Wi-Fi認証もOneLoginで一元管理：EAP-TTLSによるIDベース無線LAN認証を検証

はじめに

今回は、無線AP（Cisco Meraki MR）と、弊社が提供するクラウド型アイデンティティ及びアクセス管理ソリューションであるOneLoginのRADIUSとの連携について検証を行いました。

無線LAN環境では、管理のしやすさから事前共有鍵（PSK）による認証が選択されることも少なくありません。一方で、SaaSやVPNなど多くのシステムでは、すでにユーザーIDを用いたアクセス管理が一般的になっています。その結果、無線LANだけが「誰が接続しているか」を把握しづらい状態になっていないでしょうか。PSKは平文の文字列なので、漏洩してしまうと誰でも対象の無線LANに接続できるようになり、それが次の情報漏洩につながる可能性があります。しかし、証明書配布やRADIUSサーバー構築といった運用を新たに抱えるのはコストや人員的にも厳しいこともあるかと思います。そこで、EAP-TTLSを利用します。EAP-TTLSはTLSで保護されたトンネル内でIDとパスワードを用いて認証を行うため、PSKのような共有鍵管理が不要となります。EAP-TTLSは多くの主要OSで利用可能であり、専用エージェントを追加せずに構成できます。

本記事は、「PSK（事前共有鍵）を使わずに、OneLoginユーザーの認証情報を用いたEAP-TTLSで無線認証をできるようにすること」をテーマとした検証レポートです。特に、「無線LANの認証も含めてID管理を一元化したいが、証明書基盤の運用は避けたい」といった課題を持つ組織を対象としています。

OneLoginとは

OneLoginは、ユーザーIDを中心にさまざまなアクセスを統合的に管理できるクラウド型のID基盤です。SaaSへのシングルサインオン（SSO）や多要素認証（MFA）によってアクセス制御を実現しながら、プロビジョニング機能によりユーザーの追加・変更・停止といったIDライフサイクルも一元的に管理できます。さらに、ディレクトリ連携によりActive DirectoryやEntra IDからユーザー情報をリアルタイムで取り込み、グループに基づいたアクセス権限の付与やクラウドアカウントの自動作成が可能です。これらのID管理・認証（IAM）機能は、単なるSSOサービスとの差別化ポイントとなります。

本記事で利用するOneLogin RADIUSは、そのID基盤を無線認証にも拡張するための機能です。無線LAN機器ごとにユーザーを作成・管理するのではなく、「誰が・どのロールで・どのアクセスを許可されているか」という判断をOneLogin側に集約できます。製品詳細はこちら、お問い合わせはこちらからお送りください。

なぜ「OneLogin」を使うのか

• OneLoginは、ユーザーIDを中心に認証を一元管理できるIDaaSであり、SSOやMFAといった基本機能を通じて、組織全体のアクセス管理を集約できます。
• OneLogin RADIUSを利用することで、無線認証における認証の判断を機器側ではなくID基盤側に集約でき、拠点や機器が増えても運用負荷を増やさずにユーザー単位の無線認証を実現できます。
• 無線認証を目的にOneLoginを導入した場合でも、そのIDはSSOやMFA、ポリシーベースのアクセス制御へ段階的に展開でき、将来的なID管理基盤として継続的に活用できます。

なぜEAP-TTLSなのか

• EAP-TTLSはユーザーIDを用いた802.1X認証を行えるため、共有鍵を用いるPSK認証と異なり、ユーザーごとの接続可否や利用状況を把握・制御できます。
• 証明書配布やPKI運用を前提とせずに導入できるため、EAP-TLSほどの準備や運用負荷を必要とせず、初めてIDベースの無線認証に取り組む組織でも導入しやすい方式です。
• EAP-TTLSはあくまで導入の第一段階として位置付けられ、将来セキュリティ要件が高まった場合には、EAP-TLS（証明書認証）へ段階的に移行できる設計が可能です。証明書ベースのEAP-TLSへ移行する場合には、クラウドPKIサービスを利用することで証明書ライフサイクル管理を効率化できます。
  • ペンティオではクラウドPKIとしてSecureW2を提供しております。製品詳細は こちら から。ご興味を持たれましたらお気軽に弊社まで お問い合わせ ください。

前提条件

• OneLoginにおける管理者権限をお持ちであること（Super User または Account Owner）
• Meraki ネットワーク管理者権限（Full権限）をお持ちであること
• Meraki MRシリーズのアクセスポイントを設置している
• アクセスポイントが設置されている拠点ネットワークに固定グローバルIPアドレスがある
• 複数拠点で利用する場合でも、各拠点の接続元グローバルIPアドレスをOneLogin側に登録することで対応できます。IPアドレスは複数指定や範囲指定が可能です。

動作概要

IEEE802.1Xは以下の図のようなシーケンスに従って認証を行います。
EAP-TTLS認証では認証情報にID/パスワードを用います。

EAP-TTLS認証の流れは次のとおりです。

1. ユーザーがアクセスポイントに対してネットワークのアクセスを要求
2. アクセスポイントがユーザーにメールアドレス/パスワードの提示を要求
3. ユーザーはアクセスポイントに対してOneLoginに登録されたメールアドレス /パスワードを提示
4. アクセスポイントはOneLoginのRADIUSサーバーに対してメールアドレス/パスワードの検証要求を行う
5. OneLoginのRADIUSサーバーがメールアドレス/パスワードを検証し、認証結果をアクセスポイントに返します
6. アクセスポイントは受け取った認証可否に従い、ユーザーのネットワークアクセスを許可または拒否します

このフローにおけるメールアドレス/パスワードのやり取りは、TLSトンネル内で保護されます。

作業詳細

主な作業内容は、無線AP側（Cisco Meraki）とOneLoginでそれぞれ次の通りです。

基本的な無線APとOneLoginのRADIUSサーバー設定を行うだけで簡単にOneLoginをクラウドRADIUSサーバーとしてご利用いただけます。

OneLoginの設定

1. 管理者アカウントでOneLoginにログインし、管理 をクリックします。

   

2. Authenticationタブ > RADIUS をクリックします。

   

3. New Configuration をクリックします。

   

4. このRADIUS設定の名前を入力します。
   ＊RADIUS認証の認証成功ログ・認証失敗ログにも記録されるものなので、Wi-Fiのユーザー認証であることがわかるような名称をおすすめします。
   例）Cisco Meraki 802.1X認証

   

5. Secret にはOneLoginとアクセスポイント間の通信に用いる共有鍵を設定します。
   ＊32文字以上・大文字・小文字・数字・特殊記号*1 を含めることを推奨します。
   例）YKFKb4Jf-EZD3bZWCU4KpNWGp@mZM!89

   

   *1 Secretに利用可能な特殊記号には制約がございます。
   
   

6. IP Addresses にはアクセスポイントがインターネットに接続する際の 固定されたグローバルIPアドレス を入力します。多くの場合は、ルーターなどのWANポートに設定されたIPアドレスをご登録いただきます。ハイフンを入れることでIPアドレスを範囲で指定することにできます。詳しくは組織のネットワーク管理者にご確認下さい。
   ＊ローカルIPアドレスや変動するグローバルIPアドレスが利用できないことにご注意ください

   

   複数のグローバルIPアドレスからOneLoginへRADIUS要求を送信する可能性がある場合には、すべてのIPアドレスを登録する必要があります。下記画面例のように、スペースを区切り文字として、IPアドレスを複数ご指定いただくことができます。

   

7. 設定が完了したら一度ここで Save をクリックします。

   

8. 正常に作成が完了すると青色バナーで「RADIUS configuration was successfully created」と表示されます。もし赤色バナーが表示された場合はエラー内容を確認して下さい。

   

9. 今回認証に使う情報はOneLoginに登録しているメールアドレスとパスワードの組み合わせです。

   

   
   

以上で、OneLogin RADIUSの設定は完了です。

Cisco Merakiの設定

1. Meraki APにネットワーク管理者権限をお持ちのアカウントでログインし、ワイヤレス > SSID をクリックします。

   

2. SSIDを作成し、セキュリティ よりエンタープライズ認証 > RADIUSサーバー を選択します。

   

3. RADIUS > RADIUSサーバ からOneLoginのRADIUSサーバー情報（IPアドレス、認証ポート、シークレット）を登録します。IPアドレスは契約後に確認可能です。シークレットは「OneLoginの設定」手順5で入力したものを使用します。

   

4. ページを一番下にスクロールし 保存 をクリックします。

   

5. SSIDが作成できました。

   

以上でCisco Merakiの設定は完了です。

無線認証の確認

今回の検証で使用したユーザーの情報です。無線認証に使用するのはユーザーのメールアドレスとパスワードです。

以上の設定を終えたところで、MacBook Proを使用して動作確認を行いました。

1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。

   

2. 認証情報の入力画面が出てきたら、OneLoginに登録されているメールアドレスとパスワードを入力し、OKをクリックします。

   

3. 作成した無線LANへの接続を確認できました。

   

4. OneLoginに管理者としてログインし、イベントログでOneLoginユーザーがOneLogin RADIUSの認証に成功していることを確認します。

   

   
   

おわりに

本記事では、Cisco MerakiをはじめとするRADIUS認証に対応した無線LAN環境において、OneLogin RADIUSを利用したEAP-TTLSによるIDベース無線認証を検証しました。その結果、PSKを使用せず、OneLoginに登録されたユーザー情報をもとにWi-Fi接続可否を制御できることを確認しました。これにより、これまで管理が分離されがちだった無線LANも、組織全体のID管理の一部として統合できるようになります。

クラウド管理ができるネットワーク構成では、SSIDやRADIUSサーバー設定をどこでも一元管理できるため、拠点数やアクセスポイント台数が増加した場合でも、設定作業や運用負荷を抑えた展開が可能です。OneLogin RADIUSもクラウド型サービスとして提供されており、物理的なRADIUSサーバーを構築・運用することなく、無線LANの認証基盤をクラウドに集約できます。

EAP-TTLSは証明書配布を前提としないため、IDベース無線認証を比較的低い運用負荷で導入できる方式です。さらに、将来的にセキュリティ要件が高まった場合には、証明書を用いたEAP-TLSへの移行も視野に入ります。OneLoginをIdPとして基盤を整備しておくことで、無線認証を起点に、より高度なアクセス制御へ段階的に発展させることができます。以上で、「Wi-Fi認証もOneLoginで一元管理：EAP-TTLSによるIDベース無線LAN認証を検証」検証レポートを終わります。