FutureNet
RAシリーズ
連携機能
4. LDAP連携(ActiveDirectory編)
4.LDAP連携(ActiveDirectory)
ここでは、ユーザ認証の外部サーバとしてActiveDirectoryをLDAPとして利用する設定例を紹介します。
またLDAPユーザプロファイルの例として応答アトリビュートでSession-Timeoutを返すものとします。
※ActiveDirectoryをLDAPとして利用する場合の認証方式は、EAP-TTLS/PAPとPAPのみとなります。
【構成】
ActiveDirectory を LDAP として使用する場合も通常のLDAP設定と変わりません。
ここでは認証方式をEAP-TTLS/PAPとし、応答アトリビュートに関わるプロファイル設定を追加します。
各機器では、以下の設定を行います。
設定概要:
対象装置 | |
ActiveDirectoryサーバ | ユーザ情報の登録 |
RADIUSサーバ | CA設定 |
CA証明書の取り出し | |
サーバ証明書の発行(RADIUSサーバ用) | |
認証方式などの基本設定 | |
クライアント登録 | |
LDAPサーバ設定 | |
LDAPユーザプロファイル | |
無線アクセスポイント | 認証サーバの登録 |
Windowsなどの端末 | CA証明書の登録 |
認証方式などのサプリカント設定 |
【設定】
ネットワーク設定(管理機能/ネットワーク/基本情報)
Ether0 のIPアドレスを 192.168.0.254/24 に設定します。
MTU及び通信モード、Ether1、Ether2はお使いの環境に合わせて設定してください。
ここでは初期値のままとします。デフォルトゲートウェイは外部のDNS、NTPサーバを使用しないのであれば特に設定する必要はありません。
CA設定(CA/CA/CRL)
EAP-TTLS認証を使用する場合はCAの設定が必要になります。
また、CAの作成や証明書の発行を行う際は内蔵時計が正しく設定されているか確認することをお奨めします。
CAの作成では Common Name、有効期間、パスフレーズ、失効リスト更新間隔 の入力が必須です。
※CAの再編集はできませんので設定の際は内容を十分確認してください。
CAを削除した場合は発行済みの全ての証明書も削除されますのでご注意ください。
ここでは下記内容で設定します。
<CA設定> | 値 | 備考 |
バージョン | 3 | |
鍵長 | 2048 | |
Signature Algorithm | SHA-256 | |
Common Name | sample_ca | |
Country | JP | |
有効期間(終了日時) | 2035年12月31日 | |
パスフレーズ | passsample | |
失効リスト更新間隔 | 365 |
CA作成後はCA証明書画面より 取り出し ボタンを押下してCA証明書を取得し、サプリカントへインストールします。
RADIUSサーバ証明書設定(CA/証明書)
ここではEAP-TTLSで使用するRADIUSサーバ証明書を発行します。
証明書画面から 新規追加 ボタンを押下します。
ここでは、下記内容で設定します。
<サーバ証明書設定> | 値 | 備考 |
バージョン | 3 | |
鍵長 | 2048 | |
Signature Algorithm | SHA-256 | |
Common Name | RA_server | |
Country | JP | |
有効期間(終了日時) | 2030年12月31日 14時59分 | GMTで指定します。 |
パスフレーズ | passsample | |
失効リスト更新間隔 | 365 | |
Key Usage | digitalSignature | |
keyEncipherment | ||
Extended Key Usage | server Auth |
※バージョン3 のサーバ証明書を作成する場合には、通常最低限以下のKey Usage/Extended KeyUsage を指定するようにします。
実際にどのKey Usage/Extended Key Usage を必要とするかは通信相手のソフトウェアに依存します。
認証方式の設定、(RADIUS/サーバ/基本情報)
認証方式に EAP-TLS, EAP-TTLS , 内部認証で使用するプロトコルを選択します。
※EAP-TTLSの利用にはEAP-TLSと内部認証プロトコルも選択されている必要があります。
ここでは、下記内容で設定します。
値 | 備考 | |
ポート番号 | 1812/1813 | |
認証方式 | PAP/CHAP | |
EAP-TLS | ||
EAP-TTLS | ||
RADIUSサーバ証明書 | 本装置の証明書を使用する | |
01 | 前項で発行したRADIUSサーバ証明書のシリアルナンバー |
RADIUSクライアント設定(RADIUS/サーバ/クライアント)
無線アクセスポイントの情報を設定します。
ここでは下記内容で設定します。
値 | 備考 | |
クライアント名 | AP-01 | |
IPアドレス | 192.168.0.253 | |
シークレット | secret | 無線アクセスポイントに設定したシークレット |
アドレスプール | 指定しない |
LDAP設定(RADIUS/サーバ/LDAP)
LDAPサーバの情報を設定します。
LDAP画面下段 LDAPサーバ一覧より 新規追加 ボタンを押下してLDAPサーバを追加します。
ここでは、下記内容で設定します。
<LDAP設定> | 値 | 備考 |
No. | 空白 | |
LDAP名 | ad | |
IPアドレス | 192.168.0.1 | |
ポート | 389 | |
ベースDN | cn=Users, dc=example, dc=jp | Active Directoryドメインを要素毎にdc で指定します。 |
バインドDN | administrator@example.jp | |
パスワード | adminpass | |
フィルタオブジェクト | 空白 | |
フィルタアトリビュート | sAMAccountName | Active Directory のユーザ名はUserオブジェクトのsAMAccountNameとして保存されます。 |
セキュリティ | None | |
証明書検証 | 検証しない |
LDAPサーバの登録が終わったらLDAPへの問い合わせを有効にします。
LDAP画面の上段より 設定・編集 ボタンを押し設定画面を開きます。
ここでは、下記内容で設定します。
値 | 備考 | |
LDAP | 使用する | |
認証順序 | LDAP → LOCAL |
ユーザ基本情報プロファイル設定(RADIUS/プロファイル/ユーザ基本情報)
応答アトリビュートのためのユーザ基本情報プロファイルの作成を行います。
ここでは、下記内容で設定します。
値 | 備考 | |
プロファイル名 | base_user | |
認証方式 | EAP-TTLS/PAP,CAHP | |
同時接続数 | 空白 | |
IPアドレス割り当て | 未使用 | |
アドレスプール | 指定しない |
応答アトリビュートプロファイル設定(RADIUS/プロファイル/ユーザ基本情報)
ここで Session-Timeout を返すための応答アトリビュートを設定します。
まず最初に応答アトリビュートプロファイルを作成します。
作成したプロファイルは応答アトリビュート画面の下段に応答アトリビュート一覧として表示されます。
一覧より reply プロファイルのアトリビュート欄にある 新規追加 ボタンを押してアトリビュートを追加します。
ここでは、下記内容で設定します。
値 | 備考 | |
プロファイル名 | reply | |
アトリビュート | Session-Timeout | |
値 | 180 |
ユーザプロファイル登録(RADIUS/プロファイル/ユーザプロファイル)
ここでは、ユーザプロファイル名は user とし、登録したユーザ基本プロファイル base_user と
応答アトリビュートプロファイル reply を選択してユーザプロファイルを登録します。
値 | 備考 | |
プロファイル名 | user | |
基本 | base_user | 前項で設定したユーザ基本情報プロファイルを選択 |
応答 | reply | 前項で設定した応答アトリビュートプロファイルを選択 |
LDAPユーザ設定(RADIUS/ユーザ/LDAPユーザ)
ここでは、ユーザに応答アトリビュートを返すプロファイルを設定します。
LDAPユーザ画面よりLDAP名 ad の行にある 編集 ボタンを押してLDAPユーザ変更画面を開きます。
前項で設定したユーザプロファイル user を選択して 設定 ボタンを押下します。
RADIUSサービス起動(RADIUS/サーバ/起動・停止)
最後に 起動 ボタンを押下してRADIUSサービスを起動します。
※既に現在の状態が、動作中 の場合は、 再起動 ボタンを押下してサービスを再起動します。
以上で設定は完了です。
目次
更新情報
→ 一覧へカテゴリ
タグ
- CRG
- DDNS
- DHCP
- DNAT
- DNSインターセプト
- Ethernet
- IIJモバイル
- IKE Modeconfig
- IKEv2 Configuration Payload
- IPinIP
- IPoE
- IPv6
- KDDI
- L2TPv3
- MAP-E
- NGN
- NTTドコモ
- PBR
- Policy Based IPsec
- PPP
- PPPoE
- QoS
- RADIUS連携
- RAシリーズ
- Route Based IPsec
- SMS
- SNAT
- SoftBank
- UPnP
- URL転送
- VLAN
- VRRP
- Web認証
- WiMAX
- コンフィグロールバック
- ネットイベント
- フィルタ
- ブリッジ
- モニタログ
- ワイモバイル
- 仮想スイッチ
- 冗長化
- 無線LAN