設定例(ApresiaLightGSシリーズ)

ネットワーク認証

802.1X認証

APLGSシリーズのポートアクセス制御機能には802.1X認証とMAC認証があり、ポートごとにどちらかを選択できます。WEB認証はサポートしていません。ここでは802.1X認証について説明します。

基本構成図

基本構成図

L2認証スイッチのポート設定
ポート番号 ポート種別 ユーザー/
接続装置
認証機能 固定VLAN ダイナミック
VLAN
1 アクセス ユーザーA
ユーザーB
802.1X認証 10 なし
2 アクセス ユーザーC 802.1X認証 30 なし
3 アクセス ユーザーD 802.1X認証 (10) 40
5 アクセス プリンター なし 50 なし
9-10 トランク L3スイッチ なし 10,20,30,40,50,100 なし

設定のポイント

L2認証スイッチ

  • 管理用VLAN~RADIUSサーバー間でIP通信が可能なこと。
    (セグメントを跨ぐIP通信には、デフォルトルートの設定が必要)
  • ダイナミックに割り当てるVLANを作成しておく。
    (作成したダイナミック用VLANをポートにアサインする必要なし)
  • 上位L3スイッチおよび認証不要プリンターの接続ポートには認証設定を有効にしない。
    (認証ポートの配下で特定端末のみ認証不要とする場合はスタティックにFDB登録する)
  • L2認証スイッチ~RADIUSサーバー間で共通の秘密鍵を設定する。
    ※RADIUSサーバーのclients.confファイルに登録する「secret」と同設定。(大文字、小文字の区別あり)

RADIUSサーバー

  • clients.confファイルにL2認証スイッチで設定した共通の秘密鍵を登録する。
  • usersファイルに802.1X認証用のユーザー名とパスワードを登録する。
    ※登録するユーザー名とパスワードは大文字と小文字の区別あり。

    ○良い例:user-a Auth-Type := EAP, User-Password == "pass-a"
    ×悪い例:USER-a Auth-Type := EAP, User-Password == "pass-A"

    ※ダイナミックVLANの認証属性はVLAN IDを登録する。

    ○良い例:Tunnel-Private-Group-Id = 40
    ×悪い例:Tunnel-Private-Group-Id = VLAN40

L2認証スイッチの設定例

VLANの設定

[VLAN設定]画面で、「ポート設定例」のようにVLANを作成していきます。ポート1、2、3、5、9、10に適切にVLANを割り当てます。
VLAN1(default)は未使用のため上記ポートから削除します。[VLAN情報]をクリックし、VLANの割り当てを確認します。

[VLAN情報]画面

ポートの設定

[リンクアグリゲーション]画面で、「ポート設定例」のようにリンクアグリゲーションを設定します。

[リンクアグリゲーション(LAG)グループ設定]画面

画面左の[ネットワーク]が展開された状態から[ポート設定]をクリックします。
認証を使用するためにポート[全て]の[EAP透過]を無効にし、適用ボタンをクリックします。

[ポート設定]画面

管理用IPアドレスの設定

基本設定(IPアドレス)」と同様に管理用VLAN100にIPアドレスを設定します。

[IPアドレス設定]画面

デフォルトルートを設定します。

[ルート設定]画面

RADIUSサーバーの設定

画面左の[セキュリティ]が展開された状態から[RADIUSサーバー]をクリックします。
[IPアドレス:]にRADIUSサーバーのIPアドレス、[共有鍵暗号:]に共通の秘密鍵(ここではAPL-radius)を入力し、[追加]ボタンをクリックします。

[RADIUSサーバー]画面

[RADIUSサーバーテーブル]に登録されました。

[RADIUSサーバー]画面

802.1X認証の設定

画面左の[セキュリティ]が展開された状態から[ポートアクセス制御]をクリックします。
[ポートアクセス制御]画面が表示されます。
[ポートアクセス制御機能:]のメニューから[有効]を、[認証方式:]のメニューから[RADIUS]を選択し、[適用]ボタンをクリックします。

[ポートアクセス制御]画面

[ポートアクセス設定]の画面が現れるので、ポートの設定をしていきます。
[ポート:]がポート1、[認証モード:]が[802.1X認証]になっていることを確認します。

[ポートアクセス制御]画面

[ポート認証設定:]のメニューから[Auto]を選択します。これでポートの認証が有効になります。

[ポートアクセス制御]画面

画面を下にスクロールし、[適用]ボタンをクリックします。

[ポートアクセス制御]画面

同様にポート2、3の設定を繰り返します。
[ポート:]メニューからポート2、[ポート認証設定:]から[Auto]、[サプリカントモード:]から[シングル]を選択し、[適用]ボタンをクリックします。

[ポートアクセス制御]画面

[ポート:]メニューからポート3、[ポート認証設定:]から[Auto]、[サプリカントモード:]から[シングル]、[ダイナミックVLAN:]から[有効]を選択し、[適用]ボタンをクリックします。

[ポートアクセス制御]画面

画面上の[状態確認]ボタンをクリックして設定を確認します。

[ポートアクセス制御]画面

認証状態もこの画面から確認できます。

[ポートアクセス制御]画面

RADIUSサーバーの設定(Free RADIUS)

RADIUSサーバーの設定項目について簡単に説明します。
なお、認証方式やサーバー製品によって設定方法が異なる場合があります。
(詳細設定については、ご使用のサーバー製品マニュアルをご参照ください)

eap.confファイル登録

EAP認証方式を登録します。
認証方式「MD5」では、eap.confファイルを編集する必要はありません。
認証方式「PEAP」、「TTLS」、「TLS」では、eap.confファイルに電子証明書などを指定します。
電子証明書は各端末にも適切にインストールしておく必要があります。

<設定例(認証方式「TLS」の場合)>
eap {
   #default_eap_type = md5
       default_eap_type = tls
       tls {
              private_key_password = apresia                            #秘密鍵のパスワード
              private_key_file = ${raddbdir}/certs/srv.pem         #サーバの秘密鍵
              certificate_file = ${raddbdir}/certs/srv-cert.pem    #サーバ証明書
              CA_file = ${raddbdir}/certs/cacert.pem                 #CA証明書
              dh_file = ${raddbdir}/certs/dh                              #DHファイル
              random_file = ${raddbdir}/certs/random               #ランダムファイル
              }
}

clients.confファイル登録

RADIUSクライアント(=認証スイッチ)となるIPアドレスや共通の秘密鍵を登録します。
「secret」はRADIUSサーバーと認証スイッチで同じにしておく必要があります。

<設定例>
client 192.168.100.0/24 {
                    secret = APL-radius
                    shortname = ApresiaLight
}
usersファイル登録

サプリカント(クライアント)ごとのユーザー名やパスワードを登録します。

・サプリカント(クライアント)ごとに下記の属性を定義します。
属性名属性備考
User-Name ユーザー名 対象サプリカントのユーザー名(例:user-a)
英字は大文字、小文字で区別される
User-Password パスワード ユーザー名に対応するパスワード(例:"pass-a")
英字は大文字、小文字で区別される
・ダイナミックVLANを使用するときは、前述の諸属性に加えて下記の3属性を追加します。
属性名属性備考
Tunnel-Type VLAN (13) 固定値
Tunnel-Medium-Type IEEE-802 (6) 固定値
Tunnel-Private-Group-ID VLAN ID 認証後に所属させるVLAN ID (例:40)
<設定例>
user-a Auth-Type := EAP, User-Password == "pass-a"
user-b Auth-Type := EAP, User-Password == "pass-b"
user-c Auth-Type := EAP, User-Password == "pass-c"
user-d Auth-Type := EAP, User-Password == "pass-d"
               Tunnel-Type = 13,
               Tunnel-Medium-Type = 6,
               Tunnel-Private-Group-Id = 40

※EAP-TLSで認証する場合、電子証明書で認証するためここでのパスワード登録は不要です。

設定例TOPへ戻る

関連情報