目次

はじめに

要件

設定

RADIUSサーバーの構築

コントローラーで802.1Xを設定する

コンピューターで802.1X認証を有効にする

まとめ

はじめに

802.1Xアクセス認証システムは、クライアントに認証付きアクセスを提供する方法として、イーサネット環境で広く使用されています。802.1Xアクセス認証は「ポート」を基準としており、クライアントのアクセス制御およびAAA認証は、NAS（Network Access Server）の「ポート」を基準に行われます。クライアントがNASのポートに接続し、RADIUSサーバーの認証に成功すると、そのクライアントはNASに属するリソースへアクセスできます。認証に失敗した場合はアクセスできません。

注：本記事では、NAS（Network Access Server）は802.1Xシステムで802.1X認証装置として動作するOmadaスイッチを指します。RADIUSサーバーソフトウェアを実行するコンピューターまたはサーバーは、802.1Xシステムで802.1X認証サーバーとして動作します。以下は802.1Xアクセス認証システムの概要図です。

以下の構成図のように、スイッチのポート1はRADIUSサーバーに接続され、802.1Xサプリカントの認証を提供します。ポート23はインターネットに接続するルーターのアップリンクポートに接続されています。スイッチは、このシステムの802.1X認証装置およびNASとして動作します。ここで必要なのは、スイッチ経由でRADIUSサーバーの認証に成功した正規ユーザーのみがインターネットへアクセスできるシステムです。

要件

• Omadaコントローラー（Omada Network Application／ハードウェアコントローラー／Omadaクラウドベースコントローラー、V6.0以降）
• Omadaスイッチ（Omada Campusスイッチ／Omada Aggregationスイッチ／Omada Access Maxスイッチ／Omada Access Proスイッチ／Omada Access Plusスイッチ／Omada Accessスイッチ）

設定

RADIUSサーバーの構築

本記事では、FreeRADIUSを例に、ローカルコンピューター上にRADIUSサーバーを構築します。

手順1. UbuntuにFreeRADIUSをインストールします。FreeRADIUSは、sudo apt install freeradiusコマンドでオンラインインストールするか、FreeRADIUSのインストールガイドBuilding FreeRADIUSに従ってソースファイルからビルドできます。

手順2. FreeRADIUSのclients.confを設定します。外部端末からテストするには、/etc/freeradius/clients.confを編集してエントリを追加します。例は多数あり、構文も簡単です。

client tplink {

ipaddr = 192.168.0.100

secret = testing123

}

手順3. ユーザー名とパスワードを定義します。/etc/freeradius/usersを編集し、ファイルの先頭など、最初のエントリとしてサンプルユーザーアカウントを作成します。例：

admin Cleartext-Password := "admin"

上記ファイルの設定を保存し、FreeRADIUSサーバーを起動します。「Ready to process requests」と表示されれば、FreeRADIUSサーバーのインストールは成功です。

コントローラーで802.1Xを設定する

手順1. RADIUSプロファイルを設定します。

コントローラーにログインし、Network Settings > Profile > RADIUS Profileに移動します。Create New RADIUS Profileをクリックし、名前欄でRADIUSサーバーのNameを編集します。Authentication Server IP/URLにRADIUSサーバーのIPアドレスを入力し、Authentication PortにRADIUSポートの値を入力します。Authentication PasswordにRADIUSサーバーの共有キーを入力します。設定が完了したら、Saveをクリックして設定を保存します。

VLAN Assignment：VLAN Assignmentは、デバイスがこの機能に対応している場合のみ利用できます。この機能を正しく動作させるには、デバイスを最新のファームウェアバージョンにアップグレードすることを推奨します。
現在、クライアントがRADIUSサーバーまたはRADIUS Hotspotを使用したPortalで認証される場合、VLAN Assignmentはサポートされません。
動的VLANがDefault NetworkのVLANと同じ場合、ネットワーク異常が発生することがあります。外部RADIUSサーバーではこの設定を行わないでください。

Require Message-Authenticator：このオプションは、デバイスがこの機能に対応している場合のみ適用されます。有効にすると、デバイスはRADIUS応答メッセージに有効なMessage-Authenticator属性を含めることを要求します。
注：PAPやCHAPなどの非EAP認証メッセージには通常Message-Authenticator属性が含まれないため、このオプションを有効にすると認証に失敗する場合があります。

RadSec：RadSecは、デバイスがこの機能に対応している場合のみ利用できます。この機能を正しく動作させるには、デバイスを最新のファームウェアバージョンにアップグレードすることを推奨します。デバイスリストにこの機能に対応していない古いデバイスがある場合は、この機能を有効にしていないバックアップサーバーを設定することを推奨します。

RADIUS Accounting：RADIUS Accountingは、監視や課金を目的として、ログイン時刻、接続時間、データ使用量などのユーザーセッションの動作を追跡・記録する機能です。

RADIUS Proxy：このオプションは、EAP PPSK、EAP MAC-Based Authentication、EAP WPA-Enterprise、EAP 802.1Xモードでのみサポートされます。RadSec機能には対応していません。

RADIUS CoA：有効にすると、TP-LinkデバイスはRADIUS Dynamic Authorization Serverとして動作し、RADIUSサーバーから送信されるChange-of-AuthorizationおよびDisconnectメッセージに応答します。このオプションは、EAP PPSK、EAP MAC-Based Authentication、EAP WPA-Enterprise、802.1Xでのみサポートされます。

手順2. 802.1X認証を設定します。Network Settings > Authentication > 802.1Xに移動します。

802.1Xボタンをオンにします。RADIUS Profile欄で手順1で作成したRADIUSサーバーを選択し、その他の項目は必要に応じて設定します。その後、+Addをクリックして802.1Xを有効にするデバイスを選択します。

注1：MAC Basedは、該当ポートに接続された各デバイスが、ネットワークへアクセスする前に個別に認証を受ける必要があることを示します。一方、Port Basedは、1つのポートに接続されたデバイスのうち1台がそのポートの認証に成功すれば、そのポートに接続されたすべてのデバイスがネットワークへアクセスできることを示します。

注2：Controller V6.2以降、および対応するスイッチファームウェアでは、MAC-Basedを選択した状態でVLAN Assignmentを有効にできます。

NAS ID：認証用のNetwork Access Server Identifier（NAS ID）を設定します。802.1Xが有効なスイッチからRADIUSサーバーへ送信される認証要求パケットには、NAS IDが含まれます。RADIUSサーバーはNAS IDに基づいてユーザーを異なるグループに分類し、グループごとに異なるポリシーを選択できます。

Authentication Protocol：スイッチとRADIUSサーバー間でメッセージを交換するための認証プロトコルを選択します。スイッチはクライアントとRADIUSサーバーの橋渡しとして、両者のメッセージを転送します。クライアントとはEAPパケットを使用してメッセージを交換し、指定された認証プロトコルに従ってメッセージを処理した後、RADIUSサーバーへ転送します。

• PAP：EAPパケットは別のプロトコル（RADIUSなど）のパケットに変換され、RADIUSサーバーへ送信されます。
• EAP：EAPパケットは別のプロトコル（RADIUSなど）のパケットにカプセル化され、認証サーバーへ送信されます。この認証方式を使用するには、RADIUSサーバーがEAP属性に対応している必要があります。

Authentication Type：802.1X認証方式を選択します。

• Port-Based：ポートに接続されたクライアントの認証が成功すると、他のクライアントは認証なしでそのポート経由でネットワークにアクセスできます。
• MAC-Based：ポートに接続されたクライアントは個別に認証を受ける必要があります。RADIUSサーバーはMACアドレスでクライアントを識別します。

VLAN Assignment：この機能により、RADIUSサーバーはポートに対してVLAN設定を動的に送信できます。ポートの認証後、RADIUSサーバーは、そのポートに接続するクライアントのユーザー名に基づいてVLANを割り当てます。ユーザー名とVLANの対応関係は、あらかじめRADIUSサーバーのデータベースに保存されている必要があります。

Guest VLAN：認証に失敗した、または認証がタイムアウトしたゲストクライアントにVLANを割り当てます。

MAB Format：コントローラーが認証に使用するクライアントのMACアドレス形式を選択します。その後、指定した形式のMACアドレスを、RADIUSサーバー上でクライアントのユーザー名として設定します。

手順3. 802.1Xを有効にするデバイスを選択し、×または左側の空白部分をクリックして戻ります。右上からデバイスの表示モードを切り替え、Topology ViewまたはList Viewを選択することもできます。

注：Agileスイッチは802.1X認証に対応していないため、ここでは選択できません。

Authentication Modeとportsを選択します。完了したら、Saveをクリックして設定を適用します。

Authentication Mode：802.1X Only、MAB Only、またはBothを選択できます。Bothは、そのポートがMAB認証と802.1X認証の両方に対応することを意味します。802.1X認証が開始されない、または失敗した場合、そのポートは30秒ごとにMAB認証を自動的に開始します。

コンピューターで802.1X認証を有効にする

手順1. Win+Rを押し、services.mscと入力します。

以下の画面が表示されます。

手順2. Wired AutoConfigを見つけ、Startをクリックして802.1X認証を有効にします。

手順3. Network & Internet設定を開き、802.1X認証を有効にします。

認証するNICをダブルクリックします。

Propertiesをクリックします。

Authenticationオプションのタブが表示されるので、クリックして開きます。Enable IEEE 802.1X authenticationにチェックを入れ、ネットワーク認証方法としてPEAPを選択します。最後に、SettingsをクリックしてPEAPのプロパティを設定します。

Verify the server's identity by validating the certificateを無効にし、Authentication methodでEAP-MSCHAP v2を選択します。ConfigureをクリックしてEAP MSCHAP v2のプロパティ画面に入ります。

Automatically use my Windows logon name and password (and domain if any)のチェックを外します。

OKをクリックして設定を保存します。コンピューターに以下の画面が自動的に表示されます。アカウントとパスワードを入力し、認証が完了するとインターネットへアクセスできます。アカウントとパスワードは手順3で設定したものです。

まとめ

スイッチの802.1X設定が完了し、認証によってインターネットへアクセスできるようになりました。

各機能や設定の詳細については、ダウンロードセンターからお使いの製品のマニュアルをダウンロードしてご確認ください。