FutureNet

RAシリーズ

連携機能

1. ActiveDirectory連携

１．Active Directory連携

ここでは、ユーザ認証に外部サーバとしてActive Directoryを利用した設定例を紹介します。

【構成】

対象装置	設定概要
Active Directoryサーバ	ユーザ情報の登録
RADIUSサーバ	ＣＡ設定
	ＣＡ証明書の取り出し
	サーバ証明書の発行
	認証方式などの基本設定
	クライアント登録
	Active Directoryサーバ設定
	DNSサーバ設定
無線アクセスポイント	認証サーバの登録
Windowsなどの端末	ＣＡ証明書の登録
	認証方式などのサプリカント設定

【設定】

この例ではドメインコントローラ１台の構成でActiveDirectoryを運営している環境へ無線アクセスポイントを追加し、
ユーザの認証にActiveDirectoryを使用する場合の例となります。

また、無線による接続はActiveDirectoryに登録された全てのユーザではなく、一部のユーザのみ許可を与えるものとします。
ActiveDirectoryには新たにWirelessというセキュリティグループを作成し、Wirelessグループに所属するメンバのみ
無線接続が行えるようRADIUSサーバを設定します。
ActiveDirectory を用いた認証を行う場合のRADIUSサーバは、ActiveDirectory に対して無線アクセスポイントからの
認証の橋渡しを行います。
ActiveDirectory を用いて認証する場合は認証プロトコルとしてEAP-PEAPを使用します。

ネットワーク設定（管理機能／ネットワーク／基本情報）

Ether0 のIPアドレスを 192.168.0.254/24 に設定します。
MTU及び通信モード、Ether1、Ether2はお使いの環境に合わせて設定してください。
ここでは初期値のままとします。デフォルトゲートウェイは外部のDNS、NTPサーバを使用しないのであれば特に設定する必要はありません。

ＣＡ設定（ＣＡ／ＣＡ/CRL）

EAP-PEAP認証を使用する場合はCAの設定が必要になります。
また、CAの作成や証明書の発行を行う際は内蔵時計が正しく設定されているか確認することをお奨めします。
CAの作成では Common Name、有効期間、パスフレーズ、失効リスト更新間隔の入力が必須です。
例では以下の設定でCAを作成します。

※CAの再編集はできませんので設定の際は内容を十分確認してください。
また、CAを削除した場合は発行済みの全ての証明書も削除されますのでご注意ください。

CA設定条件：

バージョン	3
鍵長	1024
Signature Algorithm	SHA-256
Common Name	sample_ca
Country	JP
有効期間(終了日時)	2035年12月31日
パスフレーズ	passsample
失効リスト更新間隔	365

CA作成後はCA証明書画面より 取り出し ボタンを押下してCA証明書を取得し、サプリカントへインストールします。

RADIUSサーバ証明書発行（ＣＡ／証明書）

RADIUSサーバで使用するサーバ証明書の発行を行います。
証明書画面から 新規追加 ボタンを押下します。

※バージョン3 のサーバ証明書を作成する場合には、通常最低限以下のKey Usage/Extended KeyUsage を指定するようにします。
・Key Usage：digitalSignature およびkeyEncipherment
・Extended Key Usage：serverAuth

実際にどのKey Usage/Extended Key Usage を必要とするかは通信相手のソフトウェアに依存します。

ここでは、下記内容で設定します。

Active Directory連携	使用する
Active Directoryサーバ	空白
ドメイン名	ad.example.jp
ドメイン名(Windows2000より前)	空白
所属グループ	Wireless
管理者ユーザID	administrator
管理者パスワード	administratorpass

認証方式の設定、サーバ証明書の登録（RADIUS／サーバ／基本情報）

認証方式にEAP-TLS 、 EAP-PEAP 、RADIUSサーバ証明書に 本装置の証明書を使用する を選択します。(EAP-PEAPを使用するにはEAP-TLSも選択する必要があります。)
シリアルナンバには先ほど発行したサーバ証明書のシリアルナンバを入力します。
シリアルナンバはCAの証明書一覧で確認することができます。また、設定ウィザードを使った場合は自動的に入力されます。

DNSサーバの設定（管理機能／ネットワーク/DNS）

DNSの設定で所属するexample.jpドメインを管理しているDNSサーバ（ここではActiveDirectoryドメインコントローラと同一）192.168.0.1 を指定します。

Active Directoryの設定（RADIUS／サーバ／ActiveDirectory）

ActiveDirectory 画面では、ActiveDirectoryのドメイン名と管理者ユーザID、管理者パスワードにドメインコントローラのAdministrator権限のユーザの管理者IDとパスワードを入力します。
所属グループは今回新たに追加したWirelessを指定します。

ここでは、下記内容で設定します。

Active Directory連携	使用する
Active Directoryサーバ	空白
ドメイン名	ad.example.jp
ドメイン名(Windows2000より前)	空白
所属グループ	Wireless
管理者ユーザID	administrator
管理者パスワード	administratorpass

所属グループについて
ActiveDirectory による認証で、”所属グループ”の設定をおこなうと、ActiveDirectoryのユーザ情報の一部である『所属するグループ』情報を認証識別子として用いて認証を行います。

“所属グループ”の設定を行わない場合はActiveDirectoryに登録された全てのユーザで認証が可能になります。
認証する必要のあるユーザのみ特定のグループに所属させ、この機能を用いて認証を行うことで意図しないユーザの認証を
破棄することがきます。
例) 　ActiveDirectory上の user01、user02 のうち、user02 のみ認証を行いたい。

①ActiveDirectory にて特定のグループ(Wireless)を作成し、user02 を所属させる。
②RADIUSサーバにて ActiveDirectoryの設定で所属グループにWireless を指定する

以上の設定で Wirelessグループに所属するユーザ user02 のみ認証することができます。
その他のuser01 や Administrator、Guest といったWireless グループに属さないユーザは認証できません。
また、ActiveDirectory連携時、認証可能なユーザは「運用管理機能／ユーザ情報／ADユーザ情報」画面にて確認することができます。

RADIUSクライアント設定（RADIUS／サーバ／クライアント）

クライアント新規追加画面では、全ての項目を設定します。IPアドレスは無線アクセスポイントのIPアドレス、シークレットは無線アクセスポイントへ設定したものと同じものを設定します。

ADユーザ設定（RADIUS／ユーザ／ADユーザ）

この例では応答アトリビュートは使用しませんのでADユーザは 指定しない のままとします。

RADIUSサーバ起動（RADIUS／サーバ／起動・停止）

最後に起動ボタンを押下してRADIUSサーバを起動します。

以上で設定は完了です。

FutureNet RAシリーズ

←前のページ

更新情報

→ 一覧へ