1. 概要

VAPの認証方式としてWPA/WPA2エンタープライズを選択することで、接続する無線端末の認証にRADIUSサーバーを利用できます。
RADIUSサーバーを用いて無線端末を認証すると、以下の利点があります。

  • 複数のアクセスポイントを用いた構成でも、無線端末の認証をRADIUSサーバーにまとめることができる。

  • クライアント証明書を用いて、より厳密な端末認証ができる。

本機能を利用することで、別途 RADIUSサーバーを用意しなくても上記メリットを享受できます。

さらに本機能では、クライアント証明書の発行・管理機能も併せて搭載しています。
別途クライアント証明書を調達する手間を省き、無線の利用者を証明書を用いて認証するシステムを構築できます。
また証明書とRADIUSユーザーを一括して管理することができ、無線ネットワークの管理負荷を軽減することもできます。

本ドキュメントは、ヤマハ無線LANアクセスポイントの中でもWLX313のRADIUSサーバー機能について記述しています。

2. 注意事項

  • 本機能は無線端末の認証専用です。

  • 本機能をWeb設定画面から設定するためには、事前にコントローラー設定の「役割」を"Controller-AP"に設定する必要があります。

    無線コントローラーの「役割」
    無線コントローラーの「役割」

  • 認証方式にPEAP(MS-CHAPv2)を選択した場合、無線端末側の接続設定で、サーバー証明書を検証しないよう設定する必要があります。

  • Android13以降の端末で認証に失敗することがある問題に対応するため、特定のファームウェアリビジョン以降で証明書の署名アルゴリズムを変更しました。それにともない、単位時間当たりのRADIUSリクエスト処理数や証明書発行時間が従来と異なります。詳しくは 性能 をご参照ください。

    ただし、RADIUSリクエスト処理数の性能は古い署名アルゴリズムのファームウェアから新しい署名アルゴリズムのファームウェアにリビジョンアップしただけでは変わりません。リビジョンアップ後に本製品を初期化することで、それ以降のRADIUSリクエスト処理数の性能が変わります。詳しくは 性能 をご参照ください。

  • 無線LANの認証に証明書を用いる場合、証明書の期限を正しく判定できるよう本製品の時刻合わせが不可欠です。
    NTPサーバーと定期的に 1日1回時刻同期するように設定してください。

    時刻同期の設定
    時刻同期の設定

  • Android 12以降の端末を WPA3エンタープライズ, 192bit暗号ありでご利用になる場合で、かつ各機種で以下表の更新前リビジョンから更新後リビジョンにリビジョンアップした場合、リビジョンアップ後にAPを初期化してからご利用ください。
    その場合、APの初期化前に発行した証明書はすべて利用できなくなりますので、証明書を発行しなおすようにしてください。

モデル

更新前リビジョン

更新後リビジョン

WLX313

Rev.18.00.12以前

Rev.18.00.13以降

3. 対応ファームウェアリビジョン

このページで説明する内容は、以下のファームウェアを対象としています。

ファームウェア 最大ユーザー数

Rev.18.00.02以降

300

4. 用語定義

用語 意味

VAP

"Virtual Access Point"の略で、1台のAPをあたかも複数のAPであるかのように動作させることができる機能です。

RADIUS

認証に用いられるIP上のプロトコルです。
本製品では、無線設定で認証方式にWPA/WPA2-Enterpriseを選択したとき、無線利用者を認証するために使用します。

Controller-AP

本製品の無線LANコントローラー機能における、APの役割の一つです。無線LANシステムをコントロールする機能を利用できます。

Member-AP

上記 Controller-APに制御されるAPです。

発行

本製品では証明書を生成する処理を発行と呼んでいます。発行された証明書は、ダウンロードまたはメール送信により入手できます。

5. 詳細

5.1. 認証方式

本機能で利用可能な無線認証方式は、PEAP(MS-CHAPv2)および EAP-TLSです。
また利用可能なサーバー証明書およびクライアント証明書は、WLX313の証明書発行・管理機能で発行されたものにかぎります。ほかで発行された証明書をインポートする機能はありません。

5.2. RADIUSクライアント

WPA/WPA2-Enterpriseの認証方式では、IEEE802.1Xのオーセンティケーターとして、AP自身がRADIUSクライアントとなりRADIUSサーバーに接続します。
本機能にアクセス可能な RADIUSクライアントは、以下のヤマハ無線LANアクセスポイントです。

  • WLX313

  • WLX402

  • WLX302

  • WLX202

5.2.1. RADIUSクライアントの自動設定

WLX313は無線LANコントローラー機能を中心にシステムを構成することを基本としているため、 RADIUSクライアントも無線LANコントローラー機能を通して設定されます。 すなわち無線LANコントローラー機能のグループ設定を通してシステムを構成した場合は、Member-APが、Controller-APのRADIUSサーバーに接続するRADIUSクライアントとして自動的に設定されます。

5.2.2. RADIUSクライアントの個別設定

また、RADIUSクライアントは個別にIPアドレスで指定できます。
RADIUSクライアントは50件まで設定することができ、それぞれ異なるシークレットを指定可能です。
VAPの認証設定において、当該APに内蔵の RADIUSサーバーを指定した場合は、本設定が無くても RADIUSクライアントから接続が可能です。

5.3. RADIUSユーザー

無線接続を許可する利用者の情報を、RADIUSユーザーとして設定します。

5.3.1. RADIUSユーザーに対する設定項目

RADIUSユーザーの設定
RADIUSユーザーの設定

RADIUSユーザーごとの設定項目は以下の通りです。
無線の認証に証明書を用いる場合は、証明書を発行するための設定もRADIUSユーザーごとに必要になります。

設定項目 説明

ユーザーID

ユーザーの識別子です。
認証方式に" peap "を選択した場合、ユーザー名として扱います。

パスワード

認証方式によって、以下の通り扱います。
認証方式に" peap "を選択した場合: PEAPのパスワード
認証方式に" eap-tls "を選択した場合: 証明書インストール時のパスワード

名前

利用者名です。
管理者が管理しやすい名前を設定してください。

MACアドレス

省略可能です。
利用者の接続端末を限定する場合に設定します。
接続端末のMACアドレスを設定します。

接続SSID

省略可能です。
利用者の接続先ESSIDを限定する場合に設定します。

認証方式

" peap "または" eap-tls "を選択します。

証明書送信メールアドレス

認証方式に" eap-tls "を選択した場合のみ使用される設定項目です。
発行した証明書をメールで配布する場合の、メール送信先です。
証明書をメールで配布しない場合は設定不要です。

証明書有効期限

認証方式に" eap-tls "を選択した場合のみ使用される設定項目です。
発行する証明書の有効期限を設定します。有効期限が切れると証明書は自動的に失効して使用できなくなります。
本設定項目の指定を省略すると、2036年12月31日まで有効な証明書となります。

5.3.2. CSVファイルによる一括設定

CSVファイルを用いて、RADIUSユーザーを一括して登録、削除、設定変更できます。
特に多数の無線利用者がいる場合や、たとえば学校など無線利用者が一斉に入れ替わるような場合に、まとめてRADIUSユーザーを編集できます。

CSVファイルによる一括設定
CSVファイルによる一括設定

CSVファイルを用いてRADIUSユーザーを編集するときは、まず既存の設定をエクスポートし、 そのファイルに編集を加えてからインポートして書き戻す手順となります。
もしRADIUSユーザーが1件も登録されていないときエクスポートすると、空項目だけのCSVファイルが出力されます。

CSVファイルではそれぞれの1行が1RADIUSユーザーに対応しています。
コメント行に各カラムにどのパラメーターを入力すべきか表示されていますので、そのコメント行に従ってカラムを埋めてください。

CSVファイルの例
CSVファイルの例

5.4. 証明書発行・管理機能

無線利用者の端末を認証するためのクライアント証明書を発行・管理する機能です。

5.4.1. ルート認証局とサーバー証明書

ルート認証局とは、クライアント証明書とサーバー証明書の発行元です。
本製品ではController-AP上にルート認証局を設置する構成となります。

本製品におけるルート認証局の設置と削除のタイミングは以下の通りです。

設置

  1. 本製品を初期化(cold start)したとき。

削除

  1. 本製品を初期化(cold start)したとき。

  2. 証明書のバックアップファイルをリストアしたとき。
    バックアップされていたルート認証局に上書きされます。

最初に設置したルート認証局を一貫して保持し続ける必要がありますので、不用意に削除してしまわないようご注意ください。
また万一削除してしまった場合に備えて、後述のバックアップをあらかじめ行っておくよう対策をお願いします。

一度ルート認証局を削除してしまうと、再設置しても以前とは異なる認証局になります。
もしバックアップ前にルート認証局を削除してしまった場合、それ以降は無線利用者の増減があっても証明書の追加/失効はできません。 証明書の発行を最初からすべてやり直すことになります。

なおサーバー証明書に関しては、本機能のRADIUSサーバーに対し認証局からサーバー証明書が自動的に発行されます。
サーバー証明書の発行・削除については、上記ルート証明書のそれぞれ設置・削除のタイミングで同時に行われます。

5.5. クライアント証明書の発行

クライアント証明書は無線利用者の無線端末にインストールする証明書です。本製品ではRADIUSユーザーごとに最大2枚までクライアント証明書を発行できます。
すでにクライアント証明書が 2枚発行済みのRADIUSユーザーに対して新たに証明書を発行すると、2枚のうち先に発行した方の証明書が自動的に失効しますのでご注意ください。
RADIUSユーザーごとの証明書発行状況は、Web設定画面のRADIUSユーザー情報管理のページで「証明書」のボタンを押して確認できます。

Web設定画面のRADIUSユーザー情報管理のページで「発行」または「発行と送信」のボタンを押すことで、 未発行のRADIUSユーザーに対しクライアント証明書が発行されます。
(証明書発行後、ボタンを押すまでの間にユーザー情報に変更があったユーザーに対しても発行されます)。

証明書発行ボタン
証明書発行ボタン

「発行」ボタンを押すと証明書の発行が開始されます。発行完了までには時間がかかります。
証明書を発行する際は、時間に余裕を持って実行ください。

発行処理中は、Web設定画面のRADIUSユーザー情報管理のページで一部のボタンがグレーアウトし、追加の操作ができなくなります。
また、発行処理中のみ、発行処理を中止するための「キャンセル」ボタンが表示されます。
もし発行処理中に発行処理を中止したい場合は、「キャンセル」ボタンを押してください。

証明書発行キャンセルボタン
証明書発行キャンセルボタン

5.6. クライアント証明書の配布

発行されたクライアント証明書は、無線利用者のPCなど無線端末にインストールしなければなりません。
本製品では、以下のどちらかの方法で利用者あてに証明書を配布いただけます。

5.6.1. メールによる配布

メール通知の設定と、各RADIUSユーザーのメールアドレスの設定が必要です。
Web設定画面のRADIUSユーザー情報管理のページで「発行と送信」のボタンを押すと、まず未発行のユーザーに対し証明書の発行処理が行われ、その後証明書がメール添付で送信されます。
もしくは、すでに発行済みの証明書を選んでメールで送信することもできます。
その場合は、Web設定画面のRADIUSユーザー情報管理のページで「証明書」のボタンを押して表示される証明書ページで、当該証明書の「証明書送信」ボタンを押して送信してください。

5.6.2. ファイルをダウンロードして配布

証明書ファイルを管理者の方がダウンロードし、何らかの方法で利用者にお渡しいただく方法です。
あらかじめWeb設定画面のRADIUSユーザー情報管理のページで証明書の発行だけ行っておきます。その後上記RADIUSユーザーごとの証明書ページで、発行済み証明書の「ダウンロード」ボタンを押して証明書をダウンロードしてください。

証明書ダウンロードボタン
証明書ダウンロードボタン

5.6.3. クライアント証明書の失効

証明書には期限が設定されており、期限を過ぎると自動的に失効し使用できなくなります。
たとえば急な退職など、期限前に無線利用者の証明書を失効させたい場合は、RADIUSユーザーごとの証明書ページで当該証明書の「証明書失効」ボタンを押してください。
失効させた証明書は証明書ページに表示されなくなります。

証明書失効ボタン
証明書失効ボタン

5.6.4. 証明書の一括ダウンロード

本製品では、発行済みのクライアント証明書を一括でダウンロードできます。
Web設定画面のRADIUSユーザー情報管理のページで「全ユーザーの最新の発行済証明書をダウンロードします」の「ダウンロード」ボタンを押してください。
ダウンロードされるファイル名は「user_cert.zip」です。

証明書一括ダウンロードボタン
証明書一括ダウンロードボタン

5.6.5. 証明書のバックアップとリストア

証明書発行・管理機能を継続運用するのに必要なデータは、コンフィグのバックアップファイルに含まれます。
バックアップとリストアは、設定 (保存 / 復元)ページで行うことができます。

バックアップは、「現在の設定をファイルへ出力」の「実行」ボタンを押してください。
リストアは、「リストアする設定ファイル」の「ファイルを選択」でバックアップしたファイルを選択し、設定と一緒にリストアする場合は「設定と証明書の両方をリストアする」を、証明書のみリストアする場合は「証明書のみリストアする」を選択してから、「設定をリストアする」の「実行」ボタンを押してください。

証明書のバックアップ
証明書のバックアップ

バックアップファイルは漏えいしないよう厳重に管理してください。
バックアップファイルにはルート認証局の情報が含まれるため、万一漏れた場合は不正に証明書を発行され、当該無線LANシステムに侵入される恐れがあります。

さらに、本バックアップ機能には以下の注意点があります。

  • バックアップファイルには証明書の失効リストが含まれます。
    つまりバックアップファイルをリストアすると、証明書の失効状態もバックアップ時点まで巻き戻ります。
    「失効させたはずの証明書を使って接続できる」事故が想定されますので、証明書を失効させるたびにバックアップファイルを更新するようお勧めします。

  • 同様に、証明書発行後にそれ以前のバックアップファイルをリストアすると、証明書の管理情報がバックアップ時点まで巻き戻ります。
    その間に発行された証明書は依然として使用可能ですが、期限前に失効させることができなくなります。
    証明書を発行するたびにバックアップファイルを更新するようお勧めします。

  • バックアップ機能を証明書の一括ダウンロード機能として使用することはできません。

5.7. 無線LANコントローラー機能によるシステム自動構成

5.7.1. 構成

無線LANコントローラーのコンフィグ送信機能を使用すると、本機能は以下の通り自動構成されます。

無線端末は、Controller-APのRADIUSサーバー機能で一括して認証される構成に設定されます。
各Member-APは、Controller-APのRADIUSクライアントとして設定されます。
代替コントローラーを指定した場合は、VAPの設定で、自動的にプライマリRADIUSサーバーがController-AP、セカンダリRADIUSサーバーが代替コントローラーに設定されます。

5.7.2. 代替コントローラーの事前準備

上記Controller-APをプライマリRADIUSサーバー、代替コントローラーをセカンダリRADIUSサーバーとして運用する構成の場合、 代替コントローラーでは Controller-APで発行されたサーバー証明書を使用する必要があります。 事前にController-APの証明書発行・管理機能から代替コントローラーへサーバー証明書を渡しておく必要がありますので、 RADIUSサーバーの切り替えが発生する前に、あらかじめ証明書を渡しておくようにしてください。
具体的な手順は無線LANコントローラー機能の技術資料を参照してください。

6. 性能

モデル ファームウェア RADIUSリクエスト処理数
(PEAPのとき) 		証明書発行時間 登録ユーザー最大時の証明書発行時間

WLX313

Rev.18.00.12以前

最大 5件/秒

最短 5秒/件

約 25分 (300ユーザー)

Rev.18.00.13以降

最大 2件/秒

最短 24秒/件

約 2時間 (300ユーザー)

※ ファームウェアに~以前/~以降と記載されているモデルは、署名アルゴリズム変更前/変更後の測定結果を記載しています。
※ RADIUSリクエスト処理数の性能は古い署名アルゴリズムのファームウェアから新しい署名アルゴリズムのファームウェアにリビジョンアップしただけでは変わりません。リビジョンアップ後に本製品を初期化することで、それ以降のRADIUSリクエスト処理数の性能が変わります。
※ 通信負荷の無い場合の実測値です。無線通信などほかの処理負荷(CPU使用率)によって変化します。

7. コマンド

8. 設定・操作方法

以下、APの操作はController-APのWeb設定画面で操作します。

8.1. 無線の認証設定

本機能を使用して無線利用者を認証するための、VAPの設定です。
ここでは、無線の認証方式としてWPA2-Enterpriseを選択する例で説明します。

8.1.1. 無線設定のうち、VAPの設定ページを開く

VAPの設定
VAPの設定

8.1.2. VAPを設定する

認証方式に「WPA2-EAP」、プライマリRADIUSサーバーに「内蔵のRADIUSサーバーを使用する」を選択します。

VAPの設定
VAPの設定

8.1.3. 設定を各APに送信する

設定送信
設定送信

8.2. RADIUSユーザーの編集

以下の例で説明します。

既存のRADIUSユーザーが登録されているとき、新規にRADIUSユーザーを追加して、そのユーザーに証明書をメールで配布する。

8.2.1. (事前準備)メール通知の設定をしておく

無線利用者のクライアント証明書をメールで配布する場合は、事前にメールサーバーの設定をしておきます。

メールサーバーの設定
メールサーバーの設定
証明書メール送信の設定
証明書メール送信の設定

8.2.2. RADIUSユーザー情報管理のページを開く

RADIUSユーザー情報管理
RADIUSユーザー情報管理

8.2.3. 既存のRADIUSユーザー一覧をCSVファイルでエクスポート

RADIUSユーザー情報のエクスポート
RADIUSユーザー情報のエクスポート

すでに設定されているRADIUSユーザーの情報が" radius_user.csv "というファイル名で出力されます。

8.2.4. CSVファイルを編集し、新規RADIUSユーザー分の行を追加

CSVファイルの編集
CSVファイルの編集

8.2.5. CSVファイルをインポート

RADIUSユーザー情報のインポート
RADIUSユーザー情報のインポート

8.2.6. 証明書を発行してメールで送信

「発行と送信」ボタンを押すと、上記新たに追加されたユーザーに対してのみ、新規に証明書が発行されメールが送信されます。
(もしも上記で既存ユーザーの情報を書き換えると、当該ユーザーにも新たに証明書が発行されます)

証明書のメール送信
証明書のメール送信

8.2.7. メールを受信した無線利用者が、証明書を無線端末にインストール

無線利用者には、メールの添付ファイルとして証明書が届きます。
証明書のインストール方法はそれぞれ無線端末のOSによって異なります。

証明書インストール
証明書インストール

Windowsの場合は、メールに添付されているzipファイルを開いて出てくる証明書ファイルをダブルクリックすることでインストールされます。
証明書ファイルのファイル名は「(証明書番号).p12」です。

インストール時にはパスワード入力を求められますので、管理者の方があらかじめ何らかの方法で無線利用者にパスワードを伝えておいてください。
ここで入力するパスワードは、CSVファイル上で「パスワード」のカラムに入力したパスワードです(上記の例では"password")

9. SYSLOG メッセージ一覧

以下の文書を参照してください。