NPSを使って、認証ユーザごとに異なるVLANを割り当てる設定方法を説明する。

NPSでは、ユーザに直接VLANを割り当てることができない。ADのセキュリティグループにVLANを割り当てる。
たとえば、group210というセキュリティグループにVLAN210、group220というセキュリティグループにVLAN220を割り当てる。

部署ごとなどでセキュリティグループを作っておくとよいだろう。有線LANでVLANを分けているのであれば、その有線LANの割り当てを参考にすればよい。ユーザをセキュリティグループに所属させると、そのユーザで認証したときに、所属グループに基づくVLANを割り当てできる。

パラメータは次のとおり。

ネットワークポリシー
ポリシー名ADセキュリティグループ認証方法VLANID
PEAP-VLAN210
group210
PEAP  /  EAP-TLS
210
PEAP-VLAN220group220PEAP  /  EAP-TLS220
・・・
・・・PEAP  /  EAP-TLS
・・・
・・・
PEAP  /  EAP-TLS  




設定は、NPSのウィザードを使うと簡単だ。途中まではPEAPやEAP-TLSの設定と同じである。

①NPSの初期画面で「一覧化エア構成シナリオを選択し、下のリンクをクリックしてシナリオウィザードを開きます」のメニューから、「802.1Xワイヤレス接続またはワイヤード(有線)接続用のRADIUSサーバ」を選択し、「→802.1Xを構成する」をクリック。
002



















②802.1X接続の種類では「ワイヤレス接続をセキュリティで保護するを」選び、ポリシーの名前を入力する。ここでは「PEAP-VLAN210」としておく。ポリシー名には、認証方法やVLANID、セキュリティグループなどの名前を入れておくとわかりやすい。
003
























③オーセンティケータ(RADIUSクライアント)を選択する。すでに設定されていれば自動的に表示される。新規の追加も可能。
004

























④認証方法を選択する。今回はPEAP(「Microsoft保護されたEAP(PEAP))」」を選択、構成をクリック。
005

























⑤PEAP認証時に使う、RADIUSサーバ証明書を選択する。この証明書が認証時にクライアントに提示される。
006






















⑥ADのセキュリティグループを選択する。このグループに所属しているユーザに認証を許可と、VLANIDを割り当てるための設定だ。複数のグループを設定することもできる。
007























⑦トラフィック制御の構成が今回の設定のポイント。ここでは、認証に成功したときに、オーセンティケータ(WLCやIAP)にどのような情報を通知するかを設定する。
「構成」をクリックする。
008























⑧RADIUSの属性名と、値をここで設定する。設定するのはTunnel-Type、Tunnel-Medium-Type、Tunnel-Pvt-Group-IDの3つだ。まずTunnel-Typeを選択し、「構成」をクリック。
009





















(補足)Arubaの設定では、本来Tunnel-Pvt-Group-IDにVLANIDを設定するだけでVLANを割り当て可能。しかし、一般的には3つの属性値を必要とする機種もあるため、ここでは3箇所とも設定する手順を説明する。


Tunnell-Typeとは、どのようなトンネルの方式を使うかの設定である。今回はVLANを割り当てるので、VLANとしておく。「追加」をクリック。(802.1Xの場合、VLANを設定しておけばOK)
010



















「802.1Xで一般的に使用する」をクリックし、「Virtual LANs(VLAN)」を選択する。
011


















属性値に「Virtual LANs(VLAN)」に設定されたことを確認し、「OK」をクリック。
012



















次は、「Tunnel-Medium-Type」を構成する。Tunnel-Medium-Typeとは、トンネルプロトコル(上記で設定したVLAN)をどのようにトランスポート(輸送)するかを設定する。「追加」をクリック。
013



















「802.1Xで一般的に使用する」を選び、さらに「802(includes all 802 media plus Ethernet canonical format)」を選び、OK。
014















属性値に「802(includes all 802 media plus Ethernet canonical format)」が設定できたことを確認し「OK」。
015



















最後はTunnel-Pvt-Group-Idである。VLANIDを設定する。「追加」をクリック。
016



















「文字列」を選択し、ユーザに割り当てるVLANIDを入力、「OK」をクリック。
017
















VLANIDが設定されたことを確認し、「OK」をクリック。
018



















Tunnel-Type、Tunnel-Medium-Type、Tunnel-Pvt-Group-IDの3つが設定できたことを確認し「OK」をクリック。
019























⑨「802.1Xを構成する」の画面に戻るので、「次へ」をクリック。
020























⑩「完了」をクリックすると、接続要求ポリシーとネットワークポリシーの2つが作成される。
この2つのポリシーの違いはここを参照。
021
























⑪接続要求ポリシーとネットワークポリシーがそれぞれ作成されたことを確認する。
022


















023





























別のグループに別のVLANを設定する場合、同じように作成するか、ネットワークポリシーを複製して編集する。複製のほうが楽。

複製方法は次のとおり。

①作成済みのネットワークポリシーを右クリックし、「複製」を選択。
030













②名前を変更する。変更後、ダブルクリックして編集する。
031












③複製直後のポリシーは無効になっている。そのため、「ポリシーを有効にする」にチェックして有効化する。
033



















④「条件」タブに移動。Windowsグループが表示されているので、選択して「編集」をクリック。
034



















グループを編集する。ここで設定したグループに、この後設定するVLANIDを割り当てる。最初は複製元のグループが表示されているので、忘れないように削除しておく。
036















Windowsグループを割り当てなおしたことを確認する。
037




















⑤「設定」タブに移動。ここでVLANIDを割り当てる。Tunnel-Pvt-Group-Idを選択し「編集」をクリック。
設定方法は、ウィザードでの設定方法と同じだ。
038




















Tunnel-Pvt-Group-Idを変更したのを確認し、「OK」をクリック。
039



















⑥ポリシーの適用順序を変更する。複製直後は順序が最後になっており、処理されないからだ。右クリックで「上へ移動」を選択し、適切な場所に移動させる。
040

















041