前回の、QNAPのRADIUSと有線LANスイッチでネットワーク認証の仕組みを理解するに続いて、今回はRADIUS認証に対応したネットワークスイッチの設定と、クライアントの設定について説明します。
ネットワークスイッチによって設定が異なりますが、RADIUSの設定が比較的シンプルな、BUFFALOのネットワークスイッチBS-POE-G2108Mと、QNAP TS-251のNASを使用して説明します。
企業内のネットワークにPCやスマートフォンなどの無断接続を防ぐための方法として、L2ブロッカーなどの製品を利用して許可されたMACアドレスを持つ端末だけをネットワーク接続できるようする方法と、RADIUS認証のようにIDとパスワードを利用者[…]
スイッチの認証サーバ設定
ネットワークスイッチ側で設定することといえば、認証サーバの設定画面で認証サーバIPと認証ポート、共有暗号キーを入力して各ポートを認証に使用するかしないか決めるだけです。
今回使用する認証用サーバIPは、QNAPのアドレス(IP:192.16.0.3)を入力し、QNAPのRADIUSサーバ管理画面で設定した、クライアントの秘密キーと同じものをShared Secretに入力するだけです。
後ほど説明しますが、認証方法の種類によっては有効時間を3600秒にすると、3600秒後(1時間)でネットワーク接続が切れてしまいます。
ネットワーク切断が頻繁的に発生すると不都合がある場合は、有効時間を長めに設定するかMAC認証を選択してください。
MAC認証の設定
BS-POE-G2108Mのスイッチは、RADIUSで使用する認証方法をいくつか設定できます。
今から説明するMAC認証を選択すると、クライアント側でサプリカントの設定をする必要がないので、一番楽な認証方法と言えるのではないでしょうか。
今回は、ネットワークスイッチのポート1~4にMAC認証を設定してみることにします。
各ポートのMAC認証にチェックを入れたら、「設定」ボタンをクリックします。
次は、QNAPのRADIUSサーバ管理画面で認証を許可したい端末のMACアドレスをRADIUSユーザタブをクリックして登録します。
名前とパスワードはネットワーク認証の許可をしたい端末のMACアドレスを入力します。
RADIUSユーザーの登録が完了したらRADIUSサーバの設定は以上となります。
ネットワークスイッチとRADIUSサーバの設定が完了したら、登録したMACアドレスを持つ端末をRADIUS認証設定したネットワークスイッチのポートに接続します。
この例で使用しているPCをポート3に接続しましたが、認証ステータスを確認すると「未承認」と表示されます。
これは、BUFFALOの製品マニュアルにも書いてあるのですが、MACアドレス認証の場合、認証ステータスは未承認のままになるそうですが、ネットワーク接続は可能です。
認証ログをみるとMac-auth is successfulと表示され、認証されているのがわかります。
MAC認証を選んだ場合、有効時間関係なくネットワークに接続する事ができるのがポイントです。
RADIUSのWEB認証の設定
次は、RADIUSのWEB認証を使用する設定の説明を行います。MAC認証の時と同じようにポート1~4までをWEB認証するように設定します。
WEB認証を使用する場合はWEB認証サーバが有効なのを確認し、「WEB認証ページショートカットの作成」の保存ボタンをクリックします。
WEB認証ページショートカットをデスクトップもしくは、任意の場所に保存してください。
保存されたWEB認証ページショートカットをダブルクリックで開きます。
WEB認証ページが表示されますので、QNAPのRADIUSサーバで登録したユーザのIDとパスワードを入力して「認証」ボタンをクリックします。
RADIUSサーバに登録したユーザーのIDとパスワードが一致したら、「認証済み。認証完了しました。」とメッセージが表示されます。
RADIUSサーバに登録したユーザーのIDとパスワードが一致しない場合は、エラーメッセージが表示されます。
ユーザ認証ステータスをみると、こちらもMAC認証同様「未承認」と表示されますが、ネットワーク接続は可能な状態となります。
認証ログをみると下の方に「Web-auth is successful」と表示されているのがわかります。
続いては、802.1Xポート認証の設定について説明します。
802.1Xポート認証の設定
RADIUSのMAC認証やWEB認証の例と同じように、ポート1~4までを802.1X Portにチェックを入れて設定ボタンをクリックします。
ネットワークスイッチの設定が完了したら、次はクライアントの設定を行います。Windows7や8は追加購入することなくサプリカントを利用できますが、デフォルトでは無効になっていますので、サービスを起動し有効にします。
サービスの一覧が表示されたら、ウィンドウ下にある「拡張」タブをクリックし、サービスの一覧から「Wired AutoConfig」を右クリックし、「プロパティ」を実行します。
スタートアップの種類を「自動」にし、「開始」ボタンをクリックしてサービスを開始します。
続いて、有線ネットワークのアダプタのプロパティを開きます。
イーサーネットの状態画面が表示されたら、再度「プロパティ」をクリックします。
Wired AutoConfigのサービスを有効にすることで、イーサネットのプロパティに「認証」タブが表示されます。
認証タブをクリックし「IEEE 802.1X認証を有効にする」にチェックを入れて「OK」ボタンをクリックしてください。
認証方法は数多くありますが、インターネットで検索すると沢山情報がでてきますので、ここでは割愛させて頂きます。
クライアントの設定は以上となります。
IEEE 802.1X認証を有効にするとネットワーク接続に必要なIDとパスワードの入力を求められます。
RADIUSサーバで設定したユーザのIDとパスワードを入力してください。
認証に成功するとネットワーク接続が可能となります。
バッファローのネットワークスイッチの認証ステータスをみると、こちらは認証済みと表示されます。
スイッチ側の認証ログでも接続の確認が可能です。
BS-POE-G2108Mは、その他に802.1X MAC認証の設定が可能ですが、クライアント側でレジストリを変更する必要があるので、ここではあえて説明を割愛させていただきます。
以上が、QNAPのRADIUSサーバと法人向けネットワークスイッチを使用した、RADIUS認証の設定となります。
802.1X MAC認証を除いて一通りRADIUS認証を試してみましたが、運用の管理が最もしやすいのはMAC認証に思えます。
WEB認証も悪くないのですが、ブラウザを起動した時にリダイレクトする機能がないスイッチだと、認証ページのショートカットをクライアントPCに作成する必要がありそうです。
802.1X Port認証は、ユーザーの端末でサプリカントの設定をする必要があるので、こちらも手間を考えるとおすすめできません。
個人的な感想ですが、RADIUSは無線LANの接続にパスワードだけでなくIDとパスワードによる認証で使用するのがベストのような気がします。
RADIUS環境を構築してみて思うこと
社内全体の端末認証にはMACアドレスやユーザーIDを登録するRADIUSよりも、ネットワーク接続された端末のMACアドレスを自動収集して管理できるL2Blockerの様な製品をおすすめしたいと思います。
ただ、ネットワークの勉強をされる方は、一度RADIUSを自前で構築されるのも良いのではなかと思います。
今回は、実践的な内容の記事ではありませんが、何となくRADIUSの仕組みを理解してもらえれば幸いです。
QNAPはRADIUSを含めて多くのネットワーク機能を搭載しているので、ネットワークを手軽に勉強できる製品です。
DLNAを利用してテレビの録画もでき、大切なファイルをRAIDやバックアップの仕組みで守り、手軽にネットワークの勉強もできるQNAPのNASは、おすすめしたい製品のひとつです。