Active Directoryを認証サーバとしてWPA-Enterprise(PEAP)認証を実現する
4ipnet担当エンジニアブログ

Active Directoryを認証サーバとしてWPA-Enterprise(PEAP)認証を実現する

4ipnetのアクセスポイント(AP)は認証方式として一般的なWPA-Personalはもちろん、WPA-Enterpriseというエンタープライズ向けの認証方式に対応しています。WPA-Enterpriseを用いた認証にはいくつかの種類がありますが、今回はPEAP(Protected Extensible Authentication Protocol)という方式を使用します。
 
PEAPはサーバとクライアントで相互認証が可能なプロトコルで、サーバ側は証明書を発行し、クライアント側ではIDとパスワードによる認証が行われます。WPA-Personalの場合は共通のプリシェアードキー(PSK)で認証していますが、PEAPではユーザ単位でIDとパスワードを使用して認証できます。また、サーバが発行する証明書により、クライアントは自身が接続するSSIDの正当性が確認できるので、Evil Twin等のサイバー攻撃から身を守ることもできます。
 
それでは実際にPEAP認証が動作する環境を構築してみましょう。
 

【使用機器】

EAP760                            FW Ver.2.40.05                 1台
Windows Server                2016 TP5                          1台
ノートPC等の端末              Windows8                          1台
 
(本内容はNTT-ATが取り扱う全ての4ipnet製アクセスポイントで実現可能です)
 

【ネットワーク構成例】


 

【事前準備】

Windows Serverは初期セットアップ済みで、以下のサービスが稼働していることが前提です。

・AD DS(ドメインサービス)
・AD CS(証明書サービス)
・NPAS(ネットワークポリシーとアクセスサービス)

ADユーザとコンピュータにてあらかじめPEAP認証を使用するユーザが登録しておきます。本記事では(Web認証のユーザデータベースにActive Directoryを使用する)で作成したユーザを用いて説明します。また、AD CSにルート証明機関をインストールしておく必要があります。
 

【設定方法】

まずはAPの設定を行います。「Wireless>VAP設定」にてPEAP認証を行うためのSSIDを「4ipnet-PEAP」に設定します。

 
次に、「Wireless>セキュリティ」で先ほどSSIDを設定したVAPに対し、以下のようにセキュリティ設定を行います。設定の1つに秘密鍵の入力がありますが、これはサーバとAP間の連携で使用する共通の鍵になりますので、任意の秘密鍵を入れてください。後ほどADサーバにも同じ秘密鍵の入力が必要です。

 
以上でAPの設定は完了です。続いてWindows Serverの設定をします。
ネットワークポリシーサーバの標準構成で「802.1Xワイヤレス接続またはワイヤード(有線)接続用のRADIUSサーバ」を選択し、「802.1Xを構成する」をクリックします。

 
「ワイヤレス接続をセキュリティで保護する」を選択し、「名前」に任意の名前を入力し、「次へ」をクリック。

 
「追加」をクリックします。

 
ここでRADIUSクライアント(アクセスポイント)に関する設定をします。「フレンドリ名」はAPのホスト名等を任意に入力し、「アドレス」にはAPのIPアドレスを入力します。「共有シークレット」には先ほどAPのセキュリティで設定した「秘密鍵」を手動入力し、「OK」をクリックします。

 
作成したRADIUSクライアントが追加されていることを確認し、「次へ」をクリックします。

 
「Microsoft:保護されたEAP(PEAP)」を選択し、「次へ」をクリックします。

 
「次へ」をクリック。

 
「次へ」をクリック。

 
「完了」をクリック。

 
「NPS(ローカル)>RADIUSクライアントとサーバ」に作成したRADIUSクライアントが存在することを確認します。

 
以上でWindows Serverの設定は完了です。それでは端末から無線接続してみましょう。
まずはSSID一覧から先ほど作成した「4ipnet-PEAP」を選択し、接続を試みます。そうすると、ユーザ名とパスワードを聞かれますので、ADに登録されているユーザアカウントを入力し、「OK」をクリックします。


 
問題なく接続されました!

 
また、PEAP認証が成功するとAPのsyslogには以下のようなメッセージが出力されます。
logd@localhost hostapd: ath0ap0: STA 18:5e:0f:XX:XX:XX IEEE 802.1X: authenticated - EAP type: 25 (PEAP)
 
(担当 高橋)
4ipnet NTT-ATは、4ipnet社のソリューション・パートナーです。
<一覧>
Twitterでシェア Facebookでシェア
当サイトでは、お客さまに最適なユーザー体験をご提供するためにCookieを使用しています。当サイトをご利用いただくことにより、お客さまがCookieの使用に同意されたものとみなします。詳細は、「プライバシーポリシー」をご確認ください。