RUCKUS APの802.1X 無線認証にクラウドRADIUS(SecureW2)を利用する

今回はジェイズ・コミュニケーション株式会社、ジェイズ・テクノロジー株式会社のご協力のもと、無線アクセスポイントのRUCKUS R670をご提供いただき、弊社が提供するクラウド型認証ソリューションSecureW2との連携について検証を行いました。
本記事では、下記テーマについて検証レポートをまとめております。
RUCKUS APの導入をご検討中の方や、クラウドRADIUSによるEAP-TLS(クライアント証明書認証)にご関心のある方は、ぜひ最後までご覧ください。

検証テーマ

  • RUCKUS APの無線認証にSecureW2のRADIUSサーバーを利用する
  • SecureW2によるユーザーに応じたネットワークの動的制御(Dynamic VLAN)を実現する
クラウドRADIUS

クラウドRADIUS(Cloud Radius)とは、クラウド型で提供されているRADIUSサービスのことを指します。SecureW2の提供するクラウドRADIUSは、無線LAN機器認証で利用するEAP-TLS証明書や、VPN機器認証で利用するSSL証明書に、相互の認証判定を提供します。詳しくは クラウドRADIUS紹介ページ をご覧ください。
ペンティオでは、Cisco MerakiJuniper MistArubaExtreme NetworksUbiquiti UniFiACERAYAMAHAFortiAP Wi-FiPanasonic AIRRECTBUFFALO AirStation ProRUCKUS Wi-FiSophos Wireless などの各種無線APとSecureW2の連携を検証しております。 SecureW2検証・設定手順一覧

RUCKUS APのご紹介

検証に使用したRUCKUS R670

今回は無線アクセスポイントのRUCKUS R670をお借りして動作検証を行いました。 機器のスペックやその他製品の詳細情報はジェイズ・コミュニケーション様の製品情報をご覧ください。

RUCKUS R670は、高密度接続環境に対応したハイパフォーマンスな業務用無線LANアクセスポイントです。企業、教育機関、宿泊施設、医療機関、公共施設など、多数の端末が同時接続する環境においても、安定した高速通信を提供できるよう設計されています。さらに、エンタープライズ用途で求められるセキュリティ要件にも対応しており、WPA3や802.1X/EAPを利用した認証方式をサポートすることで、利用者や端末を適切に識別しながら、安全な無線LAN環境を実現します。

RUCKUS製品の特徴として、BeamFlex技術による通常より広いカバー範囲、他の電波干渉の受けにくさ、クラウドおよびコントローラーベースの管理基盤による柔軟な運用性が挙げられます。これにより、少ない台数で1つの拠点の無線認証を担えるだけでなく、複数拠点に展開されたアクセスポイントを一元的に管理し、SSID設定、電波出力の最適化、ファームウェア更新、障害監視などを効率的に実施することが可能です。たとえば、複数のオフィス、店舗、校舎、客室エリアなどにアクセスポイントを設置している組織であっても、クラウド管理プラットフォーム「RUCKUS One」を活用することで、現地作業を最小限に抑えながら、ネットワーク全体の品質維持と運用負荷の軽減を両立できます。

一方で、RUCKUS APやその管理基盤単体では、構成によっては証明書発行機能やフルマネージドな認証基盤を内包しないため、EAP-TLSによる証明書認証を本格的に導入する際には、別途RADIUSサーバーやPKI基盤の整備が必要となる場合があります。そこで、SecureW2が提供するクラウドRADIUSおよびマネージドPKIサービスを組み合わせることで、RUCKUSによる高品質な無線LANインフラ運用と、証明書を用いたセキュアなネットワーク認証を同時に実現することが可能です。

前提条件

  • SecureW2の管理者アカウントをお持ちであること
  • SecureW2のネットワークポリシーを作成済みであること
  • クライアントPCにSecureW2発行のクライアント証明書の配布・登録が完了していること
  • RUCKUS Oneにアクセスできる環境をご準備いただいていること
  • RUCKUS OneにAPおよびベニュー(使用環境の住所)を登録していること

動作概要

IEEE802.1Xは以下の図のようなシーケンスに従って認証を行います。EAP-TLS認証では認証情報にID / パスワードではなく、クライアント証明書を用いる点が特徴です。

IEEE802.1X EAP-TLS認証のシーケンス図

EAP-TLS認証の流れは次のとおりです。

  1. ユーザーがアクセスポイントに対してネットワークのアクセスを要求します
  2. アクセスポイントがユーザーにクライアント証明書の提示を要求します
  3. ユーザーはアクセスポイントに対して適当なクライアント証明書を提示します
  4. アクセスポイントはSecureW2に対してクライアント証明書の検証要求を行います
  5. SecureW2がクライアント証明書を検証し、認証結果と認証許可した場合にはVLAN等の属性情報をアクセスポイントに返します
  6. アクセスポイントは受け取った認証可否に従い、ユーザーのネットワークアクセスを許可または拒否します

※VLAN IDなどのRADIUS属性やベンダー固有属性(VSA)は、5番目の段階で認証結果と共にアクセスポイントに返されます。

このようにIEEE802.1XのEAP-TLS認証を行うことで、社内ネットワークへの不正な端末やユーザーによるアクセスを排除し、ID / パスワードを利用したネットワークのアクセス管理に比べより強固なセキュリティを実現できます。 加えて、EAP-TTLS認証を利用する場合と比べて、重要なIdPにログインするためのID / パスワードをネットワークに流さないことも組織全体のセキュリティを向上させます。

RADIUS を用いた 802.1X 認証環境において利用されることのある追加機能として、RadSec(RADIUS over TLS)Dynamic VLAN(RADIUS 属性による VLAN 割り当て)にも対応しております。本検証ではRadSec(RADIUS over TLS)についても動作確認を行っており、詳細は別記事にて解説予定です。

作業詳細

主な作業内容は、RUCKUS APとSecureW2でそれぞれ次のとおりです。

RUCKUS APとSecureW2で行う主な作業内容

基本的なRUCKUS APとSecureW2の無線LAN利用設定を行うだけで簡単にSecureW2をクラウドRADIUSサーバーとしてご利用いただけます。認証に加えて認可でもRADIUSを利用したい場合は、SecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性(VSA)を認証結果に付与することもできます。

基本的なRUCKUS APのSSID設定

まずはSecureW2のクラウドRADIUSをRUCKUS APで参照するように設定します。
設定を始める前にSecureW2の以下の画像の情報(IPアドレス、ポート番号、シークレット)を控えておいてください。実際の値は管理コンソールのRADIUS Configurationからご確認いただけます。

SecureW2のRADIUS Configuration画面
補足

2023年11月より、クラウドRADIUS AsiaPacific-1リージョンの無償提供が開始されました。これにより従来のサーバーよりも地理的距離が近くなるため、レイテンシの低減と高速な通信レスポンスを実現できます。そのため、ペンティオではAsiaPacific-1リージョンをプライマリRADIUSサーバーとして設定することを推奨しております。詳しくはこちらをご覧ください。

  1. RUCKUS Oneにログインし、マイサービス をクリックします。
    RUCKUS Oneのマイサービス画面
  2. 検索窓に RADIUS と入力し、追加 をクリックします。
    RUCKUS OneでRADIUSサービスを追加する画面
  3. 以下のように情報を入力し、追加を クリック します。
    基本的なRUCKUS APのSSID設定で確認したIPアドレス、ポート番号、シークレット値を使用します。
    RUCKUS OneのRADIUSサーバー追加画面


  4. Wi-Fi > Wi-Fiネットワークリスト をクリックします。
    RUCKUS OneのWi-Fiネットワークリスト画面
  5. Wi-Fiネットワークを追加 をクリックします。
    Wi-Fiネットワークを追加する画面
  6. SSID(例:Pentio_Network)を入力、ネットワークタイプで エンタープライズAAA(802.1X)を選択し、次へ をクリックします。
    SSIDとネットワークタイプを設定する画面
  7. 以下のように情報を入力し、次へ をクリックします。
    エンタープライズAAAのRADIUS情報を設定する画面
  8. ベニューを アクティブ にし、次へ をクリックします。
    Wi-Fiネットワークのベニューを有効化する画面
  9. 入力した情報を確認し、問題がない場合、追加 をクリックします。
    追加するWi-Fiネットワークの確認画面
  10. ネットワークリストにSSIDの追加が確認できれば設定は完了です。
    追加したSSIDが表示されたWi-Fiネットワークリスト

VLANの設定

IEEE802.1X認証において、RADIUSサーバーが接続許可を意味するAccess-Acceptメッセージを返すとき、認証結果とあわせてVLAN IDなどのRADIUS属性やベンダー固有属性をRADIUSサーバーからRADIUSクライアントへ連携すると、接続先のネットワークを制御することなどが可能です。SecureW2ではネットワークポリシーの設定を行うだけで簡単にRADIUS属性の指定やユーザー・デバイスに応じた値の定義が可能です。

また、このレポートでは詳細は割愛いたしますが、OneLogin、Okta、Microsoft Entra IDなどのIDaaSと連携するDynamic RADIUSを併用することで、Active DirectoryやLDAPなどのレガシーな認証基盤に依存しないクラウドネイティブなRADIUS基盤としてもご活用いただけます。

  1. SecureW2 Management Portal(管理コンソール)の Policy Management > Network から Add Network Policy をクリックします。
    SecureW2でネットワークポリシーを追加する画面
  2. ポリシーの名前を入力し、Save をクリックします。
    SecureW2でネットワークポリシー名を入力する画面
  3. Conditionsタブに移動し、Add rule をクリックします。Conditionsタブでは、このNetwork Policyを適用させる対象の条件として利用する変数の種類を指定します。
    Network PolicyのConditionsタブでルールを追加する画面
  4. ここでは例としてクライアント証明書のCommon Nameを条件として設定します。各環境に合わせて、Roleや証明書属性など適切な変数を指定してください。
    CertificateからCommon Nameを選択して Save をクリックします。画面上部に「'Certificate Common Name' selected」と表示されれば成功です。
    Certificate Common Nameを条件に選択する画面
  5. 正常に設定が反映されると、以下の画像のように変数の値を指定できます。今回は例として、無線認証時に提示する証明書のCommon Nameを設定します。
    変数の値を設定できたら、Update をクリックします。
    証明書のCommon Name条件値を設定する画面
  6. Settingsタブに移動し、Add Attribute をクリックします。この画面で使用するRADIUS属性の設定を行います。
    Network PolicyのSettingsタブでRADIUS属性を追加する画面
  7. DictionaryのプルダウンからRadius:IETFを選択します。今回のシナリオではDynamic VLANの利用を想定しているため、以下の表を参考にそれぞれ設定を行います。

    Radius:IETFの属性(Attribute:)

    値(Value:)

    説明

    Tunnel-Type

    13

    VLAN(固定値)

    Tunnel-Medium-Type

    6

    IEEE-802(固定値)

    Tunnel-Private-Group-ID

    任意のVLAN-ID(1-4094)

    認証対象のユーザーや機器が認証をパスした後に所属させるVLAN-ID
    (例:100, 200)

    Radius:IETFのRADIUS属性を設定する画面
  8. 画像のように設定できたら、Update をクリックして設定を終了します。他のNetwork Policyが存在している場合は、適宜ポリシーの優先度を操作してください。
    Dynamic VLAN用のRADIUS属性設定画面
  9. 今回はDynamic VLANが実現可能かを検証するために、同じ手順でVLAN-ID=200のネットワークポリシーも作成しておきます。
    VLAN-ID 200用ネットワークポリシーの設定画面

動作確認

以上の設定を終えたところで、MacBook Proを使用して動作確認を行いました。今回はWi-Fiの接続設定や証明書の配布を手作業で行っていますが、Microsoft Intune、Jamf ProなどのMDM(モバイルデバイス管理)製品とSecureW2を連携しておくと、これらも自動化することができます。

  1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。
    macOSのWi-Fi一覧で作成したSSIDを選択する画面
  2. 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。
    macOSでEAP-TLS認証に使用する証明書を選択する画面
  3. 以下のようなウィンドウが表示されたら、続けるをクリックします。
    macOSで証明書の信頼を確認する画面
  4. 以下のようなウィンドウが表示されたら、PC管理者のユーザー名とパスワードを入力して許可します。
    macOSで管理者権限による設定変更を許可する画面
  5. 作成した無線LANへの接続ができたことが確認できました。
    作成した無線LANに接続できた状態のWi-Fi画面
  6. 今度はVLAN-IDが正しく付与されて、DHCPで指定した範囲内のIPからアドレスが払い出されているか確認します。
    今回の例では、VLAN-IDが100の際にDHCPサーバーから192.168.100.2/24 - 192.168.100.254/24の範囲で、200の場合は192.168.200.2/24 - 192.168.200.254/24でIPアドレスを割り振る設定にしているため、設定した範囲のIPアドレスが正しく割り振られていることが確認できます。
    VLAN-ID 100で割り当てられたIPアドレスの確認画面
    VLAN-ID 200で割り当てられたIPアドレスの確認画面

    WiresharkからもVLAN IDが正常に割り当てられていることを確認できました。
    "example@pentio.com"というユーザーがネットワークに参加する場合はVLAN=100
    "hanako.sato@pentio.com"というユーザーがネットワークに参加する場合はVLAN=200に所属させていることがわかります。

    WiresharkでVLAN-ID 100の割り当てを確認した画面
    WiresharkでVLAN-ID 200の割り当てを確認した画面

おわりに

本記事では、RUCKUS R670をRUCKUS Oneで管理する構成において、SecureW2のクラウドRADIUSを利用したIEEE802.1X(EAP-TLS)無線認証とDynamic VLAN制御を検証しました。

RUCKUS Oneによるクラウド一元管理と、SecureW2によるクラウドRADIUS/マネージドPKIを組み合わせることで、無線LANの運用管理と認証基盤をともにクラウドへ集約できることを確認しました。また、SecureW2ではネットワークポリシーにRADIUS属性を設定することで、認証結果に応じたVLAN-IDの返却が可能であり、RUCKUS AP側でその属性を受け取ることでDynamic VLANを実現できます。実際に本検証では、ユーザーごとに異なるVLANへ動的に振り分けられ、払い出されるIPアドレス帯も切り替わることを確認しており、SSIDを分けることなくネットワーク分離やアクセス制御を行える構成が有効であることを確認しました。これにより、利用者向けSSIDの乱立を避けつつ、運用負荷と利用者体験を損なわずにアクセス制御を実装できます。

RUCKUS APとSecureW2の組み合わせは、高密度接続環境に対応した無線LANインフラを維持しながら、証明書ベースの強固な認証と柔軟なネットワーク制御を両立したい組織にとって、有力な選択肢になるといえるでしょう。特に、複数拠点を展開する企業、教育機関、宿泊施設、医療機関などにおいて、無線LANの運用管理と認証基盤をクラウドで統合したい場合、本構成は有効です。以上で、「RUCKUS APの802.1X無線認証にクラウドRADIUS(SecureW2)を利用する」の検証レポートを終わります。

参考

本検証で使用した機種のスペックシート

項目

R770

R670

R560

Wi-Fi世代

Wi-Fi 7

Wi-Fi 7

Wi-Fi 6E

対応バンド

2.4 / 5 / 6GHz

2.4 / 5 / 6GHz

2.4 / 5 / 6GHz

無線数

Tri-Radio

Tri-Radio

Tri-Radio

最大PHYレート合計

12.22Gbps

9.34Gbps

4.710Gbps

無線チェーン数 / 空間ストリーム数

2x2:2 / 4x4:4 / 2x2:2

2x2:2

2x2:2

同時接続ユーザー数

1024

768

1536

Ethernetポート

10GbE + 1GbE

5GbE + 1GbE

5GbE + 1GbE

BeamFlex

対応

対応

対応

ChannelFly

対応

対応

対応

SmartMesh

対応

対応

対応

IoT対応

IoT Onboard

IoT Onboard

IoT Onboard

想定用途

高密度 / 上位Wi-Fi 7

中〜高密度 / Wi-Fi 7導入

中〜高密度Wi-Fi 6E

*本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。

目次