RAシリーズ

３．LDAP連携（EAP-PEAP）

ここでは、ユーザ認証に外部サーバとしてLDAPを利用し、EAP-PEAP認証の設定例を紹介します。

【構成】

ここではユーザ検索をLDAP サーバのみで行います。（RADIUSサーバのローカルにはユーザ登録を行いません）

各機器では、以下の設定を行います。

 

設定概要：

対象装置
LDAPサーバ	ユーザ情報の登録
	ＣＡ証明書の登録
	サーバ証明書の登録
	私有鍵の登録
RADIUSサーバ	ＣＡ設定
	ＣＡ証明書の取り出し
	サーバ証明書の発行（LDAP用、RADIUSサーバ用）
	認証方式などの基本設定
	クライアント登録
	LDAPサーバ設定
	ローカルユーザの登録（ローカルに登録したユーザを参照する場合）
無線アクセスポイント	認証サーバの登録
Windowsなどの端末	ＣＡ証明書の登録
	認証方式などのサプリカント設定

 

 

 

 【設定】

 

 ネットワーク設定（管理機能／ネットワーク／基本情報）

Ether0 のIPアドレスを 192.168.0.254/24 に設定します。
MTU及び通信モード、Ether1、Ether2はお使いの環境に合わせて設定してください。
ここでは初期値のままとします。デフォルトゲートウェイは外部のDNS、NTPサーバを使用しないのであれば特に設定する必要はありません。

 

 

 

 

 

ＣＡ設定（ＣＡ／ＣＡ/CRL）

EAP-PEAP認証を使用する場合は、CAの設定が必要になります。

また、CAの作成や証明書の発行を行う際は内蔵時計が正しく設定されているか確認することをお奨めします。
CAの作成では Common Name、有効期間、パスフレーズ、失効リスト更新間隔 の入力が必須です。
また、CAの再編集はできませんので設定の際は内容を十分確認してください。
CAを削除した場合は発行済みの全ての証明書も削除されますのでご注意ください。

 

ここでは下記内容で設定します。

＜CA設定＞	値	備考
バージョン	3
鍵長	2048
Signature Algorithm	SHA-256
Common Name	sample_ca
Country	JP
有効期間(終了日時)	2035年12月31日
パスフレーズ	passsample
失効リスト更新間隔	365

CA作成後はCA証明書画面より 取り出し ボタンを押下してCA証明書を取得し、サプリカントへインストールします。

 

 

 

RADIUSサーバ証明書発行（ＣＡ／証明書）

ここではEAP-PEAPで使用するRADIUSサーバ証明書を発行します。
証明書画面から  新規追加 ボタンを押下します。

 

ここでは、下記内容で設定します。

＜サーバ証明書設定＞	値	備考
バージョン	3
鍵長	2048
Signature Algorithm	SHA-256
Common Name	RA_server
Country	JP
有効期間(終了日時)	2030年12月31日 14時59分	GMTで入力します
パスフレーズ	passsample
失効リスト更新間隔	365
Key Usage	digitalSignature
	keyEncipherment
Extended Key Usage	server Auth

※バージョン3 のサーバ証明書を作成する場合には、通常最低限以下のKey Usage/Extended KeyUsage を指定するようにします。
実際にどのKey Usage/Extended Key Usage を必要とするかは通信相手のソフトウェアに依存します。

 

 

 

 

認証方式の設定（RADIUS／サーバ／基本情報）

ここでは、下記内容で設定します。
EAP-PEAPを利用するにはEAP-TLSも選択する必要があります。

	値	備考
ポート番号	1812/1813
認証方式	EAP-TLS
	EAP-PEAP
RADIUSサーバ証明書	本装置の証明書を使用する
	01	前項で発行した証明書のシリアルナンバー

 

 

 

 

RADIUSクライアント設定（RADIUS／サーバ／クライアント）

アクセスポイントの情報を設定します。
ここでは下記内容で設定します。

	値	備考
クライアント名	AP-01
IPアドレス	192.168.0.253
シークレット	secret	アクセスポイントに設定したシークレット
アドレスプール	指定しない

 

 

 

 

LDAP設定（RADIUS／サーバ／LDAP）

LDAP画面下段　LDAPサーバ一覧より  新規追加 ボタンを押下してLDAPサーバを追加します。
ここでは、下記内容で設定します。

＜LDAP設定＞	値	備考
No.	空白
LDAP名	LDAP1
IPアドレス	192.168.0.10
ポート	389
ベースDN	ou=sales,dc=ldap1,dc=local
バインドDN	cn=admin,dc=ldap1,dc=local
パスワード	adminpass1	LDAP1用ログインパスワード
フィルタオブジェクト	空白
フィルタアトリビュート	uid
セキュリティ	None

 

LDAPサーバの登録が終わったらLDAPへの問い合わせを有効にします。
LDAP画面の上段より  設定・編集   ボタンを押下し設定画面を開きます。
ここでは、下記内容で設定します。

	値	備考
LDAP	使用する
認証順序	LDAP → LOCAL

 

 

 

ユーザ基本情報プロファイル設定（RADIUS／プロファイル／ユーザ基本情報）

今回 ローカルでユーザ認証を行わないため、プロファイルは作成しません。

 

 

 

ユーザプロファイル設定（RADIUS／プロファイル／ユーザプロファイル）

今回 ローカルでユーザ認証を行わないため、プロファイルは作成しません。

 

 

 

ローカルユーザ設定（RADIUS／ユーザ／ユーザ）

今回 ローカルでユーザ認証を行わないため、ユーザ登録は行いません。

 

 

 

 

RADIUSサービス起動（RADIUS／サーバ／起動・停止）

最後に  起動 ボタンを押下してRADIUSサービスを起動します。

※既に現在の状態が、動作中 の場合は、 再起動 ボタンを押下してサービスを再起動します。

以上で設定は完了です。

 

 

■補足
Ver1.8.4以降のファームウェアバージョンでは、LDAP連携で利用可能な認証方式として
PAP、EAP-TTLS/PAPに加え下記の認証方式が利用可能です。
またそれぞれの認証方式を利用する上での注意点等については、ユーザーズガイドの「LDAP連携機能における認証について」を
ご確認ください。

・EAP-PEAP
・CHAP
・EAP-TTLS/CHAP
・EAP-MD5
・EAP-TTLS/EAP-MD5

【参考情報】
NTLM ハッシュとは、UTF-16LE でエンコードされたパスワードをMD4を用いてハッシュした16バイトの値です。
例えばUNIX環境において% echo -n ‘password’ | iconv -f UTF-8 -t UTF-16LE | openssl dgst -md4
といった手順で、NTLM ハッシュを生成することが可能です。
下記にEAP-PEAP認証方式で”csRANTLMHash”アトリビュート利用時のスキーマ例を記載いたします。

＜Open LDAPの場合＞

attributetype ( 1.3.6.1.4.1.20376.3.389.3.1.1 NAME ‘csRANTLMHash’ DESC ‘NTLM Hash’ EQUALITY caseIgnoreIA5Match SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{32} SINGLE-VALUE )objectclass ( 1.3.6.1.4.1.20376.3.389.4.1 NAME ‘csRAAttributes’ SUP top AUXILIARY DESC ‘Century Systems RA-Series Attributes’ MAY ( csRANTLMHash ) )

上記 OID (1.3.6.1.4.1.20376.3.389.3.1.1 , 1.3.6.1.4.1.20376.3.389.4.1) は、
弊社で正式に割り当てを行っておりますので、このままご利用頂いても差し支えありません。