RAシリーズ

４．LDAP連携（ActiveDirectory）

ここでは、ユーザ認証の外部サーバとしてActiveDirectoryをLDAPとして利用する設定例を紹介します。
またLDAPユーザプロファイルの例として応答アトリビュートでSession-Timeoutを返すものとします。

※ActiveDirectoryをLDAPとして利用する場合の認証方式は、EAP-TTLS/PAPとPAPのみとなります。

 

【構成】

 

 

ActiveDirectory を LDAP として使用する場合も通常のLDAP設定と変わりません。
ここでは認証方式をEAP-TTLS/PAPとし、応答アトリビュートに関わるプロファイル設定を追加します。
各機器では、以下の設定を行います。

 

設定概要：

対象装置
ActiveDirectoryサーバ	ユーザ情報の登録
RADIUSサーバ	ＣＡ設定
	ＣＡ証明書の取り出し
	サーバ証明書の発行（RADIUSサーバ用）
	認証方式などの基本設定
	クライアント登録
	LDAPサーバ設定
	LDAPユーザプロファイル
無線アクセスポイント	認証サーバの登録
Windowsなどの端末	ＣＡ証明書の登録
	認証方式などのサプリカント設定

 

 

 

 【設定】

 ネットワーク設定（管理機能／ネットワーク／基本情報）

Ether0 のIPアドレスを 192.168.0.254/24 に設定します。
MTU及び通信モード、Ether1、Ether2はお使いの環境に合わせて設定してください。
ここでは初期値のままとします。デフォルトゲートウェイは外部のDNS、NTPサーバを使用しないのであれば特に設定する必要はありません。

 

 

 

ＣＡ設定（ＣＡ／ＣＡ/CRL）

EAP-TTLS認証を使用する場合はCAの設定が必要になります。
また、CAの作成や証明書の発行を行う際は内蔵時計が正しく設定されているか確認することをお奨めします。
CAの作成では Common Name、有効期間、パスフレーズ、失効リスト更新間隔 の入力が必須です。
※CAの再編集はできませんので設定の際は内容を十分確認してください。
CAを削除した場合は発行済みの全ての証明書も削除されますのでご注意ください。

 

ここでは下記内容で設定します。

＜CA設定＞	値	備考
バージョン	3
鍵長	2048
Signature Algorithm	SHA-256
Common Name	sample_ca
Country	JP
有効期間(終了日時)	2035年12月31日
パスフレーズ	passsample
失効リスト更新間隔	365

 

CA作成後はCA証明書画面より 取り出し ボタンを押下してCA証明書を取得し、サプリカントへインストールします。

 

 

 

RADIUSサーバ証明書設定（ＣＡ／証明書）

ここではEAP-TTLSで使用するRADIUSサーバ証明書を発行します。
証明書画面から  新規追加 ボタンを押下します。

 

ここでは、下記内容で設定します。

＜サーバ証明書設定＞	値	備考
バージョン	3
鍵長	2048
Signature Algorithm	SHA-256
Common Name	RA_server
Country	JP
有効期間(終了日時)	2030年12月31日 14時59分	GMTで指定します。
パスフレーズ	passsample
失効リスト更新間隔	365
Key Usage	digitalSignature
	keyEncipherment
Extended Key Usage	server Auth

※バージョン3 のサーバ証明書を作成する場合には、通常最低限以下のKey Usage/Extended KeyUsage を指定するようにします。
実際にどのKey Usage/Extended Key Usage を必要とするかは通信相手のソフトウェアに依存します。

 

 

 

 

認証方式の設定、（RADIUS／サーバ／基本情報）

認証方式に EAP-TLS, EAP-TTLS , 内部認証で使用するプロトコルを選択します。
※EAP-TTLSの利用にはEAP-TLSと内部認証プロトコルも選択されている必要があります。

 

ここでは、下記内容で設定します。

	値	備考
ポート番号	1812/1813
認証方式	PAP/CHAP
	EAP-TLS
	EAP-TTLS
RADIUSサーバ証明書	本装置の証明書を使用する
	01	前項で発行したRADIUSサーバ証明書のシリアルナンバー

 

 

 

 

RADIUSクライアント設定（RADIUS／サーバ／クライアント）

無線アクセスポイントの情報を設定します。

 

ここでは下記内容で設定します。

	値	備考
クライアント名	AP-01
IPアドレス	192.168.0.253
シークレット	secret	無線アクセスポイントに設定したシークレット
アドレスプール	指定しない

 

 

 

 

LDAP設定（RADIUS／サーバ／LDAP）

LDAPサーバの情報を設定します。
LDAP画面下段　LDAPサーバ一覧より  新規追加 ボタンを押下してLDAPサーバを追加します。

 

ここでは、下記内容で設定します。

＜LDAP設定＞	値	備考
No.	空白
LDAP名	ad
IPアドレス	192.168.0.1
ポート	389
ベースDN	cn=Users, dc=example, dc=jp	Active Directoryドメインを要素毎にdc で指定します。
バインドDN	administrator@example.jp
パスワード	adminpass
フィルタオブジェクト	空白
フィルタアトリビュート	sAMAccountName	Active Directory のユーザ名はUserオブジェクトのsAMAccountNameとして保存されます。
セキュリティ	None
証明書検証	検証しない

 

 

 

LDAPサーバの登録が終わったらLDAPへの問い合わせを有効にします。
LDAP画面の上段より  設定・編集 ボタンを押し設定画面を開きます。

 

ここでは、下記内容で設定します。

	値	備考
LDAP	使用する
認証順序	LDAP → LOCAL

 

 

 

ユーザ基本情報プロファイル設定（RADIUS／プロファイル／ユーザ基本情報）

応答アトリビュートのためのユーザ基本情報プロファイルの作成を行います。
ここでは、下記内容で設定します。

	値	備考
プロファイル名	base_user
認証方式	EAP-TTLS/PAP,CAHP
同時接続数	空白
IPアドレス割り当て	未使用
アドレスプール	指定しない

 

 

 

 

応答アトリビュートプロファイル設定（RADIUS／プロファイル／ユーザ基本情報）

ここで Session-Timeout を返すための応答アトリビュートを設定します。

 

まず最初に応答アトリビュートプロファイルを作成します。
作成したプロファイルは応答アトリビュート画面の下段に応答アトリビュート一覧として表示されます。
一覧より reply プロファイルのアトリビュート欄にある 新規追加 ボタンを押してアトリビュートを追加します。

 

ここでは、下記内容で設定します。

	値	備考
プロファイル名	reply
アトリビュート	Session-Timeout
値	180

 

 

 

ユーザプロファイル登録（RADIUS／プロファイル／ユーザプロファイル）

ここでは、ユーザプロファイル名は user とし、登録したユーザ基本プロファイル base_user と
応答アトリビュートプロファイル reply を選択してユーザプロファイルを登録します。

	値	備考
プロファイル名	user
基本	base_user	前項で設定したユーザ基本情報プロファイルを選択
応答	reply	前項で設定した応答アトリビュートプロファイルを選択

 

 

 LDAPユーザ設定（RADIUS/ユーザ/LDAPユーザ）

ここでは、ユーザに応答アトリビュートを返すプロファイルを設定します。
LDAPユーザ画面よりLDAP名 ad の行にある 編集  ボタンを押してLDAPユーザ変更画面を開きます。

前項で設定したユーザプロファイル user を選択して  設定  ボタンを押下します。

 

 

RADIUSサービス起動（RADIUS／サーバ／起動・停止）

最後に  起動 ボタンを押下してRADIUSサービスを起動します。

※既に現在の状態が、動作中 の場合は、 再起動 ボタンを押下してサービスを再起動します。

以上で設定は完了です。