企業内の有線LANに個人所有物のPCを接続したり、スマートフォンを無線LANアクセスポイントに接続することを許可させるという、情報システムを管理する担当者の頭が痛くなるBYODという言葉があります。
社外で使用するPCやスマートフォンを会社で支給する必要がなくなるというメリットに注目してBYODを採用する経営者がいますが、管理されていない端末の社内利用は様々なトラブルを引き起こす原因となります。
BYODを採用なら最低限、認証情報を持たない社外の人間にはLANにPCを接続してもネットワークに接続できない仕組みを導入することが重要で、個人のITリテラシーに任せるような運用は大きなトラブルが発生します。
そこで今回は、有線LANや無線LANを使用する時に、IDやパスワードの入力を必要とするネットワーク認証の仕組みを、今一番おすすめのNAS Synologyの製品を利用して構築する方法について説明します。
※今回の説明はRADIUSサーバの基本的な動作を理解するためのもので、実際の環境で運用で使用している情報を元に作成した内容ではないといことをご理解した上で、参考程度にご覧くださることをお願いします。
RADIUSサーバの設定
今回は、SynologyのハイエンドなNAS DS918PlusにRADIUSサーバをインストールしてネットワーク認証可能な環境を構築したのですが、Windowsのサーバと違い手順が少なく設定がとても簡単です。
SynologyのNASにRADIUSサーバをインストールしていない場合は、Synology Disk Stationにログイン後、パッケージセンターのなかからRADIUS Serverを選んでインストールを実行してください。
インストールしたRAIUS Serverは、メイン画面もしくは検索すると表示されるので、RADIUS Serverを起動してサーバの設定とクライアントの追加、ブロックリストなどの設定を行います。
まずはRADIUS Serverの設定ですが、認証に使用するポートはデフォルトの1812そのままで、RADIUS Serverがユーザを認証するためのソースをどれにするかリストから選択する必要があります。
標準ではNASに登録されているローカルユーザーアカウントのみ選択が可能ですが、NASをActive Directoryのメンバーとして登録することで、ドメインユーザーを選択することが可能となります。
BYODを取り入れる企業であれば、Active Directoryと連携させたRADIUSサーバを利用することはあまりないかと思いますが、認証用のユーザー情報をNASに登録しなくても良いのは管理が楽です。
RADIUSサーバの設定が完了した後は、ネットワークスイッチに設定する共有秘密の設定と、ソースIPに認証に使用するネットワークスイッチのIPアドレスを入力するだけの簡単設定です。
複数のネットワークスイッチがある場合は、サブネットを設定した方が登録が楽ですが、思わぬトラブルにつながる可能性もあるので、特に理由がなければ単一ホストで登録するのをおすすめします。
RADIUS Serverの設定は以上となりますが、NASのローカルアカウントやActive Directoryのユーザーアカウントでネットワーク認証させたくない場合は、ブロックリストに追加することで拒否することができます。
社内へ持ち込まれた個人端末のネットワーク接続をブロックしたいのであれば、認証情報を入力方式よりもMAC認証の方がおすすめですが、SynologyのNASは専用のIDを登録できないためMAC認証に対応していないかもしれません。
因みに、Synologyの製品であれば基本的にRADIUSサーバはどのクラスの製品にもインストールできますが、Active Backup for G Suiteなどの企業向けパッケージは、ローエンドな製品にはインストールできないモデルもあります。
Synologyの製品は、モデルタイプによりハードウェアの性能差だけでなくに利用できる機能を制限しているので、これからNASの購入を検討している方はパッケージが製品に対応しているか公式サイトで確認してください。
ネットワークスイッチの設定
今回の説明で使用する有線LANのネットワークスイッチは、BUFFALOの企業向け製品であるBSL-PS-2108Mですが、この製品はMACアドレスによる認証やWebブラウザによる認証には対応していません。
MAC認証やWeb認証などを使用するのであればBUFFALO BS-POE-G2108Mが設定が簡単なのでおすすめですが、SynologyのRADIUSではポート認証以外の設定は利用できない可能性があります。
RADIUSが利用可能な企業向けのネットワークスイッチには、アライドテレシスやYAMAHAなど様々なメーカーの製品がありますが、仕組みの理解と動作の確認をしたいのならBUFFALOのインテリジェントスイッチが簡単でおすすめです。
SynologyのNASに設定したIPアドレスを認証サーバIPに入力、認証ポートはデフォルトの1812、RADIUS Serverに設定した共有秘密のキーを入力、有効時間はデフォルトの60分に設定してください。
Windows10サプリカントの設定
今回のRADIUSネットワーク認証を行うクライアントPCはWindows10 Professionalで、特別なソフトをインストールすることなく有線LANのRADIUS認証に利用できますが、Wired AutoConfigのサービスが起動していません。
サービスの一覧からWired AutoConfigのプロパティを開き、自動で起動するようにした後はネットワークアダプタのプロパティを開いて、認証タブのIEEE 802.1X認証を有効にするにチェックを入れてください。
ネットワーク認証方法の選択をMicrosoft:保護されたEAP(PEAP)を選択し、設定ボタンをクリックして保護されたEAPのプロパティの設定を行うのですが、スタンドアロンとActive Directoryでは若干設定が異なります。
ADもしくはスタンドアロンどちらの環境でも証明書を検証してサーバーのIDを検証するのチェックを外しますが、認証方法を選択するのセキュリティで保護されたパスワード(EAP-MSCHAP v2)の構成が若干ことなります。
NASをActive Directoryに参加させないスタンドアロンで使用するならWindowsのログオン名とパスワード(およびドメインがある場合はドメイン)を自動的に使うのチェックを外しますが、AD環境ならチェックを入れます。
イーサーネットのプロパティ画面にある追加の設定ボタンをクリックすると認証モードを指定することができるので、リストからユーザー認証を選択し資格情報の保存ボタンを押して、認証に使用するIDとパスワードを入力します。
SynologyのNASがActive DirectoryのNASに参加しないのであればログイン後のWeb認証でも問題ないのですが、AD環境ではPC起動時にネットワーク認証されないとログインできなくなるので、やや設定が複雑なポート認証を使用します。
今回の内容は以上となりますが、有線LANや無線LANの接続を制御したいのであれば、ユーザー情報やMACアドレスの登録が必要なRADIUSサーバを構築するよりも、MACアドレスをセンサーで収集して制御するL2ブロッカーの導入をおすすめします。
L2ブロッカーとDellのアクセスポイントと組み合わせて使うことで、インターネットだけに接続するユーザーはゲスト用SSIDを使用し、社内サーバへアクセスする人は有線LANとスタッフ用SSIDを利用するなどの使い分けができます。
企業のIT導入コストの削減や利便性を高めるBYODを導入するとなると、それを制御する仕組みが有線LANや無線LANに必要となるので、本当にそれが意味のあることなのかよく考えてから決めた方が良いと思います。