4ipnet担当エンジニアブログ
Active Directoryを認証サーバとしてWPA-Enterprise(PEAP)認証を実現する2017/05/23
4ipnetのアクセスポイント(AP)は認証方式として一般的なWPA-Personalはもちろん、WPA-Enterpriseというエンタープライズ向けの認証方式に対応しています。WPA-Enterpriseを用いた認証にはいくつかの種類がありますが、今回はPEAP(Protected Extensible Authentication Protocol)という方式を使用します。
PEAPはサーバとクライアントで相互認証が可能なプロトコルで、サーバ側は証明書を発行し、クライアント側ではIDとパスワードによる認証が行われます。WPA-Personalの場合は共通のプリシェアードキー(PSK)で認証していますが、PEAPではユーザ単位でIDとパスワードを使用して認証できます。また、サーバが発行する証明書により、クライアントは自身が接続するSSIDの正当性が確認できるので、Evil Twin等のサイバー攻撃から身を守ることもできます。
それでは実際にPEAP認証が動作する環境を構築してみましょう。
Windows Server 2016 TP5 1台
ノートPC等の端末 Windows8 1台
(本内容はNTT-ATが取り扱う全ての4ipnet製アクセスポイントで実現可能です)
・AD DS(ドメインサービス)
・AD CS(証明書サービス)
・NPAS(ネットワークポリシーとアクセスサービス)
ADユーザとコンピュータにてあらかじめPEAP認証を使用するユーザが登録しておきます。本記事では(Web認証のユーザデータベースにActive Directoryを使用する)で作成したユーザを用いて説明します。また、AD CSにルート証明機関をインストールしておく必要があります。
次に、「Wireless>セキュリティ」で先ほどSSIDを設定したVAPに対し、以下のようにセキュリティ設定を行います。設定の1つに秘密鍵の入力がありますが、これはサーバとAP間の連携で使用する共通の鍵になりますので、任意の秘密鍵を入れてください。後ほどADサーバにも同じ秘密鍵の入力が必要です。
以上でAPの設定は完了です。続いてWindows Serverの設定をします。
ネットワークポリシーサーバの標準構成で「802.1Xワイヤレス接続またはワイヤード(有線)接続用のRADIUSサーバ」を選択し、「802.1Xを構成する」をクリックします。
「ワイヤレス接続をセキュリティで保護する」を選択し、「名前」に任意の名前を入力し、「次へ」をクリック。
「追加」をクリックします。
ここでRADIUSクライアント(アクセスポイント)に関する設定をします。「フレンドリ名」はAPのホスト名等を任意に入力し、「アドレス」にはAPのIPアドレスを入力します。「共有シークレット」には先ほどAPのセキュリティで設定した「秘密鍵」を手動入力し、「OK」をクリックします。
作成したRADIUSクライアントが追加されていることを確認し、「次へ」をクリックします。
「Microsoft:保護されたEAP(PEAP)」を選択し、「次へ」をクリックします。
「次へ」をクリック。
「次へ」をクリック。
「完了」をクリック。
「NPS(ローカル)>RADIUSクライアントとサーバ」に作成したRADIUSクライアントが存在することを確認します。
以上でWindows Serverの設定は完了です。それでは端末から無線接続してみましょう。
まずはSSID一覧から先ほど作成した「4ipnet-PEAP」を選択し、接続を試みます。そうすると、ユーザ名とパスワードを聞かれますので、ADに登録されているユーザアカウントを入力し、「OK」をクリックします。
問題なく接続されました!
また、PEAP認証が成功するとAPのsyslogには以下のようなメッセージが出力されます。
logd@localhost hostapd: ath0ap0: STA 18:5e:0f:XX:XX:XX IEEE 802.1X: authenticated - EAP type: 25 (PEAP)
PEAPはサーバとクライアントで相互認証が可能なプロトコルで、サーバ側は証明書を発行し、クライアント側ではIDとパスワードによる認証が行われます。WPA-Personalの場合は共通のプリシェアードキー(PSK)で認証していますが、PEAPではユーザ単位でIDとパスワードを使用して認証できます。また、サーバが発行する証明書により、クライアントは自身が接続するSSIDの正当性が確認できるので、Evil Twin等のサイバー攻撃から身を守ることもできます。
それでは実際にPEAP認証が動作する環境を構築してみましょう。
【使用機器】
EAP760 FW Ver.2.40.05 1台Windows Server 2016 TP5 1台
ノートPC等の端末 Windows8 1台
(本内容はNTT-ATが取り扱う全ての4ipnet製アクセスポイントで実現可能です)
【ネットワーク構成例】
【事前準備】
Windows Serverは初期セットアップ済みで、以下のサービスが稼働していることが前提です。・AD DS(ドメインサービス)
・AD CS(証明書サービス)
・NPAS(ネットワークポリシーとアクセスサービス)
ADユーザとコンピュータにてあらかじめPEAP認証を使用するユーザが登録しておきます。本記事では(Web認証のユーザデータベースにActive Directoryを使用する)で作成したユーザを用いて説明します。また、AD CSにルート証明機関をインストールしておく必要があります。
【設定方法】
まずはAPの設定を行います。「Wireless>VAP設定」にてPEAP認証を行うためのSSIDを「4ipnet-PEAP」に設定します。次に、「Wireless>セキュリティ」で先ほどSSIDを設定したVAPに対し、以下のようにセキュリティ設定を行います。設定の1つに秘密鍵の入力がありますが、これはサーバとAP間の連携で使用する共通の鍵になりますので、任意の秘密鍵を入れてください。後ほどADサーバにも同じ秘密鍵の入力が必要です。
以上でAPの設定は完了です。続いてWindows Serverの設定をします。
ネットワークポリシーサーバの標準構成で「802.1Xワイヤレス接続またはワイヤード(有線)接続用のRADIUSサーバ」を選択し、「802.1Xを構成する」をクリックします。
「ワイヤレス接続をセキュリティで保護する」を選択し、「名前」に任意の名前を入力し、「次へ」をクリック。
「追加」をクリックします。
ここでRADIUSクライアント(アクセスポイント)に関する設定をします。「フレンドリ名」はAPのホスト名等を任意に入力し、「アドレス」にはAPのIPアドレスを入力します。「共有シークレット」には先ほどAPのセキュリティで設定した「秘密鍵」を手動入力し、「OK」をクリックします。
作成したRADIUSクライアントが追加されていることを確認し、「次へ」をクリックします。
「Microsoft:保護されたEAP(PEAP)」を選択し、「次へ」をクリックします。
「次へ」をクリック。
「次へ」をクリック。
「完了」をクリック。
「NPS(ローカル)>RADIUSクライアントとサーバ」に作成したRADIUSクライアントが存在することを確認します。
以上でWindows Serverの設定は完了です。それでは端末から無線接続してみましょう。
まずはSSID一覧から先ほど作成した「4ipnet-PEAP」を選択し、接続を試みます。そうすると、ユーザ名とパスワードを聞かれますので、ADに登録されているユーザアカウントを入力し、「OK」をクリックします。
問題なく接続されました!
また、PEAP認証が成功するとAPのsyslogには以下のようなメッセージが出力されます。
logd@localhost hostapd: ath0ap0: STA 18:5e:0f:XX:XX:XX IEEE 802.1X: authenticated - EAP type: 25 (PEAP)
(担当 高橋)