Windows Server2003 を 用 いた IEEE802.1X 認 証 環 境 の 構 築 株 式 会 社 バッファロー 2007 年 4 月
[ 準 備 編 ] IEEE802.1X 認 証 システムによるユーザ 認 証 環 境 の 構 築 本 マニュアルで 用 いるシステム 構 成 ActiveDirectory の 構 築 証 明 機 関 (CA)の 構 築 -.インターネットインフォメーションサービス(IIS)のインストール -. 証 明 機 関 (CA)のインストール RADIUS サーバー(IAS)の 構 築 -.IAS のインストール -.RADIUS クライアント(AirStationPro 及 び BusinessSwitch)の 登 録 -.リモートアクセスポリシーの 設 定 ユーザアカウント(クライアント PC)の 登 録 RADIUS クライアントの 設 定 -.AirStation( 無 線 アクセスポイント)の 設 定 -WAPM/WAPS シリーズ -.BusinessSwitch( 有 線 スイッチ)の 設 定 -BS/BSL シリーズ [ 端 末 設 定 編 ] 各 認 証 方 式 の 設 定 EAP-PEAP 認 証 を 行 う 為 の 設 定 ( 無 線 及 び 有 線 ) -.ルート 証 明 書 のインストール -.EAP-PEAP 認 証 を 行 う 為 の IAS の 設 定 -. 認 証 端 末 でのサプリカント 設 定 EAP-TLS 認 証 を 行 う 為 の 設 定 ( 無 線 及 び 有 線 ) -.ルート 証 明 書 及 びコンピュータ 証 明 書 のインストール -.EAP-TLS 認 証 を 行 う 為 の IAS の 設 定 -. 認 証 端 末 でのサプリカント 設 定 < 注 意 > 本 マニュアルに 掲 載 されている 各 製 品 名 は 一 般 的 に 各 社 の 商 標 または 登 録 商 標 です 本 マニュアルはバッファロー 製 無 線 アクセスポイント 及 び 有 線 スイッチを IEEE802.1X 認 証 環 境 にて 用 いる 際 の 設 定 情 報 提 供 を 目 的 として 作 成 されております 従 って 本 マニュアルに 記 載 されている 内 容 について いかなるサポート 及 び 保 証 をするものではありません 本 マニュアルに 記 載 されて 内 容 によって 生 じた 損 害 について 一 切 の 責 任 を 負 いません
[ 準 備 編 ] 本 マニュアルで 用 いるシステム 構 成 WindowsServer2003 ActiveDirectory RADIUSサーバ(IAS) 認 証 機 関 (CA) DHCPサーバ DNSサーバ AirStationPro ( 無 線 アクセスポイント) WAPM/WAPSシリーズ BusinessSwitch ( 有 線 スイッチ) BS/BSLシリーズ 認 証 端 末 (サプリカント) クライアントマネージャ3 本 マニュアルでは WindowsServer2003 がインストールされたコンピュータに 各 種 サーバ 機 能 をインスト ールする 構 成 となります また その 他 の 構 成 条 件 は 以 下 を 想 定 しています RADIUS クライアント: バッファロー 製 無 線 アクセスポイント(WAPM/WAPS シリーズ) 有 線 スイッチ(BS/BSL シリーズ) サプリカント: バッファロー 製 クライアントマネージャ3 IP アドレス/DNS サーバ: DHCP サーバより 自 動 取 得 上 記 以 外 の RADIUS クライアントやサプリカントを 使 用 される 場 合 は 各 メーカ 提 供 のマニュアルを 参 考 に 設 定 してください
Active Directory の 構 築 まず 最 初 に RADIUS サーバ(IAS)として 用 いるコンピュータに Active Directory をセットアップし ます 本 マニュアルでは[サーバの 構 成 ウィザード]を 用 いて Active Directory を 構 成 します 1. [スタート]-[ 管 理 ツール]-[サーバの 役 割 管 理 ]をクリックし [サーバの 役 割 管 理 ]を 開 きます 2. [サーバの 役 割 管 理 ]で[ 役 割 を 追 加 または 削 除 する]をクリックします 図 1:サーバの 役 割 管 理 画 面 3. [ 準 備 作 業 ]で 作 業 内 容 を 確 認 し [ 次 へ]をクリックします 図 2: 役 割 構 成 の 準 備 作 業 4. [ 構 成 オプション]で[ 最 初 のサーバの 標 準 構 成 ]を 選 択 し [ 次 へ]をクリックします 図 3: 構 成 オプション
[ 最 初 のサーバーの 標 準 構 成 ]を 選 択 した 場 合 ActiveDirectory のほかに DNS サーバー 及 び DHCP サ ーバーなどもインストールされます 使 用 環 境 において これらのサーバー 機 能 が 不 要 な 場 合 は[カスタ ム 構 成 ]を 選 択 し 必 要 なサーバー 機 能 だけをインストールしてください 5. ActiveDirectory ドメイン 名 を 入 力 し [ 次 へ]をクリックします 図 4:ActiveDirectory ドメイン 名 の 入 力 6. 既 定 の NetBIOS 名 を 変 更 する 際 には[NetBIOS ドメイン 名 ]を 入 力 し [ 次 へ]をクリックします 図 5:NetBIOS ドメイン 名 の 入 力 7. DNS クエリの 転 送 を 行 う 場 合 はクエリの 転 送 先 サーバ IP アドレスを 入 力 します ここでは[いいえ クエリ 転 送 しません]を 選 択 し [ 次 へ]をクリックします 図 6:DNS クエリの 転 送 設 定
8. 設 定 内 容 を 確 認 し [ 次 へ]をクリックします 図 7: 選 択 内 容 の 確 認 9. 選 択 したサーバーの 役 割 の 追 加 が 実 行 されます 図 8: 役 割 の 追 加 10. サーバーの 構 成 が 完 了 したことを 示 す 画 面 が 表 示 されたら[ 次 へ]をクリックします 図 9:サーバーの 構 成 の 完 了
11. サーバーの 構 成 が 完 了 したことを 確 認 するメッセージが 表 示 されます [ 完 了 ]をクリックし [サーバ ー 構 成 ウィザード]を 終 了 します 図 10:サーバー 構 成 完 了 の 確 認 画 面 以 上 で Active Directory のセットアップは 完 了 です 引 き 続 き 証 明 機 関 (CA)の 構 築 を 行 ってください
証 明 機 関 (CA)の 構 築 Active Directory をセットアップしたコンピュータに 証 明 機 関 (CA)をセットアップします インターネットインフォメーションサービス( 以 下 IIS)のインストール まず WEB ブラウザを 用 いて 証 明 書 の 取 得 が 出 来 るように IIS をセットアップします 1. [スタート]-[ 設 定 ]-[コントロールパネル]-[プログラムの 追 加 と 削 除 ]を 選 択 します 2. [Windows コンポーネントの 追 加 と 削 除 ]をクリックします 図 1:プログラムの 追 加 と 削 除 3. [Windows コンポーネント]にて[アプリケーションサーバー]にチェックを 入 れ [ 次 へ]をクリ ックします 4. IIS のインストールが 開 始 されます 図 2:Windows コンポーネントウィザード 図 3:コンポーネントの 構 成
5. コンポーネントの 構 成 が 完 了 したことを 確 認 するメッセージが 表 示 されます [ 完 了 ]をクリックし [Windows コンポーネントウィザード]を 終 了 します 図 4:Windows コンポーネントウィザードの 完 了 以 上 で IIS のセットアップは 完 了 です 引 き 続 き 証 明 機 関 (CA)のセットアップを 行 ってください 証 明 機 関 (CA)のインストール 次 に 電 子 証 明 書 の 発 行 が 出 来 るように 証 明 機 関 (CA)をセットアップします 1. [スタート]-[ 設 定 ]-[コントロールパネル]-[プログラムの 追 加 と 削 除 ]を 選 択 します 2. [Windows コンポーネントの 追 加 と 削 除 ]をクリックします 図 1:プログラムの 追 加 と 削 除
3. [Windows コンポーネント]にて[ 証 明 書 サービス]にチェックを 入 れ [ 次 へ]をクリックします 図 2:Windows コンポーネントの 選 択 4. 次 のようなメッセージが 表 示 されるので 内 容 を 確 認 して[はい]をクリックします 図 3:バインドに 関 する 確 認 画 面 5. [ 証 明 書 サービス]にチェックが 入 っていることを 確 認 し [ 次 へ]をクリックします 6. [CA の 種 類 ]にて[エンタープライズ CA]を 選 択 します 図 4:CA の 種 類 の 選 択 7. [CA 識 別 情 報 ]にて[この CA の 共 通 名 ]に 任 意 の 値 を 入 力 し [ 次 へ]をクリックします 図 5:CA 識 別 情 報 の 入 力
8. [ 証 明 書 データベースの 設 定 ]にて 証 明 書 データベースとデータベースログの 保 存 場 所 を 指 定 し [ 次 へ]をクリックします 図 6: 証 明 書 データベースの 設 定 9. IISが 動 作 している 場 合 IISサービスの 一 時 停 止 を 必 要 とするメッセージが 表 示 されるので [はい] をクリックします 図 7:IIS サービスの 一 時 停 止 10. 証 明 書 サービスのインストールが 開 始 されます 図 8: 証 明 書 サービスのインストール 11. Active Server Page(ASP)を 有 効 にする 旨 のメッセージが 表 示 されるので [はい]をクリックします 図 9:ASP 有 効 の 選 択 メッセージ
12. コンポーネントの 構 成 が 完 了 したことを 確 認 するメッセージが 表 示 されます [ 完 了 ]をクリックし [Windows コンポーネントウィザード]を 終 了 します 図 10:Windows コンポーネントウィザードの 完 了 以 上 で 証 明 機 関 (CA)のセットアップは 完 了 です 引 き 続 き RADIUS サーバー(IAS)のセットアップを 行 ってください
RADIUS サーバーの 構 築 Active Directory をセットアップしたコンピュータに RAIDUS サーバーをセットアップします 本 マニュアルでは Windows Server2003 の 標 準 RADIUS サーバー 機 能 であるインターネット 認 証 サービ ス(IAS)を 用 います インターネット 認 証 サービス( 以 下 IAS)のインストール IEEE802.1X 認 証 に 用 いる RADIUS サーバーとして IAS をセットアップします 1. [スタート]-[ 設 定 ]-[コントロールパネル]-[プログラムの 追 加 と 削 除 ]を 選 択 します 2. [Windows コンポーネントの 追 加 と 削 除 ]をクリックします 図 1:プログラムの 追 加 と 削 除 3. [Windows コンポーネント]にて[ネットワークサービス]にチェックを 入 れ [ 詳 細 ]をクリック します 図 2:Windows コンポーネントの 選 択
4. [ネットワークサービスのサブコンポーネント]で[インタネット 認 証 サービス]にチェックを 入 れ [OK]をクリックします 図 3:ネットワークサービスの 選 択 5. [Windows コンポーネント]にて[ネットワークサービス]にチェックが 入 っていることを 確 認 し [ 次 へ]をクリックします 6. IAS のインストールが 開 始 されます 図 4:Windows コンポーネントの 選 択 図 5:IAS のインストール
7. コンポーネントの 構 成 が 完 了 したことを 確 認 するメッセージが 表 示 されます [ 完 了 ]をクリックし [Windows コンポーネントウィザード]を 終 了 します 図 6:Windows コンポーネントウィザードの 完 了 8. [スタート]-[ 管 理 ツール]-[インターネット 認 証 サービス]を 選 択 します 9. [インターネット 認 証 サービス] 画 面 において 左 枠 内 の[インターネット 認 証 サービス(ローカル)] を 右 クリックし [Active Directory にサーバーを 登 録 ]を 選 択 します 図 7:インターネット 認 証 サービス 10. IAS にダイヤルインプロパティの 読 み 取 り 権 限 を 与 える 旨 のメッセージが 表 示 されるので [OK]を クリックします 図 8: 読 み 取 り 権 限 に 関 するメッセージ 11. IAS がダイヤルインプロパティの 読 み 取 り 権 限 を 取 得 した 旨 のメッセージが 表 示 されるので [OK] をクリックします 図 9: 読 み 取 り 権 限 取 得 のメッセージ
以 上 で IAS のセットアップは 完 了 です 引 き 続 き RADIUS クライアントの 登 録 を 行 ってください RADIUS クライアント(AirStationPro 及 び BusinessSwitch)の 登 録 IAS に AirStationPro 及 び BusinessSwitch などの RADIUS クライアントを 登 録 します 1. [スタート]-[ 管 理 ツール]-[インターネット 認 証 サービス]を 選 択 します 2. [インターネット 認 証 サービス] 画 面 において 左 枠 内 の[RADIUS クライアント]を 右 クリックし [ 新 しい RADIUS クライアント]を 選 択 します 図 1:RADIUS クライアントの 登 録 選 択 3. [ 新 しいクライアント] 画 面 で[フレンドリ 名 ]と[クライアントのアドレス(IP または DNS)] を 入 力 します 図 2:RADIUS クライアント 情 報 の 入 力
4. [ 追 加 情 報 ] 画 面 で 必 要 な 値 を 入 力 します ここでは[クライアントベンダ]に RADIUS Standard が 選 択 されていることを 確 認 し [ 共 有 シークレット]を 入 力 します 入 力 したら[ 完 了 ]をクリッ クします 図 3: 追 加 情 報 の 入 力 以 上 で RADIUS クライアントの 登 録 は 完 了 です 複 数 の RADIUS クライアントの 登 録 を 行 う 場 合 は 上 記 の 設 定 を 繰 り 返 してください 引 き 続 きリモートアクセスポリシーの 設 定 を 行 ってください
リモートアクセスポリシーの 設 定 無 線 接 続 用 及 び 有 線 接 続 用 にリモートアクセスポリシーを 登 録 します 1. [スタート]-[ 管 理 ツール]-[インターネット 認 証 サービス]を 選 択 します 2. [インターネット 認 証 サービス] 画 面 において 左 枠 内 の[リモートアクセスポリシー]を 右 クリック し [ 新 しいリモートアクセスポリシー]を 選 択 します 図 1:リモートアクセスポリシーの 追 加 3. リモートアクセスポリシーウィザードが 起 動 しますので[ 次 へ]をクリックします 図 2:リモートアクセスポリシーウィザード 4. [ポリシーの 構 成 方 法 ]の 選 択 画 面 が 表 示 されるので ウィザードを 使 って 共 有 シナリオの 標 準 ポリ シーを 設 定 する を 選 択 し [ポリシー 名 ]を 入 力 します 入 力 したら [ 次 へ]をクリックします 図 3:ポリシーの 構 成 方 法
5. [アクセス 方 法 ]の 選 択 画 面 で 接 続 方 法 に 応 じてポリシーを 作 成 する 為 のアクセス 方 法 を 選 択 します アクセス 方 法 に ワイヤレス ( 無 線 の 場 合 )もしくは イーサネット ( 有 線 の 場 合 )を 選 択 し [ 次 へ]をクリックします 図 4:アクセス 方 法 の 選 択 ( 無 線 の 場 合 ) 6. [ユーザーまたはグループアクセス] 設 定 画 面 でアクセス 許 可 の 基 準 を 設 定 します ここでは ユー ザ を 選 択 し [ 次 へ]をクリックします 図 5:アクセス 許 可 の 設 定 7. [ 認 証 方 法 ]の 設 定 画 面 で 使 用 する 認 証 方 法 を 選 択 します EAP-PEAP を 用 いる 場 合 は 保 護 され た EAP(PEAP) EAP-TLS を 用 いる 場 合 は スマートカードまたはその 他 の 証 明 書 を 選 択 し [ 次 へ]をクリックします 図 6: 認 証 方 法 の 選 択 (EAP-PEAP の 場 合 )
8. リモートアクセスポリシーの 作 成 が 完 了 したことを 確 認 するメッセージが 表 示 されます [ 完 了 ]を クリックし [ 新 しいリモートアクセスポリシーウィザード]を 終 了 します 図 7:リモートアクセスポリシーウィザードの 完 了 9. [インターネット 認 証 サービス] 画 面 において 右 枠 内 からいま 作 成 したリモートアクセスポリシー を 選 択 し ダブルクリックします 図 8:リモートアクセスポリシーの 選 択 10. [リモートアクセスポリシー]プロパティで [ 接 続 要 求 が 指 定 の 条 件 を 満 たした 場 合 ]の 欄 に[リ モートアクセス 許 可 を 与 える]を 選 択 し [プロファイルの 編 集 ]をクリックします 図 9:リモートアクセスポリシーのプロパティ
11. [ダイヤルインプロファイルの 編 集 ] 画 面 で[ 認 証 ]タブを 選 択 します [ 認 証 ] 設 定 画 面 が 表 示 さ れたら 許 可 する 認 証 方 法 を 選 択 します EAP-PEAP を 用 いる 場 合 は Microsoft 暗 号 化 認 証 バージョ ン 2(MS-CHAP v2) にチェックを 入 れ EAP-TLS を 用 いる 場 合 はどこにもチェックが 入 ってい ないことを 確 認 し [OK]をクリックします 図 10:ダイヤルインプロファイルの 編 集 (EAP-PEAP の 場 合 ) 12. [リモートアクセスポリシー]プロパティで [ 接 続 要 求 が 指 定 の 条 件 を 満 たした 場 合 ]の 欄 に リ モートアクセス 許 可 を 与 える が 選 択 させていることを 確 認 し [OK]をクリックします 図 11:リモートアクセスポリシーのプロパティ 以 上 で RADIUS サーバーのセットアップは 完 了 です 詳 細 設 定 については 環 境 に 応 じて 設 定 をおこなってください
ユーザアカウントの 登 録 IEEE802.1X 認 証 において 認 証 へ 用 いるユーザアカウントを Active Directory に 登 録 します Active Directory へのユーザアカウントの 登 録 IEEE802.1X 認 証 にて 認 証 されるようにユーザアカウントを 設 定 します 1. [スタート]-[ 管 理 ツール]-[Active Directory ユーザーとコンピュータ]を 選 択 します 2. 左 枠 内 のユーザーアカウントを 登 録 するドメインをクリックして 展 開 します 図 1:Active Directory ユーザーとコンピュータ 3. [Users]コンテナを 右 クリックし [ 新 規 作 成 ]-[ユーザー]を 選 択 します 4. ユーザー 情 報 に 必 要 事 項 を 入 力 します 図 2:ユーザーの 新 規 作 成 図 3:ユーザー 情 報 の 入 力
5. [パスワード]を 設 定 します ここではパスワードのポリシーとして[ユーザーはパスワードを 変 更 できない]にチェックを 入 れ [ 次 へ]をクリックします 図 4:パスワードの 設 定 6. 作 成 ユーザーの 情 報 が 表 示 されるので 内 容 を 確 認 し [ 完 了 ]をクリックします 図 5: 作 成 ユーザー 情 報 の 確 認 7. [Active Directory ユーザーとコンピュータ] 画 面 の 右 枠 内 から いま 作 成 したユーザー 名 を 選 択 し ダブルクリックします 図 6:Active Directory ユーザーとコンピュータ
8. [ユーザーのプロパティ] 画 面 から[ダイヤルイン]タブを 選 択 し [リモートアクセス 許 可 (ダイ ヤルインまたは VPN)]で[アクセス 許 可 ]を 選 択 します 選 択 したら[OK]をクリックします 図 7:ユーザーのダイヤルイン 設 定 以 上 でユーザーアカウントの 登 録 は 完 了 です 複 数 のユーザーを 登 録 する 場 合 は 上 記 の 設 定 を 繰 り 返 してください 引 き 続 き RADIUS クライアント(AirStationPro 及 び BusinessSwitch)の 設 定 を 行 ってください
RADIUS クライアントの 設 定 IEEE802.1X 認 証 にあわせ 無 線 アクセスポイントやスイッチの 設 定 を 行 います AirStationPro( 無 線 アクセスポイント)の 設 定 -WAPM/WAPS シリーズ ここでは 無 線 アクセスポイントとして BUFFALO 製 WAPM/WAPS シリーズの 設 定 方 法 を 説 明 します 1. WAPM/WAPS シリーズのマニュアルを 参 考 に 設 定 画 面 を 開 きます 2. 設 定 画 面 が 開 いたら[ 詳 細 設 定 ]をクリックします 図 1:WAPM/WAPS シリーズ 設 定 画 面 3. 左 側 の 選 択 項 目 から[ 無 線 設 定 ]をクリックします 図 2: 詳 細 設 定 画 面 4. [ 無 線 設 定 ]が 開 いたら 無 線 セキュリティ を 設 定 します ここでは IEEE802.11g のセキュリテ ィ 設 定 を 行 いますので[ 無 線 セキュリティ 設 定 (11g)]をクリックします 図 3: 無 線 セキュリティ 設 定 (802.11g の 場 合 )
5. [ 無 線 の 認 証 ]と[ 無 線 の 暗 号 化 ]を 設 定 します ここでは 以 下 の 値 を 設 定 しますので 該 当 項 目 を 選 択 し [ 設 定 ]をクリックします 無 線 の 認 証 :WPA/WPA2 mixedmode-eap 無 線 の 暗 号 化 :AES 図 4: 無 線 の 認 証 と 暗 号 化 の 設 定 6. 設 定 の 内 容 が 表 示 されるのでメッセージを 確 認 し [ 設 定 ]をクリックします その 後 再 スタート するのでしばらくしてから 再 度 設 定 画 面 を 開 き [ 詳 細 設 定 ]をクリックします 図 5: 設 定 内 容 の 確 認 メッセージ 7. 再 スタートしますので しばらくしたら 左 側 の 選 択 項 目 から[ネットワーク 設 定 ]をクリックします 図 6: 再 起 動 メッセージ
8. [RADIUS 設 定 ]を 選 択 し RADIUS サーバの 設 定 をおこないます ここでは 以 下 の 値 にて 設 定 しま すが 環 境 に 合 わせて 設 定 をしてください 値 を 入 力 したら[ 設 定 ]をクリックします サーバ 名 :192.168.1.1 Shared Secret:IAS の 項 で 設 定 した 共 有 シークレット と 同 じ 値 図 7:RADIUS 設 定 以 上 で AirStationPro( 無 線 アクセスポイント)の 設 定 は 完 了 です IEEE802.11a 側 の 設 定 を 行 う 場 合 は 4.で[セキュリティ 設 定 (11a)]を 選 択 して 同 様 に 設 定 を 行 ってく ださい 複 数 の AirStationPro の 設 定 を 行 う 場 合 も 上 記 の 設 定 を 繰 り 返 してください また BusinessSwitch( 有 線 スイッチ)の 設 定 を 行 う 場 合 は 次 項 の 設 定 方 法 を 参 考 に 設 定 を 行 ってくだ さい
BusinessSwitch( 有 線 スイッチ)の 設 定 -BS/BSL スイッチ ここでは 有 線 スイッチとして BUFFALO 製 BSL シリーズの 設 定 方 法 を 参 考 に 説 明 します BS シリーズの 設 定 画 面 は 若 干 異 なりますが 設 定 手 順 は 同 様 となります 1. BS/BSL シリーズのマニュアルを 参 考 に 設 定 画 面 を 開 きます 2. 設 定 画 面 が 開 いたら[ 詳 細 設 定 ]をクリックします 図 1:BSL シリーズ 設 定 画 面 3. [ユーザ 認 証 設 定 ]から[ 認 証 サーバ 設 定 ]を 選 択 します 図 2: 詳 細 設 定 画 面 4. [ 認 証 サーバ 設 定 ]を 開 いたら 認 証 サーバ(RADIUS サーバ) の 設 定 をします ここでは 以 下 の 値 にて 設 定 しますが 環 境 に 合 わせて 設 定 をしてください 値 を 入 力 したら[ 設 定 ]をクリックします 認 証 サーバ IP:192.168.1.1 Shared Secret:IAS の 項 で 設 定 した 共 有 シークレット と 同 じ 値 図 3: 認 証 サーバ 設 定
5. 次 に[ポート 認 証 設 定 ]を 選 択 し 認 証 するポートを 設 定 します ここでは 以 下 の 値 で 設 定 します 認 証 サーバ(RADIUS サーバ)へ 接 続 するポートは 必 ず 認 証 しない に 設 定 してください 設 定 したら [ 設 定 ]をクリックします ポート1~7: 認 証 する ポート8: 認 証 しない(デフォルト) 図 4: 認 証 ポートの 設 定 以 上 で BusinessSwitch( 有 線 スイッチ)の 設 定 は 完 了 です 複 数 の BusinessSwitch の 設 定 を 行 う 場 合 は 上 記 の 設 定 を 繰 り 返 してください
[ 端 末 設 定 編 ] 各 認 証 方 式 におけるクライアントコンピュータの 設 定 EAP-PEAP 認 証 を 行 う 為 の 設 定 ( 無 線 及 び 有 線 ) 以 下 では EAP-PEAP 認 証 を 行 うために 次 の 手 順 で 設 定 を 行 います -. 認 証 されるクライアントコンピュータ( 以 下 認 証 端 末 )へのルート 証 明 書 のインストール -.EAP-PEAP 認 証 を 行 う 為 の IAS の 設 定 -. 認 証 端 末 でのサプリカント 設 定 ルート 証 明 書 のインストール EAP-PEAP 認 証 で 用 いるルート 証 明 書 の 発 行 及 びインストールを 行 います 1. Active Directory をセットアップしたコンピュータで WWW ブラウザを 立 ち 上 げ URL 入 力 欄 に http://( 証 明 機 関 の IP アドレス)/certsrv を 入 力 します 認 証 画 面 が 開 いたら CA に 対 する 管 理 者 権 限 を 有 する ユーザー 名 と パスワード を 入 力 し [OK]をクリックします ユーザー 名 : 管 理 者 のユーザー 名 パスワード:ユーザー 名 に 対 応 したパスワード 図 1: 証 明 機 関 へのアクセス 2. [Microsoft 認 証 サービス CA]の 画 面 が 表 示 されたら CA 証 明 書 証 明 書 チェーン または CRL のダウンロード をクリックします 図 2:タスクの 選 択
3. [CA 証 明 書 証 明 書 チェーン または CRL のダウンロード] 画 面 が 表 示 されたら [CA 証 明 書 のダウ ンロード]をクリックします 図 3: 証 明 書 の 選 択 4. [ファイルのダウンロード] 画 面 が 表 示 されたら[ 保 存 ]をクリックし 適 切 な 場 所 へファイルを 保 存 し ます ここではデスクトップ 上 に 保 存 します 図 4: 証 明 書 のダウンロード 5. 保 存 した 証 明 書 をフロッピーやフラッシュメモリなどを 用 いて 認 証 端 末 へコピーします 図 5: 証 明 書 の 保 存 本 マニュアルでは 認 証 端 末 として WindowsXP での 手 順 を 示 します その 他 の OS をお 使 いの 場 合 は 各 OS のメーカーへ 設 定 方 法 をご 確 認 願 います
6. 保 存 した 証 明 書 をダブルクリックすると 以 下 の 画 面 が 表 示 されるので[ 証 明 書 のインストール]をク リックします 図 6: 証 明 書 の 情 報 7. [ 証 明 書 のインポートウィザード]が 起 動 するので[ 次 へ]をクリックして 進 めます 図 7: 証 明 書 インポートウィザード 8. [ 証 明 書 ストア]の 選 択 方 法 画 面 が 表 示 されるので [ 証 明 書 をすべて 次 のストアに 配 置 する]を 選 択 し [ 参 照 ]をクリックします 図 8: 証 明 書 ストアの 選 択 方 法
9. [ 証 明 書 ストアの 選 択 ] 画 面 が 表 示 されたら [ 物 理 ストアを 表 示 する]にチェックをいれ [ 信 頼 された ルート 証 明 機 関 ]-[ローカルコンピュータ]を 選 択 し [OK]をクリックします 図 9: 証 明 書 ストアの 選 択 10. [ 証 明 書 ストア]の 選 択 方 法 画 面 に 戻 ったら [ 証 明 書 ストア]に 信 頼 されたルート 証 明 機 関 ローカル コンピュータ と 入 力 されていることを 確 認 し [ 次 へ]をクリックします 図 10: 証 明 書 ストアの 選 択 方 法 11. [ 証 明 書 のインポートウィザード]の 完 了 確 認 画 面 が 表 示 されるので 内 容 を 確 認 して[ 完 了 ]をクリッ クします 図 11: 証 明 書 インポートウィザードの 完 了 確 認 12. [ 証 明 書 のインポートウィザード]の 完 了 画 面 が 表 示 されるので[OK]をクリックします 図 12:インポート 完 了 メッセージ
以 上 でルート 証 明 書 のインストールは 完 了 です 複 数 のパソコンにルート 証 明 書 をインストールする 場 合 は 同 様 の 操 作 を 行 ってください 引 き 続 き EAP-PEAP 認 証 の 為 に IAS の 設 定 を 行 います EAP-PEAP 認 証 を 行 う 為 の IAS の 設 定 [ 準 備 編 ]でセットアップした IAS を EAP-PEAP 認 証 を 行 うために 設 定 します 1. [スタート]-[ 管 理 ツール]-[インターネット 認 証 サービス]を 選 択 します 2. [インターネット 認 証 サービス] 画 面 において 左 枠 内 の[リモートアクセスポリシー]を 選 択 し 右 枠 内 のリモートアクセスポリシーから 認 証 される 端 末 に 該 当 するリモートアクセスポリシーを 選 択 し ダブルクリックします 本 マニュアルでは 以 下 のリモートアクセスポリシーを 選 択 します 無 線 接 続 パソコン 無 線 用 リモートアクセスポリシー( 例 :WLAN) 有 線 接 続 パソコン 有 線 用 リモートアクセスポリシー( 例 :LAN) 図 1:リモートアクセスポリシーの 選 択 3. [リモートアクセスポリシー]プロパティで [ 接 続 要 求 が 指 定 の 条 件 を 満 たした 場 合 ]の 欄 に[リ モートアクセス 許 可 を 与 える]が 選 択 されていることを 確 認 し [プロファイルの 編 集 ]をクリック します 図 2:リモートアクセスポリシーのプロパティ
4. [ダイヤルインプロファイルの 編 集 ] 画 面 で[ 認 証 ]タブを 選 択 します [ 認 証 ] 設 定 画 面 が 表 示 さ れたら Microsoft 暗 号 化 認 証 バージョン 2(MS-CHAP v2) にチェックが 入 っていることを 確 認 し [EAP メソッド]をクリックします 図 3:ダイヤルインプロパティの 編 集 5. [EAP プロバイダの 選 択 ] 画 面 で[ 保 護 された EAP(PEAP)]を 選 択 し [ 編 集 ]をクリックしま す EAP の 種 類 に[ 保 護 された EAP(PEAP)]の 表 示 がない 場 合 は[ 追 加 ]をクリックし EAP を 追 加 します 図 4:EAP プロバイダの 選 択 6. [ 保 護 された EAP のプロパティ] 画 面 で [ 証 明 書 の 発 行 先 ] 及 び[EAP の 種 類 ]に 適 切 なものが 選 択 されていることを 確 認 します 本 マニュアルでは 以 下 の 値 を 用 います 設 定 できたら[OK]を クリックします 証 明 書 の 発 行 先 : 証 明 機 関 (CA)のコンピュータ 名 ( 例 :buffalo.buffalo2003.local) EAP の 種 類 :セキュリティで 保 護 されたパスワード(EAP-MSCHAP v2) 図 5: 保 護 された EAP のプロパティ
7. これまで 表 示 された 画 面 において[OK]をクリックし [インターネット 認 証 サービス] 画 面 まで 戻 ります 図 6:EAP プロバイダの 選 択 認 証 端 末 でのサプリカント 設 定 最 後 に 認 証 端 末 でのサプリカントを 設 定 します ここではサプリカントとして BUFFALO 製 クライアント 接 続 ツール クライアントマネージャー3 を 用 いた 設 定 方 法 を 説 明 します 1. BUFFALO 製 無 線 LAN 製 品 に 添 付 されているエアナビゲーターのウィザードに 従 い クライアン トマネージャー3 をインストールします 2. タスクバーの 右 下 にあるクライアントマネージャー3のアイコンを 右 クリックし [オプション]を 選 択 します 図 1:オプションの 選 択
3. [オプション] 画 面 が 表 示 されたら [ 動 作 モード]に[ビジネスモード]を 選 択 します [ 使 用 する アダプタ] 欄 においては 無 線 LAN アダプタを 使 用 する 場 合 は [ 無 線 アダプタ 自 動 選 択 ]が 選 択 さ れていることを 確 認 します 有 線 で 接 続 する 場 合 には 有 線 LAN アダプタを 直 接 指 定 します 設 定 で きたら[OK]をクリックします 図 2:オプション 画 面 4. タスクバーの 右 下 にあるクライアントマネージャー3のアイコンを 右 クリックし [プロファイルを 表 示 する]を 選 択 します 図 3:プロファイルの 選 択
5. [プロファイル] 画 面 が 表 示 されたら 画 面 右 下 の[802.1x プロファイル]をクリックします 図 4:プロファイル 画 面 6. [ 認 証 プロファイル 一 覧 ] 画 面 が 表 示 されたら [ 新 規 ]をクリックします 図 5: 認 証 プロファイル 一 覧
7. [ 認 証 プロファイル] 画 面 が 表 示 されたら EAP-PEAP 認 証 にあわせて 適 切 な 値 を 設 定 します ここでは 以 下 の 値 を 設 定 します 設 定 したら[OK]をクリックします プロファイル 名 : 任 意 の 名 称 ( 例 :EAP-PEAP) EAP の 種 類 :EAP-PEAP クライアント 設 定 : 認 証 開 始 時 にユーザ 名 とパスワードを 入 力 する( 使 用 環 境 に 合 わせます) 図 6: 認 証 プロファイル 8. [ 認 証 プロファイル 一 覧 ] 画 面 に 戻 ったら [ 閉 じる]をクリックします 図 7: 認 証 プロファイル 一 覧
9. [プロファイル] 画 面 に 戻 ったら 画 面 左 下 の[ 追 加 ]をクリックします 図 8:プロファイル 画 面 10. [プロファイル 情 報 ] 画 面 が 表 示 されたら [ 基 本 設 定 ]タブを 選 択 し プロファイルの 設 定 を 行 い ます ここでは 以 下 の 値 を 設 定 します 設 定 したら[OK]をクリックします プロファイル 選 択 : 無 線 プロファイル 名 :Wireless-PEAP ネットワークタイプ:インフラストラクチャモード SSID:BUFFALO2003(お 使 いの 無 線 LAN 環 境 に 合 わせます) 暗 号 化 方 式 :WPA-EAP AES(お 使 いの 無 線 LAN 環 境 に 合 わせます) 認 証 プロファイル:EAP-PEAP 図 9:プロファイル 情 報 有 線 用 にプロファイル 設 定 する 際 には 以 下 の 項 目 を 設 定 します プロファイル 選 択 : 有 線 プロファイル 名 :Wired-PEAP 認 証 プロファイル:EAP-PEAP
11. 次 に[ネットワーク]タブを 選 択 し 12. [ブラウザ]タブを 選 択 し 13. プロファイルが 登 録 されたら 選 択 して[ 接 続 ]をクリックします 図 10:プロファイル 画 面
14. 無 線 AP への 接 続 と 認 証 が 開 始 されますので 完 了 するまでしばらく 待 ちます 図 11: 接 続 中 画 面 15. [ 認 証 情 報 を 入 力 してください]の 画 面 が 表 示 されたら [ 準 備 編 ]の[ユーザアカウントの 登 録 ]で 登 録 し た[ユーザ 名 ]と[パスワード]を 入 力 します 図 12: 認 証 情 報 入 力 画 面 16. [ 認 証 完 了 ]のメッセージが 表 示 されたら 接 続 完 了 です 図 13: 認 証 完 了 画 面
EAP-TLS 認 証 を 行 う 為 の 設 定 ( 無 線 及 び 有 線 ) 以 下 では EAP-TLS 認 証 を 行 うために 次 の 手 順 で 設 定 を 行 います -. 認 証 されるクライアントコンピュータ( 以 下 認 証 端 末 )へのルート 証 明 書 及 びユーザー 証 明 書 の インストール -.EAP-TLS 認 証 を 行 う 為 の IAS の 設 定 -. 認 証 端 末 でのサプリカント 設 定 ルート 証 明 書 とユーザー 証 明 書 のインストール EAP-TLS 認 証 で 用 いるルート 証 明 書 とユーザー 証 明 書 の 発 行 及 びインストールを 行 います 1. 認 証 端 末 で WWW ブラウザを 立 ち 上 げ URL 入 力 欄 に http://( 証 明 機 関 の IP アドレス)/certsrv を 入 力 します 認 証 画 面 が 開 いたら 認 証 端 末 で 認 証 に 用 いる ユーザー 名 と パスワード を 入 力 し [OK]をクリックします ユーザー 名 :Active Directory に 登 録 されたユーザー 名 パスワード:ユーザー 名 に 対 応 したパスワード 図 1: 証 明 機 関 へのアクセス 証 明 書 のインストールにあたり まず 初 めに 認 証 機 関 (CA)へは EAP-TLS 認 証 なしでアクセスする 必 要 が あります 有 線 による 接 続 などの 任 意 の 方 法 で CA へアクセスしてください
2. [Microsoft 認 証 サービス CA]の 画 面 が 表 示 されたら 証 明 書 を 要 求 する をクリックします 図 2:タスクの 選 択 3. [ 証 明 書 の 要 求 ] 画 面 が 表 示 されたら [ 証 明 書 の 種 類 の 選 択 ]で[ユーザー 証 明 書 ]をクリックします 図 3: 証 明 書 の 選 択 4. [ユーザー 証 明 書 - 識 別 情 報 ]の 画 面 が 表 示 されたら [ 送 信 ]をクリックします 図 4: 証 明 書 のダウンロード
5. [ 潜 在 するスクリプト 違 反 ]のメッセージが 表 示 されますので [はい]をクリックします 図 5: 証 明 書 の 要 求 6. [ 証 明 書 は 発 行 されました]の 表 示 がされますので [この 証 明 書 のインストール]をクリックします その 際 [ 潜 在 するスクリプト 違 反 ]のメッセージが 表 示 されるので [はい]をクリックします 図 6: 証 明 書 の 発 行 ルート 証 明 書 がインストールされていない 場 合 上 記 メッ セージの 前 にルート 証 明 書 をインストールする 旨 のメッセ ージが 表 示 されますので [はい]をクリックします 図 7:ルート 証 明 書 のインストール
7. 証 明 書 のインストールが 完 了 した 旨 のメッセージが 表 示 されれば 証 明 書 のインストール 作 業 は 終 了 です 図 8: 証 明 書 のインストールの 完 了 以 上 でルート 証 明 書 及 びユーザー 証 明 書 のインストールは 完 了 です 複 数 のパソコンにルート 証 明 書 及 びユーザー 証 明 書 をインストールする 場 合 は 同 様 の 操 作 を 行 ってくだ さい 引 き 続 き EAP-TLS 認 証 の 為 に IAS の 設 定 を 行 います EAP-TLS 認 証 を 行 う 為 の IAS の 設 定 [ 準 備 編 ]でセットアップした IAS を EAP-TLS 認 証 を 行 うために 設 定 します 1. [スタート]-[ 管 理 ツール]-[インターネット 認 証 サービス]を 選 択 します 2. [インターネット 認 証 サービス] 画 面 において 左 枠 内 の[リモートアクセスポリシー]を 選 択 し 右 枠 内 のリモートアクセスポリシーから 認 証 される 端 末 に 該 当 するリモートアクセスポリシーを 選 択 し ダブルクリックします 本 マニュアルでは 以 下 のリモートアクセスポリシーを 選 択 します 無 線 接 続 パソコン 無 線 用 リモートアクセスポリシー( 例 :WLAN) 有 線 接 続 パソコン 有 線 用 リモートアクセスポリシー( 例 :LAN) 図 1:リモートアクセスポリシーの 選 択
3. [リモートアクセスポリシー]プロパティで [ 接 続 要 求 が 指 定 の 条 件 を 満 たした 場 合 ]の 欄 に[リ モートアクセス 許 可 を 与 える]が 選 択 されていることを 確 認 し [プロファイルの 編 集 ]をクリック します 図 2:リモートアクセスポリシーのプロパティ 4. [ダイヤルインプロファイルの 編 集 ] 画 面 で[ 認 証 ]タブを 選 択 します [ 認 証 ] 設 定 画 面 が 表 示 さ れたら Microsoft 暗 号 化 認 証 バージョン 2(MS-CHAP v2) のチェックをはずし [EAP メソッ ド]をクリックします 図 3:ダイヤルインプロパティの 編 集 5. [EAP プロバイダの 選 択 ] 画 面 で[ 保 護 された EAP(PEAP)]を 選 択 し [ 削 除 ]をクリックしま す 図 4:EAP プロバイダの 選 択
6. [EAP の 種 類 ]に[スマートカードまたはその 他 の 証 明 書 ]が 表 示 されていない 場 合 は [ 追 加 ]を クリックし [スマートカードまたはその 他 の 証 明 書 ]を 追 加 します 図 5:EAP の 追 加 7. [EAP プロバイダの 選 択 ] 画 面 で[スマートカードまたはその 他 の 証 明 書 ]を 選 択 し [ 編 集 ]をク リックします [スマートカードまたはその 他 の 証 明 書 のプロパティ] 画 面 において [ 証 明 書 の 発 行 先 ]に 適 切 なものが 選 択 されていることを 確 認 します 本 マニュアルでは 以 下 の 値 を 用 います 適 切 に 設 定 できたら[OK]をクリックします 証 明 書 の 発 行 先 : 証 明 機 関 (CA)のコンピュータ 名 ( 例 :buffalo.buffalo2003.local) 図 6: 保 護 された EAP のプロパティ 8. これまで 表 示 された 画 面 において[OK]をクリックし [インターネット 認 証 サービス] 画 面 まで 戻 ります 図 7:EAP プロバイダの 選 択
認 証 端 末 でのサプリカント 設 定 最 後 に 認 証 端 末 でのサプリカントを 設 定 します ここではサプリカントとして BUFFALO 製 クライアント 接 続 ツール クライアントマネージャー3 を 用 いた 設 定 方 法 を 説 明 します 1. BUFFALO 製 無 線 LAN 製 品 に 添 付 されているエアナビゲーターのウィザードに 従 い クライアン トマネージャー3 をインストールします 2. タスクバーの 右 下 にあるクライアントマネージャー3のアイコンを 右 クリックし [オプション]を 選 択 します 図 1:オプションの 選 択 3. [オプション] 画 面 が 表 示 されたら [ 動 作 モード]に[ビジネスモード]を 選 択 します [ 使 用 する アダプタ] 欄 においては 無 線 LAN アダプタを 使 用 する 場 合 は [ 無 線 アダプタ 自 動 選 択 ]が 選 択 さ れていることを 確 認 します 有 線 で 接 続 する 場 合 には 有 線 LAN アダプタを 直 接 指 定 します 設 定 で きたら[OK]をクリックします 図 2:オプション 画 面
4. タスクバーの 右 下 にあるクライアントマネージャー3のアイコンを 右 クリックし [プロファイルを 表 示 する]を 選 択 します 図 3:プロファイルの 選 択 5. [プロファイル] 画 面 が 表 示 されたら 画 面 右 下 の[802.1x プロファイル]をクリックします 図 4:プロファイル 画 面 6. [ 認 証 プロファイル 一 覧 ] 画 面 が 表 示 されたら [ 新 規 ]をクリックします 図 5: 認 証 プロファイル 一 覧
7. [ 認 証 プロファイル] 画 面 が 表 示 されたら EAP-TLS 認 証 にあわせて 適 切 な 値 を 設 定 します こ こでは 以 下 の 値 を 設 定 します 設 定 したら[OK]をクリックします プロファイル 名 : 任 意 の 名 称 ( 例 :EAP-TLS) EAP の 種 類 :EAP-TLS クライアント 設 定 : 入 力 した 値 を 使 用 する( 例 :bufflo) ユーザー 証 明 書 発 行 時 に 使 用 したユーザー 名 図 6: 認 証 プロファイル ユーザ 証 明 書 の 設 定 については [ 証 明 書 一 覧 ]をクリックし [ 証 明 書 一 覧 ] 画 面 からユーザ 名 に 対 応 したユーザ 証 明 書 を 指 定 します 図 7:ユーザ 証 明 書 一 覧 [ユーザ 名 の 不 一 致 ]のメッセージが 表 示 されたら [キャンセル]をクリックします 図 8:ユーザ 名 の 不 一 致
8. [ 認 証 プロファイル]の 設 定 を 行 ったら [OK]をクリックし[ 認 証 プロファイル 一 覧 ]に 戻 ります 図 9: 認 証 プロファイル 9. [ 認 証 プロファイル 一 覧 ] 画 面 に 戻 ったら [ 閉 じる]をクリックします 図 10: 認 証 プロファイル 一 覧 10. [プロファイル] 画 面 に 戻 ったら 画 面 左 下 の[ 追 加 ]をクリックします 図 11:プロファイル 画 面
11. [プロファイル 情 報 ] 画 面 が 表 示 されたら [ 基 本 設 定 ]タブを 選 択 し プロファイルの 設 定 を 行 い ます ここでは 以 下 の 値 を 設 定 します プロファイル 選 択 : 無 線 プロファイル 名 :Wireless-TLS ネットワークタイプ:インフラストラクチャモード SSID:BUFFALO2003(お 使 いの 無 線 LAN 環 境 に 合 わせます) 暗 号 化 方 式 :WPA-EAP AES(お 使 いの 無 線 LAN 環 境 に 合 わせます) 認 証 プロファイル:EAP-TLS 図 12: 基 本 設 定 有 線 用 にプロファイル 設 定 する 際 には 以 下 の 項 目 を 設 定 します プロファイル 選 択 : 有 線 プロファイル 名 :Wired-TLS 認 証 プロファイル:EAP-TLS 12. [ネットワーク]タブを 選 択 し IP アドレス 及 び DNS サーバの 設 定 を 行 います ここではどちらと も[ 自 動 的 に 取 得 する]に 設 定 します [ブラウザ] 及 び[プリンタ]も 環 境 に 合 わせ 設 定 します 図 13:ネットワーク 設 定
13. プロファイルが 登 録 されたら 選 択 して[ 接 続 ]をクリックします 図 14:プロファイル 画 面 14. 無 線 AP への 接 続 と 認 証 が 開 始 されますので 完 了 するまでしばらく 待 ちます 図 15: 接 続 中 画 面 15. [ 認 証 完 了 ]のメッセージが 表 示 されたら 接 続 完 了 です 図 16: 認 証 完 了 画 面
改 版 履 歴 2007 年 4 月 27 日 初 版 作 成 発 行