【検証報告】Allied Telesis AT-TQ6702 GEN2 無線アクセスポイントと NetAttest EPS の認証連携を確認しました
はじめに
ソリトンシステムズのオールインワン認証アプライアンス「NetAttest EPS」と、アライドテレシス社製 無線LANアクセスポイント 「AT-TQ6702 GEN2」を連携させ、エンタープライズ方式による認証が可能かを確認しました。
無線接続クライアントは、Windows、macOS、iOS、Android OS 搭載端末で、確認した認証方式はパスワード方式(EPS-PEAP)及び、電子証明書認証方式(EAP-TLS)です。
1. 構成
1-1 構成図
以下の環境を構成します。
- 有線LANで接続する機器はL2スイッチに収容
- 有線LANと無線LANは同一セグメント
- 無線LANで接続するクライアントPCのIPアドレスは、NetAttest D3のDHCPサーバーから払い出す
1-2 環境
1-2-1 機器
製品名 | メーカー | 役割 | バージョン |
NetAttest EPS-SX15A-A | ソリトンシステムズ | RADIUS/CAサーバー | 5.0.4 |
AT-TQ6702 GEN2 | Allied Telesis | RADIUSクライアント (無線アクセスポイント) | 8.0.2 |
NetAttest D3-SX15-A | ソリトンシステムズ | DHCPサーバー | 5.2.10 |
Lenovo X390 | Lenovo | 802.1Xクライアント (Client PC) | Windows 10 64bit Windows 標準サプリカント |
MacBook Pro | Apple | 802.1Xクライアント (Client PC) | 13.0.1 (macOS Ventura) |
iPhone SE (2nd generation) | Apple | 802.1Xクライアント (Client SmartPhone) | 16.1.1 |
Pixel 5 | 802.1Xクライアント (Client SmartPhone) | 13 |
1-2-2 認証方式
IEEE802.1X EAP-TLS/EAP-PEAP
1-2-3 ネットワーク設定
機器 | IPアドレス | RADIUS port (Authentication) | RADIUS Secret (Key) |
NetAttest EPS-SX15A-A | 192.168.1.2/24 | UDP 1812 | secret |
AT-TQ6702 GEN2 | 192.168.1.1/24 | UDP 1812 | secret |
NetAttest D3-SX15-A | 192.168.1.3/24 | ー | ー |
Client PC | DHCP | ー | ー |
Client SmartPhone | DHCP | ー | ー |
2. NetAttest EPSの設定
NetAttest EPSのセットアップを下記の流れで行います。
- サービス管理ページへのログオン
- 初期設定ウィザード (システム、システム-2)の実行
- 初期設定ウィザード (サービス)の実行
- httpsサービスの再起動
- RADIUSクライアントの登録
- 利用者の登録
- クライアント証明書の発行
2-1 サービス管理ページへのログオン
NetAttest EPSの初期設定はLAN1から行います。初期のIPアドレスは「192.168.1.2/24」です。管理端末に適切なIPアドレスを設定し、Google Chrome もしくは Microsoft Edgeから「https://192.168.1.2:2181」にアクセスしてください。
2-2 初期設定ウィザード (システム、システム-2)の実行
サービス管理ページにログイン後、システム初期設定ウィザードを使用し、以下の項目を設定します。
- 管理者アカウントの設定
- 日付と時刻の設定
- ホスト名の設定
- ネットワークの設定
- DNSの設定
- インターネット時刻サーバーの設定
- ライセンスの設定
ログイン後に表示される画面より、「セットアップをはじめる」→「すすめる」→「はじめる」と進み、初期設定ウィザードの「システム」に関する設定を行います。
ここからは、システム初期セットアップウィザードの「システム-2」に関する設定を行います。
2-3 初期設定ウィザード (サービス)の実行
OS再起動が完了後、再度サービス管理ページにアクセス及びログインし、サービス初期設定ウィザードを使用して、以下の項目を設定します。
- 認証の用途の設定
- 認証の方式の設定
- 利用者情報リポジトリの設定
- CA構築
- サーバー証明書発行
2-4 httpsサービスの再起動
画面上部に「httpsサービスを再起動する」ボタンを選択し、httpsサービスの再起動を行います。
httpsサービスを再起動するとページの再読み込みを求められるため、ページの再読み込みを行います。
2-5 RADIUSクライアントの登録
サービス管理画面の「管理」メニューにて「RADIUS認証」でフィルタリングし、「NAS/RADIUSクライアント」を選択します。表示された画面で「新規登録」ボタンを選択し、RADIUSクライアントの登録を行います。
2-6 利用者の登録
サービス管理画面の「管理」メニューにて「利用者とデバイス」でフィルタリングし、「利用者一覧」を選択します。表示された画面で「新規登録」ボタンを選択し、利用者登録を行います。
2-7 クライアント証明書の発行
サービス管理画面より、クライアント証明書の発行を行います。[利用者一覧]ページから該当する利用者のクライアント証明書を発行します。
(クライアント証明書は、user01.p12という名前で保存)
3. AT-TQ6702 GEN2の設定
AT-TQ6702 GEN2は、コンソールポートがAllied Telesis社のメンテナンス用ポートとなっているため使用することができません。また、LAN2はデフォルトで無効に設定されているため、LAN1に接続し、設定を行います。
LAN1はデフォルトでDHCPからIPアドレスを取得する設定となっています、本資料では、デフォルトの固定IPアドレスで設定を始めるため、DHCPサービスを停止し、設定を開始します。
3-1 初期設定
AT-TQ6702 GEN2は、DHCPサーバーが存在しないネットワーク環境では、IPアドレスがデフォルト設定の「192.168.1.230」に設定されます。
AT-TQ6702 GEN2の設定はGUIで行う為、ウェブブラウザから下記のURLへアクセスします。
URL:[http://192.168.1.230 /cgi-bin/luci/]
デフォルト設定でユーザーID「manager」、パスワード「friend」に設定されています。
ユーザーID、パスワードを入力し、「ログイン」をクリックします。
「設定」-「システム」-「通信」と進み、インターフェースの設定を行います。
ホスト名、IPアドレスを設定し、サブネットマスク、デフォルトゲートウェイの設定は自動入力されていますので、問題なければ変更せずに「保存&適用」をクリックします。
変更後、接続URLが変更されるので、変更後のURLに接続し、再度ログインを行います。
※変更後のIPアドレスに接続した際に誤った、URLにリダイレクトされる場合があります。
誤ったURL: [http://{変更後のIPアドレス}/web/index.html]
正しいURL: [http://{変更後のIPアドレス}/cgi-bin/luci/]
ログイン画面に接続できない場合には正しいURLにリダイレクトされているか確認してください。
3-2 VAP/セキュリティーの設定
3-2-1 VAPの設定
「設定」-「VAP/セキュリティー」-「無線1」-「VAP0」-「バーチャルアクセスポイント」と進み、VAPの設定を行います。
バーチャルアクセスポイント(VAP)は、AT-TQ6702 GEN2上に仮想的なアクセスポイントを作り出す機能です。VAPとVLANを組み合わせることにより、1台で複数のAPが存在するように動作を行うことができ、無線1と無線2で合わせて、32個の設定を行うことができます。
VAP0はデフォルトでステータスが有効になっており、その他のVAPを使用する場合には、ステータスを有効にする必要があります。
本資料では、1台として動作を行う為、無線1のVAP0にのみ設定を行います。
SSID以外はデフォルト設定を使用し、「保存&適用」をクリックします。
3-2-2 セキュリティーの設定
「設定」-「VAP/セキュリティー」-「無線1」-「VAP0」-「セキュリティー」と進み、認証の設定を行います。
設定完了後、「保存&適用」をクリックします。
3-3 無線LANの設定
「設定」-「無線LAN」-「無線1」-「基本設定」と進み、無線LANの設定を行います。
ステータスは「有効」に変更、その他はデフォルト設定の状態で、「保存&適用」をクリックします。
4. EAP-TLS認証でのクライアント設定
4-1 Windows 10でのEAP-TLS認証
4-1-1 クライアント証明書のインポート
PCにクライアント証明書をインポートします。ダウンロードしておいたクライアント証明書(user01.p12)をダブルクリックすると、証明書インポートウィザードが実行されます。
4-1-2 サプリカント設定
Windows標準サプリカントでTLSの設定を行います。
[ワイヤレスネットワークのプロパティ] の [セキュリティ] タブから以下の設定を行います。
4-2 MacでのEAP-TLS認証
4-2-1 クライアント証明書のインポート
PCにデジタル証明書をインポートします。
「キーチェーンアクセス」を起動し、[デフォルトキーチェーン] - [ログイン]を選択後、PKCS#12ファイルをドラッグ&ドロップし、PKCS#12ファイル のパスワードを入力します。
インポートしたCA証明書の信頼設定を変更します。
インポートしたCA証明書をダブルクリックし、[信頼] - [この証明書を使用するとき]の項目で「常に信頼」に変更します。
ウィンドウを閉じると、パスワードを求められるため、端末(Mac)に設定しているパスワードを入力し、「設定をアップデート」を選択します。
参考)
CLIコマンドを利用して、PKCS#12ファイルをインポートすることも可能です。
PKCS#12ファイルをデスクトップ上へ保存し、ターミナルで以下のコマンドを入力します。
security import /Users/<ログインユーザーID>/Desktop/<証明書ファイル名> -k /Users/<ログインユーザーID>/Library/KeyChains/Login.keychain-db –f pkcs12 –x |
「ログインユーザーID」、「証明書ファイル名」は、環境に合わせて書き換えて下さい。
注:V11.6.6(macOS Big Sur)及びV12.5(macOS Monterey)で確認したところ、コマンドラインからエクスポート禁止オプション("-x")を設定してインポートしても、キーチェーアクセスから秘密鍵をエクスポート出来てしまうようです。
なお、ソリトンシステムズの証明書配布ソリューションであるEPS-apを利用してクライアント証明書をインポートした場合は、秘密鍵のエクスポートは不可の状態となります。
4-2-2 サプリカント設定
Mac標準サプリカントでTLSの設定を行います。
メニューバーのネットワークのアイコンをクリックして、「Wi-Fi設定…」をクリックし、以下の設定を行います。
4-3 iOSでのEAP-TLS認証
4-3-1 クライアント証明書のインポート
NetAttest EPSから発行したクライアント証明書をiOSデバイスにインポートする方法には下記などがあります。
- Mac OSを利用してApple Configuratorを使う方法
- クライアント証明書をメールに添付しiOSデバイスに送り、インポートする方法
- SCEPで取得する方法(NetAttest EPS-apを利用できます)
いずれかの方法でCA証明書とクライアント証明書をインポートします。本書では割愛します。
4-3-2 サプリカント設定
AT-TQ6702 GEN2で設定したSSIDを選択し、サプリカントの設定を行います。
まず、「ユーザ名」には証明書を発行したユーザーのユーザーIDを入力します。次に「モード」より「EAP-TLS」を選択します。その後、「ユーザ名」の下の「ID」よりインポートされたクライアント証明書を選択します。
※初回接続時は「信頼されていません」と警告が出るので、「信頼」を選択し、接続します。
4-4 AndroidでのEAP-TLS認証
4-4-1 クライアント証明書のインポート
NetAttest EPSから発行したクライアント証明書をAndroidデバイスにインポートする方法として、下記3つの方法等があります。いずれかの方法でCA証明書とクライアント証明書をインポートします。手順については、本書では割愛します。
- SDカードにクライアント証明書を保存し、インポートする方法※1
- クライアント証明書をメールに添付しAndroidデバイスに送り、インポートする方法※2
- SCEPで取得する方法(NetAttest EPS-apを利用できます)※3
※1 メーカーやOSバージョンにより、インポート方法が異なる場合があります。事前にご検証ください。
※2 メーカーやOSバージョン、メーラーにより、インポートできない場合があります。事前にご検証ください。
※3 メーカーやOSバージョンにより、Soliton KeyManagerが正常に動作しない場合があります。事前にご検証ください。
Android 13では証明書インポート時に用途別に証明書ストアが選択できますが、本書では無線LANへの接続を行うため、クライアント証明書は「Wi-Fi証明書」を選択しています。
4-4-2 サプリカント設定
AT-TQ6702 GEN2で設定したSSIDを選択し、サプリカントの設定を行います。
「ID」には証明書を発行したユーザーのユーザーIDを入力します。CA証明書とユーザー証明書はインポートした証明書を選択して下さい。
5. EAP-PEAP認証でのクライアント設定
5-1 Windows 10でのEAP-PEAP認証
5-1-1 Windows 10のサプリカント設定
[ワイヤレスネットワークのプロパティ] の「セキュリティ」タブから以下の設定を行います。
5-2 MacでのEAP-PEAP認証
5-2-1 Macのサプリカント設定
Mac標準サプリカントでPEAPの設定を行います。
メニューバーのネットワークのアイコンをクリックして、「Wi-Fi設定…」をクリックし、以下の設定を行います。
5-3 iOSでのEAP-PEAP認証
5-3-1 iOSのサプリカント設定
AT-TQ6702 GEN2で設定したSSIDを選択し、サプリカントの設定を行います。「ユーザ名」、「パスワード」には「2-6 利用者の登録」で設定したユーザーID、パスワードを入力してください。
※初回接続時は「証明書が信頼されていません」と警告が出るので、「信頼」を選択し、接続します。
5-4 AndroidでのEAP-PEAP認証
5-4-1 Androidのサプリカント設定
AT-TQ6702 GEN2で設定したSSIDを選択し、サプリカントの設定を行います。「ID」「パスワード」には「2-6 利用者の登録」で設定したユーザーID、パスワードを入力してください。「CA証明書」にインポートしたCA証明書を選択してください。
6. 動作確認
6-1 RADIUS認証ログの確認(EPS)
EPSのRADIUS認証ログは、サービス管理画面の「管理」メニューにて「ログ」でフィルタリングし、「RADIUS認証ログ」を選択することで確認可能です。
6-1-1 認証成功ログ
EAP-TLS | |
EAP-PEAP |
6-2 ログの確認(AT-TQ6702 GEN2)
AT-TQ6702 GEN2のログは「監視」-「ログ」と進むことで確認することができます。
6-2-2 認証成功ログ
EAP-TLS | |
EAP-PEAP |
まとめ
ソリトンシステムズのオールインワン認証アプライアンス「NetAttest EPS」と、アライドテレシス社製 無線LANアクセスポイント 「AT-TQ6702 GEN2」を連携させ、エンタープライズ方式による認証が可能であることを確認しました。
今回の連携検証は、最もシンプルな構成で行っています。
企業ネットワークへの導入を検討するにあたっては、無線アクセスポイントの各種機能の評価も必要になります。より実環境に近い構成での確認をお奨めします。
Pickup ピックアップ
-
イベント報告
【ウェビナー】「医療情報システムの安全管理に関するガイドライン」に基づくランサムウェア等へのセキュリティ対策と導入事例/効果に...
-
インタビュー
「切れない」VPNに認証の側面から安心をプラス|Absolute Secure Access ✕ Soliton OneGat...
-
イベント報告
【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは?|アクシオ×ソリトンシ...
-
インタビュー
フルマネージドの連携ソリューションで快適かつ安全な無線環境を負荷なく実現|Hypersonix × Soliton OneGa...
-
インタビュー
「まずは認証から」現場の課題に寄り添い、実現可能なゼロトラストセキュリティソリューションを提案|萩原テクノソリューションズ×ソ...