技術記事・調査 2023/06/05

【検証報告】アイ・オー・データ機器 WHG-DAX1800A 無線アクセスポイントと NetAttest EPS の認証連携を確認しました

ソリトンシステムズのオールインワン認証アプライアンス「NetAttest EPS」と、アイ・オー・データ機器社製無線LANアクセスポイント「WHG-DAX1800A」を連携させ、エンタープライズ方式による認証が可能かを確認しました。

無線接続クライアントは、Windows、iOS搭載端末で、確認した認証方式は電子証明書認証方式（EAP-TLS）です。

1. 構成

1-1 構成図

以下の環境を構成します。

有線LANで接続する機器はL2スイッチに収容
有線LANと無線LANは同一セグメント
無線LANで接続するクライアントPCのIPアドレスは、NetAttest D3のDHCPサーバーから払い出す

1-2 環境

1-2-1 機器

製品名	メーカー	役割	バージョン
NetAttest EPS-SX15A-A	ソリトンシステムズ	RADIUS/CAサーバー	5.0.5
WHG-DAX1800A	アイ・オー・データ機器	RADIUSクライアント (無線アクセスポイント)	1.1.0
XPS 13 9360	Dell	802.1Xクライアント (Client PC)	Windows 10 64bit Windows 標準サプリカント
iPhone 12	Apple	802.1Xクライアント (Client SmartPhone)	16.4.1
WN-DAX1200U	アイ・オー・データ機器	Wi-Fi 6対応Wi-Fi子機	1.00

1-2-2 認証方式

IEEE802.1X EAP-TLS

1-2-3 ネットワーク設定

機器	IPアドレス	RADIUS port (Authentication)	RADIUS Secret (Key)
NetAttest EPS-SX15A-A	192.168.1.2/24	UDP 1812	secret1234
WHG-DAX1800A	192.168.1.1/24	UDP 1812	secret1234
NetAttest D3-SX15-A	192.168.1.3/24
Client PC	DHCP	ー	ー
Client SmartPhone	DHCP	ー	ー

2. NetAttest EPSの設定

NetAttest EPSのセットアップを下記の流れで行います。

サービス管理ページへのログオン
初期設定ウィザード (システム､システム-2)の実行
初期設定ウィザード (サービス)の実行
httpsサービスの再起動
RADIUSクライアントの登録
利用者の登録
クライアント証明書の発行

2-1 サービス管理ページへのログオン

NetAttest EPSの初期設定はLAN1から行います。初期のIPアドレスは「192.168.1.2/24」です。管理端末に適切なIPアドレスを設定し、Google Chrome もしくは Microsoft Edgeから「https://192.168.1.2:2181」にアクセスしてください。

2-2 初期設定ウィザード (システム､システム-2)の実行

サービス管理ページにログイン後、システム初期設定ウィザードを使用し、以下の項目を設定します。

管理者アカウントの設定
日付と時刻の設定
ホスト名の設定
ネットワークの設定
DNSの設定
インターネット時刻サーバーの設定
ライセンスの設定

ログイン後に表示される画面より、「セットアップをはじめる」→「すすめる」→「はじめる」と進み、初期設定ウィザードの「システム」に関する設定を行います。

ここからは、システム初期セットアップウィザードの「システム-2」に関する設定を行います。

2-3 初期設定ウィザード (サービス)の実行

OS再起動が完了後、再度サービス管理ページにアクセス及びログインし、サービス初期設定ウィザードを使用して、以下の項目を設定します。

認証の用途の設定
認証の方式の設定
利用者情報リポジトリの設定
CA構築
サーバー証明書発行

2-4 httpsサービスの再起動

画面上部に「httpsサービスを再起動する」ボタンを選択し、httpsサービスの再起動を行います。

httpsサービスを再起動するとページの再読み込みを求められるため、ページの再読み込みを行います。

2-5 RADIUSクライアントの登録

サービス管理画面の「管理」メニューにて｢RADIUS認証｣でフィルタリングし､｢NAS/RADIUSクライアント｣を選択します｡表示された画面で「新規登録」ボタンを選択し、RADIUSクライアントの登録を行います。

2-6 利用者の登録

サービス管理画面の「管理」メニューにて｢利用者とデバイス｣でフィルタリングし､｢利用者一覧｣を選択します｡表示された画面で「新規登録」ボタンを選択し、利用者登録を行います。

2-7 クライアント証明書の発行

サービス管理画面より、クライアント証明書の発行を行います。[利用者一覧]ページから該当する利用者のクライアント証明書を発行します。

(クライアント証明書は、user01.p12という名前で保存)

3. WHG-DAX1800Aの設定

アイ・オー・データ機器の無線アクセスポイント、WHG-DAX1800Aの設定を行います。WHG-DAX1800Aの設定は専用ツール「Magical Finder」とWebブラウザを利用します。

購入時の初期設定では、DHCPサーバーからIPアドレスを取得する設定となっておりますので、まずは専用ツール「Magical Finder」より設定を開始します。

「Magical Finder」は下記Webページにアクセスし、お使いのOSを選んでダウンロードしてください。http://www.iodata.jp/r/3022

Magical Finderを起動すると、下記のように対象製品が表示されます。

設定を行う機器を選択し、「Web設定画面を開く」をクリックし設定画面を起動します

設定画面が起動したら、ユーザー名/パスワードを入力しログインします。

WHG-DAX1800Aのセットアップは下記の流れで行います。

IP アドレスの設定
無線の設定
RADIUS サーバーの設定

3-1 IPアドレスの設定

設定画面を開いたら、画面左の[ネットワーク]-[LAN設定]をクリックし、WHG-DAX1800AのIPアドレス設定画面を開きます。

3-2 無線の設定

WHG-DAX1800Aに無線LANのSSID情報を設定します。設定画面より[ネットワーク]-[無線設定]-[Wi-Fi設定-アクセスポイント]-[編集]を選択し、[Wi-Fi設定-アクセスポイント 2.4GHz/5GHz]から無線とSSIDの設定を行います。

無線の周波数帯(2.4GHzモード/5GHzモード)は、ご利用の端末環境に応じて選択してください。

3-3 RADIUSサーバーの設定

WHG-DAX1800Aに認証サーバーの情報を設定します。前項「3-2 無線の設定」と同一ページの[Wi-Fiセキュリティ]から無線LANセキュリティの設定を行います。

以上でWHG-DAX1800Aの設定は完了です。

画面下部に表示される「適用」をクリックしてください。

4. EAP-TLS認証でのクライアント設定

4-1 Windows 11でのEAP-TLS認証

4-1-1 クライアント証明書のインポート

PCにクライアント証明書をインポートします。ダウンロードしておいたクライアント証明書(user01.p12)をダブルクリックすると、証明書インポートウィザードが実行されます。

4-1-2 サプリカント設定

Windows標準サプリカントでTLSの設定を行います。事前に下記WebページよりWi-Fi子機 WN-DAX1200Uのドライバーをダウンロードし、インストールおよびOS再起動を実施しておきます。

https://www.iodata.jp/p/242280

Wi-Fi子機をクライアントPCに接続した状態で、コントロールパネルの [ネットワークと共有センター] から以下の設定を行います。

続いて、[ワイヤレスネットワークのプロパティ] の [セキュリティ] タブから以下の設定を行います。

4-2 iOSでのEAP-TLS認証

4-2-1 クライアント証明書のインポート

NetAttest EPSから発行したクライアント証明書をiOSデバイスにインポートする方法には下記などがあります。

Mac OSを利用してApple Configuratorを使う方法
クライアント証明書をメールに添付しiOSデバイスに送り、インポートする方法
SCEPで取得する方法(NetAttest EPS-apを利用できます)

いずれかの方法でCA証明書とクライアント証明書をインポートします。本書では割愛します。

4-2-2 サプリカント設定

WHG-DAX1800Aで設定したSSIDを選択し、サプリカントの設定を行います。

まず、「ユーザ名」には証明書を発行したユーザーのユーザーIDを入力します。次に「モード」より「EAP-TLS」を選択します。その後、「ユーザ名」の下の「ID」よりインポートされたクライアント証明書を選択します。

※初回接続時は「信頼されていません」と警告が出るので、「信頼」を選択し、接続します。

5. 動作確認

5-1 RADIUS認証ログの確認(EPS)

EPSのRADIUS認証ログは、サービス管理画面の「管理」メニューにて｢ログ｣でフィルタリングし､｢RADIUS認証ログ｣を選択することで確認可能です。

5-2 ログの確認(WHG-DAX1800A)

管理画面の[システム設定]-[ログ]へと進んでログを確認します。

・EAP-TLS認証が成功した場合のログ表示例

NetAttest EPS

FL WLAN 1100

Apr 12 11:12:21 WHG-DAX1800A local0.info event 1.0: ap_client_eap_auth, client_mac='50:41:b9:42:e4:4d', radio='5G', ssid_id='0', channel='128', identity='user01', aid='643613858ab46', ssid_profile_name='SolitonLab', protocol='802.11AX'

Apr 12 11:12:21 WHG-DAX1800A local0.info event 1.0: ap_client_assoc, client_mac='50:41:b9:42:e4:4d', radio='5G', ssid_id='0', channel='128', rssi='-42', aid='643613858ab46', ssid_profile_name='SolitonLab', auth_type='eap', protocol='802.11AX'

Apr 12 11:12:21 WHG-DAX1800A local0.info event 1.0: ap_band_steering_pre_assoc, client_mac='50:41:b9:42:e4:4d',radio='5G',vap='ath1',channel='128',rssi='-41',5g_ratio='0',ability='3',bandsteer='2',sugg_band='5G',ssid_profile_name='SolitonLab',protocol='802.11AX',11v='0',reason='Client does not support 802.11v',aid='643613858ab46'