高価なRADIUSアプライアンス不要!コストをかけずに無線LANをActive DirectoryアカウントでWPA2エンタープライズ認証する
情シス担当のますいです。
無線LANの認証方式として主流なものに、WPA2-PSK(WPA2 パーソナル)とWPA2 エンタープライズ(WPA2-EAP)があります。
WPA2-PSKは、事前共有鍵(PSK)のみを認証キーとして用いるため設定が簡単で手軽に導入できる一方で、PSKが漏洩してしまうと不正侵入されるおそれがあるなどセキュリティ上のリスクがあります。
WPA2 エンタープライズは、ユーザー単位あるいはデバイス単位で認証することができ、よりセキュリティの高い環境を実現することができますが、
構築方法がわからない、コストが高そうなどの理由で導入に踏み切れていない組織も多いのではないでしょうか。
WPA2 エンタープライズとは
WPA2 エンタープライズは RADIUS というプロトコルで認証を行い、認証を行うサーバはRADIUSサーバと呼ばれます。
RADIUSサーバとなるアプライアンス製品やクラウドサービスも様々なものがありますが、中小企業にとってはなかなかに高いコストがかかります。
しかし、Active Directory環境であれば、既存のWindowsサーバ上にRADIUSサーバを構築することで、コストをかけずに(*) Active DirectoryユーザアカウントでWPA2 エンタープライズ認証を行うシステムを構築することができます。
※WPA2エンタープライズ対応の無線アクセスポイントを使用している場合
設定手順例は Windows Server 2012 R2 をベースにしています。Windowsサーバのバージョンによって手順や表記が異なる場合もあるかもしれませんが、適宜読み替えてください。
手順
1.Windows サーバで ネットワークポリシーサーバ(NPS)を有効にする
- サーバーマネージャーを開き、「役割と機能の追加」を実行する。コントロールパネルの「プログラムと機能」から「Windowsの機能の有効化または無効化」を開いても良いです。
-
サーバーの役割の選択で「ネットワークポリシーとアクセスサービス」にチェックを入れてインストールを実行する。
2.ネットワークポリシーサーバの設定
インストールされたネットワークポリシーサーバを起動します。
スタートメニューやコントロールパネルの「管理ツール」内にあります。
■ 共有シークレットの作成
- [テンプレートの管理] > [共有シークレット] を右クリックし、「新規」を選択する
- テンプレート名に適当な名称をつけ、「共有シークレット」を登録する。
この共有シークレットは、RADIUSクライアント(アクセスポイント)とRADIUSサーバの両方に登録し、両者間の通信を暗号化するために使用するものです。長さと複雑さを十分に持たせましょう。
■ RADIUSクライアントの登録
- [RADIUSクライアントとサーバー] > [RADIUSクライアント] を右クリックし、「新規」を選択する
- フレンドリ名に、認証対象となるアクセスポイントの名称をつけ、IPアドレスを入力する。IPアドレスは、スタンドアロンタイプであればそのアドレスを、中央コントロールタイプであればコントローラのアドレスを入力する。
- 共有シークレットのプルダウンで、先ほど作成したテンプレートを選択する。
■ 接続要求ポリシーの登録
- [ポリシー] > [接続要求ポリシー] を右クリックし、「新規」を選択する
- ポリシー名に、適当な名称をつけ、「次へ」を押す
-
「条件の指定」画面で「追加」ボタンを押し、一番下の「NASポートの種類」を選択して「追加」を押し、[ワイヤレス-IEEE 802.11]にチェックを入れて「OK」を押す。
- その他はデフォルトのまま進めて登録を完了する。
■ ネットワークポリシーの登録
- [ポリシー] > [ネットワークポリシー] を右クリックし、「新規」を選択する
- ポリシー名に、適当な名称をつけ、「次へ」を押す
- 「条件の指定」画面で「追加」ボタンを押し、「Windowsグループ」を選択して「追加」を押し、「グループの追加」を押す。
- 接続を許可するグループを選択する。ドメインユーザ全員を許可するなら[Domain Users]を追加します。企業のポリシーに応じて適宜グループを選択してください。
-
「認証方法の構成」画面で「追加」ボタンを押し、「Microsoft: 保護されたEAP(PEAP)」を選択し、「セキュリティレベルの低い認証方法」のチェックを全て外して「次へ」を押す。
- その他はデフォルトのまま進めて登録を完了する。
3.アクセスポイントの設定
- WPA2 エンタープライズ認証させたいSSIDの設定で、認証方法を「WPA2 エンタープライズ」または「WPA2-EAP」に設定し、リモートRADIUSサーバとして上記設定を行ったWindowsサーバのIPアドレスを指定する。
- 共有秘密鍵は、2.で設定した共有シークレットを入力します。
-
設定手順はお使いのアクセスポイントのガイドを参照してください。
接続
■ Windowsからの接続
- 該当のSSIDを選択して「接続」ボタンを押すと、認証画面が現れます。ネットワークポリシーサーバの設定で許可したActive DirectoryユーザでログインしているPCであれば、「Windowsユーザーアカウントの使用」にチェックを入れるだけで繋がります。
■ その他の機器からの接続
- それぞれのOSの手順に従い、ユーザ名とパスワードを入力して接続します。
注意事項
-
この手順で接続した場合、ユーザがログアウトすると接続が切れてしまいます。ログアウト状態でも接続する必要があれば、改めてユーザ名とパスワードを入力して接続してください。
-
この手順で接続したWindows PCに対してリモートデスクトップ接続を行うと、繋がった瞬間に接続が切れてしまい使用できません。リモートデスクトップによる利用が必要な場合は、WPA2-PSKによる接続か、有線LANで繋いでおく必要があります。