NetAttest EPS AD連携で無線接続認証を行うための設定方法

IT技術解説

NetAttest EPS AD連携で無線接続認証を行うための設定方法

※インフラエンジニア向けの記事になります。記事のリストはこちら

無線接続を行う際、RADIUSサーバとしてNetAttest EPSを登録し EPS内に作成したユーザのIDパスワードで接続の認証を行う、という方法が多く採用されています。 (一般的なRADIUS認証)

本記事ではActive DirectoryとADを連携させることにより、EPSの内部データベースではなく 外部データベースを利用して認証を行う方法を紹介します。

更に、無線接続に利用したADのユーザの所属グループにより、動的に異なるVLAN付与するダイナミックVALNの設定方法も紹介します。※機器の基本的な設定(ログインやIP設定、APのRADIUSサーバ指定など)は割愛いたします。

今回検証環境の無線機器は、クラウド管理無線「Aerohive」を使用したいと思います。

NetAttest EPS AD連携設定方法解説

下記、今回の検証環境の機器、ユーザ情報です。

用途検証機種使用IP
ADserver(外部認証)WindowsServer2012(VMで起動)IP:192.168.1.1/24
無線機器(AP)Aerohive(クラウドより設定)IP:192.168.1.200/24
認証装置(RADIUSサーバ)兼DHCPサーバNetAttest EPS(VMで起動)IP:192.168.1.10/24
ADに登録しているユーザADで所属しているグループ付与するVLAN
鈴木太郎(ユーザID:suzukiyarou パスワード:Suzuki012345)classA vlan10 Address(10.10.10.0/24)
山田花子(ユーザID:yamadahanako パスワード:Yamada012345)classBvlan20 Address(10.10.20.0/24)

最終的な目標

上記のユーザ、鈴木太郎さんが(ユーザID:suzukiyarou パスワード:Suzuki012345)を入力し無線接続を行った場合、 VLAN10が自動で割り当てられ[10.10.10.0/24]のアドレス帯でIPを取得。

山田花子さんは(ユーザID:yamadahanako パスワード:Yamada012345)を入力し無線接続を行い、 VLAN20が自動で割り当てられ[10.10.20.0/24]のアドレス帯でIPを取得。という構成を構築します。

NetAttest と AD連携を利用した無線接続の一連の流れ

まず、NetAttest EPS とAD連携の一連の設定流れを解説します。

  1. クライアントは無線接続を行う際、自分の認証情報(ID、Pass)を送信します。
  2. 認証要求を受けた無線機器(AP)は、予め登録した認証サーバ(EPS)に認証情報の正誤の問い合わせを行います。
  3. AD連携を行っていれば、予め登録したADサーバへ認証情報の正誤を問い合わせます。
  4. ADから認証情報の正誤結果が返信されます。
  5. 4のADからの返信をRADIUSプロトコルに換え、情報を付与を行ってから認証要求を行ってきた無線機器に返信します。

連携先ADのドメインを指定-NetAttest 設定-

ログイン後の画面より、RADIUSサーバ>RADIUSサーバー設定>基本設定>Windows連携、まで移動し設定を行います。

[Windowsドメイン認証連携を行う]にチェックを入れ、ドメイン名、ユーザアカウント、パスワードを入力します。

[Active Directory認証を使用する]の項目はADとEPSがネットワークセグメントの場合使用します。

NetAttest EPS Windos連携画面

NetAttest EPS DNS設定

ログイン後の画面より、RADIUSサーバ>RADIUSサーバー設定>基本設定>Windows連携、まで移動し DNSサーバのIPを指定します。 今回の検証環境では[192.168.1.1]となります。

参照データベース設定-NetAttest 設定-

RADIUSサーバー>RADIUSサーバー設定>参照データベース>参照データベースの設定、まで移動し設定を行います。 [追加]を選択し新規で参照データベースを作成します。

NetAttest EPS 基本情報画面
~下記、参照データベースの設定例です~[名前]・・・任意
[タイプ]・・・Active Directory
[サーバー]・・・ADのIPアドレス(192.168.1.1)
[ポート番号]・・・389
[ベースDN]・・・「Windows連携」で設定したユーザのドメインを入力します。(例)dc=test,dc=local
[バインドDN]・・・「Windows連携」で設定したユーザの場所を入力します。(例)cn=Administrator,cn=Users,dc=test,dc=local
	※dcはドメインコントローラ、cnはコモンネームの意味です。

NetAttest EPS AD連携 ユーザ検索テスト

前項目の、サーバIP、ベースDN、バインドDN、で検索が可能かテストを行うことができます。

検索ベースに[ou=ユーザ]を指定します。

ouユーザ配下にユーザ(今回いうと[鈴木太郎][山田花子])があると検索が正常に行えます。 別のou配下にユーザがある場合はそちらを入力します。

NetAttest EPS ユーザ検索画面
NetAttest EPS グループ検索画面

NetAttest EPS 参照データベース完成

作成した参照データベースを有効化し、これで参照データベースの設定は完了です。

現時点で、wp2エンタープライズのSSIDにADのユーザで無線接続可能になります。

NetAtetst EPS 参照DB画面

次の記事で、この設定を行ったNetAttestとADのユーザ情報を利用した、ダイナミックVLANを行う方法を紹介いたします。(次へ進む)

NetAttest EPS AD連携の設定-ダイナミックVLANの設定
※インフラエンジニア向けの記事になります。記事のリストはこちら。 前回から引き続きNetAttestをRADU|IUSサーバとし、ADとの連携で無線接続認証、セキュリティグループに基づいたvlanを割り当てるダイナミックの方法をご紹介いたし...
invisibletechnology.jp