簡易RADIUSサーバー

$Date: 2017/11/16 09:05:27 $

概要
注意事項
対応機種とファームウェアリビジョン
詳細
設定・操作方法(GUI)
設定例
SYSLOGメッセージ一覧

1. 概要

複数のWLX202を使用する構成の場合、各々のWLX202に接続している各無線端末の認証設定および接続状態を一括管理する機能が有用です。
WLX202では、無線端末の認証方式として WPA/WPA2エンタープライズを選択することにより、認証サーバーにおいて無線端末の認証設定および接続状態を一括管理することができます。

本機能はその認証サーバーとして簡易的な RADIUSサーバーの機能を提供するものです。
別途 RADIUSサーバーを用意する必要はなく、本機能を利用することで以下の利点があります。

複数のアクセスポイントを使う構成でも、無線端末の認証設定をRADIUSサーバーに集中することができる
同じく無線端末の接続/切断履歴をRADIUSサーバーに集中することができる
PSKを用いる認証方式に比べ、ユーザーID毎の細かい接続管理ができる
特定のユーザーIDに対する端末 MACアドレスを限定することができる
特定のユーザーIDに対する接続先SSIDを限定することができる

2. 注意事項

接続時に本機能の提示するサーバー証明書を無線端末側では検証することができません。
無線端末側ではサーバー証明書を検証しないよう設定して運用してください
工場出荷状態から初めてRADIUSサーバー機能を「使用する」に設定すると、RADIUS認証を
行うために必要なセットアップ処理が実行されます。セットアップ処理が実行されている間は、
RADIUS認証による無線端末の接続ができませんので、数分間お待ちください。
(セットアップの完了は、SYSLOGメッセージで確認できます)

3. 対応機種とファームウェアリビジョン

WLX202では、以下のファームウェアで簡易RADIUSサーバー機能をサポートしています。

機種	ファームウェア
WLX202	Rev.16.00.04以降

4. 詳細

4.1 認証

無線の認証設定として WPA/WPA2エンタープライズを指定することで、 IEEE802.1Xに対応した認証サーバーを使って無線端末の接続を認証することができます。
本機能は、IEEE802.1Xに対応した認証サーバーとして代表的なRADIUSサーバーの機能を提供します。
ただし以下の点で機能が限定されています（「簡易」と呼ぶのはそのためです）。

認証方式としては EAP-PEAP(MSCHAPv2)のみ利用可能です
接続時に本機能の提示するサーバー証明書に対し、ユーザーがそれを検証するためのルート証明書を入手する手段が用意されていません。
すなわち無線端末側ではサーバー証明書を検証しない設定で運用する必要があります
RADIUSクライアントとしてはWLX202のみを想定しています
無線端末の認証専用です

(1) RADIUSクライアント

[拡張機能]-[RADIUSサーバー]のクライアント一覧に登録することによりアクセスを許可する RADIUSクライアントを設定します。
本機能の場合、クライアント設定としては当該RADIUSサーバーに認証機能を統合する WLX202のIPアドレスを登録します。
RADIUSクライアントは16件まで設定することができ、それぞれ異なるシークレットを指定することができます。

ただし無線の認証設定において内蔵の RADIUSサーバーを指定した場合は、本設定を行わなくても内蔵のRADIUSクライアントからの接続が可能です。

(2) RADIUSユーザー

[拡張機能]-[RADIUSサーバー]のユーザー管理に登録することによりアクセスを許可する RADIUSユーザーを設定します。
本機能の場合、RADIUSユーザーとしては無線に接続を許可するユーザーのアカウントを登録します。
RADIUSユーザーは200件まで設定できます。

ここで各ユーザー設定ごと、以下の接続制限を指定することができます。

ユーザーIDに対する接続MACアドレスを限定することができます。
すなわち、端末単位で接続可否を管理することができます
ユーザーIDに対する接続先SSIDを限定することができます。
マルチSSIDの環境で SSIDごとVLANによりネットワークが分離されている場合、ユーザーごとの各ネットワークに対する接続可否をSSID単位で制御することができます。

5. 設定・操作方法 (GUI)

  ■[拡張機能]-[RADIUSサーバー]
    ・サーバー設定
    内蔵の簡易RADIUSサーバー機能を使用する場合は、「使用する」に設定します。
    内蔵の簡易RADIUSサーバーで認証に使用するポート番号を指定します。
    RADIUSサーバーから指定する再認証間隔を設定します。

    ・クライアント一覧
    [追加]ボタンまたは[編集]ボタンをクリックすると[クライアントの情報]が表示されます。

    ・ユーザー管理
    [追加]ボタンまたは[編集]ボタンをクリックすると[ユーザー情報]が表示されます。
    CSVファイルからインポートの[実行]ボタンをクリックすると[CSVファイルからインポート]が
    表示されます。
    CSVファイルからユーザー情報を取り込む場合は、こちらページからファイルを指定します。
    CSVファイルへエクスポートの[実行]ボタンをクリックすると設定されているユーザー情報が
    CSVファイル形式で出力されます。

ユーザー情報のCSVファイル

  
   

  ■[拡張機能]-[RADIUSサーバー] クライアントの情報
    内蔵のRADIUSサーバーへ接続を許可するクライアントを登録します。
    クライアントは16件まで登録可能です。
    IPアドレスは、IPアドレスの単独指定、範囲指定をすることができます。
    範囲指定の場合は、ネットマスク情報を併記してください。
      (例) 192.168.100.0/24
    シークレットはRADIUSサーバーとクライアント間の共有鍵を128文字以内の
    文字列で指定します。
    同一筐体内のRADIUSクライアントに対する設定は不要です。(VAPの設定で
    「内蔵のRADIUSサーバーを使用する」を指定した場合は、本設定無しに
    RADIUSサーバーへ接続することができます。)
  

  ■[拡張機能]-[RADIUSサーバー] ユーザー管理
    RADIUSサーバーで認証するユーザーを登録します。
    ユーザーは200件まで登録できます。
    「MACアドレス」は認証する無線端末のMACアドレスを指定します。
    この項目に設定がない場合は、MACアドレスによる端末の認証拒否はされません。
    「接続SSID」は認証する無線端末が接続時に使用するSSIDを指定します。
    この項目に設定がない場合は、SSIDによる端末の認証拒否はされません。
  


   ■無線端末側の設定方法は、以下のページを参照してください。

WPA2エンタープライズを使用した無線ネットワークを設定(EAP-PEAP / 簡易RADIUSサーバー機能) の「無線端末の接続設定」の項。

6. 設定例

WLX202を 2台使う構成で、無線端末の認証を一方の WLX202の簡易RADIUSサーバー機能で一括管理するものとします。

SSIDとして、myssid1 と myssid2 が設定されているものとします
00:a0:de:XX:XX:XXの MACアドレスを持つ無線端末しか接続を受け付けないよう設定します
さらに上記無線端末は、myssid1にのみ接続可能で myssid2には接続できないよう設定します

設定例の構成

[AP1の設定]

    [拡張機能] - [RADIUSサーバー] サーバー設定
    内蔵RADIUSサーバーの設定をします。
    RADIUSサーバー機能: 「使用する」
    認証ポート: 「1812」
    認証間隔: 「12時間」
    それぞれを入力したあとに[設定]ボタンをクリックします。

    [拡張機能] - [RADIUSサーバー] クライアント情報
    RADIUSクライアントの設定をします。
    クライアント一覧の[追加]ボタンをクリックしてクライアントの情報を入力します。
    クライアントのIPアドレス: 「192.168.1.242」
    シークレット: 「secret1」
    それぞれを入力したあとに[設定]ボタンをクリックします。

    [拡張機能] - [RADIUSサーバー] ユーザー情報
    認証するユーザー情報を設定をします。
    ユーザー管理の[追加]ボタンをクリックしてユーザー情報を登録します。
    ユーザーID: 「user1」
    パスワード: 「password1」
    認証する機器のMACアドレス: 「00:a0:de:XX:XX:XX」
    接続SSID: 「myssid1」
    それぞれを入力したあとに[設定]ボタンをクリックします。

    [無線設定] - [SSID管理] VAP1設定
    SSID管理でNo.1の行の「追加」をクリックしてVAP1の設定をします。
    バインドする無線モジュール: 「2.4GHz」
    SSID: 「myssid1」
    VLAN ID: 「1」
    認証方式: 「WPA2-EAP」
    暗号化方式: 「AES」
    RADIUSサーバー: 「内蔵のRADIUSサーバーを使用する」
    それぞれを入力したあとに[設定]ボタンをクリックします。

    [無線設定] - [SSID管理] VAP2設定
    SSID管理でNo.2の行の「追加」をクリックしてVAP2の設定をします。
    バインドする無線モジュール: 「2.4GHz」
    SSID: 「myssid2」
    VLAN ID: 「2」
    認証方式: 「WPA2-EAP」
    暗号化方式: 「AES」
    RADIUSサーバー: 「内蔵のRADIUSサーバーを使用する」
    をそれぞれ入力したあとに[設定]ボタンをクリックします。

上記のAP1の設定(Config)

[AP2の設定]

    [無線設定] - [SSID管理] VAP1設定
    SSID管理でNo.1の行の「追加」をクリックしてVAP1の設定をします。
    バインドする無線モジュール: 「2.4GHz」
    SSID: 「myssid1」
    VLAN ID: 「1」
    認証方式: 「WPA2-EAP」
    暗号化方式: 「AES」
    RADIUSサーバー: 「外部のRADIUSサーバーを使用する」
    IPアドレス: 「192.168.1.241」
    RADIUSシークレット: 「secret1」
    をそれぞれ入力したあとに[設定]ボタンをクリックします。

    [無線設定] - [SSID管理] VAP2設定
    SSID管理でNo.2の行の「追加」をクリックしてVAP2の設定をします。
    バインドする無線モジュール: 「2.4GHz」
    SSID: 「myssid2」
    VLAN ID: 「2」
    認証方式: 「WPA2-EAP」
    暗号化方式: 「AES」
    RADIUSサーバー: 「外部のRADIUSサーバーを使用する」
    IPアドレス: 「192.168.1.241」
    RADIUSシークレット: 「secret1」
    をそれぞれ入力したあとに[設定]ボタンをクリックします。

上記のAP2の設定(Config)

7. SYSLOGメッセージ一覧

以下の文書を参照してください。

ログメッセージリファレンス

[EOF]