IEEE 802.1X認証により、WAPデバイスはセキュアな有線ネットワークにアクセスできます。WAPデバイスは、有線ネットワーク上で802.1Xサプリカント(クライアント)として設定できます。WAP351は、オーセンティケータとしても設定できます。802.1Xを使用してWAPデバイスが認証できるように、暗号化されたユーザ名とパスワードを設定できます。
IEEE 802.1Xポートベースのネットワークアクセス制御を使用するネットワークでは、802.1Xオーセンティケータがアクセスを許可するまで、サプリカントはネットワークにアクセスできません。ネットワークが802.1Xを使用する場合は、802.1X認証情報をWAPデバイスに設定して、オーセンティケータに提供できるようにする必要があります。
このドキュメントの目的は、WAP351で802.1Xサプリカントを設定する方法を示すことです。
・ WAP351
・ v1.0.1.3
ステップ1:Web構成ユーティリティにログインし、[System Security] > [802.1X]を選択します。[802.1X]ページが開きます。
ステップ2:ポートテーブルは、802.1X認証に設定できる5つのLANインターフェイスを示します。編集するポートに対応するチェックボックスをオンにします。
ステップ3:[Edit]ボタンをクリックします。チェックしたポートを編集できるようになります。
ステップ4:[Enable]フィールドで、802.1X設定を有効にするポートのチェックボックスをオンにします。
ステップ5:[Role]ドロップダウンリストで、対応するポートをサプリカントまたはオーセンティケータとして構成するかを選択します。サプリカントを選択した場合は、[サプリカントの設定(Supplicant Settings Configuration)]セクションに移動します。オーセンティケータを選択した場合は、「オーセンティケータ設定の構成」セクションに進みます。オーセンティケータは、ネットワークへのアクセスを希望するクライアント(サプリカント)とRADIUSサーバ自体の間にあります。この2つの間のすべての通信を処理する責任があります。サプリカントは、ネットワークにアクセスするためにオーセンティケータにクレデンシャルを提供します。WAP351の一般的な設定では、WANポートがサプリカント(WAPがネットワークにアクセス可能)になり、LANポートがオーセンティケータ(WAPがその下のデバイスを許可できるようにする)になります。
ステップ1:サプリカントの設定情報を表示するには、[詳細の表示]をクリックします。
注:この情報は、[モード]フィールドで選択した後に自動的に開くことがあります。
ステップ2:[EAP Method]ドロップダウンリストで、ユーザ名とパスワードの暗号化に使用するアルゴリズムを選択します。EAPはExtensible Authentication Protocol(EAP)を意味し、暗号化アルゴリズムの基礎として使用されます。
使用可能なオプションは次のとおりです。
・ MD5 — MD5メッセージダイジェストアルゴリズムは、ハッシュ関数を使用して基本的なセキュリティを提供します。他の2つの方がより高いセキュリティを持っているため、このアルゴリズムは推奨されません。
・ PEAP:PEAPはProtected Extensible Authentication Protocol(PEAP)を意味します。EAPをカプセル化し、TLSトンネルを使用してデータを送信することにより、MD5よりも高いセキュリティを提供します。
・ TLS:TLSはTransport Layer Securityの略で、高いセキュリティを提供するオープンスタンダードです。
ステップ3:[Username] フィールドに、802.1Xオーセンティケータからの要求に応答するときにWAPデバイスが使用するユーザ名を入力します。ユーザ名は1 ~ 64文字で、英数字と特殊文字を使用できます。
ステップ4:[Password] フィールドに、802.1Xオーセンティケータからの要求に応答するときにWAPデバイスが使用するパスワードを入力します。ユーザ名は1 ~ 64文字で、英数字と特殊文字を使用できます。
ステップ5:[Certificate File Status]領域には、HTTP SSL証明書ファイルがWAPデバイスに存在するかどうかを示します。証明書が存在する場合、[Certificate File Present]フィールドには「Yes」と表示されます。デフォルトは[No]です。証明書が存在する場合、証明書の有効期限は有効期限が切れたときに表示されます。それ以外の場合、デフォルトは「存在しない」です。最新の情報を表示するには、[更新]ボタンをクリックして、最新の証明書情報を取得します。
ステップ6:HTTP SSL証明書ファイルをアップロードしない場合は、ステップ12に進みます。それ以外の場合は、Transfer MethodフィールドのHTTPまたはTFTPオプションボタンを選択して、証明書のアップロードに使用するプロトコルを選択します。
ステップ7:TFTPを選択した場合、ステップ8に進みます。HTTPを選択した場合は、[Browse...]ボタンをクリックして、PC上の証明書ファイルを検索します。ステップ 10 に進みます。
ステップ8:[Transfer Method]フィールドで[TFTP]を選択した場合、[Filename]フィールドに証明書のファイル名を入力します。
注:ファイルの末尾は.pemである必要があります。
ステップ9:[TFTP Server IPv4 Address]フィールドにTFTPサーバのIPアドレスを入力します。
ステップ10:[Upload]をクリックします。
ステップ11:確認ウィンドウが表示されます。[OK]をクリックして、アップロードを開始します。
ステップ12:802.1Xサプリカントとして設定するすべてのポートについて、このセクションを繰り返します。次に、[保存]をクリックします。
ステップ1:オーセンティケータの設定情報を表示するには、[詳細の表示]をクリックします。
注:この情報は、[モード]フィールドで選択した後に自動的に開くことがあります。
ステップ2:認証中にポートでグローバルRADIUS設定を使用する場合は、[Use global RADIUS Server Settings]チェックボックスをオンにします。ポートで別のRADIUSサーバ(またはサーバ)を使用する場合は、このチェックボックスをオフにします。それ以外の場合は、ステップ 8 に進みます。
注:詳細については、「WAP131およびWAP351でのグローバルRADIUSサーバの設定」を参照してください。
ステップ3:[Server IP Address Type]フィールドで、RADIUSサーバが使用するIPバージョンのオプションボタンを選択します。使用できるオプションはIPv4とIPv6です。
注:アドレスタイプを切り替えてIPv4とIPv6 RADIUSアドレス設定を設定できますが、WAPデバイスは、このフィールドで選択したアドレスタイプを持つRADIUSサーバにのみ接続します。1つの設定で複数のサーバに異なるアドレスタイプを使用させることはできません。
ステップ4:[Server IP Address 1]または[Server IPv6 Address 1]フィールドに、ステップ3で選択したアドレスタイプに応じて、RADIUSサーバのIPv4またはIPv6アドレスを入力します。
注:このフィールドに入力されたアドレスは、ポートのプライマリRADIUSサーバを指定します。後続のフィールドに入力されたアドレス(サーバIPアドレス2 ~ 4)は、プライマリサーバで認証が失敗した場合に順番に試行されるバックアップRADIUSサーバを指定します。
ステップ5:[Key] フィールドに、WAPデバイスがRADIUSサーバへの認証に使用するプライマリRADIUSサーバに対応する共有秘密キーを入力します。1 ~ 64文字の英数字と特殊文字を使用できます。[Key 2]から[4]フィールドでポートを設定した後続のRADIUSサーバごとに、この手順を繰り返し実行します。
注:キーは大文字と小文字が区別され、RADIUSサーバで設定されているキーと一致している必要があります。
ステップ6:[Authentication Port]フィールドに、WAPがRADIUSサーバへの接続に使用するポートを入力します。[Authentication Port 2]から[4]フィールドで設定したバックアップRADIUSサーバごとに、この手順を繰り返します。デフォルト値は 1812 です。
ステップ7:[Enable RADIUS Accounting]チェックボックスをオンにして、ユーザが消費したリソース(システム時間、送信データ量など)の追跡と測定を有効にします。 このチェックボックスをオンにすると、プライマリサーバとバックアップサーバのRADIUSアカウンティングが有効になります。
ステップ8:[Active Server]ドロップダウンリストで、アクティブサーバとして設定する設定済みのRADIUSサーバのいずれかを選択します。この設定を使用すると、WAPは各サーバに順番に接続して最初に使用可能なものを選択するのではなく、すぐにアクティブサーバに接続しようとします。
ステップ9:[Periodic Reauthentication]フィールドで、[Enable]チェックボックスをオンにして、EAP再認証をオンにします。EAP再認証を有効にしない場合は、ステップ11に進みます。
ステップ10:[Periodic Reauthentication]フィールドの[Enable]チェックボックスをオンにした場合は、[Reauthentication Period]フィールドにEAP再認証期間を秒で入力します。デフォルト値は 3600 です。有効な範囲は300 ~ 4294967295秒です。
ステップ11:802.1Xオーセンティケータとして設定するすべてのポートについて、このセクションを繰り返します。次に、[保存]をクリックします。