Cisco 担当者コラム
Cisco・Wireless
Wireless 第28回 「Catalyst9100シリーズ紹介 ローカル認証を使用した WPA2エンタープライズ(PEAP)前編」
今回は、EWCのローカル認証を使用したWPA2エンタープライズ(PEAP)の設定についてです。少し内容が長くなりますので、前編と後編に分け、前編では、EAPプロファイルとAAAメソッドリストを作成するところまでをご紹介させて頂きます。
まずは、WPA2エンタープライズとは、802.1x認証とも呼ばれ、RADIUSと呼ばれる認証サーバを利用し、証明書やID/パスワードによってユーザのネットワークへのアクセス許可や拒否を行うセキュリティ機能になります。ユーザ毎に異なる認証情報を設定することができるので、認証情報の漏洩や退職者がいる場合などでも、他のクライアントに影響を与えずにユーザ単位の設定変更のみですぐに対応できるため、管理面が優れているという利点がございます。
またWPA2エンタープライズはセキュリティ面でも優れており、ユーザと認証サーバの相互で認証を行います。最も一般的とされるPEAP認証では、認証サーバはユーザをID/パスワードで認証を行い、またユーザは認証サーバをデジタル証明書で認証し(※オプション設定)します。今回ご紹介するPEAPでは、小規模な企業などでも容易に利用可能なWPA2エンタープライズ認証として、デジタル証明書による認証サーバの認証は行わずEWC-AP内に登録したクライアントのID/パスワードのみで認証を行います。
前置きが長くなってしまいましたが、ここからは、実際のEWCの設定画面とともに説明させて頂きます。
まずは、ローカル認証用のプロファイルの作成です。
それぞれの認証方式の簡単な違いとユーザの認証方式については、下記の通りです。
・LEAP
ユーザ名、パスワードによる認証
脆弱性が発見されており、現在は非推奨の認証方式
Cisco独自の認証方式の為、標準でサポートしないクライアント端末が比較的多い
・EAP-FAST
ユーザ名、パスワードによる認証
LEAPの脆弱性を解消した認証方式
Cisco独自の認証方式の為、標準でサポートしないクライアント端末が比較的多い
・EAP-TLS
デジタル証明書による認証
最もセキュリティレベルが高い
認証局(デジタル証明書を発行するサービス)が必須の為、設定構築がやや難しい
※EWC-APはデジタル証明書を発行する機能をサポートしません。
・PEAP
ユーザ名、パスワードによる認証
クライアント側の設定により、ユーザ名、パスワードのみの認証も可能
多くのクライアント端末で標準サポートされている
認証方式は、お客さまの環境などに応じて利用することになるかと思いますが、現在では、特にEAP-TLSとPEAPを利用されている方が多い印象です。
※EWC-APはデジタル証明書の発行をサポートしないため、EAP-TLS認証を行うためには別途認証局が必要です。
また、認証局を利用せずにEWC単体でPEAPを設定する場合は、EWCが自身で作成したデジタル証明書(自己証明書)をユーザに対して送信します。詳しい説明は割愛させて頂きますが、この自己証明書は、その名の通りEWC自らが発行した証明書(オレオレ証明書。。)なので、証明書の信頼性はありませんが、認証局なしで利用することが可能です。
次は、AAAメソッドリストの作成を行います。
AAAはAuthentication(認証)、Authorization(認可)、Accounting(課金)の頭文字を取ったWPA2エンタープライズとのセットでよく利用されるアーキテクチャです。AAAのメソッドリストによって認証の種類(認証)、認証後のユーザへの権限付与(認可)、認証後のユーザから取得するログ情報の種類(課金)などの設定を行う事が可能になります。
今回は、この中の「認証」と「認可」のメソッドリストのみ作成していきます。まずは、AAA認証の設定です。
また、グループタイプでは、「グループ」か「ローカル」を選ぶことができますが、今回はローカル認証なので、「ローカル」を設定します。(「グループ」は、外部RADIUSサーバなどを用いた認証で利用します。)
次は、AAA認可の設定です。
グループタイプは先ほどのAAA認証時と同様に「ローカル」を設定します。
続いて、再度AAA認可の設定を行います。
以上で、ローカル認証のプロファイル作成とAAAメソッドリストの作成は完了です。
次回の記事では、今回作成したプロファイルやAAAメソッドリストを実際にWLANなどに適用していく内容をご紹介させて頂きます。
引き続きよろしくお願いいたします。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は
をお読みください。Ciscoの記事
- Security 第77回「Cisco Secure Client Cloud Managementのご紹介」
- Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」
- Collaboration 第141回 「Cisco AI アシスタント(生成AIによる自動要約)を使ってみた その3 ~ 議事録ダウンロードについて ~」
- Security 第76回「Cisco Secure Endpoint 端末のネットワークから隔離について」
- Collaboration 第140回 「Cisco AI アシスタント(生成AIによる自動要約)を使ってみた その2 ~ Meetingsでの使い方 ~」
- Collaboration 第139回 「Cisco AI アシスタント(生成AIによる自動要約)を使ってみた その1 ~ 概要紹介&チャットでの使い方 ~」