5-5(1) PEAP設定の前に

PEAP概念

設定の前に、必要な機器やサーバと、その役割を理解しよう。
・CA(認証局):CA証明書・サーバ証明書・クライアント証明書などの証明書を発行する
・RADIUSサーバ:ユーザを認証する。今回はユーザ情報をADで管理している。
・ドメインコントローラ:ユーザ情報(アカウント名やパスワードなど)を管理するサーバ。
※RADIUSではADが必須とされているわけではない。AD以外の方法でユーザ情報を管理してもよい。
・AP・WLC:オーセンティケータとも言う。クライアントと無線で通信したり、サプリカントとRADIUSサーバ間の認証通信を仲立ちをする。
・PC:802.1Xの認証を受ける機能やソフトウェアをサプリカントという。

設定の流れは次のとおりである。
WindowsServer2012でCA・RADIUSの設定
・WindowsServer2012でActiveDirectoryサーバ(ドメインコントローラ)を構築する。
・WindowsServer2012でCA(認証局)を立てる。
・WindowsServer2012でNPS(RADIUSサーバ)を構築する。
・AD上でユーザを登録する。(このユーザアカウントでPEAPの認証を行う)
※説明では、ドメインコントローラ・CA・NPSを同一サーバで構築している。

ARUBAのWLCの設定
・RADIUSサーバを登録する。
・サーバグループに、RADIUSサーバを登録する。
・AAAプロファイル(認証方式)を作成する。
・SSIDプロファイル(SSIDや暗号化方式)を作成する。
・バーチャルAPを作り、AAAプロファイルとSSIDプロファイルを関連付ける。
・バーチャルAPをAPグループに割り当てる。
・APをAPグループに登録する。

dot1x-config

クライアント側の設定
・CAの証明書をインストールする。
・PEAPの設定を行い、CAの証明書を信頼する
詳しくはWindows7の802.1X(PEAP)接続方法MacOSXの802.1X(PEAP)接続方法

5-5(2) PEAPの構成

設定パラメータ
・ap-group:APgroup1
・virtual-ap:VirtualAP1
・ssid-profile:ssid-profile
   ・essid “aruba-ap”
・aaa profile:AAA-profile-dot1x
   ・server-group “radius-server-group”

zu2

構成図
kouei3

5-5(3) PEAPの設定(ARUBAのGUI設定)

やっていることは、コマンドラインと同じである。applyを忘れないように注意!

①RADIUSサーバの指定

addで新規作成
peap001

IPアドレスやシークレットキーの設定
peap002

②RADIUSサーバグループの作成

サーバグループを作る。
peap001

RADIUSサーバを追加する
peap002

③802.1Xプロファイルの作成(認証方式の指定)

802.1X Authentication Server Groupにサーバグループを追加する。
peap001

④APグループの作成
★CLIと順序が違うので注意!
★APグループ作成中に、VirtuialAPやSSIDプロファイルを作るからである。

APグループを追加
peap001

VirtualAPの追加

AAAprofileを設定、SSIDプロファイルを新規に作成する

5-5(4) PEAPの設定(ARUBAのコマンドライン設定)

コマンドラインでPEAPを設定する方法。

①RADIUSサーバの指定
(Aruba650) (config) #aaa authentication-server radius “ad-radius”
(Aruba650) (RADIUS Server “ad-radius”) #host 10.0.1.100 ←RADIUSサーバのIPアドレス
(Aruba650) (RADIUS Server “ad-radius”) #key ****** ←シークレットキー
(Aruba650) (RADIUS Server “ad-radius”) #exit
(Aruba650) (config) #

②RADIUSサーバグループの作成
(Aruba650) (config) #aaa server-group “radius-server-group”
(Aruba650) (Server Group “radius-server-group”) #auth-server ad-radius ←①で登録したRADIUSを追加
(Aruba650) (Server Group “radius-server-group”) #exit
(Aruba650) (config) #

③802.1Xプロファイルの作成(認証方式の指定)
(Aruba650) (config) #aaa profile “AAA-profile-dot1x”
(Aruba650) (AAA Profile “AAA-profile-dot1x”) #authentication-dot1x “default”
(Aruba650) (AAA Profile “AAA-profile-dot1x”) #dot1x-server-group “radius-server-group” ←②で作成したサーバグループを使って認証
(Aruba650) (AAA Profile “AAA-profile-dot1x”) #exit
(Aruba650) (config) #

④SSIDプロファイルの作成(SSIDと暗号化の指定)
(Aruba650) (config) #wlan ssid-profile “ssid-profile”
(Aruba650) (SSID Profile “ssid-profile”) #essid “aruba-ap”  ←SSID
(Aruba650) (SSID Profile “ssid-profile”) #opmode wpa2-aes ←WPA2-AES固定で
(Aruba650) (SSID Profile “ssid-profile”) #exit
(Aruba650) (config) #

⑤バーチャルAPの作成
(Aruba650) (config) #wlan virtual-ap “VirtualAP1”
(Aruba650) (Virtual AP profile “VirtualAP1”) #aaa-profile “AAA-profile-dot1x” ←③で作ったAAA profile
(Aruba650) (Virtual AP profile “VirtualAP1”) #ssid-profile  “ssid-profile” ←④で作っSSID profile
(Aruba650) (Virtual AP profile “VirtualAP1”) #exit
(Aruba650) (config) #

⑥APグループの作成
(Aruba650) (config) #ap-group “APgroup1”
(Aruba650) (AP group “APgroup1”) #virtual-ap “VirtualAP1”
(Aruba650) (AP group “APgroup1”) #exit
(Aruba650) (config) #

5-5 IEEE802.1X認証の設定 [aruba設定] (メモ)

IASによるIEEE802.1X認証の設定は以下のURLの「802.1x Configuration for IAS and Windows Clients」に記載がある。
http://www.arubanetworks.com/techdocs/ArubaOS_60/UserGuide/index.php

※メモ
IASより
①Radiusクライアントとして、WLCを指定し、コントローラの名前とIPアドレス、キーを入れる
②「リモートアクセスのポリシー」を右クリックして「[新しいリモートアクセスポリシー」
・ウィザードを選択、名前を入れる
・「ワイヤレス」
・適当にグループを選択。DomainUsersでもいいだろう。
・PEAPの場合はPEAPを。TLSの場合は「スマートカードまたはその他の証明書」を選択。「構成」を押して内容を確認しよう。

・・・

WLC側
■1.認証プロファイルの作成
(1)「Configration」タブ「SECURITY」「Authentication」「Servers」「RADIUS Server」
ここで、RasiusサーバとなるWindowsサーバの名前を入力し、「Add」を押す。
(2)作成された名前をクリックして詳細な設定を行う。
・IPアドレス、認証キーを入力
(3)認証テスト
「Diagnostics」タブより、「Network」「AAA Test Server」にて、認証サーバを選択し、ユーザ名とパスワードを入力する。MS-CHAPv2を選択する。
「Begin Test」にてテストを行える。
「Authentication Successful」が出れば成功。「Authentication failed」で失敗。
(4)「Configration」タブ「SECURITY」「Authentication」「Servers」「Server Group」よりサーバグループ名を入れて「Add」を押す。
作成されたServer Groupをクリックして、先ほどのRasiusサーバを選択
(5)「AAA Profile」タブ
①AAA Profileを新規に作成する
②802.1x Authentication Profile→defaultとする。
※ちなみに、このdefaultプロファイルがどういう設定になっているかも
みておくとよい
③802.1x Authentication Server Group として作成したものを選択

■2.仮想APの作成
(1)Configuration > AP Group > Edit “default”よりVirtual APを作成する。何か分かりやすい名前を付けよう
(2)AAA Profileは先ほど作成した認証プロファイルを適用
(3)SSIDプロファイルの作成
 SSIDなどを入れて新規に作成する。wpa2-psk

■3.設定をAPに適用
今回はdefaultのAP Groupに設定したので、このままの状態がAPに適用される。
しかし、違うAP Groupに設定した場合は、APにその内容を適用させる必要がある。
詳しくは
http://www.viva-musen.net/archives/19798255.html