設定の前に、必要な機器やサーバと、その役割を理解しよう。
とはいっても、基本的にはPEAPと同じである。

・CA(認証局):CA証明書・サーバ証明書・クライアント証明書などの証明書を発行する
・RADIUSサーバ:ユーザを認証する。今回はユーザ情報をADで管理している。また、サプリカント(クライアント)から送信された証明書とディジタル署名の検証を行うことで、クライアントの真正性を確認している。ここがPEAPとの大きな違い。
・ドメインコントローラ:ユーザ情報(アカウント名やパスワードなど)を管理するサーバ。
※RADIUSではADが必須とされているわけではない。AD以外の方法でユーザ情報を管理してもよい。
・AP・WLC:オーセンティケータとも言う。クライアントと無線で通信したり、サプリカントとRADIUSサーバ間の認証通信を仲立ちをする。
・PC:802.1Xの認証を受ける機能やソフトウェアをサプリカントという。

名称未設定 13

















設定の流れは次のとおりである。
WindowsServer2012でCA・RADIUSの設定
・WindowsServer2012でActiveDirectoryサーバ(ドメインコントローラ)を構築する。
・WindowsServer2012でCA(認証局)を立てる。
・WindowsServer2012でNPS(RADIUSサーバ)を構築する。
・AD上でユーザを登録する。(このユーザアカウントでEAP-TLSの認証を行う)
※説明では、ドメインコントローラ・CA・NPSを同一サーバで構築している。

ARUBAのWLCの設定
WLCの設定は、PEAPとTLSで全く同じである。
i

全く同じですか?
証明書の仕組みが違ったりするので、設定も違うのでは?



WLCはPCのサプリカントと、認証サーバをつなぐオーセンティケータとしての機能であり、中継機能だけを実現している。また、IEEE802.1X認証では、複数の認証方式から選択できるのも特徴である。

詳しくはPEAPの設定を確認してほしいが、以下にその流れを紹介する。

・RADIUSサーバを登録する。
・サーバグループに、RADIUSサーバを登録する。
・AAAプロファイル(認証方式)を作成する。
・SSIDプロファイル(SSIDや暗号化方式)を作成する。
・バーチャルAPを作り、AAAプロファイルとSSIDプロファイルを関連付ける。
・バーチャルAPをAPグループに割り当てる。
・APをAPグループに登録する。

dot1x-config










クライアント側の設定
CAの証明書を取得して、インストールする
・クライアント証明書を取得して、インストールする。
・EAP-TLSの設定を行い、CAの証明書を信頼する
詳しくはWindows7の802.1X(EAP-TLS)接続方法