技術 2022/12/19

【検証報告】Allied Telesis AT-TQ6702 GEN2 無線アクセスポイントと NetAttest EPS の認証連携を確認しました

はじめに

ソリトンシステムズのオールインワン認証アプライアンス「NetAttest EPS」と、アライドテレシス社製無線LANアクセスポイント「AT-TQ6702 GEN2」を連携させ、エンタープライズ方式による認証が可能かを確認しました。

無線接続クライアントは、Windows、macOS、iOS、Android OS 搭載端末で、確認した認証方式はパスワード方式（EPS-PEAP）及び、電子証明書認証方式（EAP-TLS）です。

1. 構成

1-1 構成図

以下の環境を構成します。

有線LANで接続する機器はL2スイッチに収容
有線LANと無線LANは同一セグメント
無線LANで接続するクライアントPCのIPアドレスは、NetAttest D3のDHCPサーバーから払い出す

1-2 環境

1-2-1 機器

製品名	メーカー	役割	バージョン
NetAttest EPS-SX15A-A	ソリトンシステムズ	RADIUS/CAサーバー	5.0.4
AT-TQ6702 GEN2	Allied Telesis	RADIUSクライアント (無線アクセスポイント)	8.0.2
NetAttest D3-SX15-A	ソリトンシステムズ	DHCPサーバー	5.2.10
Lenovo X390	Lenovo	802.1Xクライアント (Client PC)	Windows 10 64bit Windows 標準サプリカント
MacBook Pro	Apple	802.1Xクライアント (Client PC)	13.0.1 (macOS Ventura)
iPhone SE (2nd generation)	Apple	802.1Xクライアント (Client SmartPhone)	16.1.1
Pixel 5	Google	802.1Xクライアント (Client SmartPhone)	13

1-2-2 認証方式

IEEE802.1X EAP-TLS/EAP-PEAP

1-2-3 ネットワーク設定

機器	IPアドレス	RADIUS port (Authentication)	RADIUS Secret (Key)
NetAttest EPS-SX15A-A	192.168.1.2/24	UDP 1812	secret
AT-TQ6702 GEN2	192.168.1.1/24	UDP 1812	secret
NetAttest D3-SX15-A	192.168.1.3/24	ー	ー
Client PC	DHCP	ー	ー
Client SmartPhone	DHCP	ー	ー

2. NetAttest EPSの設定

NetAttest EPSのセットアップを下記の流れで行います。

サービス管理ページへのログオン
初期設定ウィザード (システム､システム-2)の実行
初期設定ウィザード (サービス)の実行
httpsサービスの再起動
RADIUSクライアントの登録
利用者の登録
クライアント証明書の発行

2-1 サービス管理ページへのログオン

NetAttest EPSの初期設定はLAN1から行います。初期のIPアドレスは「192.168.1.2/24」です。管理端末に適切なIPアドレスを設定し、Google Chrome もしくは Microsoft Edgeから「https://192.168.1.2:2181」にアクセスしてください。

2-2 初期設定ウィザード (システム､システム-2)の実行

サービス管理ページにログイン後、システム初期設定ウィザードを使用し、以下の項目を設定します。

管理者アカウントの設定
日付と時刻の設定
ホスト名の設定
ネットワークの設定
DNSの設定
インターネット時刻サーバーの設定
ライセンスの設定

ログイン後に表示される画面より、「セットアップをはじめる」→「すすめる」→「はじめる」と進み、初期設定ウィザードの「システム」に関する設定を行います。

ここからは、システム初期セットアップウィザードの「システム-2」に関する設定を行います。

2-3 初期設定ウィザード (サービス)の実行

OS再起動が完了後、再度サービス管理ページにアクセス及びログインし、サービス初期設定ウィザードを使用して、以下の項目を設定します。

認証の用途の設定
認証の方式の設定
利用者情報リポジトリの設定
CA構築
サーバー証明書発行

2-4 httpsサービスの再起動

画面上部に「httpsサービスを再起動する」ボタンを選択し、httpsサービスの再起動を行います。
httpsサービスを再起動するとページの再読み込みを求められるため、ページの再読み込みを行います。

2-5 RADIUSクライアントの登録

サービス管理画面の「管理」メニューにて｢RADIUS認証｣でフィルタリングし､｢NAS/RADIUSクライアント｣を選択します｡表示された画面で「新規登録」ボタンを選択し、RADIUSクライアントの登録を行います。

2-6 利用者の登録

サービス管理画面の「管理」メニューにて｢利用者とデバイス｣でフィルタリングし､｢利用者一覧｣を選択します｡表示された画面で「新規登録」ボタンを選択し、利用者登録を行います。

2-7 クライアント証明書の発行

サービス管理画面より、クライアント証明書の発行を行います。[利用者一覧]ページから該当する利用者のクライアント証明書を発行します。
(クライアント証明書は、user01.p12という名前で保存)

3. AT-TQ6702 GEN2の設定

AT-TQ6702 GEN2は、コンソールポートがAllied Telesis社のメンテナンス用ポートとなっているため使用することができません。また、LAN２はデフォルトで無効に設定されているため、LAN１に接続し、設定を行います。
LAN１はデフォルトでDHCPからIPアドレスを取得する設定となっています、本資料では、デフォルトの固定IPアドレスで設定を始めるため、DHCPサービスを停止し、設定を開始します。

3-1 初期設定

AT-TQ6702 GEN2は、DHCPサーバーが存在しないネットワーク環境では、IPアドレスがデフォルト設定の「192.168.1.230」に設定されます。

AT-TQ6702 GEN2の設定はGUIで行う為、ウェブブラウザから下記のURLへアクセスします。

URL：[http://192.168.1.230 /cgi-bin/luci/]

デフォルト設定でユーザーID「manager」、パスワード「friend」に設定されています。
ユーザーID、パスワードを入力し、「ログイン」をクリックします。

「設定」-「システム」-「通信」と進み、インターフェースの設定を行います。
ホスト名、IPアドレスを設定し、サブネットマスク、デフォルトゲートウェイの設定は自動入力されていますので、問題なければ変更せずに「保存&適用」をクリックします。
変更後、接続URLが変更されるので、変更後のURLに接続し、再度ログインを行います。

※変更後のIPアドレスに接続した際に誤った、URLにリダイレクトされる場合があります。
誤ったURL: [http://{変更後のIPアドレス}/web/index.html]
正しいURL: [http://{変更後のIPアドレス}/cgi-bin/luci/]
ログイン画面に接続できない場合には正しいURLにリダイレクトされているか確認してください。

3-2 VAP/セキュリティーの設定

3-2-1 VAPの設定

「設定」-「VAP/セキュリティー」-「無線1」-「VAP0」-「バーチャルアクセスポイント」と進み、VAPの設定を行います。
バーチャルアクセスポイント（VAP）は、AT-TQ6702 GEN2上に仮想的なアクセスポイントを作り出す機能です。VAPとVLANを組み合わせることにより、1台で複数のAPが存在するように動作を行うことができ、無線1と無線2で合わせて、32個の設定を行うことができます。
VAP0はデフォルトでステータスが有効になっており、その他のVAPを使用する場合には、ステータスを有効にする必要があります。
本資料では、1台として動作を行う為、無線1のVAP0にのみ設定を行います。
SSID以外はデフォルト設定を使用し、「保存&適用」をクリックします。

3-2-2 セキュリティーの設定

「設定」-「VAP/セキュリティー」-「無線1」-「VAP0」-「セキュリティー」と進み、認証の設定を行います。
設定完了後、「保存&適用」をクリックします。

3-3 無線LANの設定

「設定」-「無線LAN」-「無線1」-「基本設定」と進み、無線LANの設定を行います。
ステータスは「有効」に変更、その他はデフォルト設定の状態で、「保存&適用」をクリックします。

4. EAP-TLS認証でのクライアント設定

4-1 Windows 10でのEAP-TLS認証

4-1-1 クライアント証明書のインポート

PCにクライアント証明書をインポートします。ダウンロードしておいたクライアント証明書(user01.p12)をダブルクリックすると、証明書インポートウィザードが実行されます。

4-1-2 サプリカント設定

Windows標準サプリカントでTLSの設定を行います。
[ワイヤレスネットワークのプロパティ] の [セキュリティ] タブから以下の設定を行います。

4-2 MacでのEAP-TLS認証

4-2-1 クライアント証明書のインポート

PCにデジタル証明書をインポートします。
「キーチェーンアクセス」を起動し、[デフォルトキーチェーン] - [ログイン]を選択後、PKCS#12ファイルをドラッグ＆ドロップし、PKCS#12ファイルのパスワードを入力します。

インポートしたCA証明書の信頼設定を変更します。
インポートしたCA証明書をダブルクリックし、[信頼] - [この証明書を使用するとき]の項目で「常に信頼」に変更します。

ウィンドウを閉じると、パスワードを求められるため、端末(Mac)に設定しているパスワードを入力し、「設定をアップデート」を選択します。

参考)
CLIコマンドを利用して、PKCS#12ファイルをインポートすることも可能です。
PKCS#12ファイルをデスクトップ上へ保存し、ターミナルで以下のコマンドを入力します。

security import /Users/<ログインユーザーID>/Desktop/<証明書ファイル名> -k /Users/<ログインユーザーID>/Library/KeyChains/Login.keychain-db –f pkcs12 –x

「ログインユーザーID」、「証明書ファイル名」は、環境に合わせて書き換えて下さい。

注：V11.6.6（macOS Big Sur）及びV12.5(macOS Monterey)で確認したところ、コマンドラインからエクスポート禁止オプション（"-x"）を設定してインポートしても、キーチェーアクセスから秘密鍵をエクスポート出来てしまうようです。
なお、ソリトンシステムズの証明書配布ソリューションであるEPS-apを利用してクライアント証明書をインポートした場合は、秘密鍵のエクスポートは不可の状態となります。

4-2-2 サプリカント設定

Mac標準サプリカントでTLSの設定を行います。
メニューバーのネットワークのアイコンをクリックして、「Wi-Fi設定…」をクリックし、以下の設定を行います。

4-3 iOSでのEAP-TLS認証

4-3-1 クライアント証明書のインポート

NetAttest EPSから発行したクライアント証明書をiOSデバイスにインポートする方法には下記などがあります。

Mac OSを利用してApple Configuratorを使う方法
クライアント証明書をメールに添付しiOSデバイスに送り、インポートする方法
SCEPで取得する方法(NetAttest EPS-apを利用できます)

いずれかの方法でCA証明書とクライアント証明書をインポートします。本書では割愛します。

4-3-2 サプリカント設定

AT-TQ6702 GEN2で設定したSSIDを選択し、サプリカントの設定を行います。
まず、「ユーザ名」には証明書を発行したユーザーのユーザーIDを入力します。次に「モード」より「EAP-TLS」を選択します。その後、「ユーザ名」の下の「ID」よりインポートされたクライアント証明書を選択します。
※初回接続時は「信頼されていません」と警告が出るので、「信頼」を選択し、接続します。

4-4 AndroidでのEAP-TLS認証

4-4-1 クライアント証明書のインポート

NetAttest EPSから発行したクライアント証明書をAndroidデバイスにインポートする方法として、下記３つの方法等があります。いずれかの方法でCA証明書とクライアント証明書をインポートします。手順については、本書では割愛します。

SDカードにクライアント証明書を保存し、インポートする方法※1
クライアント証明書をメールに添付しAndroidデバイスに送り、インポートする方法※2
SCEPで取得する方法(NetAttest EPS-apを利用できます)※3

※1 メーカーやOSバージョンにより、インポート方法が異なる場合があります。事前にご検証ください。
※2 メーカーやOSバージョン、メーラーにより、インポートできない場合があります。事前にご検証ください。
※3 メーカーやOSバージョンにより、Soliton KeyManagerが正常に動作しない場合があります。事前にご検証ください。

Android 13では証明書インポート時に用途別に証明書ストアが選択できますが、本書では無線LANへの接続を行うため、クライアント証明書は「Wi-Fi証明書」を選択しています。