• 無線LANでの2要素認証機能について

 
 
Print Friendly, PDF & Email

○ はじめに

無線アクセスポイントを導入する場合、セキュリティを確保するため、無線端末を認証する仕組みが利用されています。例えば、802.1x 認証であったり、MAC 認証であったり、場合によっては、端末認証だけではなくて、それに加えて、Web を利用したユーザ認証を実施するケースもあります。その場合、1つの SSID にて、2つの認証方式を組み合わせて適用する必要があります。

アリスタのアクセスポイントは、2つの認証方式を組み合わせて利用することができるようになっています。本ブログでは、1つの SSID に対して、802.1x 認証と Web 認証を組み合わせて使用する場合の設定例、および、実際の動作フローについて、ご紹介します。

○ 設定例

以下のパラメータを使用して、設定例を示します。

・SSID 名:2021-2factor

・認証方式:802.1x & Web 認証

・認証サーバ:Radiusサーバ(この例では、Radius-demo というプロファイルを使用します。)

ステップ1: 802.1x の設定

SSID 設定画面内の “基本” メニューにて、SSID 名を入力します。

”セキュリティ” メニューにて、802.1x を指定し、利用する Radius サーバのプロファイルを指定します。

Radius サーバは、プロファイルとして、事前に設定することも可能です。また、”追加/編集” にて、SSID 設定時に Radius サーバのプロファイルを作成することも可能です。

ステップ2: Web 認証の設定

続いて、Web 認証を設定します。メニュー内の一番右にある” 3つのドット部分をクリックし、”キャプティブポータル” を選択します。

“キャプティブポータル” にチェックを入れて、Web 認証を有効にします。その後、”クラウドホスト” を選択します。”クラウドホスト” は、アリスタがクラウド上で提供しているWeb 認証画面です。

”ゲスト Wi-Fi ユーザのログイン方法を選択” をクリックし、”外部RADIUS” にチェックを入れます。その後、使用する “認証サーバ” にて、適切な Radius サーバのプロファイルを選択し、”保存” をクリックします。

これで設定は完了です。画面右下の “保存” をクリックしてください。

また、認証画面のカスタマイズも簡単に実施することができます。

<認証画面のカスタマイズ方法>

“スプラッシュページ” の “鉛筆” マークをクリックします。

ロゴや背景、テキストなど、簡単に編集可能です。編集後は、”保存” をクリックしてください。

以上で、認証画面のカスタマイズは完了です。

ステップ3: SSID の有効化

作成した SSID を保存する時に、”SSID を保存して有効にする” を選択することで、SSID を有効にします。SSID を有効にする場合、どの周波数帯で有効にするのかを選択するポップアップが表示されます。適切な周波数帯を選択して、”SSID を有効にする” をクリックしてください。

以上で、SSID が有効となりました。

では、実際の動作をライブクライアントデバック機能を使用して見てみましょう。

○ ライブクライアントデバッグでの動作確認

アリスタのアクセスポイントには、無線端末とアクセスポイント間で実際に送受信しているパケットを解析し、時系列で表示する機能を実装しています。この機能をライブクライアントデバッグと呼んでいます。この機能を利用することで、何か問題が発生した時に、実際の動作フローを確認し、原因を解析することができるようになっています。

今回、このライブクライアントデバッグを使用して、実際の2要素認証の認証フローを確認します。

まず、無線端末がアクセスポイントに接続し、802.1x が起動しています。

その後、Radius パケットの送受信が開始されています。

Radius サーバから “Access-Accept” を受信し、4 ウェイハンドシェイクが完了しています。その後、IPアドレスを取得し、DNS サーバとの通信も正常であることが確認できます。

この後、無線端末からの httpアクセスを受信し、無線端末を作成した認証画面へリダイレクトさせます。

上図のように作成した認証画面が表示されます。(iphoneの画面例)

ユーザ名 / パスワードを入力して、”ログイン” をクリックします。

Web 認証用の Radius パケットを処理し、無線端末が Web 認証ポータルに対して、認証されたことが分かります。これで、2要素認証が完了し、リダイレクト先を指定していれば、指定したリダイレクト先にリダイレクトされます。

○ まとめ

アリスタのアクセスポイントは、802.1x 認証やMAC 認証だけなく、802.1x 認証 + Web 認証など、認証方式を組み合わせて利用することも可能です。また、認証画面もクラウド上に用意していますので、非常に簡単に Web 認証画面を作成できます。認証方式は、SSID 単位で異なる認証方式を指定できますので、1台のアクセスポイントで、用途の異なる SSID を統合して利用可能です。

Follow

Get every new post on this blog delivered to your Inbox.

Join other followers: