FutureNet
RAシリーズ
連携機能
1. ActiveDirectory連携
1.Active Directory連携
ここでは、ユーザ認証に外部サーバとしてActive Directoryを利用した設定例を紹介します。
【構成】
対象装置 | 設定概要 |
Active Directoryサーバ | ユーザ情報の登録 |
RADIUSサーバ | CA設定 |
CA証明書の取り出し | |
サーバ証明書の発行 | |
認証方式などの基本設定 | |
クライアント登録 | |
Active Directoryサーバ設定 | |
DNSサーバ設定 | |
無線アクセスポイント | 認証サーバの登録 |
Windowsなどの端末 | CA証明書の登録 |
認証方式などのサプリカント設定 |
【設定】
この例ではドメインコントローラ1台の構成でActiveDirectoryを運営している環境へ無線アクセスポイントを追加し、
ユーザの認証にActiveDirectoryを使用する場合の例となります。
また、無線による接続はActiveDirectoryに登録された全てのユーザではなく、一部のユーザのみ許可を与えるものとします。
ActiveDirectoryには新たにWirelessというセキュリティグループを作成し、Wirelessグループに所属するメンバのみ
無線接続が行えるようRADIUSサーバを設定します。
ActiveDirectory を用いた認証を行う場合のRADIUSサーバは、ActiveDirectory に対して無線アクセスポイントからの
認証の橋渡しを行います。
ActiveDirectory を用いて認証する場合は認証プロトコルとしてEAP-PEAPを使用します。
ネットワーク設定(管理機能/ネットワーク/基本情報)
Ether0 のIPアドレスを 192.168.0.254/24 に設定します。
MTU及び通信モード、Ether1、Ether2はお使いの環境に合わせて設定してください。
ここでは初期値のままとします。デフォルトゲートウェイは外部のDNS、NTPサーバを使用しないのであれば特に設定する必要はありません。
CA設定(CA/CA/CRL)
EAP-PEAP認証を使用する場合はCAの設定が必要になります。
また、CAの作成や証明書の発行を行う際は内蔵時計が正しく設定されているか確認することをお奨めします。
CAの作成では Common Name、有効期間、パスフレーズ、失効リスト更新間隔 の入力が必須です。
例では以下の設定でCAを作成します。
※CAの再編集はできませんので設定の際は内容を十分確認してください。
また、CAを削除した場合は発行済みの全ての証明書も削除されますのでご注意ください。
CA設定条件:
バージョン | 3 |
鍵長 | 1024 |
Signature Algorithm | SHA-256 |
Common Name | sample_ca |
Country | JP |
有効期間(終了日時) | 2035年12月31日 |
パスフレーズ | passsample |
失効リスト更新間隔 | 365 |
CA作成後はCA証明書画面より 取り出し ボタンを押下してCA証明書を取得し、サプリカントへインストールします。
RADIUSサーバ証明書発行(CA/証明書)
RADIUSサーバで使用するサーバ証明書の発行を行います。
証明書画面から 新規追加 ボタンを押下します。
※バージョン3 のサーバ証明書を作成する場合には、通常最低限以下のKey Usage/Extended KeyUsage を指定するようにします。
・Key Usage:digitalSignature およびkeyEncipherment
・Extended Key Usage:serverAuth
実際にどのKey Usage/Extended Key Usage を必要とするかは通信相手のソフトウェアに依存します。
ここでは、下記内容で設定します。
Active Directory連携 | 使用する |
Active Directoryサーバ | 空白 |
ドメイン名 | ad.example.jp |
ドメイン名(Windows2000より前) | 空白 |
所属グループ | Wireless |
管理者ユーザID | administrator |
管理者パスワード | administratorpass |
認証方式の設定、サーバ証明書の登録(RADIUS/サーバ/基本情報)
認証方式にEAP-TLS 、 EAP-PEAP 、RADIUSサーバ証明書に 本装置の証明書を使用する を選択します。(EAP-PEAPを使用するにはEAP-TLSも選択する必要があります。)
シリアルナンバには先ほど発行したサーバ証明書のシリアルナンバを入力します。
シリアルナンバはCAの証明書一覧で確認することができます。また、設定ウィザードを使った場合は自動的に入力されます。
DNSサーバの設定(管理機能/ネットワーク/DNS)
DNSの設定で所属するexample.jpドメインを管理しているDNSサーバ(ここではActiveDirectoryドメインコントローラと同一)192.168.0.1 を指定します。
Active Directoryの設定(RADIUS/サーバ/ActiveDirectory)
ActiveDirectory 画面では、ActiveDirectoryのドメイン名と管理者ユーザID、管理者パスワードにドメインコントローラのAdministrator権限のユーザの管理者IDとパスワードを入力します。
所属グループは今回新たに追加したWirelessを指定します。
ここでは、下記内容で設定します。
Active Directory連携 | 使用する |
Active Directoryサーバ | 空白 |
ドメイン名 | ad.example.jp |
ドメイン名(Windows2000より前) | 空白 |
所属グループ | Wireless |
管理者ユーザID | administrator |
管理者パスワード | administratorpass |
所属グループについて
ActiveDirectory による認証で、”所属グループ”の設定をおこなうと、ActiveDirectoryのユーザ情報の一部である『所属するグループ』情報を認証識別子として用いて認証を行います。
“所属グループ”の設定を行わない場合はActiveDirectoryに登録された全てのユーザで認証が可能になります。
認証する必要のあるユーザのみ特定のグループに所属させ、この機能を用いて認証を行うことで意図しないユーザの認証を
破棄することがきます。
例) ActiveDirectory上の user01、user02 のうち、user02 のみ認証を行いたい。
①ActiveDirectory にて 特定のグループ(Wireless)を作成し、user02 を所属させる。
②RADIUSサーバにて ActiveDirectoryの設定で所属グループにWireless を指定する
以上の設定で Wirelessグループに所属するユーザ user02 のみ認証することができます。
その他のuser01 や Administrator、Guest といったWireless グループに属さないユーザは認証できません。
また、ActiveDirectory連携時、認証可能なユーザは「運用管理機能/ユーザ情報/ADユーザ情報」画面にて確認することができます。
RADIUSクライアント設定(RADIUS/サーバ/クライアント)
クライアント新規追加画面では、全ての項目を設定します。IPアドレスは無線アクセスポイントのIPアドレス、シークレットは無線アクセスポイントへ設定したものと同じものを設定します。
ADユーザ設定(RADIUS/ユーザ/ADユーザ)
この例では応答アトリビュートは使用しませんのでADユーザは 指定しない のままとします。
RADIUSサーバ起動(RADIUS/サーバ/起動・停止)
最後に 起動 ボタンを押下してRADIUSサーバを起動します。
以上で設定は完了です。
目次
更新情報
→ 一覧へカテゴリ
タグ
- CRG
- DDNS
- DHCP
- DNAT
- DNSインターセプト
- Ethernet
- IIJモバイル
- IKE Modeconfig
- IKEv2 Configuration Payload
- IPinIP
- IPoE
- IPv6
- KDDI
- L2TPv3
- MAP-E
- NGN
- NTTドコモ
- PBR
- Policy Based IPsec
- PPP
- PPPoE
- QoS
- RADIUS連携
- RAシリーズ
- Route Based IPsec
- SMS
- SNAT
- SoftBank
- UPnP
- URL転送
- VLAN
- VRRP
- Web認証
- WiMAX
- コンフィグロールバック
- ネットイベント
- フィルタ
- ブリッジ
- モニタログ
- ワイモバイル
- 仮想スイッチ
- 冗長化
- 無線LAN