無線LANをActiveDirectoryアカウントで認証する

2020年3月10日

今回の趣旨は無線LANの認証方式としてWPA2エンタープライズを利用し、ActiveDirecrory(AD)アカウントで認証を行う仕組みとなります。

ですので、ADは必須です。先に構築してください。

OSはWindowsServer2016を基に作成しております。
Radius機能としてはWindows機能にある『ネットワークポリシーサーバー(NPS)』を利用します。

1.ネットワークポリシーサーバー(NPS)を有効にする

ADがインストールされているサーバーが望ましいですが、ドメインネットワークに存在する他のサーバーでも構築できます。

1-1.サーバーマネージャーを開き、『役割と機能の追加』を実行します。

1-2.サーバーの役割の選択にて『ネットワークポリシーとアクセスサービス』にチェックを入れて、インストール。

2.NPSをADに登録する

2-1.[Windows管理ツール]内の『ネットワークポリシーサーバー』を起動します。

 

2-2.NPS(ローカル)を右クリックし、『Active Directoryにサーバーを登録』を選択。

2-3.その後は『OK』で進めてください

 

3.ネットワークポリシーサーバーの設定

3-2.共有シークレットの作成します。
[テンプレートの管理]→[共有シークレット]を右クリックし、『新規』を選択します。

3-3.テンプレート名と共有シークレットを入力します。

 

 

4.RADIUSクライアントの登録

4-1.[RADIUSクライアントとサーバー]→[RADIUSクライアント] を右クリックし、『新規』を選択します。

 

 

4-2.フレンドリ名に認証対象となるアクセスポイントの名称を入力し、そのアクセスポイントのIPを入力します。
共有シークレットでは先ほど作成したテンプレートをプルダウンから選択します。

 

5.接続要求ポリシーの登録

5-1.[ポリシー] → [接続要求ポリシー] を右クリックし、『新規』を選択します

 

5-2.ポリシー名に名称を入力し、『次へ』をクリック。

 

5-3.[条件の指定]画面で『追加』ボタンを押し、一番下の『NASポートの種類』を選択して『追加』を押し、『ワイヤレス-IEEE 802.11』にチェックを入れて『OK』をクリック。

 

 

 

 

 

 

5-4.その他、何も変更せずに『次へ』をクリックして進める。

 

6.ネットワークポリシーの登録

6-1.[ポリシー] →[ネットワークポリシー] を右クリックし、『新規』を選択します

 

 

6-2.ポリシー名に、適当な名称をつけ、『次へ』をクリック

 

6-3.[条件の指定]画面で『追加』ボタンを押し、『Windowsグループ』を選択して『追加』を押し、『グループの追加』をクリック。

 

6-4.接続を許可するグループを選択します

6-5.アクセス許可の指定では、『アクセスを許可する』を選択

 

6-6.[認証方法の構成]画面で『追加』ボタンを押し、『Microsoft: 保護されたEAP(PEAP)』を選択し、『セキュリティレベルの低い認証方法』のチェックを全て外して『次へ』をクリック

 

6-7.その他、何も変更せずに『次へ』をクリックして進める。

 

 

7.AD証明書サービスをインストールする

7-1.サーバーマネージャーを開き、『役割と機能の追加』を実行します。

7-2.サーバーの役割の選択にて『ActiveDirectory証明書サービス』にチェックを入れて、インストール。

 

 

7-3.『証明機関』にチェックを入れ、次へ。

 

7-4.インストール後、証明書サービスを設定していきます。

 

8.Radiusサーバー証明書の自動配付

8-1.[Windows管理ツール]→[証明機関]を起動する

 

8-2.[証明書テンプレート]→[管理]をクリック

 

8-3.[RASおよびIASサーバー]を右クリックし、『テンプレートの複製』を選択

 

8-4.[全般]タブにてテンプレート表示名と有効期間を設定。
『ActiveDirectoryの証明書を発行する』にチェックを入れます。

 

8-5.[セキュリティ]タブで『RAS And IAS Servers』を選択し、読み取りと自動登録にチェックします

 

8-6.[証明書テンプレート]→[新規作成]→[発行する証明書テンプレート]をクリック

 

8-7.作成したテンプレートをクリックします

 

8-8.[グループポリシーの管理]を起動し、『このドメインにGPOを作成し、このコンテナーにリンクする』をクリックします。

 

8-9.GPO名を入力します。

 

8-10.作成したポリシーを右クリックし、『編集』を選択します。

8-11.[コンピュータの構成]→[ポリシー]→[Windowsの設定]→[セキュリティの設定]→[公開キーのポリシー]から『証明書サービスクライアント-自動登録』を右クリック、『プロパティ』を選択します。

 

8-12.[構成モデル]を『未構成』から『有効』に変更する。『有効期限が切れた証明書を書き換え、保留中の証明書を更新、および失効した証明書を削除する』と『証明書テンプレートを使用する証明書を更新する』にチェックし、『OK』。

8-13.NPSにてEAPで利用する証明書を作成した証明書に切り替えます。

9.アクセスポイントの設定

アクセスポイントのRadius設定にてNPSがインストールされているIPや共有シークレットなどを入力します。

アクセスポイントの設定については個々のメーカーマニュアルを参照してください。

10.PCから認証する

PCからアクセスポイント名(SSID)を探し、接続を行います。
従来ですと『Windowsユーザーアカウントの使用』にチェックを入れれば、自動的にADアカウントとパスワードが入りますが、『(ドメイン名)\(ユーザー名)』となることがありますので、認証に失敗する可能性があります。
その場合はユーザー名をドメイン名なしで手入力してください。

 

 

end

 

情シス人の技術的な感じActiveDirectory, NPS, Radius, WindowsServer2016, ネットワークポリシーサーバー, 無線LAN, 認証

Posted by 情シスの人