FutureNet
RAシリーズ
連携機能
3. LDAP連携(EAP-PEAP認証編)
3.LDAP連携(EAP-PEAP)
ここでは、ユーザ認証に外部サーバとしてLDAPを利用し、EAP-PEAP認証の設定例を紹介します。
【構成】
ここではユーザ検索をLDAP サーバのみで行います。(RADIUSサーバのローカルにはユーザ登録を行いません)
各機器では、以下の設定を行います。
設定概要:
対象装置 | |
LDAPサーバ | ユーザ情報の登録 |
CA証明書の登録 | |
サーバ証明書の登録 | |
私有鍵の登録 | |
RADIUSサーバ | CA設定 |
CA証明書の取り出し | |
サーバ証明書の発行(LDAP用、RADIUSサーバ用) | |
認証方式などの基本設定 | |
クライアント登録 | |
LDAPサーバ設定 | |
ローカルユーザの登録(ローカルに登録したユーザを参照する場合) | |
無線アクセスポイント | 認証サーバの登録 |
Windowsなどの端末 | CA証明書の登録 |
認証方式などのサプリカント設定 |
【設定】
ネットワーク設定(管理機能/ネットワーク/基本情報)
Ether0 のIPアドレスを 192.168.0.254/24 に設定します。
MTU及び通信モード、Ether1、Ether2はお使いの環境に合わせて設定してください。
ここでは初期値のままとします。デフォルトゲートウェイは外部のDNS、NTPサーバを使用しないのであれば特に設定する必要はありません。
CA設定(CA/CA/CRL)
EAP-PEAP認証を使用する場合は、CAの設定が必要になります。
また、CAの作成や証明書の発行を行う際は内蔵時計が正しく設定されているか確認することをお奨めします。
CAの作成では Common Name、有効期間、パスフレーズ、失効リスト更新間隔 の入力が必須です。
また、CAの再編集はできませんので設定の際は内容を十分確認してください。
CAを削除した場合は発行済みの全ての証明書も削除されますのでご注意ください。
ここでは下記内容で設定します。
<CA設定> | 値 | 備考 |
バージョン | 3 | |
鍵長 | 2048 | |
Signature Algorithm | SHA-256 | |
Common Name | sample_ca | |
Country | JP | |
有効期間(終了日時) | 2035年12月31日 | |
パスフレーズ | passsample | |
失効リスト更新間隔 | 365 |
CA作成後はCA証明書画面より 取り出し ボタンを押下してCA証明書を取得し、サプリカントへインストールします。
RADIUSサーバ証明書発行(CA/証明書)
ここではEAP-PEAPで使用するRADIUSサーバ証明書を発行します。
証明書画面から 新規追加 ボタンを押下します。
ここでは、下記内容で設定します。
<サーバ証明書設定> | 値 | 備考 |
バージョン | 3 | |
鍵長 | 2048 | |
Signature Algorithm | SHA-256 | |
Common Name | RA_server | |
Country | JP | |
有効期間(終了日時) | 2030年12月31日 14時59分 | GMTで入力します |
パスフレーズ | passsample | |
失効リスト更新間隔 | 365 | |
Key Usage | digitalSignature | |
keyEncipherment | ||
Extended Key Usage | server Auth |
※バージョン3 のサーバ証明書を作成する場合には、通常最低限以下のKey Usage/Extended KeyUsage を指定するようにします。
実際にどのKey Usage/Extended Key Usage を必要とするかは通信相手のソフトウェアに依存します。
認証方式の設定(RADIUS/サーバ/基本情報)
ここでは、下記内容で設定します。
EAP-PEAPを利用するにはEAP-TLSも選択する必要があります。
値 | 備考 | |
ポート番号 | 1812/1813 | |
認証方式 | EAP-TLS | |
EAP-PEAP | ||
RADIUSサーバ証明書 | 本装置の証明書を使用する | |
01 | 前項で発行した証明書のシリアルナンバー |
RADIUSクライアント設定(RADIUS/サーバ/クライアント)
アクセスポイントの情報を設定します。
ここでは下記内容で設定します。
値 | 備考 | |
クライアント名 | AP-01 | |
IPアドレス | 192.168.0.253 | |
シークレット | secret | アクセスポイントに設定したシークレット |
アドレスプール | 指定しない |
LDAP設定(RADIUS/サーバ/LDAP)
LDAP画面下段 LDAPサーバ一覧より 新規追加 ボタンを押下してLDAPサーバを追加します。
ここでは、下記内容で設定します。
<LDAP設定> | 値 | 備考 |
No. | 空白 | |
LDAP名 | LDAP1 | |
IPアドレス | 192.168.0.10 | |
ポート | 389 | |
ベースDN | ou=sales,dc=ldap1,dc=local | |
バインドDN | cn=admin,dc=ldap1,dc=local | |
パスワード | adminpass1 | LDAP1用ログインパスワード |
フィルタオブジェクト | 空白 | |
フィルタアトリビュート | uid | |
セキュリティ | None |
LDAPサーバの登録が終わったらLDAPへの問い合わせを有効にします。
LDAP画面の上段より 設定・編集 ボタンを押下し設定画面を開きます。
ここでは、下記内容で設定します。
値 | 備考 | |
LDAP | 使用する | |
認証順序 | LDAP → LOCAL |
ユーザ基本情報プロファイル設定(RADIUS/プロファイル/ユーザ基本情報)
今回 ローカルでユーザ認証を行わないため、プロファイルは作成しません。
ユーザプロファイル設定(RADIUS/プロファイル/ユーザプロファイル)
今回 ローカルでユーザ認証を行わないため、プロファイルは作成しません。
ローカルユーザ設定(RADIUS/ユーザ/ユーザ)
今回 ローカルでユーザ認証を行わないため、ユーザ登録は行いません。
RADIUSサービス起動(RADIUS/サーバ/起動・停止)
最後に 起動 ボタンを押下してRADIUSサービスを起動します。
※既に現在の状態が、動作中 の場合は、 再起動 ボタンを押下してサービスを再起動します。
以上で設定は完了です。
■補足
Ver1.8.4以降のファームウェアバージョンでは、LDAP連携で利用可能な認証方式として
PAP、EAP-TTLS/PAPに加え下記の認証方式が利用可能です。
またそれぞれの認証方式を利用する上での注意点等については、ユーザーズガイドの「LDAP連携機能における認証について」を
ご確認ください。
・EAP-PEAP
・CHAP
・EAP-TTLS/CHAP
・EAP-MD5
・EAP-TTLS/EAP-MD5
【参考情報】
NTLM ハッシュとは、UTF-16LE でエンコードされたパスワードをMD4を用いてハッシュした16バイトの値です。
例えばUNIX環境において% echo -n ‘password’ | iconv -f UTF-8 -t UTF-16LE | openssl dgst -md4
といった手順で、NTLM ハッシュを生成することが可能です。
下記にEAP-PEAP認証方式で”csRANTLMHash”アトリビュート利用時のスキーマ例を記載いたします。
<Open LDAPの場合>
attributetype ( 1.3.6.1.4.1.20376.3.389.3.1.1 NAME ‘csRANTLMHash’ DESC ‘NTLM Hash’ EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{32} SINGLE-VALUE )objectclass ( 1.3.6.1.4.1.20376.3.389.4.1 NAME ‘csRAAttributes’ SUP top AUXILIARY DESC ‘Century Systems RA-Series Attributes’ MAY ( csRANTLMHash ) ) |
上記 OID (1.3.6.1.4.1.20376.3.389.3.1.1 , 1.3.6.1.4.1.20376.3.389.4.1) は、
弊社で正式に割り当てを行っておりますので、このままご利用頂いても差し支えありません。
目次
更新情報
→ 一覧へカテゴリ
タグ
- CRG
- DDNS
- DHCP
- DNAT
- DNSインターセプト
- Ethernet
- IIJモバイル
- IKE Modeconfig
- IKEv2 Configuration Payload
- IPinIP
- IPoE
- IPv6
- KDDI
- L2TPv3
- MAP-E
- NGN
- NTTドコモ
- PBR
- Policy Based IPsec
- PPP
- PPPoE
- QoS
- RADIUS連携
- RAシリーズ
- Route Based IPsec
- SMS
- SNAT
- SoftBank
- UPnP
- URL転送
- VLAN
- VRRP
- Web認証
- WiMAX
- コンフィグロールバック
- ネットイベント
- フィルタ
- ブリッジ
- モニタログ
- ワイモバイル
- 仮想スイッチ
- 冗長化
- 無線LAN