設定例(ApresiaLightGSシリーズ)
ネットワーク認証
MACアドレス認証
APLGSシリーズのポートアクセス制御機能には802.1X認証とMAC認証があります。WEB認証はサポートしていません。ここではMACアドレス認証について説明します。APLGSシリーズではMAC認証の場合も認証サーバーへの問い合わせはEAP-MD5で行われます。
基本構成図
L2認証スイッチのポート設定 | |||||
ポート番号 | ポート種別 | 接続装置 | 認証機能 | 固定VLAN | ダイナミック VLAN |
1 | アクセス | 端末-A 端末-B |
MAC認証 | 10 | なし |
2 | アクセス | 端末-C | MAC認証 | 30 | なし |
3 | アクセス | 端末-D | MAC認証 | (10) | 40 |
5 | アクセス | プリンター | なし | 50 | なし |
9-10 | トランク | L3スイッチ | なし | 10,20,30,40,50,100 | なし |
設定のポイント
L2認証スイッチ
- 管理用VLAN~RADIUSサーバー間でIP通信が可能なこと。
(セグメントを跨ぐIP通信には、デフォルトルートの設定が必要) - ダイナミックに割り当てるVLANを作成しておく。
(作成したダイナミック用VLANをポートにアサインする必要なし) - 上位L3スイッチおよび認証不要プリンターの接続ポートには認証設定を有効にしない。
(認証ポートの配下で特定端末のみ認証不要とする場合はスタティックにFDB登録する) - L2認証スイッチ~RADIUSサーバー間で共通の秘密鍵を設定する。
※RADIUSサーバーのclients.confファイルに登録する「secret」と同設定。(大文字、小文字の区別あり) - ユーザーのパスワードはMACアドレスになる。
RADIUSサーバー
- clients.confファイルにL2認証スイッチで設定した共通の秘密鍵を登録する。
- usersファイルに認証対象のMACアドレスを登録する。
※登録するMACアドレスの英字は「小文字」とし、":", "-"で区切らない。○良い例:000000000a10 Auth-Type := EAP, User-Password == "000000000a10"
※ダイナミックVLANの認証属性はVLAN IDを登録する。
×悪い例:000000000A10 Auth-Type := EAP, User-Password == "000000000A10"
×悪い例:00-00-00-00-0A-10 Auth-Type := EAP, User-Password == "00-00-00-00-0A-10"○良い例:Tunnel-Private-Group-Id = 40
×悪い例:Tunnel-Private-Group-Id = VLAN40
L2認証スイッチの設定例
[802.1X認証]の例と同様に下記の「VLANの設定」から「RADIUSサーバーの設定」までを行います。
- VLANの設定
- ポートの設定
- 管理IPアドレスの設定
- RADIUSサーバーの設定
MAC認証の設定
画面左の[セキュリティ]が展開された状態から[ポートアクセス制御]をクリックします。
[ポートアクセス制御]画面が表示されます。
[ポートアクセス制御機能:]のメニューから[有効]を、[認証方式:]のメニューから[RADIUS]を選択し、[適用]ボタンをクリックします。
[ポートアクセス設定]の画面が現れるので、ポートの設定をしていきます。
[ポート:]がポート1になっていることを確認します。[認証モード:]を[MAC認証]にします。
[ポート認証設定:]のメニューから[Auto]を選択します。これでポートの認証が有効になります。
画面を下にスクロールし、[適用]ボタンをクリックします。
同様にポート2、3の設定を繰り返します。
[ポート:]メニューからポート2、[ポート認証設定:]から[Auto]、[サプリカントモード:]から[シングル]を選択し、[適用]ボタンをクリックします。
[ポート:]メニューからポート3、[ポート認証設定:]から[Auto]、[サプリカントモード:]から[シングル]、[ダイナミックVLAN:]から[有効]を選択し、[適用]ボタンをクリックします。
画面上の[状態確認]ボタンをクリックして設定を確認します。
認証状態もこの画面から確認できます。
RADIUSサーバーの設定(Free RADIUS)
RADIUSサーバーの設定項目について簡単に説明します。
なお、認証方式やサーバー製品によって設定方法が異なる場合があります。
(詳細設定については、ご使用のサーバー製品マニュアルをご参照ください)
eap.confファイル登録
EAP認証方式を登録します。
認証方式「MD5」のため、eap.confファイルを編集する必要はありません。
clients.confファイル登録
RADIUSクライアント(=認証スイッチ)となるIPアドレスや共通の秘密鍵を登録します。
「secret」はRADIUSサーバーと認証スイッチで同じにしておく必要があります。
<設定例>
client 192.168.100.0/24 { secret = APL-radius shortname = ApresiaLight }
usersファイル登録
機器ごとのMACアドレスやパスワードを登録します。
・機器ごとに下記の属性を定義します。
属性名 | 属性 | 備考 |
---|---|---|
User-Name | MACアドレス | 認証対象機器のMACアドレス(例:000000000a10) ":","-"で区切らず、英字は小文字で指定 |
User-Password | パスワード | MACアドレスと同じ(例:"000000000a10") 英字は小文字で指定 |
・ダイナミックVLANを使用するときは、前述の諸属性に加えて下記の3属性を追加します。
属性名 | 属性 | 備考 |
---|---|---|
Tunnel-Type | VLAN (13) | 固定値 |
Tunnel-Medium-Type | IEEE-802 (6) | 固定値 |
Tunnel-Private-Group-ID | VLAN ID | 認証後に所属させるVLAN ID (例:40) |
<設定例>
000000000a10 Auth-Type := EAP, User-Password == "000000000a10" 000000000b20 Auth-Type := EAP, User-Password == "000000000b20" 000000000c30 Auth-Type := EAP, User-Password == "000000000c30" 000000000d40 Auth-Type := EAP, User-Password == "000000000d40" Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 40