RAシリーズ

５．LDAP連携（応答アトリビュート取得）

ユーザ認証に外部サーバとしてLDAPを利用し応答アトリビュートをLDAPサーバより取得する方法を紹介します。

 

ここでは、認証方式は、EAP-TTLSを利用します。
RADIUSサーバのローカルにはユーザは登録せず、LDAPサーバのみでユーザ認証を行い、
VLAN情報をLDAPサーバから取得してRADIUSクライアント（認証スイッチ）に応答アトリビュートとして渡します。

【構成】

 

設定概要：

対象装置
LDAPサーバ	ユーザ情報の登録
RADIUSサーバ	ＣＡ設定
	ＣＡ証明書の取り出し
	サーバ証明書の発行（RADIUSサーバ用）
	認証方式などの基本設定
	クライアント登録
	LDAPサーバ設定
	DNSサーバ設定
認証スイッチ	認証サーバの登録
Windowsなどの端末	ＣＡ証明書の登録
	認証方式などのサプリカント設定

 

 

 

 【設定】

LDAPサーバには、｢uid｣、｢radTunnelType｣、｢radTunnelMediumType｣、｢radTunnelPrivGroupId｣が
スキーマにて定義されており、各ユーザには、以下の内容が登録されているものとします。

＜uid：user01＞	値	備考
radTunnelType	13	VLAN
radTunnelMediumType	6	802
radTunnelPrivGroupId	VLAN1

 

＜uid：user02＞	値	備考
radTunnelType	13	VLAN
radTunnelMediumType	6	802
radTunnelPrivGroupId	VLAN2

 

 

 

 ネットワーク設定（管理機能／ネットワーク／基本情報）

Ether0 のIPアドレスを 192.168.0.254/24 に設定します。
MTU及び通信モード、Ether1、Ether2はお使いの環境に合わせて設定してください。
ここでは初期値のままとします。デフォルトゲートウェイは外部のDNS、NTPサーバを使用しないのであれば
特に設定する必要はありません。

 

 

 

ＣＡ設定（ＣＡ／ＣＡ/CRL）

EAP-TTLS認証を使用する場合はCAの設定が必要になります。
また、CAの作成や証明書の発行を行う際は内蔵時計が正しく設定されているか確認することをお奨めします。
CAの作成では Common Name、有効期間、パスフレーズ、失効リスト更新間隔 の入力が必須です。
また、CAの再編集はできませんので設定の際は内容を十分確認してください。
CAを削除した場合は発行済みの全ての証明書も削除されますのでご注意ください。

 

ここでは下記内容で設定します。

＜CA設定＞	値	備考
バージョン	3
鍵長	2048
Signature Algorithm	SHA-256
Common Name	sample_ca
email	samp@example.co.jp
Country	JP
有効期間(終了日時)	2035年12月31日
パスフレーズ	passsample
失効リスト更新間隔	365

CA作成後はCA証明書画面より 取り出し ボタンを押下してCA証明書を取得し、サプリカントへインストールします。

 

 

 

RADIUSサーバ証明書設定（ＣＡ／証明書）

ここではEAP-TTLSで使用するRADIUSサーバ証明書を発行します。
証明書画面から  新規追加 ボタンを押下します。

 

ここでは、下記内容で設定します。

＜サーバ証明書設定＞	値	備考
バージョン	3
鍵長	2048
Signature Algorithm	SHA-256
Common Name	RA_server
Country	JP
有効期間(終了日時)	2030年12月31日 14時59分	GMTで指定します
パスフレーズ	passsample
失効リスト更新間隔	365
Key Usage	digitalSignature
	keyEncipherment
Extended Key Usage	server Auth

※バージョン3 のサーバ証明書を作成する場合には、通常最低限以下のKey Usage/Extended KeyUsage を指定するようにします。
実際にどのKey Usage/Extended Key Usage を必要とするかは通信相手のソフトウェアに依存します。

 

 

 

 

認証方式の設定（RADIUS／サーバ／基本情報）

認証方式に EAP-TLS, EAP-TTLS , 内部認証で使用するプロトコルを選択します。
※EAP-TTLSを利用するにはEAP-TLSも選択する必要があります。

 

ここでは、下記内容で設定します。

	値	備考
ポート番号	1812/1813
認証方式	PAP/CHAP
	EAP-TLS
	EAP-TTLS
RADIUSサーバ証明書	本装置の証明書を使用する
	01	前項で発行したRADIUSサーバ証明書のシリアルナンバー

 

 

RADIUSクライアント設定（RADIUS／サーバ／クライアント）

ここでは下記内容で認証スイッチの情報を設定します。

	値	備考
クライアント名	SW-01
IPアドレス	192.168.0.253
シークレット	secret	認証スイッチに設定したシークレット
アドレスプール	指定しない

 

 

 

 

LDAP設定（RADIUS／サーバ／LDAP）

LDAP画面の上段より  設定・編集   ボタンを押下し設定画面を開きます。

 

ここでは、下記内容で設定します。

	値	備考
LDAP	使用する
認証順序	LDAP → LOCAL

 

LDAP画面中段 LDAPアトリビュートマップ一覧より 新規追加  ボタンを押下して
RADIUSのアトリビュートとLDAPのアトリビュートの対応付けを行います。

この設定を行う事で認証が成功した場合、認証応答パケットにLDAPサーバより取得したアトリビュート値が
セットされます。
応答アトリビュートプロファイルを新たに作成する必要はありませんが、LDAPサーバより取得した値以外に
応答アトリビュートとして返したい時は、応答アトリビュートプロファイルを作成します。

 

ここでは、下記３つのアトリビュートの対応づけを設定します。

RADIUSアトリビュート		LDAPアトリビュート
Tunnel-Type	＜－＞	radTunnelType
Tunnel-Medium-Type	＜－＞	radTunnelMediumType
Tunnel-Private-Group-ID	＜－＞	radTunnelPrivGroupId

 
LDAP画面下段　LDAPサーバ一覧より  新規追加 ボタンを押下してLDAPサーバを追加します。
ここでは、下記内容で設定します。

＜LDAP設定＞	値	備考
No.	空白
LDAP名	LDAP1
IPアドレス	192.168.0.10
ポート	389
ベースDN	ou=sales,dc=ldap1,dc=local
バインドDN	cn=admin,dc=ldap1,dc=local
パスワード	adminpass1	LDAP1用ログインパスワード
フィルタオブジェクト	空白
フィルタアトリビュート	uid
セキュリティ	None

 

全てのLDAP設定が終了すると以下のようになります。

 

 

 

RADIUSサービス起動（RADIUS／サーバ／起動・停止）

最後に  起動 ボタンを押下してRADIUSサービスを起動します。

※既に現在の状態が、動作中 の場合は、 再起動 ボタンを押下してサービスを再起動します。

 

以上で設定は完了です。