認 証 連 携 設 定 例 連 携 機 器 WAB-S1167-PS, WAB-I1750-PS Case IEEE802.1x EAP-TLS,EAP-TTLS(PAP),EAP-PEAP(MS-CHAPv2) 認 証 Rev1.0 株 式 会 社 ソリトンシステムズ - 1-2014/03/26
はじめに 本 書 について 本 書 は CA 内 蔵 RADIUS サーバーアプライアンス NetAttest EPS とエレコム 社 製 無 線 ア クセスポイント WAB-S1167-PS, WAB-I1750-PS の IEEE802.1x EAP-TLS, EAP-TTLS(PAP), EAP-PEAP(MS-CHAPv2) 環 境 での 接 続 について 設 定 例 を 示 したもので す 設 定 例 は 管 理 者 アカウントでログインし 設 定 可 能 な 状 態 になっていることを 前 提 とし て 記 述 します - 2-2014/03/26
アイコンについて アイコン 説 明 利 用 の 参 考 となる 補 足 的 な 情 報 をまとめています 注 意 事 項 を 説 明 しています 場 合 によっては データの 消 失 機 器 の 破 損 の 可 能 性 があります 画 面 表 示 例 について このマニュアルで 使 用 している 画 面 ( 画 面 キャプチャ)やコマンド 実 行 結 果 は 実 機 での 表 示 と 若 干 の 違 いがある 場 合 があります ご 注 意 本 書 は 当 社 での 検 証 に 基 づき NetAttest EPS 及 び WAB-S1167-PS, WAB-I1750-PS の 操 作 方 法 を 記 載 したものです すべての 環 境 での 動 作 を 保 証 するものではありません NetAttest は 株 式 会 社 ソリトンシステムズの 登 録 商 標 です その 他 本 書 に 掲 載 されている 会 社 名 製 品 名 は それぞれ 各 社 の 商 標 または 登 録 商 標 です 本 文 中 に は 明 記 していません - 3-2014/03/26
目 次 1. 構 成... 6 1-1 構 成 図... 6 1-2 環 境... 7 1-2-1 機 器... 7 1-2-2 認 証 方 式... 7 1-2-3 ネットワーク 設 定... 7 2. NetAttest EPS の 設 定... 8 2-1 システム 管 理 ページへのアクセス... 8 2-2 システム 初 期 設 定 ウィザードの 実 行... 9 2-3 サービス 初 期 設 定 ウィザードの 実 行... 10 2-4 ユーザーの 登 録... 11 2-5 クライアント 証 明 書 の 発 行... 12 3. WAB-S1167-PS, WAB-I1750-PS の 設 定... 13 3-1 IP アドレスの 設 定... 13 3-2 RADIUS の 設 定... 14 3-3 無 線 の 有 効 化 設 定... 15 3-4 暗 号 化 方 式 の 設 定... 15 4. EAP-TLS 認 証 での 無 線 クライアントの 設 定... 16 4-1 Windows7 での EAP-TLS 認 証... 16 4-1-1 デジタル 証 明 書 のインストール... 16 4-1-2 サプリカントの 設 定... 18 4-2 ios(ipad)での EAP-TLS 認 証... 19 4-2-1 デジタル 証 明 書 のインストール... 19 4-2-2 サプリカントの 設 定... 20 4-3 Android (Nexus7)での EAP-TLS 認 証... 21 4-3-1 デジタル 証 明 書 のインストール... 21 4-3-2 サプリカントの 設 定... 22 5. EAP-PEAP 認 証 での 無 線 クライアントの 設 定... 23 5-1 Windows7 のサプリカント 設 定... 23 5-2 ios のサプリカント 設 定... 24-4 - 2014/03/26
5-3 Android のサプリカント 設 定... 25 6. EAP-TTLS 認 証 時 のサプリカント 設 定... 26 6-1 Windows7 のサプリカント 設 定... 26 6-2 ios のサプリカント 設 定... 28 6-3 Android のサプリカント 設 定... 29-5 - 2014/03/26
1. 構 成 1-1 構 成 図 システム 初 期 設 定 ウィザードを 使 用 し 以 下 の を 設 定 します - 6-2014/03/26
1-2 環 境 1-2-1 機 器 製 品 名 メーカー 役 割 バージョン NetAttest EPS ST04 Soliton Systems Authentication Server ( 認 証 サーバー) Ver. 4.6.0 WAB-S1167-PS ELECOM Authenticator Ver0.1.15 WAB-I1750-PS ELECOM Authenticator Ver0.0.14 Let s note CF-SX2 Panasonic Client PC (802.1x クライアント) Windows 7 64bit Windows 標 準 サプリカント ipad Apple Client Tablet1 (802.1x クライアント) Ver7.0.4 Nexus 7 Google Client Tablet2 (802.1x クライアント) Ver4.3 1-2-2 認 証 方 式 EAP-TLS 認 証 EAP-TTLS(PAP) 認 証 EAP-PEAP(MS-CHAPv2) 認 証 1-2-3 ネットワーク 設 定 IP アドレス RADIUS port (Authentication) RADIUS Secret (Key) NetAttest EPS ST04 192.168.1.2/24 secret WAB-S1167-PS WAB-I1750-PS UDP 1812 192.168.1.1/24 secret Client PC DHCP - - Client Tablet1 DHCP - - Client Tablet2 DHCP - - - 7-2014/03/26
2. NetAttest EPS の 設 定 2-1 システム 管 理 ページへのアクセス NetAttest EPS の 初 期 設 定 は LAN2( 管 理 インターフェイス)から 行 います 初 期 の IP アドレスは 192.168.2.1/24 です 管 理 端 末 に 適 切 な IP アドレスを 設 定 し インターネットエクスプロー ラーから http://192.168.2.1:2181/ にアクセスしてください 下 記 のような 流 れでセットアップを 行 います 1. システム 初 期 設 定 ウィザードの 実 行 2. サービス 初 期 設 定 ウィザードの 実 行 3. RADIUS クライアントの 登 録 4. 認 証 ユーザーの 追 加 登 録 5. 証 明 書 の 発 行 - 8-2014/03/26
2-2 システム 初 期 設 定 ウィザードの 実 行 システム 管 理 ページにアクセスした 後 システム 初 期 設 定 ウィザードを 使 用 し 以 下 の を 設 定 します タイムゾーンと 日 付 時 刻 の 設 定 ホスト 名 の 設 定 サービスインターフェイスの 設 定 管 理 インターフェイスの 設 定 ドメインネームサーバーの 設 定 ホスト 名 naeps.local LAN1 IP アドレス 192.168.1.2 LAN2 IP アドレス 192.168.2.1 ライセンス なし - 9-2014/03/26
2-3 サービス 初 期 設 定 ウィザードの 実 行 サービス 初 期 設 定 ウィザードを 実 行 します 本 手 順 書 では を 記 載 しているもの 以 外 はすべてデフォルト 設 定 とします CA 構 築 LDAP データベースの 設 定 RADIUS サーバーの 基 本 設 定 ( 全 般 EAP 証 明 書 検 証 ) NAS/RADIUS クライアント 設 定 EAP 認 証 タイプ 1 TLS 2 PEAP 3 TTLS CA 種 別 選 択 公 開 鍵 方 式 ルート CA RSA 鍵 長 2048 CA 名 TestCA NAS/RADIUS クライアント 名 RadiusClient01 IP アドレス 192.168.1.1 シークレット secret - 10-2014/03/26
2-4 ユーザーの 登 録 NetAttest EPS の 管 理 画 面 より 認 証 ユーザーの 登 録 を 行 います ユーザー ユーザー 一 覧 から 追 加 ボタンでユーザー 登 録 を 行 います 姓 ユーザーID パスワード user01 user01 password - 11-2014/03/26
2-5 クライアント 証 明 書 の 発 行 NetAttest EPS の 管 理 画 面 より クライアント 証 明 書 の 発 行 を 行 います ユーザー ユーザー 一 覧 から 該 当 するユーザーのクライアント 証 明 書 を 発 行 します (ク ライアント 証 明 書 は user01_02.p12 という 名 前 で 保 存 ) 証 明 書 有 効 期 限 365 PKCS#12 ファイルに 証 明 機 関 の チェック 有 - 12-2014/03/26
3. WAB-S1167-PS, WAB-I1750-PS の 設 定 3-1 IP アドレスの 設 定 工 場 出 荷 状 態 の WAB-S1167-PS と WAB-I1750-PS は 起 動 時 に DHCP サーバーからアドレス を 取 得 します 取 得 できなかった 場 合 には 自 動 的 に IP アドレス 192.168.3.1/24 を 自 身 に 割 り 当 てます 設 定 を 行 う PC に 適 切 な IP アドレスを 設 定 した 後 Web ブラウザを 起 動 し アドレスバー に IP アドレスを 入 力 し 設 定 を 開 始 します Web 管 理 画 面 にログインし 設 定 を 開 始 します 初 期 設 定 では ユーザー 名 :admin パスワード:admin です [システム 構 成 ]-[LAN 側 IP アドレス]をクリックし IP アドレス 割 り 当 てに 192.168.1.1, サブ ネットマスクに 255.255.255.0 を 入 力 し 適 用 をクリックします IP アドレス 192.168.1.1 サブネットマスク 255.255.255.0-13 - 2014/03/26
3-2 RADIUS の 設 定 RADIUS サーバーの 登 録 を 行 います [ 無 線 設 定 ]-[RADIUS]をクリックします RADIUS サーバー(NetAttest EPS)の IP アドレス( 今 回 は 192.168.1.2 となります) RADIUS サー バーとの 共 通 シークレット( 今 回 は secret となります)を 入 力 し 適 用 をクリックします 5GHz を 利 用 する 場 合 は RADIUS サーバー(11a)にて 同 様 の 設 定 を 行 います RADIUS サーバー 192.168.1.2 共 通 ポート 1812 共 通 シークレット secret - 14-2014/03/26
3-3 無 線 の 有 効 化 設 定 WAB-S1167-PS と WAB-I1750-PS の 無 線 機 能 を 有 効 にします [ 無 線 設 定 ]-[ 基 本 設 定 ]をクリ ックします 無 線 で 有 効 のラジオボタンをクリックし [ 適 用 ]をクリックします 5GHz を 利 用 する 場 合 は [5GHz 11ac 11an]-[ 基 本 設 定 ]にて 同 様 の 設 定 を 行 います SSID には 任 意 の を 入 力 します 3-4 暗 号 化 方 式 の 設 定 無 線 の 暗 号 化 設 定 を 行 います [ 無 線 設 定 ]-[セキュリティ]をクリックします 認 証 方 式 を WPA-EAP WPA タイプを WPA/WPA2 mixed mode EAP 暗 号 化 タイプを TKIP/AES mixed mode を 選 択 します 5GHz を 利 用 する 場 合 は [5GHz 11ac 11an]-[セキュリティ]にて 同 様 の 設 定 を 行 います - 15-2014/03/26
4. EAP-TLS 認 証 でのクライアント 設 定 4-1 Windows7 での EAP-TLS 認 証 4-1-1 デジタル 証 明 書 のインストール PC にクライアント 証 明 書 をインポートします ダウンロードしておいたクライアント 証 明 書 (user01_02.p12)をダブルクリックすると 証 明 書 インポートウィザードが 実 行 されます - 16-2014/03/26
パスワード NetAttest EPS で 証 明 書 を 発 行 した 際 に 設 定 したパスワードを 入 力 iphone 構 成 ユーティリティを 利 用 し ios デバイスにデジタル 証 明 書 をインストール する 場 合 は このキーをエクスポート 可 能 にする チェックを 入 れる 必 要 があります - 17-2014/03/26
4-1-2 サプリカント 設 定 Windows 標 準 サプリカントで TLS の 設 定 を 行 います 本 項 では TLS の 設 定 のみを 記 載 します その 他 の 認 証 方 式 の 設 定 に 関 しては 付 録 を ご 参 照 ください [ワイヤレスネットワークのプロパティ]の セキュリティ タブから 以 下 の 設 定 を 行 います セキュリティの 種 類 暗 号 化 の 種 類 ネットワーク 認 証 の WPA2-エンタープライズ AES Microsoft スマートカード 認 証 モードを 指 定 する ユーザー 認 証 接 続 のための 認 証 方 法 - このコンピューターの On - 単 純 な 証 明 書 の 選 択 On サーバー 証 明 書 の 検 証 をする 次 のサーバーに 接 続 する 信 頼 されたルート 証 明 機 関 On naeps.local TestCA - 18-2014/03/26
4-2 ios(ipad)での EAP-TLS 認 証 4-2-1 デジタル 証 明 書 のインストール NetAttest EPS から 発 行 したデジタル 証 明 書 を ios デバイスにインストールする 方 法 として 下 記 の 方 法 などがあります 1) iphone 構 成 ユーティリティ( 構 成 プロファイル)を 使 う 方 法 2) デジタル 証 明 書 をメールに 添 付 し ios デバイスに 送 り インストールする 方 法 3) SCEP で 取 得 する 方 法 (NetAttest EPS-ap を 利 用 できます) いずれかの 方 法 で CA 証 明 書 とクライアント 証 明 書 をインストールします 本 書 では 割 愛 します - 19-2014/03/26
4-2-2 サプリカント 設 定 WAB-S1167-PS, WAB-I1750-PS で 設 定 した SSID をタップし サプリカントの 設 定 を 行 います 本 項 では TLS の 設 定 のみを 記 載 します その 他 の 認 証 方 式 の 設 定 に 関 しては 付 録 を ご 参 照 ください まず ユーザー 名 には 証 明 書 を 発 行 したユーザーアカウントの ID を 入 力 します 次 に モード より EAP-TLS を 選 択 します その 後 ユーザー 名 の 下 の ID よりインストールされたユー ザー 証 明 書 を 選 択 します - 20-2014/03/26
4-3Android (Nexus7)での EAP-TLS 認 証 4-3-1 デジタル 証 明 書 のインストール NetAttest EPS から 発 行 したデジタル 証 明 書 を Android デバイスにインストールする 方 法 として 下 記 3つの 方 法 等 があります いずれかの 方 法 で CA 証 明 書 とユーザー 証 明 書 をインストールします 手 順 については 本 書 では 割 愛 します 1) SD カードにデジタル 証 明 書 を 保 存 し インストールする 方 法 1 2) デジタル 証 明 書 をメールに 添 付 し Android デバイスに 送 り インストールする 方 法 2 3) SCEP で 取 得 する 方 法 (NetAttest EPS-ap を 利 用 できます) 3 1 メーカーや OS バージョンにより インストール 方 法 が 異 なる 場 合 があります 事 前 にご 検 証 ください 2 メーカーや OS バージョン メーラーにより インストールできない 場 合 があります 事 前 にご 検 証 ください 3 メーカーや OS バージョンにより Soliton KeyManager が 正 常 に 動 作 しない 場 合 があります 事 前 にご 検 証 ください - 21-2014/03/26
4-3-2 サプリカント 設 定 [+]からネットワークの 追 加 を 行 います WAB-S1167-PS, WAB-I1750-PS で 設 定 した SSID をネ ットワーク SSID に 入 力 し サプリカントの 設 定 を 行 ってください 本 項 では TLS の 設 定 のみを 記 載 します その 他 の 認 証 方 式 の 設 定 に 関 しては 付 録 を ご 参 照 ください ID には 証 明 書 を 発 行 したユーザーアカウントの ID を 入 力 します また 本 書 では CA 証 明 書 を 含 めた PKCS#12 ファイルをインストールしたため CA 証 明 書 及 びユーザー 証 明 書 が 同 じ 名 前 に なっています CA 証 明 書 を 個 別 にインストールした 場 合 は その CA 証 明 書 を 選 択 してください ネットワーク SSID セキュリティ EAP 方 式 CA 証 明 書 ユーザー 証 明 書 ID Elecom2g01-xxxxxx 802.1x EAP TLS user01 user01 user01-22 - 2014/03/26
5. EAP-PEAP 認 証 でのクライアント 設 定 5-1 Windows7 のサプリカント 設 定 [ワイヤレスネットワークのプロパティ]の セキュリティ タブから 以 下 の 設 定 を 行 います セキュリティの 種 類 暗 号 化 の 種 類 ネットワーク 認 証 の WPA2-エンタープライズ AES Microsoft 保 護 された EAP 認 証 モードを 指 定 する ユーザー 認 証 接 続 のための 認 証 方 法 -サーバー 証 明 書 の 検 証 をする On - 次 のサーバーに 接 続 する naeps.local 信 頼 されたルート 証 明 機 関 TestCA - 23-2014/03/26
5-2 ios のサプリカント 設 定 WAB-S1167-PS, WAB-I1750-PS で 設 定 した SSID をタップし サプリカントの 設 定 を 行 います ユーザー 名 パスワード には 2-4 ユーザー 登 録 で 設 定 したユーザーID パスワードを 入 力 し てください ユーザー 名 パスワード モード user01 password 自 動 - 24-2014/03/26
5-3 Android のサプリカント 設 定 [+]からネットワークの 追 加 を 行 います WAB-S1167-PS, WAB-I1750-PS で 設 定 した SSID をネ ットワーク SSID に 入 力 し サプリカントの 設 定 を 行 ってください ユーザー 名 パスワード には 2-4 ユーザー 登 録 で 設 定 したユーザーID パスワードを 入 力 し てください CA 証 明 書 には インポートした CA 証 明 書 を 選 択 してください ネットワーク SSID セキュリティ EAP 方 式 CA 証 明 書 ID パスワード Elecom2g01-xxxxxx 802.1x EAP PEAP user01 user01 password - 25-2014/03/26
6. EAP-TTLS 認 証 でのサプリカント 設 定 6-1 Windows7 のサプリカント 設 定 [ワイヤレスネットワークのプロパティ]の セキュリティ タブから 以 下 の 設 定 を 行 います セキュリティの 種 類 WPA2-エンタープライズ 暗 号 化 の 種 類 AES ネットワーク 認 証 の Intel:EAP-TTLS 認 証 プロトコル PAP ユーザークリデンシャル 次 を 使 用 する ユーザー パスワード user01 password 認 証 モードを 指 定 する ユーザー 認 証 ローミング ID use01-26 - 2014/03/26
証 明 書 発 行 元 サーバーまたは 証 明 書 TestCA naeps.local - 27-2014/03/26
6-2 ios のサプリカント 設 定 WAB-S1167-PS, WAB-I1750-PS で 設 定 した SSID をタップし サプリカントの 設 定 を 行 います ユーザー 名 パスワード には 2-4 ユーザー 登 録 で 設 定 したユーザーID パスワードを 入 力 し てください セキュリティ ユーザー 名 パスワード WPA2 エンター user01 password - 28-2014/03/26
6-3 Android のサプリカント 設 定 [+]からネットワークの 追 加 を 行 います WAB-S1167-PS, WAB-I1750-PS で 設 定 した SSID をネ ットワーク SSID に 入 力 し サプリカントの 設 定 を 行 ってください ユーザー 名 パスワード には 2-4 ユーザー 登 録 で 設 定 したユーザーID パスワードを 入 力 し てください ネットワーク SSID セキュリティ EAP 方 式 フェーズ 2 認 証 CA 証 明 書 ID パスワード Elecom2g01-xxxxxx 802.1x EAP TTLS PAP user01 user01 password - 29-2014/03/26
改 訂 履 歴 日 付 版 改 訂 内 容 2014/3/3 1.0 初 版 作 成 - 30-2014/03/26