NetAttest EPS 設定例

連携機器：

Aruba 3200

Case：TLS 方式での認証 Version 1.0

株式会社ソリトンシステムズ

- 2 - 2012/04/06

Net'Attest®は、株式会社ソリトンシステムズの登録商標です。

その他、本書に掲載されている会社名、製品名は、それぞれ各社の商標または登録商標です。

本文中に ™、®、©は明記していません。

Copyright © 2011, Soliton Systems K.K. , All rights reserved.

- 3 - 2012/04/06

はじめに

本書について

本書は CA 内蔵 RADIUS サーバープライアンス NetAttest EPS とアルバネッ

トワークス社製 無線 LAN スイッチ Aruba3200 における 802.1X 認証環境

の構築について、設定例を示したものです。

各機器の管理 IP アドレス設定など、基本設定は既に完了しているものとします。

設定例は管理者アカウントでログインし、設定可能な状態になっていることを

前提として記述します。

表記方法

表記方法 説明

ABCDabcd1234

(normal)

コマンド名、ファイル名、ディレクトリ名、画面上のコンピュータ出力、

コード例を示します。

ABCDabcd1234

(bold)

ユーザーが入力する文字を、画面上のコンピュータ出力と区別して示しま

す。

ABCDabcd1234

(italic) 変数を示します。実際に使用する特定の名前または値で置き換えます。

表記方法 説明

『 』 参照するドキュメントを示します。

「 」 参照する章、節、ボタンやメニュー名、強調する単語を示します。

[キー] キーボード上のキーを表します。

[キー1]+[キー

2] [キー1]を押しながら[キー2]を押すことを表します。

- 4 - 2012/04/06

表記方法(コマンドライン)

表記方法 説明

%, $, > 一般ユーザーのプロンプトを表します。

# 特権ユーザーのプロンプトを表します。

[filename] [ ] は省略可能な項目を示します。この例では、filename は省略してもよ

いことを示しています。

アイコンについて

アイコン 説明

利用の参考となる補足的な情報をまとめています。

注意事項を説明しています。場合によっては、データの消失、機器の破損

の可能性があります。

画面表示例について

このマニュアルで使用している画面(画面キャプチャ)やコマンド実行結

果は、実機での表示と若干の違いがある場合があります。

ご注意

本書は、当社での検証に基づき、NetAttest EPS 及び Aruba3200 の操

作方法を記載したものです。すべての環境での動作を保証するものでは

ありません。

- 5 - 2012/04/06

目次

1 構成 ........................................................................ 6

1-1.構成図 ........................................................................... 6

1-2 環境 .............................................................................. 6

2NetAttest EPS ........................................................... 8

2-1 NetAttest EPS 設定の流れ ................................................. 8

2-2 システム初期設定ウィザードの実行 ..................................... 9

2-3 サービス初期設定ウィザードの実行 ................................... 10

2-4 Authenticator(RADIUS Client)の登録 ............................... 11

2-5 RADIUS サーバー基本設定 ............................................... 12

2-6 ユーザーの登録 .............................................................. 13

2-7 ユーザー証明書の発行 ..................................................... 14

3 Aruba 3200 ........................................................... 15

3-1 Aruba3200 設定の流れ ................................................... 15

3-2 Controller 側設定項目 ..................................................... 16

3-3 Access Point 側設定項目 ................................................. 25

4 クライアント PC の設定 ............................................ 26

4-1 クライアント PC 設定の流れ ............................................. 26

4-2 Windows XP での設定 .................................................... 27

4-3 Windows 7 での設定 ...................................................... 32

4-4 インポートされたユーザー証明書の確認 .............................. 38

- 6 - 2012/04/06

1構成 1-1.構成図

スイッチ兼 Authenticator

192.168.1.1 Aruba 3200

192.168.1.3[LAN]

192.168.1.112[DHCP]

・有線 LAN と無線 LAN は同一セグメント

・無線 LAN で接続するクライアント PC の IP アドレスは、

NetAttest EPS-ST03 の DHCP サーバーから払い出す

192.168.1.2 [LAN1]

NetAttest EPS-ST03 AP-135

クライアント PC

- 7 - 2012/04/06

1-2 環境 1-2-1 機器

役割 メーカー 製品名 SW バージョン

Authentication Server

（認証サーバー） Soliton Systems NetAttest EPS-ST03 Ver. 4.2.3

Authenticator Aruba networks Aruba 3200 Ver.6.1.2.2

Client PC / Supplicant

(802.1x クライアント)

Panasonic

Microsoft Let’s note CF-W7

Windows XP SP3

Windows 標準サプリカント

1-2-2 認証方式

IEEE 802.1x TLS

1-2-3 ネットワーク設定

EPS-ST03 Aruba 3200 Client PC

IP アドレス 192.168.1.2/24 192.168.1.1/24 192.168.1.112

（DHCP）

RADIUS port

(Authentication) TCP 1812 －

RADIUS port

(Accounting) TCP 1813 －

RADIUS Secret

(Key) soliton －

- 8 - 2012/04/06

2NetAttest EPS 2-1 NetAttest EPS設定の流れ

設定の流れ

1. システム初期設定ウィザードの実行

2. サービス初期設定ウィザードの実行

3. RADIUS クライアントの登録

4. 認証ユーザーの追加登録

5. 証明書の発行

- 9 - 2012/04/06

2-2システム初期設定ウィザードの実行 システム初期設定ウィザードを使用し、以下の項目を設定します。

タイムゾーンと日付・時刻の設定

ホスト名の設定

サービスインターフェイスの設定

管理インターフェイスの設定

メインネームサーバーの設定

- 10 - 2012/04/06

2-3サービス初期設定ウィザードの実行 サービス初期設定ウィザードを実行します。

本書では、黒文字の項目のみ、設定しました。

CA 構築

LDAP データベースの設定

RADIUS サーバーの基本設定（全般）

RADIUS サーバーの基本設定（EAP）

RADIUS サーバーの基本設定（証明書検証）

NAS/RADIUS クライアント設定

- 11 - 2012/04/06

2-4 Authenticator(RADIUS Client)の登録 WebGUI より、RADIUS Client の登録を行います。

「RADIUS サーバー設定」→「NAS/RADIUS クライアント追加」から、RAD

IUS Client の追加を行います。

【NAS/RADIUSクライアント名】

・ARUBA3200

【IPアドレス(Authenticator)】

・192.168.1.1

【シークレット】

・soliton

- 12 - 2012/04/06

2-5 RADIUSサーバー基本設定 WebGUI より、RADIUS サーバーの基本設定を行います。

「RADIUS サーバー」→「RADIUS サーバー設定」→「基本設定」→「EAP」か

ら設定を行います。

【優先順位 認証タイプ】

・1)TLS

- 13 - 2012/04/06

2-6ユーザーの登録 WebGUI より、ユーザー登録を行います。

「ユーザー」→「ユーザー一覧」から、『追加』ボタンでユーザー登録を始め

ます。

- 14 - 2012/04/06

2-7ユーザー証明書の発行 WebGUI より、ユーザー証明書の発行を行います。

「ユーザー」→「ユーザー一覧」から、該当するユーザーの「証明書」の欄の

『発行』ボタンでユーザー証明書の発行を始めます。

【証明書有効期限】

・365

【証明書ファイルオプションパスワード】

・password

【PKCS#12ファイルに証明機関の・・・】

・チェック有

- 15 - 2012/04/06

3 Aruba 3200 3-1 Aruba3200設定の流れ

Aruba 社製無線 LAN コントローラ Aruba3200 を設定するためには、WEBGUI または CL

I を用います。本書ではその両方を用いて各種設定を実施する方法を紹介します。

Controller 側設定項目

・基本設定 IP アドレス、User/Pass 等

・Radius サーバの登録

・Virtual AP の設定 AP のリソース分割設定

・SSID の設定

・Control Plane Security コントローラ-AP 間の鍵交換

・AP group の設定 AP をグルーピング

Access Point 側設定

・基本設定 接続するコントローラ等

- 16 - 2012/04/06

3-2 Controller側設定項目

3-2-1 基本設定

Controller 側の基本設定を行います。

[Configuration]タブをクリックします。[NETWORK]メニューを展開し、[VL

ANs]リンクをクリックします。[Add a VLAN]をクリックして VLAN を追加し、

値を入力します。

次に、同じ[NETWORK]メニューの[Controller]リンクをクリックします。

画面下部の[Controller IP Details]の項目で VLAN１の値を設定します。

[IP v4 Address]

・192.168.1.1

- 17 - 2012/04/06

3-2-2 Radius サーバーの登録 RADIUS サーバーとして NetAttest EPS を登録します。

[Configration]タブをクリックします。[SECURITY]メニューを展開し、[Auth

entication]リンクをクリックします。

さらに、[Servers]タブの中の[RADIUS Server]リンクをクリックします。RA

DIUS サーバー名を入力して[Add]ボタンをクリックし、登録します。

先ほどと同じ [Servers]タブの中の [RADIUS Server]メニューを展開し

[netattest]リンクをクリックし、値を入力します。

[Host ]

・192.168.1.2

[Key]

・Soliton

[Retype]

・soliton

- 18 - 2012/04/06

※CLI 側で設定する場合は下記の通りです。

(Aruba3200) (config) #aaa authentication-server radius netattest <<Radius サーバーの登録

(Aruba3200) (RADIUS Server "netattest") #host 192.168.1.2 (Aruba3200) (RADIUS Server "netattest") #key "soliton" (Aruba3200) (config) #aaa server-group radserver (Aruba3200) (Server Group "radserver") #auth-server netattest (Aruba3200) (config) #aaa profile soliton (Aruba3200) (AAA Profile "soliton") #authentication-dot1x default (Aruba3200) (AAA Profile "soliton") #dot1x-server-group radserver (Aruba3200) (config) #show aaa profile soliton

AAA Profile "soliton" --------------------- Parameter Value --------- ----- Initial role logon MAC Authentication Profile N/A MAC Authentication Default Role guest MAC Authentication Server Group N/A 802.1X Authentication Profile default 802.1X Authentication Default Role authenticated 802.1X Authentication Server Group radserver L2 Authentication Fail Through Disabled RADIUS Accounting Server Group N/A RADIUS Interim Accounting Disabled XML API server N/A RFC 3576 server N/A User derivation rules N/A Wired to Wireless Roaming Enabled SIP authentication role N/A Device Type Classification Enabled Enforce DHCP Disabled

- 19 - 2012/04/06

3-2-3 SSID の設定

[soliton]メニューを展開し、[SSID Profile]リンクをクリックします。

[SSID Profile >]の右側のプルダウンメニューで[soliton]を選択します。

SSID に値を入れます。

802.11 Security の WPA2、AES にチェックを入れます。

※CLI 側で設定する場合は下記の通りです。

(Aruba3200) (config) #wlan ssid-profile soliton <<SSID の設定

(Aruba3200) (SSID Profile "soliton") #essid soliton (Aruba3200) (SSID Profile "soliton") #opmode wpa2-aes (Aruba3200) (SSID Profile "soliton") #show wlan ssid-profile soliton SSID Profile "soliton" ---------------------- Parameter Value --------- ----- SSID enable Enabled ESSID soliton Encryption wpa2-aes DTIM Interval 1 beacon periods 802.11a Basic Rates 6 12 24 802.11a Transmit Rates 6 9 12 18 24 36 48 54 802.11g Basic Rates 1 2 802.11g Transmit Rates 1 2 5 6 9 11 12 18 24 36 48 54 Station Ageout Time 1000 sec Max Transmit Attempts 8

[SSID ]

・soliton

- 20 - 2012/04/06

RTS Threshold 2333 bytes Short Preamble Enabled Max Associations 64 Wireless Multimedia (WMM) Disabled Wireless Multimedia U-APSD (WMM-UAPSD) Powersave Enabled WMM TSPEC Min Inactivity Interval 0 msec Override DSCP mappings for WMM clients Disabled DSCP mapping for WMM voice AC 56 DSCP mapping for WMM video AC 40 DSCP mapping for WMM best-effort AC 24 DSCP mapping for WMM background AC 8 Multiple Tx Replay Counters Disabled Hide SSID Disabled Deny_Broadcast Probes Disabled Local Probe Request Threshold (dB) 0 Disable Probe Retry Enabled Battery Boost Disabled WEP Key 1 N/A WEP Key 2 N/A WEP Key 3 N/A WEP Key 4 N/A WEP Transmit Key Index 1 WPA Hexkey N/A WPA Passphrase N/A Maximum Transmit Failures 0 EDCA Parameters Station profile N/A EDCA Parameters AP profile N/A BC/MC Rate Optimization Disabled Rate Optimization for delivering EAPOL frames Disabled Strict Spectralink Voice Protocol (SVP) Disabled High-throughput SSID Profile default 802.11g Beacon Rate default 802.11a Beacon Rate default Advertise QBSS Load IE Disabled

- 21 - 2012/04/06

3-2-4 Virtual AP の設定

Virtual AP を設定します。

[Configuration]タブをクリックします。[WIRELESS]メニューを展開し、

[AP Configuration]リンクをクリックします。

さらに、[AP Group]タブの [New]ボタンをクリックし、AP を[soliton]として

登録します。

[soliton]の項目の[Edit]ボタンを押します。

[wireless LAN]-[virtual AP]と展開し[soliton]リンクをクリックします。

[Add a Profile]欄のプルダウンメニューから[soliton]を選び、[Add]ボタンで、

virtual AP として登録します。

- 22 - 2012/04/06

※CLI 側で設定する場合は下記の通りです。

(Aruba3200) (config) #wlan virtual-ap soliton <<VirtualAP の設定 (Aruba3200) (Virtual AP profile "soliton") #aaa-profile soliton (Aruba3200) (Virtual AP profile "soliton") #ssid-profile soliton (Aruba3200) (Virtual AP profile "soliton") # (Aruba3200) (Virtual AP profile "soliton") #show wlan virtual-ap soliton Virtual AP profile "soliton" ---------------------------- Parameter Value --------- ----- Virtual AP enable Enabled Allowed band all AAA Profile soliton 802.11K Profile default SSID Profile soliton VLAN N/A Forward mode tunnel Deny time range N/A Mobile IP Enabled HA Discovery on-association Disabled DoS Prevention Disabled Station Blacklisting Enabled Blacklist Time 3600 sec Dynamic Multicast Optimization (DMO) Disabled Dynamic Multicast Optimization (DMO) Threshold 6 Authentication Failure Blacklist Time 3600 sec Multi Association Disabled Strict Compliance Disabled VLAN Mobility Disabled Preserve Client VLAN Disabled Remote-AP Operation standard Drop Broadcast and Multicast Disabled Convert Broadcast ARP requests to unicast Disabled Disable conversion multicast RA packets to unicast Disabled Deny inter user traffic Disabled Band Steering Disabled Steering Mode prefer-5ghz WMM Traffic Management Profile N/A

- 23 - 2012/04/06

3-2-5 Control Plane Security の設定

Control PlaneSecurity の設定を行います。

[Configration]タブをクリックします。[NETWORK]メニューを展開し、

[Controller]リンクをクリックします。[Control Plane Security]タブをクリ

ックして[Disabled]にチェックを入れます。

※デフォルトでは有効になっています。

※CLI 側で設定する場合は下記の通りです。

(Aruba3200) (config) #control-plane-security <<Control Plane Security の設定 (Aruba3200) (Control Plane Security Profile) #no cpsec-enable (Aruba3200) (Control Plane Security Profile) #show control-plane-security

Control Plane Security Profile ------------------------------ Parameter Value --------- ----- Control Plane Security Disabled Auto Cert Provisioning Disabled Auto Cert Allow All Enabled Auto Cert Allowed Addresses N/A

- 24 - 2012/04/06

3-2-6 AP Group の設定

APGroup の設定を行います。

[Configration]タブをクリックします。[NETWORK]メニューを展開し、[AP Con

figuration]リンクをクリックします。[AP Group]タブの、[New]ボタンをクリッ

クして AP Group を新しく作成し、値を入力します。

※CLI 側で設定する場合は下記の通りです。 (Aruba3200) (config) #ap-group soliton <<AP Group の設定 (Aruba3200) (AP group "soliton") #virtual-ap soliton (Aruba3200) (AP group "soliton") #show ap-group soliton

AP group "soliton" ------------------ Parameter Value --------- ----- Virtual AP soliton 802.11a radio profile default 802.11g radio profile default Ethernet interface 0 port configuration default Ethernet interface 1 port configuration default Ethernet interface 2 port configuration shutdown Ethernet interface 3 port configuration shutdown Ethernet interface 4 port configuration shutdown AP system profile default VoIP Call Admission Control profile default 802.11a Traffic Management profile N/A 802.11g Traffic Management profile N/A Regulatory Domain profile default RF Optimization profile default RF Event Thresholds profile default IDS profile default Mesh Radio profile default Mesh Cluster profile N/A

[AP Group] soliton

- 25 - 2012/04/06

Provisioning profile N/A

3-3 Access Point側設定項目 3-3-1 基本設定

アクセスポイントのコンソールポートを用い、CLI にて設定を行います。アクセ

スポイントの電源投入後、「Hit <Enter> to stop autoboot:」が表示され、表示

後 2 秒以内に Enter キーを押すことによって apboot モードに切り替わり、以下

の設定を行います。

>> Configuration for AP --------------------------------------------------------------------

apboot> setenv master 192.168.1.1 <<コントローラの IP アドレスを設定 apboot> setenv serverip 192.168.1.1 <<コントローラの IP アドレスを設定 apboot> setenv group soliton <<AP Group を設定 apboot> setenv ipaddr 192.168.1.3 <<AP の IP アドレスを設定 apboot> setenv netmask 255.255.255.0 <<AP のサブネットマスクを設定 apboot> setenv gatewayip 192.168.1.1 <<AP のデフォルト GW を設定

- 26 - 2012/04/06

4 クライアント PCの設定 4-1クライアント PC設定の流れ

設定の流れ

Windows XP での設定

1. ユーザー証明書のインポート

2. ワイヤレスネットワーク接続先の登録

Windows 7 での設定

3. ユーザー証明書のインポート

4. ワイヤレスネットワーク接続先の登録

- 27 - 2012/04/06

4-2 Windows XPでの設定 4-2-1 ユーザー証明書のインポート

NetAttest EPS からダウンロードしたユーザー証明書をインポートします。

本書では、デスクトップ上に保存されている「soliton_user_0E.p12」アイコン

をダブルクリックします。

次ページへ

- 28 - 2012/04/06

NetAttest EPS にてユーザー証明書を発行した

際に設定したパスワードを入力します。

【パスワード】

・password

【証明書の種類に基づいて・・・】

・チェック有 次ページへ

- 29 - 2012/04/06

- 30 - 2012/04/06

4-2-2 ワイヤレスネットワーク接続先の登録

ワイヤレスネットワーク接続先の登録を行います。

次ページへ

- 31 - 2012/04/06

【EAPの種類】

・スマートカードまたはその他の証明書

【コンピュータの情報が利用できる・・・】

・チェック有

- 32 - 2012/04/06

4-3 Windows 7での設定 4-3-1 ユーザー証明書のインポート

NetAttest EPS からダウンロードしたユーザー証明書をインポートします。

本書では、デスクトップ上に保存されている「soliton_user_0E.p12」アイコン

をダブルクリックします。

次ページへ

- 33 - 2012/04/06

Net’Attest EPSにてユーザー証明書を発行した

際に設定したパスワードを入力します。

【パスワード】

・password

【証明書の種類に基づいて・・・】

・チェック有 次ページへ

- 34 - 2012/04/06

- 35 - 2012/04/06

4-3-2 ワイヤレスネットワーク接続先の登録

ワイヤレスネットワーク接続先の登録を行います。

次ページへ

- 36 - 2012/04/06

[ネットワーク名]

soliton

[セキュリティの種類]

WPA2-エンタープライズ

[暗号化の種類]

AES

[ネットワークのの認証方式の選択] Microsoft 保護された EAP(TLS)

- 37 - 2012/04/06

[信頼されたルート証明機関] na-eps ca

- 38 - 2012/04/06

4-4インポートされたユーザー証明書の確認 Internet Explorer より、「ツール」→「インターネットオプション」→

「コンテンツ」タブを開きます。

各機器

インポートした証明書

- 39 - 2012/04/06

改訂履歴

日付 版 改訂内容

2011/9/27 1.0 初版作成