Cisco Meraki MRの802.1X 無線認証にクラウドRADIUS(SecureW2)を利用する
RUCKUS APの802.1X 無線認証にクラウドRADIUS(SecureW2)を利用する
今回はジェイズ・コミュニケーション株式会社、ジェイズ・テクノロジー株式会社のご協力のもと、無線アクセスポイントのRUCKUS R670をご提供いただき、弊社が提供するクラウド型認証ソリューションSecureW2との連携について検証を行いました。
本記事では、下記テーマについて検証レポートをまとめております。
RUCKUS
APの導入をご検討中の方や、クラウドRADIUSによるEAP-TLS(クライアント証明書認証)にご関心のある方は、ぜひ最後までご覧ください。
検証テーマ
- RUCKUS APの無線認証にSecureW2のRADIUSサーバーを利用する
- SecureW2によるユーザーに応じたネットワークの動的制御(Dynamic VLAN)を実現する
クラウドRADIUS
クラウドRADIUS(Cloud
Radius)とは、クラウド型で提供されているRADIUSサービスのことを指します。SecureW2の提供するクラウドRADIUSは、無線LAN機器認証で利用するEAP-TLS証明書や、VPN機器認証で利用するSSL証明書に、相互の認証判定を提供します。詳しくは
クラウドRADIUS紹介ページ
をご覧ください。
ペンティオでは、Cisco Meraki、Juniper Mist、Aruba、
Extreme Networks、Ubiquiti UniFi、ACERA、
YAMAHA、FortiAP Wi-Fi、 Panasonic AIRRECT、
BUFFALO AirStation Pro、RUCKUS Wi-Fi、
Sophos Wireless
などの各種無線APとSecureW2の連携を検証しております。
SecureW2検証・設定手順一覧
RUCKUS APのご紹介
今回は無線アクセスポイントのRUCKUS R670をお借りして動作検証を行いました。 機器のスペックやその他製品の詳細情報はジェイズ・コミュニケーション様の製品情報をご覧ください。
RUCKUS R670は、高密度接続環境に対応したハイパフォーマンスな業務用無線LANアクセスポイントです。企業、教育機関、宿泊施設、医療機関、公共施設など、多数の端末が同時接続する環境においても、安定した高速通信を提供できるよう設計されています。さらに、エンタープライズ用途で求められるセキュリティ要件にも対応しており、WPA3や802.1X/EAPを利用した認証方式をサポートすることで、利用者や端末を適切に識別しながら、安全な無線LAN環境を実現します。
RUCKUS製品の特徴として、BeamFlex技術による通常より広いカバー範囲、他の電波干渉の受けにくさ、クラウドおよびコントローラーベースの管理基盤による柔軟な運用性が挙げられます。これにより、少ない台数で1つの拠点の無線認証を担えるだけでなく、複数拠点に展開されたアクセスポイントを一元的に管理し、SSID設定、電波出力の最適化、ファームウェア更新、障害監視などを効率的に実施することが可能です。たとえば、複数のオフィス、店舗、校舎、客室エリアなどにアクセスポイントを設置している組織であっても、クラウド管理プラットフォーム「RUCKUS One」を活用することで、現地作業を最小限に抑えながら、ネットワーク全体の品質維持と運用負荷の軽減を両立できます。
一方で、RUCKUS APやその管理基盤単体では、構成によっては証明書発行機能やフルマネージドな認証基盤を内包しないため、EAP-TLSによる証明書認証を本格的に導入する際には、別途RADIUSサーバーやPKI基盤の整備が必要となる場合があります。そこで、SecureW2が提供するクラウドRADIUSおよびマネージドPKIサービスを組み合わせることで、RUCKUSによる高品質な無線LANインフラ運用と、証明書を用いたセキュアなネットワーク認証を同時に実現することが可能です。
前提条件
- SecureW2の管理者アカウントをお持ちであること
- SecureW2のネットワークポリシーを作成済みであること
- クライアントPCにSecureW2発行のクライアント証明書の配布・登録が完了していること
- RUCKUS Oneにアクセスできる環境をご準備いただいていること
- RUCKUS OneにAPおよびベニュー(使用環境の住所)を登録していること
動作概要
IEEE802.1Xは以下の図のようなシーケンスに従って認証を行います。EAP-TLS認証では認証情報にID / パスワードではなく、クライアント証明書を用いる点が特徴です。
EAP-TLS認証の流れは次のとおりです。
- ユーザーがアクセスポイントに対してネットワークのアクセスを要求します
- アクセスポイントがユーザーにクライアント証明書の提示を要求します
- ユーザーはアクセスポイントに対して適当なクライアント証明書を提示します
- アクセスポイントはSecureW2に対してクライアント証明書の検証要求を行います
- SecureW2がクライアント証明書を検証し、認証結果と認証許可した場合にはVLAN等の属性情報をアクセスポイントに返します
- アクセスポイントは受け取った認証可否に従い、ユーザーのネットワークアクセスを許可または拒否します
※VLAN IDなどのRADIUS属性やベンダー固有属性(VSA)は、5番目の段階で認証結果と共にアクセスポイントに返されます。
このようにIEEE802.1XのEAP-TLS認証を行うことで、社内ネットワークへの不正な端末やユーザーによるアクセスを排除し、ID / パスワードを利用したネットワークのアクセス管理に比べより強固なセキュリティを実現できます。 加えて、EAP-TTLS認証を利用する場合と比べて、重要なIdPにログインするためのID / パスワードをネットワークに流さないことも組織全体のセキュリティを向上させます。
RADIUS を用いた 802.1X 認証環境において利用されることのある追加機能として、RadSec(RADIUS over TLS)やDynamic VLAN(RADIUS 属性による VLAN 割り当て)にも対応しております。本検証ではRadSec(RADIUS over TLS)についても動作確認を行っており、詳細は別記事にて解説予定です。
作業詳細
主な作業内容は、RUCKUS APとSecureW2でそれぞれ次のとおりです。
基本的なRUCKUS APとSecureW2の無線LAN利用設定を行うだけで簡単にSecureW2をクラウドRADIUSサーバーとしてご利用いただけます。認証に加えて認可でもRADIUSを利用したい場合は、SecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性(VSA)を認証結果に付与することもできます。
基本的なRUCKUS APのSSID設定
まずはSecureW2のクラウドRADIUSをRUCKUS
APで参照するように設定します。
設定を始める前にSecureW2の以下の画像の情報(IPアドレス、ポート番号、シークレット)を控えておいてください。実際の値は管理コンソールのRADIUS
Configurationからご確認いただけます。
補足
2023年11月より、クラウドRADIUS AsiaPacific-1リージョンの無償提供が開始されました。これにより従来のサーバーよりも地理的距離が近くなるため、レイテンシの低減と高速な通信レスポンスを実現できます。そのため、ペンティオではAsiaPacific-1リージョンをプライマリRADIUSサーバーとして設定することを推奨しております。詳しくはこちらをご覧ください。
-
RUCKUS Oneにログインし、マイサービス をクリックします。
-
検索窓に RADIUS と入力し、追加 をクリックします。
-
以下のように情報を入力し、追加を クリック します。
基本的なRUCKUS APのSSID設定で確認したIPアドレス、ポート番号、シークレット値を使用します。
-
Wi-Fi > Wi-Fiネットワークリスト
をクリックします。
- Wi-Fiネットワークを追加 をクリックします。
- SSID(例:Pentio_Network)を入力、ネットワークタイプで エンタープライズAAA(802.1X)を選択し、次へ をクリックします。
-
以下のように情報を入力し、次へ をクリックします。
-
ベニューを アクティブ にし、次へ をクリックします。
-
入力した情報を確認し、問題がない場合、追加
をクリックします。
-
ネットワークリストにSSIDの追加が確認できれば設定は完了です。
VLANの設定
IEEE802.1X認証において、RADIUSサーバーが接続許可を意味するAccess-Acceptメッセージを返すとき、認証結果とあわせてVLAN IDなどのRADIUS属性やベンダー固有属性をRADIUSサーバーからRADIUSクライアントへ連携すると、接続先のネットワークを制御することなどが可能です。SecureW2ではネットワークポリシーの設定を行うだけで簡単にRADIUS属性の指定やユーザー・デバイスに応じた値の定義が可能です。
また、このレポートでは詳細は割愛いたしますが、OneLogin、Okta、Microsoft Entra IDなどのIDaaSと連携するDynamic RADIUSを併用することで、Active DirectoryやLDAPなどのレガシーな認証基盤に依存しないクラウドネイティブなRADIUS基盤としてもご活用いただけます。
-
SecureW2 Management Portal(管理コンソール)の Policy
Management > Network から
Add Network Policy
をクリックします。
-
ポリシーの名前を入力し、Save
をクリックします。
- Conditionsタブに移動し、Add rule
をクリックします。Conditionsタブでは、このNetwork
Policyを適用させる対象の条件として利用する変数の種類を指定します。
-
ここでは例としてクライアント証明書のCommon
Nameを条件として設定します。各環境に合わせて、Roleや証明書属性など適切な変数を指定してください。
CertificateからCommon Nameを選択して Save をクリックします。画面上部に「'Certificate Common Name' selected」と表示されれば成功です。
-
正常に設定が反映されると、以下の画像のように変数の値を指定できます。今回は例として、無線認証時に提示する証明書のCommon
Nameを設定します。
変数の値を設定できたら、Update をクリックします。
- Settingsタブに移動し、Add Attribute
をクリックします。この画面で使用するRADIUS属性の設定を行います。
-
DictionaryのプルダウンからRadius:IETFを選択します。今回のシナリオではDynamic
VLANの利用を想定しているため、以下の表を参考にそれぞれ設定を行います。
Radius:IETFの属性(Attribute:)
値(Value:)
説明
Tunnel-Type
13
VLAN(固定値)
Tunnel-Medium-Type
6
IEEE-802(固定値)
Tunnel-Private-Group-ID
任意のVLAN-ID(1-4094)
認証対象のユーザーや機器が認証をパスした後に所属させるVLAN-ID
(例:100, 200)
-
画像のように設定できたら、Update
をクリックして設定を終了します。他のNetwork
Policyが存在している場合は、適宜ポリシーの優先度を操作してください。
-
今回はDynamic
VLANが実現可能かを検証するために、同じ手順でVLAN-ID=200のネットワークポリシーも作成しておきます。
動作確認
以上の設定を終えたところで、MacBook Proを使用して動作確認を行いました。今回はWi-Fiの接続設定や証明書の配布を手作業で行っていますが、Microsoft Intune、Jamf ProなどのMDM(モバイルデバイス管理)製品とSecureW2を連携しておくと、これらも自動化することができます。
-
Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。
-
証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。
-
以下のようなウィンドウが表示されたら、続けるをクリックします。
-
以下のようなウィンドウが表示されたら、PC管理者のユーザー名とパスワードを入力して許可します。
-
作成した無線LANへの接続ができたことが確認できました。
-
今度はVLAN-IDが正しく付与されて、DHCPで指定した範囲内のIPからアドレスが払い出されているか確認します。
今回の例では、VLAN-IDが100の際にDHCPサーバーから192.168.100.2/24 - 192.168.100.254/24の範囲で、200の場合は192.168.200.2/24 - 192.168.200.254/24でIPアドレスを割り振る設定にしているため、設定した範囲のIPアドレスが正しく割り振られていることが確認できます。
WiresharkからもVLAN IDが正常に割り当てられていることを確認できました。
"example@pentio.com"というユーザーがネットワークに参加する場合はVLAN=100
"hanako.sato@pentio.com"というユーザーがネットワークに参加する場合はVLAN=200に所属させていることがわかります。
おわりに
本記事では、RUCKUS R670をRUCKUS Oneで管理する構成において、SecureW2のクラウドRADIUSを利用したIEEE802.1X(EAP-TLS)無線認証とDynamic VLAN制御を検証しました。
RUCKUS Oneによるクラウド一元管理と、SecureW2によるクラウドRADIUS/マネージドPKIを組み合わせることで、無線LANの運用管理と認証基盤をともにクラウドへ集約できることを確認しました。また、SecureW2ではネットワークポリシーにRADIUS属性を設定することで、認証結果に応じたVLAN-IDの返却が可能であり、RUCKUS AP側でその属性を受け取ることでDynamic VLANを実現できます。実際に本検証では、ユーザーごとに異なるVLANへ動的に振り分けられ、払い出されるIPアドレス帯も切り替わることを確認しており、SSIDを分けることなくネットワーク分離やアクセス制御を行える構成が有効であることを確認しました。これにより、利用者向けSSIDの乱立を避けつつ、運用負荷と利用者体験を損なわずにアクセス制御を実装できます。
RUCKUS APとSecureW2の組み合わせは、高密度接続環境に対応した無線LANインフラを維持しながら、証明書ベースの強固な認証と柔軟なネットワーク制御を両立したい組織にとって、有力な選択肢になるといえるでしょう。特に、複数拠点を展開する企業、教育機関、宿泊施設、医療機関などにおいて、無線LANの運用管理と認証基盤をクラウドで統合したい場合、本構成は有効です。以上で、「RUCKUS APの802.1X無線認証にクラウドRADIUS(SecureW2)を利用する」の検証レポートを終わります。
参考
本検証で使用した機種のスペックシート
項目 | R770 | R670 | R560 |
|---|---|---|---|
Wi-Fi世代 | Wi-Fi 7 | Wi-Fi 7 | Wi-Fi 6E |
対応バンド | 2.4 / 5 / 6GHz | 2.4 / 5 / 6GHz | 2.4 / 5 / 6GHz |
無線数 | Tri-Radio | Tri-Radio | Tri-Radio |
最大PHYレート合計 | 12.22Gbps | 9.34Gbps | 4.710Gbps |
無線チェーン数 / 空間ストリーム数 | 2x2:2 / 4x4:4 / 2x2:2 | 2x2:2 | 2x2:2 |
同時接続ユーザー数 | 1024 | 768 | 1536 |
Ethernetポート | 10GbE + 1GbE | 5GbE + 1GbE | 5GbE + 1GbE |
BeamFlex | 対応 | 対応 | 対応 |
ChannelFly | 対応 | 対応 | 対応 |
SmartMesh | 対応 | 対応 | 対応 |
IoT対応 | IoT Onboard | IoT Onboard | IoT Onboard |
想定用途 | 高密度 / 上位Wi-Fi 7 | 中〜高密度 / Wi-Fi 7導入 | 中〜高密度Wi-Fi 6E |
*本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。
