Net'Attest EPS設定例

NetAttest EPS 設定例 連携機器 : Aruba 3200 Case:TLS 方式での認証 Version 1.0 株式会社ソリトンシステムズ

Net'Attest は 株式会社ソリトンシステムズの登録商標です その他 本書に掲載されている会社名 製品名は それぞれ各社の商標または登録商標です 本文中に は明記していません Copyright 2011, Soliton Systems K.K., All rights reserved. - 2-2012/04/06

はじめに 本書について 本書は CA 内蔵 RADIUS サーバープライアンス NetAttest EPS とアルバネットワークス社製無線 LAN スイッチ Aruba3200 における 802.1X 認証環境の構築について 設定例を示したものです 各機器の管理 IP アドレス設定など 基本設定は既に完了しているものとします 設定例は管理者アカウントでログインし 設定可能な状態になっていることを前提として記述します 表記方法 表記方法 ABCDabcd1234 (normal) ABCDabcd1234 (bold) ABCDabcd1234 (italic) 説明コマンド名 ファイル名 ディレクトリ名 画面上のコンピュータ出力 コード例を示します ユーザーが入力する文字を 画面上のコンピュータ出力と区別して示します 変数を示します 実際に使用する特定の名前または値で置き換えます 表記方法 説明 参照するドキュメントを示します 参照する章 節 ボタンやメニュー名 強調する単語を示します [ キー ] キーボード上のキーを表します [ キー 1]+[ キー 2] [ キー 1] を押しながら [ キー 2] を押すことを表します - 3-2012/04/06

表記方法 ( コマンドライン ) 表記方法 説明 %, $, > 一般ユーザーのプロンプトを表します # 特権ユーザーのプロンプトを表します [filename] [ ] は省略可能な項目を示します この例では filename は省略してもよ いことを示しています アイコンについて アイコン 説明 利用の参考となる補足的な情報をまとめています 注意事項を説明しています 場合によっては データの消失 機器の破損 の可能性があります 画面表示例について このマニュアルで使用している画面 ( 画面キャプチャ ) やコマンド実行結 果は 実機での表示と若干の違いがある場合があります ご注意 本書は 当社での検証に基づき NetAttest EPS 及び Aruba3200 の操 作方法を記載したものです すべての環境での動作を保証するものでは ありません - 4-2012/04/06

目次 1 構成... 6 1-1. 構成図... 6 1-2 環境... 6 2NetAttest EPS... 8 2-1 NetAttest EPS 設定の流れ... 8 2-2 システム初期設定ウィザードの実行... 9 2-3 サービス初期設定ウィザードの実行... 10 2-4 Authenticator(RADIUS Client) の登録... 11 2-5 RADIUS サーバー基本設定... 12 2-6 ユーザーの登録... 13 2-7 ユーザー証明書の発行... 14 3 Aruba 3200... 15 3-1 Aruba3200 設定の流れ... 15 3-2 Controller 側設定項目... 16 3-3 Access Point 側設定項目... 25 4 クライアント PC の設定... 26 4-1 クライアント PC 設定の流れ... 26 4-2 Windows XP での設定... 27 4-3 Windows 7 での設定... 32 4-4 インポートされたユーザー証明書の確認... 38-5 - 2012/04/06

1 構成 1-1. 構成図 有線 LAN と無線 LAN は同一セグメント 無線 LAN で接続するクライアント PC の IP アドレスは NetAttest EPS-ST03 の DHCP サーバーから払い出す Aruba 3200 192.168.1.1 スイッチ兼 Authenticator AP-135 192.168.1.3[LAN] NetAttest EPS-ST03 192.168.1.2 [LAN1] クライアント PC 192.168.1.112[DHCP] - 6-2012/04/06

1-2 環境 1-2-1 機器 役割メーカー製品名 SW バージョン Authentication Server ( 認証サーバー ) Soliton Systems NetAttest EPS-ST03 Ver. 4.2.3 Authenticator Aruba networks Aruba 3200 Ver.6.1.2.2 Client PC / Supplicant (802.1x クライアント ) Panasonic Microsoft Let s note CF-W7 Windows XP SP3 Windows 標準サプリカント 1-2-2 認証方式 IEEE 802.1x TLS 1-2-3 ネットワーク設定 EPS-ST03 Aruba 3200 Client PC IP アドレス 192.168.1.2/24 192.168.1.1/24 192.168.1.112 (DHCP) RADIUS port (Authentication) TCP 1812 - RADIUS port (Accounting) TCP 1813 - RADIUS Secret (Key) soliton - - 7-2012/04/06

2NetAttest EPS 2-1 NetAttest EPS 設定の流れ 設定の流れ 1. システム初期設定ウィザードの実行 2. サービス初期設定ウィザードの実行 3. RADIUS クライアントの登録 4. 認証ユーザーの追加登録 5. 証明書の発行 - 8-2012/04/06

2-2 システム初期設定ウィザードの実行 システム初期設定ウィザードを使用し 以下の項目を設定します タイムゾーンと日付 時刻の設定 ホスト名の設定 サービスインターフェイスの設定 管理インターフェイスの設定 メインネームサーバーの設定 - 9-2012/04/06

2-3 サービス初期設定ウィザードの実行 サービス初期設定ウィザードを実行します 本書では 黒文字の項目のみ 設定しました CA 構築 LDAP データベースの設定 RADIUS サーバーの基本設定 ( 全般 ) RADIUS サーバーの基本設定 (EAP) RADIUS サーバーの基本設定 ( 証明書検証 ) NAS/RADIUS クライアント設定 - 10-2012/04/06

2-4 Authenticator(RADIUS Client) の登録 WebGUI より RADIUS Client の登録を行います RADIUS サーバー設定 NAS/RADIUS クライアント追加 から RAD IUS Client の追加を行います NAS/RADIUS クライアント名 ARUBA3200 IP アドレス (Authenticator) 192.168.1.1 シークレット soliton - 11-2012/04/06

2-5 RADIUS サーバー基本設定 WebGUI より RADIUS サーバーの基本設定を行います RADIUS サーバー RADIUS サーバー設定 基本設定 EAP から設定を行います 優先順位認証タイプ 1)TLS - 12-2012/04/06

2-6 ユーザーの登録 WebGUI より ユーザー登録を行います ユーザー ユーザー一覧 から 追加 ボタンでユーザー登録を始めます - 13-2012/04/06

2-7 ユーザー証明書の発行 WebGUI より ユーザー証明書の発行を行います ユーザー ユーザー一覧 から 該当するユーザーの 証明書 の欄の 発行 ボタンでユーザー証明書の発行を始めます 証明書有効期限 365 証明書ファイルオプションパスワード password PKCS#12 ファイルに証明機関の チェック有 - 14-2012/04/06

3 Aruba 3200 3-1 Aruba3200 設定の流れ Aruba 社製無線 LAN コントローラ Aruba3200 を設定するためには WEBGUI または CL I を用います 本書ではその両方を用いて各種設定を実施する方法を紹介します Controller 側設定項目 基本設定 IP アドレス User/Pass 等 Radius サーバの登録 Virtual AP の設定 AP のリソース分割設定 SSID の設定 Control Plane Security コントローラ-AP 間の鍵交換 AP group の設定 AP をグルーピング Access Point 側設定 基本設定接続するコントローラ等 - 15-2012/04/06

3-2 Controller 側設定項目 3-2-1 基本設定 Controller 側の基本設定を行います [Configuration] タブをクリックします [NETWORK] メニューを展開し [VL ANs] リンクをクリックします [Add a VLAN] をクリックして VLAN を追加し 値を入力します 次に 同じ [NETWORK] メニューの [Controller] リンクをクリックします 画面下部の [Controller IP Details] の項目で VLAN1の値を設定します [IP v4 Address] 192.168.1.1-16 - 2012/04/06

3-2-2 Radius サーバーの登録 RADIUS サーバーとして NetAttest EPS を登録します [Configration] タブをクリックします [SECURITY] メニューを展開し [Auth entication] リンクをクリックします さらに [Servers] タブの中の [RADIUS Server] リンクをクリックします RA DIUS サーバー名を入力して [Add] ボタンをクリックし 登録します 先ほどと同じ [Servers] タブの中の [RADIUS Server] メニューを展開し [netattest] リンクをクリックし 値を入力します [Host ] 192.168.1.2 [Retype] soliton [Key] Soliton - 17-2012/04/06

CLI 側で設定する場合は下記の通りです (Aruba3200) (config) #aaa authentication-server radius netattest <<Radius サーバーの登録 (Aruba3200) (RADIUS Server "netattest") #host 192.168.1.2 (Aruba3200) (RADIUS Server "netattest") #key "soliton" (Aruba3200) (config) #aaa server-group radserver (Aruba3200) (Server Group "radserver") #auth-server netattest (Aruba3200) (config) #aaa profile soliton (Aruba3200) (AAA Profile "soliton") #authentication-dot1x default (Aruba3200) (AAA Profile "soliton") #dot1x-server-group radserver (Aruba3200) (config) #show aaa profile soliton AAA Profile "soliton" --------------------- Parameter Value --------- ----- Initial role logon MAC Authentication Profile N/A MAC Authentication Default Role guest MAC Authentication Server Group N/A 802.1X Authentication Profile default 802.1X Authentication Default Role authenticated 802.1X Authentication Server Group radserver L2 Authentication Fail Through RADIUS Accounting Server Group N/A RADIUS Interim Accounting XML API server N/A RFC 3576 server N/A User derivation rules N/A Wired to Wireless Roaming Enabled SIP authentication role N/A Device Type Classification Enabled Enforce DHCP - 18-2012/04/06

3-2-3 SSID の設定 [soliton] メニューを展開し [SSID Profile] リンクをクリックします [SSID Profile >] の右側のプルダウンメニューで [soliton] を選択します SSID に値を入れます 802.11 Security の WPA2 AES にチェックを入れます [SSID ] CLI 側で設定する場合は下記の通りです soliton (Aruba3200) (config) #wlan ssid-profile soliton <<SSID の設定 (Aruba3200) (SSID Profile "soliton") #essid soliton (Aruba3200) (SSID Profile "soliton") #opmode wpa2-aes (Aruba3200) (SSID Profile "soliton") #show wlan ssid-profile soliton SSID Profile "soliton" ---------------------- Parameter Value --------- ----- SSID enable Enabled ESSID soliton Encryption wpa2-aes DTIM Interval 1 beacon periods 802.11a Basic Rates 6 12 24 802.11a Transmit Rates 6 9 12 18 24 36 48 5 4 802.11g Basic Rates 1 2 802.11g Transmit Rates 1 2 5 6 9 11 12 18 2 4 36 48 54 Station Ageout Time 1000 sec Max Transmit Attempts 8-19 - 2012/04/06

RTS Threshold 2333 bytes Short Preamble Enabled Max Associations 64 Wireless Multimedia (WMM) Wireless Multimedia U-APSD (WMM-UAPSD) Powersave Enabled WMM TSPEC Min Inactivity Interval 0 msec Override DSCP mappings for WMM clients DSCP mapping for WMM voice AC 56 DSCP mapping for WMM video AC 40 DSCP mapping for WMM best-effort AC 24 DSCP mapping for WMM background AC 8 Multiple Tx Replay Counters Hide SSID Deny_Broadcast Probes Local Probe Request Threshold (db) 0 Disable Probe Retry Enabled Battery Boost WEP Key 1 N/A WEP Key 2 N/A WEP Key 3 N/A WEP Key 4 N/A WEP Transmit Key Index 1 WPA Hexkey N/A WPA Passphrase N/A Maximum Transmit Failures 0 EDCA Parameters Station profile N/A EDCA Parameters AP profile N/A BC/MC Rate Optimization Rate Optimization for delivering EAPOL frames Strict Spectralink Voice Protocol (SVP) High-throughput SSID Profile default 802.11g Beacon Rate default 802.11a Beacon Rate default Advertise QBSS Load IE - 20-2012/04/06

3-2-4 Virtual AP の設定 Virtual AP を設定します [Configuration] タブをクリックします [WIRELESS] メニューを展開し [AP Configuration] リンクをクリックします さらに [AP Group] タブの [New] ボタンをクリックし AP を [soliton] として登録します [soliton] の項目の [Edit] ボタンを押します [wireless LAN]-[virtual AP] と展開し [soliton] リンクをクリックします [Add a Profile] 欄のプルダウンメニューから [soliton] を選び [Add] ボタンで virtual AP として登録します - 21-2012/04/06

CLI 側で設定する場合は下記の通りです (Aruba3200) (config) #wlan virtual-ap soliton <<VirtualAP の設定 (Aruba3200) (Virtual AP profile "soliton") #aaa-profile soliton (Aruba3200) (Virtual AP profile "soliton") #ssid-profile soliton (Aruba3200) (Virtual AP profile "soliton") # (Aruba3200) (Virtual AP profile "soliton") #show wlan virtual-ap soliton Virtual AP profile "soliton" ---------------------------- Parameter Value --------- ----- Virtual AP enable Enabled Allowed band all AAA Profile soliton 802.11K Profile default SSID Profile soliton VLAN N/A Forward mode tunnel Deny time range N/A Mobile IP Enabled HA Discovery on-association DoS Prevention Station Blacklisting Enabled Blacklist Time 3600 sec Dynamic Multicast Optimization (DMO) Dynamic Multicast Optimization (DMO) Threshold 6 Authentication Failure Blacklist Time 3600 sec Multi Association Strict Compliance VLAN Mobility Preserve Client VLAN Remote-AP Operation standard Drop Broadcast and Multicast Convert Broadcast ARP requests to unicast Disable conversion multicast RA packets to unicast Deny inter user traffic Band Steering Steering Mode prefer-5ghz WMM Traffic Management Profile N/A - 22-2012/04/06

3-2-5 Control Plane Security の設定 Control PlaneSecurity の設定を行います [Configration] タブをクリックします [NETWORK] メニューを展開し [Controller] リンクをクリックします [Control Plane Security] タブをクリックして [] にチェックを入れます デフォルトでは有効になっています CLI 側で設定する場合は下記の通りです (Aruba3200) (config) #control-plane-security <<Control Plane Security の設定 (Aruba3200) (Control Plane Security Profile) #no cpsec-enable (Aruba3200) (Control Plane Security Profile) #show control-plane-security Control Plane Security Profile ------------------------------ Parameter Value --------- ----- Control Plane Security Auto Cert Provisioning Auto Cert Allow All Enabled Auto Cert Allowed Addresses N/A - 23-2012/04/06

3-2-6 AP Group の設定 APGroup の設定を行います [Configration] タブをクリックします [NETWORK] メニューを展開し [AP Con figuration] リンクをクリックします [AP Group] タブの [New] ボタンをクリックして AP Group を新しく作成し 値を入力します [AP Group] soliton CLI 側で設定する場合は下記の通りです (Aruba3200) (config) #ap-group soliton <<AP Group の設定 (Aruba3200) (AP group "soliton") #virtual-ap soliton (Aruba3200) (AP group "soliton") #show ap-group soliton AP group "soliton" ------------------ Parameter Value --------- ----- Virtual AP soliton 802.11a radio profile default 802.11g radio profile default Ethernet interface 0 port configuration default Ethernet interface 1 port configuration default Ethernet interface 2 port configuration shutdown Ethernet interface 3 port configuration shutdown Ethernet interface 4 port configuration shutdown AP system profile default VoIP Call Admission Control profile default 802.11a Traffic Management profile N/A 802.11g Traffic Management profile N/A Regulatory Domain profile default RF Optimization profile default RF Event Thresholds profile default IDS profile default Mesh Radio profile default Mesh Cluster profile N/A - 24-2012/04/06

Provisioning profile N/A 3-3 Access Point 側設定項目 3-3-1 基本設定アクセスポイントのコンソールポートを用い CLI にて設定を行います アクセスポイントの電源投入後 Hit <Enter> to stop autoboot: が表示され 表示後 2 秒以内に Enter キーを押すことによって apboot モードに切り替わり 以下の設定を行います >> Configuration for AP -------------------------------------------------------------------- apboot> setenv master 192.168.1.1 apboot> setenv serverip 192.168.1.1 apboot> setenv group soliton apboot> setenv ipaddr 192.168.1.3 apboot> setenv netmask 255.255.255.0 apboot> setenv gatewayip 192.168.1.1 << コントローラの IP アドレスを設定 << コントローラの IP アドレスを設定 <<AP Group を設定 <<AP の IP アドレスを設定 <<AP のサブネットマスクを設定 <<AP のデフォルト GW を設定 - 25-2012/04/06

4 クライアント PC の設定 4-1 クライアント PC 設定の流れ 設定の流れ Windows XP での設定 1. ユーザー証明書のインポート 2. ワイヤレスネットワーク接続先の登録 Windows 7 での設定 3. ユーザー証明書のインポート 4. ワイヤレスネットワーク接続先の登録 - 26-2012/04/06

4-2 Windows XP での設定 4-2-1 ユーザー証明書のインポート NetAttest EPS からダウンロードしたユーザー証明書をインポートします 本書では デスクトップ上に保存されている soliton_user_0e.p12 アイコンをダブルクリックします 次ページへ - 27-2012/04/06

NetAttest EPS にてユーザー証明書を発行した際に設定したパスワードを入力します パスワード password 証明書の種類に基づいて チェック有 次ページへ - 28-2012/04/06

- 29-2012/04/06

4-2-2 ワイヤレスネットワーク接続先の登録 ワイヤレスネットワーク接続先の登録を行います 次ページへ - 30-2012/04/06

EAP の種類 スマートカードまたはその他の証明書 コンピュータの情報が利用できる チェック有 - 31-2012/04/06

4-3 Windows 7 での設定 4-3-1 ユーザー証明書のインポート NetAttest EPS からダウンロードしたユーザー証明書をインポートします 本書では デスクトップ上に保存されている soliton_user_0e.p12 アイコンをダブルクリックします 次ページへ - 32-2012/04/06

Net Attest EPS にてユーザー証明書を発行した際に設定したパスワードを入力します パスワード password 証明書の種類に基づいて チェック有 次ページへ - 33-2012/04/06

- 34-2012/04/06

4-3-2 ワイヤレスネットワーク接続先の登録 ワイヤレスネットワーク接続先の登録を行います 次ページへ - 35-2012/04/06

[ ネットワーク名 ] soliton [ セキュリティの種類 ] WPA2-エンタープライズ [ 暗号化の種類 ] AES [ ネットワークのの認証方式の選択 ] Microsoft 保護された EAP(TLS) - 36-2012/04/06

[ 信頼されたルート証明機関 ] na-eps ca - 37-2012/04/06

4-4 インポートされたユーザー証明書の確認 Internet Explorer より ツール インターネットオプション コンテンツ タブを開きます 各機器 インポートした証明書 - 38-2012/04/06

改訂履歴 日付版改訂内容 2011/9/27 1.0 初版作成 - 39-2012/04/06