [セキュリティで保護された新しい IEEE 802.1X ワイヤードおよびワイヤレス接続と、RADIUS クライアントを完了しています(Completing New IEEE 802.1X Secure Wired and Wireless Connections and RADIUS clients)] が表示されたら、[終了(Finish)] をクリックします。
ポリシーの処理順序を変更する 
  1. [ポリシー(Policies)] > [接続要求ポリシー(Connection Request Policies)] に移動します。ワイヤレス ポリシーを右クリックして [上へ移動(Move Up)] を選択し、処理順序を 1 番目に設定します。
  2. [ポリシー(Policies)] > [ネットワーク ポリシー(Network Policies)] に移動します。ワイヤレス ポリシーを右クリックして [上へ移動(Move Up)] を選択し、処理順序を 1 番目に設定します。
自動修復を無効にする
  1. [ポリシー(Policies)] > [ネットワーク ポリシー(Network Policies)] に移動します。ワイヤレス ポリシーを右クリックして [プロパティ(Properties)] を選択します。
  2. ポリシーの [設定(Setting)] タブで、[クライアント コンピュータの自動修復を有効にする(Enable auto-remediation)] チェックボックスをオフにして、[OK] をクリックします。

 

次の画像に、PEAP-MSCHAPv2 を使用したユーザ認証をサポートする NPS ポリシーの例を示します。

(オプション)グループ ポリシーを使用して PEAP のワイヤレス プロファイルを展開する

シームレスなユーザ エクスペリエンスを実現するには、PEAP のワイヤレス プロファイルをドメイン コンピュータに展開し、SSID と容易に接続できるようにするのが理想的です。この方法はユーザ認証の場合はオプションですが、マシン認証の場合は強く推奨されます。

ここでは、Windows Server 2008 を実行しているドメイン コントローラで、GPO を使用して PEAP のワイヤレス プロファイルをドメイン コンピュータにプッシュする方法について説明します。

  1. ドメインの [グループ ポリシーの管理(Group Policy Management)] スナップインを開きます。
  2. 新しい GPO を作成するか、既存の GPO を使用します。
  3. GPO を編集し、[コンピュータの設定(Computer Configuration)] > [ポリシー(Policies)] > [Windows の設定(Windows Settings)] > [セキュリティ設定(Security Settings)] > [公開キーのポリシー(Public Key Policies)] > [ワイヤレス ネットワーク(IEEE 801.X)のポリシー(Wireless Network (IEEE 801.X) Policies)] に移動します。
  4. [ワイヤレス ネットワーク(IEEE 801.X)のポリシー(Wireless Network (IEEE 801.X) Policies)] を右クリックして、[新しい Windows Vista ポリシーの作成(Create a New Windows Vista Policy)] を選択します。
  5. [Vista ポリシー名(Vista Policy Name)] を指定します。
  6. [利用できるネットワークに接続(Connect to available networks)] で [追加(Add)] をクリックします。
  7. [インフラストラクチャ(Infrastructure)] を選択します。
  8. [接続(Connection)] タブで、[プロファイル名(Profile Name)] を指定して、[ネットワーク名(Network Name(s))] にワイヤレス ネットワークの SSID を入力します。 [追加(Add)] をクリックします。
  9. [セキュリティ(Security)] タブをクリックします。 以下を設定します。
    • [認証(Authentication)]:[WPA2-Enterprise] または [WPA-Enterprise]
    • [暗号化(Encryption)]:[AES] または [TKIP]
    • [ネットワークの認証方法(Network Authentication Method)]:[Microsoft:保護された EAP(PEAP)(Microsoft: Protected EAP (PEAP))] 
    • [認証モード(Authentication mode)]:[コンピュータの認証(Computer Authentication)](マシン認証の場合) 

 

  1. [プロパティ(Properties)] をクリックします。

  2. [信頼されたルート証明機関(Trusted Root Certification Authorities)] で、適切な証明機関の横のチェックボックスをオンにして、[OK] をクリックします。

 

  1. [OK] をクリックしてプロパティを閉じ、ワイヤレス ポリシーのページで [適用(Apply)] をクリックして設定を保存します。

  2. ドメイン メンバーのコンピュータを含むドメインまたは OU に GPO を適用します(詳細については、Microsoft のドキュメントを参照してください。

ダッシュボードの設定

認証をサポートするための適切な要件を満たすように RADIUS サーバを設定したので、次に、WPA2-Enterprise をサポートするように SSID を設定し、RADIUS サーバに対して認証を行う方法を説明します。

  1. ダッシュボードで [ワイヤレス(Wireless)] > [構成(Configure)] > [アクセス制御(Access control)] に移動します。
  2. 目的の SSID を [SSID] ドロップダウンから選択します(最初に新しい SSID を作成するには、[ワイヤレス(Wireless)] > [構成(Configure)] > [SSID(SSIDs)] に移動します)。
  3. [アソシエーション要件(Association requirements)] に [RADIUS サーバを使用した WPA2-Enterprise(WPA2-Enterprise with my RADIUS server)] を選択します。
  4. [RADIUS サーバ(RADIUS servers)] で [サーバを追加(Add a server)] をクリックします。
  5. [ホスト(Host)](アクセス ポイントから到達可能な RADIUS サーバの IP アドレス)、[ポート(Port)](RADIUS サーバがアクセス要求をリッスンする UDP ポート。デフォルトは 1812)、および [秘密(Secret)](RADIUS クライアントとのプレシェアド キー)を入力します。

     
  6. [変更の保存(Save Changes] ボタンをクリックします。

上記の RADIUS サーバの要件とは別に、すべての認証対象の AP は、ダッシュボードで指定した IP アドレスとポートにアクセスできる必要があります。AP がすべて RADIUS サーバにネットワーク接続でき、ファイアウォールがアクセスを妨げていないことを確認します。

VLAN タギング オプション

ダッシュボードには、特定の SSID からのクライアント トラフィックに特定の VLAN タグを付けるための各種のオプションが用意されています。SSID は通常、VLAN ID に関連付けられるため、その SSID からのクライアント トラフィックはすべて、その VLAN で送信されます。

RADIUS の統合により、VLAN ID を RADIUS サーバの応答に組み込むことができます。 これにより、RADIUS サーバの設定に基づいて VLAN を動的に割り当てることができます。設定の仕様については、RADIUS 属性を使用したクライアント VLAN タギングに関するドキュメントを参照してください。

ダッシュボードからの RADIUS のテスト

ダッシュボードには RADIUS のテスト ユーティリティが組み込まれています。このユーティリティを使用して、すべてのアクセス ポイント(少なくとも、RADIUS を使用して SSID をブロードキャストするアクセス ポイント)が RADIUS サーバにアクセスできることを確認します。

  1. [ワイヤレス(Wireless)] [構成(Configure)] > [アクセス制御(Access control)] に移動します。
  2. WPA2-Enterprise がこのドキュメントの手順に基づいて設定済みであることを確認します。
  3. [RADIUS サーバ(RADIUS servers)] で、目的のサーバの [テスト(Test)] ボタンをクリックします。
  4. [ユーザ名(Username)] フィールドと [パスワード(Password)] フィールドにユーザ アカウントのクレデンシャルを入力します。
  5. [テストを開始(Begin test)] をクリックします。
  6. ウィンドウにネットワーク内の各アクセス ポイント(AP)のテストの進行状況が表示され、最後にテスト結果の概要が表示されます。
    [成功した AP(APs passed)]:オンライン状態になっており、提供されたクレデンシャルを使用して認証に成功したアクセス ポイント。
    [失敗した AP(APs failed)]:オンライン状態だったが、提供されたクレデンシャルを使用して認証できなかったアクセス ポイント。AP からサーバに到達でき、AP が RADIUS サーバにクライアントとして追加されていることを確認します。
    [到達不能な AP(APs unreachable)]:オンライン状態でなかったため、テストできなかったアクセス ポイント。

RADIUS アカウンティング

オプションで、WPA2-Enterprise を RADIUS 認証と組み合わせて使用する SSID で RADIUS アカウンティングを有効にできます。有効にすると、指定された RADIUS アカウンティング サーバに AP から「開始」と「停止」のアカウンティング メッセージが送信されます。

以下に、SSID で RADIUS アカウンティングを有効にする方法を示します。

  1. [ワイヤレス(Wireless)] > [構成(Configure)] > [アクセス制御(Access control)] に移動して、ドロップダウン メニューから目的の SSID を選択します。
  2. [RADIUS アカウンティング(RADIUS accounting)] で、[RADIUS アカウンティングを有効にする(RADIUS accounting is enabled)] をオンにします。
  3. [RADIUS アカウンティング サーバ(RADIUS accounting servers)] で、[サーバを追加(Add a server)] をクリックします。 
    注:フェールオーバー用に複数のサーバを追加できます。RADIUS メッセージは、これらのサーバに対して上から順に送信されます。 
  4. 以下の詳細情報を入力します。 
    • [ホスト(Host)]:AP が RADIUS アカウンティング メッセージを送信する IP アドレス 
    • [ポート(Port)]:アカウンティング メッセージをリッスンする RADIUS サーバ上のポート(デフォルトは 1813)  
    • [秘密(Secret)]:AP と RADIUS サーバ間でのメッセージの承認に使用される共有キー 
  5. [変更を保存(Save changes)] をクリックします。

この時点で、クライアントが SSID との接続/接続解除に成功したときに、「開始」と「停止」のアカウンティング メッセージが AP から RADIUS サーバに送信されるようになります。