無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ:5.無線LANコントローラ > 5-8 MACアドレス認証

内部DBに登録する方法
Configuration >Security >Authentication >Serversから「Select Internal DB」を選択
「Users」の中の「Add User」をクリックしてユーザを作る。
ユーザ名とパスワードの両方にMACアドレスを入れる。aruba_mac

※書きかけのメモです。

ARUBAでは、802.1X認証とMACアドレス認証を同時に行う場合、
MACアドレス認証→802.1Xの順に行っている。

MACアドレス認証を行う場合、RADIUSサーバ側に、ユーザ名・パスワードの両方がMACアドレスになっているユーザを登録する必要がある。(MACアドレスの16進数を小文字で、区切り文字なし)

WLCからは、PAPで認証に来ている。

これらのことから、ADの場合ユーザ登録に下記の問題を抱えてしまう。
・PAPのため、パスワードをプレーンで保持する必要がある。
・ユーザ名とパスワードを同一にしなければならないため、パスワードの要件を緩和しなければならない。
いずれも、グループポリシーで緩和できるのだが、このどちらもセキュリティ的に大きな問題になってしまう。
MACアドレス用のOUを作って、そこだけパスワードポリシーの緩いGPOを当てるなどの工夫が必要。

・ADでMACアドレス用のOUとセキュリティグループを作る。
・MACアドレス用OUに、パスワード要件を緩和したGPOを適用する。
(動作確認中)

・ユーザ名・パスワードの両方をMACアドレス(16進小文字、区切り文字なし)にしたユーザを作成する。
・作ったユーザをMACアドレス用のセキュリティグループに追加する。

・NPSのネットワークポリシーでMACアドレス認証用のポリシーを作る。
「MAC認証」など、わかりやすい名前にしておこう。PAPを許可するのがポイント。


WLCのAAAprofileで、MAC authentication Server Groupに、MACアドレスを登録したRADIUSサーバを含むServerGroupを設定する。


続きを読む

RADIUSサーバではなく、単なるADを認証サーバとすることもできる。
その場合は「Security > Authentication > Servers からLDAP Serverに登録する
※一番下の「Windows Server」もあるので、要確認である。
設定項目設定内容
HostADサーバのIP 
(例) 192.168.0.100
Admin-DNADのadmin権限のIDだと思う。
(例)cn=administrator,cn=Users,dc=viva-musen,dc=net
Admin-Passwd上記のパスワード
Allow Clear-Textチェック入れる
Auth Port389
Base-DNユーザDBが入っているDN。
(例)cn=users,dc=viva-musen,dc=net
Filter (objectclass=*) かな?書き方はいっぱいあると思う。
Key AttributeADの場合は次の属性を使う。「sAMAccountName」
Preferred Connection TypeWLCとLDAPサーバ間での通信のタイプ。clear-textを選択する。
これは、「Allow Clear-Text」のチェックボックスとリンクしている。他には「ldap-s」「start-tls」がある。

設定の概要は以下。全部を書いているわけではないので注意。(後日きちんと書きたい)
■APグループ
ap-group "GP_T"
virtual-ap "Teacher_vap"

■VirtualAP
wlan virtual-ap "Teacher_vap"
aaa-profile "Teacher_aaa"
ssid-profile "Teacher_ssid"

■AAAプロファイル
aaa profile "Teacher_aaa"
authentication-mac "default"
mac-default-role "authenticated"
mac-server-group "LdapServerGroup"

■SSIDプロファイル
wlan ssid-profile "Teacher_ssid"
essid "Teacher"
opmode wpa2-psk-aes
wpa-passphrase xxx

■認証サーバの設定
aaa authentication-server ldap "SV1"
host 192.168.0.100
admin-dn "cn=administrator,cn=Users,dc=viva-musen,dc=net"
admin-passwd xxx
allow-cleartext
base-dn "cn=Users,dc=viva-musen,dc=net"
preferred-conn-type clear-text

このページのトップヘ