※書きかけのメモです。

ARUBAでは、802.1X認証とMACアドレス認証を同時に行う場合、
MACアドレス認証→802.1Xの順に行っている。

MACアドレス認証を行う場合、RADIUSサーバ側に、ユーザ名・パスワードの両方がMACアドレスになっているユーザを登録する必要がある。(MACアドレスの16進数を小文字で、区切り文字なし)

WLCからは、PAPで認証に来ている。

これらのことから、ADの場合ユーザ登録に下記の問題を抱えてしまう。
・PAPのため、パスワードをプレーンで保持する必要がある。
・ユーザ名とパスワードを同一にしなければならないため、パスワードの要件を緩和しなければならない。
いずれも、グループポリシーで緩和できるのだが、このどちらもセキュリティ的に大きな問題になってしまう。
MACアドレス用のOUを作って、そこだけパスワードポリシーの緩いGPOを当てるなどの工夫が必要。

・ADでMACアドレス用のOUとセキュリティグループを作る。
・MACアドレス用OUに、パスワード要件を緩和したGPOを適用する。
(動作確認中)

・ユーザ名・パスワードの両方をMACアドレス(16進小文字、区切り文字なし)にしたユーザを作成する。
・作ったユーザをMACアドレス用のセキュリティグループに追加する。

・NPSのネットワークポリシーでMACアドレス認証用のポリシーを作る。
「MAC認証」など、わかりやすい名前にしておこう。PAPを許可するのがポイント。


WLCのAAAprofileで、MAC authentication Server Groupに、MACアドレスを登録したRADIUSサーバを含むServerGroupを設定する。