Active DirectoryとNPSを利用した802.1x認証(EAP-TLS)の無線LANを構築する

０．前書き

Active DirectoryとNPSを利用した802.1x認証(EAP-TLS)の無線LANを構築する。

Active DirectoryとNPSを利用した802.1x認証(EAP-TLS)の無線LANを構築する。

Active DirectoryとNPSを利用し…

 

タイトルが異様に長くなりましたが、正確に書こうとするとこれしかなかったんですよね。

 

それはさておき、802.1x認証にはいくつか種類がありますが今回はEAP-TLSで構築します。EAP-TLSは双方向の認証に証明書を使います、つまりRADIUSサーバのサーバ証明書とクライアント証明書の両方が必要になります。

 

そこで証明書の発行は既存のADサーバにRADIUSサーバとCAサーバの機能を持たせて、認証させます。また、接続要求元のPCがWindows認証で特定のグループに所属している場合のみしか認証を許可しない予定です。

 

つまり、認証条件は以下の通りです。

サーバ認証：サーバ証明書

クライアント認証：クライアント証明書、ADグループへの参加

 

というわけでやっていきます。

 

１．環境説明

まずは環境から。

 

①ドメインコントローラー

 

構築システム：Active Directory

ホスト名：ADServer

OS：Windows Server 2022 Standard Evaluation(評価版)

IPアドレス：172.16.1.5

備考：DNSサーバも同居

 

②ドメイン環境

 

DNSドメイン名：home.miyamo83.com

 

③その他

 

無線AP：HPE Aruba Instant On AP22

クライアントPC：Windows11 Pro

 

ちなみに無線APはTechinnで18000円くらいでした。

PostNLからの発想なので一か月ほどかかりましたが、相場の半値くらいで買えました。

 

電源アダプタはついてなかったので、PoEインジェクタを1000円で購入して電源供給してます。

 

２．構築の流れ

構築は以下の流れで進めていきます。

 

①ADサーバにNPSサービスのインストール

②NPSをADに登録

③RADIUSクライアントの登録

④ネットワークポリシーの設定

⑤ADサーバにCAサービスのインストール

⑥RADIUSサーバ証明書の作成

⑦クライアント証明書の作成

⑧証明書の自動配布設定

⑨無線APの設定

⑩接続確認

 

今回も例のごとく先人の知恵をお借りしております。

認証がPEAPであるところ以外はすべて同じです。

 

無線LANをActiveDirectoryアカウントで認証する | とある情シス人の日々雑感

今回の趣旨は無線LANの認証方式としてWPA2エンタープライズを利用し、ActiveDirecrory(AD)アカウントで認証を行う仕組みとなります。 ですので、ADは必須です。...

blog.web-arena.com

 

３．構築手順

では始めていきましょう。

①ADサーバにNPSサービスのインストール

 

ADサーバにリモートして、サーバマネージャを開きます。サーバマネージャ右上の「管理」をクリックし、「役割と機能の追加」をクリックします。

 

 

 

インストールウィザードが開いたら「次へ」をクリックします

 

 

環境に合わせてサーバを選択し、「次へ」をクリックします

 

 

「ネットワークポリシーとアクセスサービス」をクリックし、「機能の追加」をクリックします。「ネットワークポリシーとアクセスサービス」にチェックボックスが付いたことを確認し、「次へ」をクリックします。

 

 

「次へ」をクリックします

 

 

「インストール」をクリックします

 

 

インストールが完了したらウィザードを閉じます。

 

②NPSをADに登録

 

Windowsボタンを押し、「ネットワーク ポリシー サーバ」をクリックします

 

 

「NPS(ローカル)」を右クリックし、「Active Directoryにサーバを登録」をクリックします

 

 

「OK」をクリックします

 

 

「OK」をクリックします

 

③RADIUSクライアントの登録

 

「テンプレートの管理」をクリックし、「共有シークレット」を右クリックして「新規」をクリックします

 

 

テンプレート名と共有シークレットを入力して「OK」をクリックします。共有シークレットは無線AP側で同じ値を入力することになります。

 

 

「RADIUSクライアントとサーバ」をクリックし、「RADIUSクライアント」を右クリックしたあと「新規」をクリックします

 

 

フレンドリ名、アドレスに入力後、共有シークレットを選択して「OK」をクリックします。「詳細設定」タブは特に何も設定しません。

 

④ネットワークポリシーの設定

 

「ポリシー」をクリックし、「ネットワークポリシー」を右クリックしたあと「新規」をクリックします

 

 

「ポリシー名」を入力し「次へ」をクリックします

 

 

「追加」をクリックした後、「Windows グループ」をクリックし「追加」をクリックします

 

 

「グループの追加」をクリックします

 

 

認証条件となるADグループを入力し、「OK」をクリックします

 

 

入力したADグループが追加されたことを確認して「OK」をクリックします

 

 

再び「追加」をクリックします

 

 

「NASポートの種類」をクリックし、「追加」をクリックします

 

 

「ワイヤレス-IEEE 802.11」を選択し、「OK」をクリックする

 

 

追加項目を確認して問題なければ「次へ」をクリックします

 

 

「次へ」をクリックします

 

 

「追加」をクリックし、「Microsoft スマートカードまたはその他の証明書」をクリックし、「OK」をクリック、「次へ」をクリックします。その際、セキュリティレベルの低い認証方法のチェックをすべて外すことを推奨

 

 

「次へ」をクリックします。

 

 

「完了」をクリックします。

 

⑤ADサーバにCAサービスのインストール

再びサーバマネージャ右上の「管理」をクリックし、「役割と機能の追加」をクリックします。

 

 

インストールウィザードが開いたら「次へ」をクリックします

 

 

環境に合わせてサーバを選択し、「次へ」をクリックします

 

 

「Active Directory 証明書サービス」をクリックし、「機能の追加」をクリックします。「Active Directory 証明書サービス」にチェックボックスが付いたことを確認し、「次へ」をクリックします。

 

 

「次へ」をクリックします

 

 

「次へ」をクリックします

 

 

「証明機関」にチェックが入っていることを確認し、「次へ」をクリックします

 

 

「インストール」をクリックします

 

 

インストールが完了したらウィザードを閉じます。

 

 

サーバマネージャに戻り、右上の「旗マーク」をクリックし「対象サーバにActive Directory 証明書サービスを構成する」をクリックします

 

 

「次へ」クリックします

 

 

「証明機関」にチェックを入れ、「次へ」をクリックします。

 

 

「次へ」をクリックします。

 

 

「次へ」をクリックします。

 

 

「次へ」をクリックします。

 

 

「SHA512」を選択し、「次へ」をクリックします。※現状SHA256ハッシュの復元はスパコンでしかできないため初期値の「SHA256」でよいかと思います。

 

 

「次へ」をクリックします。

 

 

ルート証明書の有効期限を入力し「次へ」をクリックします。

 

 

「次へ」をクリックします。

 

 

「構成」をクリックします。

 

 

構成が完了したので、「閉じる」をクリックします。

 

⑥RADIUSサーバ証明書の作成

 

「Windows ボタン」をクリックし、「証明機関」をクリックします

 

 

CAサーバ名をクリックし、「証明書テンプレート」を右クリックした後、「管理」をクリックします

 

 

「RASおよびIASサーバ」を右クリックし、「テンプレートの複製」をクリックします

 

 

「全般」タブで「テンプレート表示名」、「有効期間」、「更新期間」を入力し、「Active Directoryの証明書を発行する」にチェックを入れます。※どうやら証明書の有効期限は何もいじらなければ2年が限界のようです。レジストリを書き換えれば延長できるようです。

 

 

「セキュリティ」タブをクリックし、「RAS and IAS Servers (NetBIOSドメイン名\RAS and IAS Servers Servers)」を選択し、アクセス許可として「読み取り」、「登録」、「自動登録」をチェックし「適用」をクリックし「OK」をクリックします

 

⑦クライアント証明書の作成

 

次にクライアント証明書を作成するため、「コンピュータ」を右クリックし「テンプレートの複製」をクリックします

 

 

「全般」タブで「テンプレート表示名」、「有効期間」、「更新期間」を入力し、「Active Directoryの証明書を発行する」にチェックを入れます。※どうやら証明書の有効期限は何もいじらなければ2年が限界のようです。レジストリを書き換えれば延長できるようです。

 

 

「セキュリティ」タブをクリックし、「Authenticated Users」を選択し、アクセス許可として「読み取り」、「登録」、「自動登録」をチェックし「適用」をクリックし「OK」をクリックします

 

 

証明書テンプレートの管理画面を閉じ、証明機関ウィンドウで「証明書テンプレート」を右クリックし、「新規作成」をクリックします

 

 

先ほど作成したテンプレートを選択して「OK」をクリックします

 

 

追加されていれば証明書の作成は完了です。

 

⑧証明書の自動配布設定

 

「グループポリシーの管理」を開き、証明書の自動配布を行いたいOUを右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。※もちろん既存のGPOがある場合、追加でも問題ないです

 

 

名前を入力し。「OK」をクリックします

 

 

作成したGPOを右クリックし、「編集」をクリックします

 

 

「コンピュータの構成」<「ポリシー」<「Windows の設定」<「公開キーのポリシー」の順にクリックし、「証明書サービス クライアント – 自動登録」をダブルクリックします

 

 

「構成モデル」を有効にし、「有効期限が切れた証明書を書き換え、保留中の証明書を更新、および失効した証明書を削除する」と「証明書テンプレートを使用する証明書を更新する」にチェックを入れ、「OK」をクリックします

 

 

続いて「証明書サービス クライアント – 証明書登録ポリシー」をダブルクリックします

 

 

「構成モデル」を有効にし、「OK」をクリックします

 

 

証明書の設定はすべて完了したので、クライアントPCで実際に証明書が配布されるかを確認します。

コンピュータ証明書ストアを確認するため、検索欄で「certlm.msc」と入力し開きます。

 

 

「個人」<「証明書」とクリックしコンピュータ名の入ったクライアント証明書があれば成功です。

 

 

中間CA証明書とルート証明書も確認できます

 

ルート証明書

 

中間CA証明書

⑨無線APの設定

 

無線APでSSIDの設定をし、共有シークレットをRADIUSクライアントで設定した値と合わせています。

 

⑩接続確認

 

では最後にクライアントPCから実際にSSID「MIYAMO83」に接続して、動作確認をします。

 

今回SSIDはステルスにしているので、非公開のネットワークから設定していきます。

 

 

「接続」をクリックします。※この画面が表示されず、IDとパスワードを求められることがありましたが、一度適当に入力後再度、接続するとうまくいきました。

 

 

無事接続できればすべての作業が完了です。

 

 

速度もそこそこ出てそうです。

 

 

４．後書き

 

というわけで今回も超長い記事になりました。GUIでの作業が多くなると必然的にスクリーンショットが多くなったり文章が長くなってしまいます

 

話は変わりますが、最近はタイピングの練習を日課にしています。もともと全くタッチタイピングができない人間でしたが、少しずつできるようになってきました。今更ながら手元を見ずにタイピングできるってすごい気持ちいいですね

 

５．参考サイト

無線LANをActiveDirectoryアカウントで認証する | とある情シス人の日々雑感

今回の趣旨は無線LANの認証方式としてWPA2エンタープライズを利用し、ActiveDirecrory(AD)アカウントで認証を行う仕組みとなります。 ですので、ADは必須です。...

blog.web-arena.com

Active Directory証明書サービス(AD CS)でオレオレ認証局(エンタープライズCA)を構築する

どうも、Tです。急遽、証明書機関が必要になったので、Active Directory証明書サービス(AD CS)を使えるようにしてみました。やりたいこと AD CSをエンタープライズCAとして構築するエンタープライズCAとスタンドアロンC

t-dilemma.info

ネットワークエンジニアのメモ

iPhone、iPad、スマホ、Cisco、Network

www.infraeye.com