Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

WLANでWPA2/WPA3エンタープライズ(802.1X)セキュリティを有効にする

RADIUSサーバーを使用した高度な認証のために、WLANでWPA2/WPA3エンタープライズを有効にします。

これらのトピックでは、802.1x セキュリティを有効にして RADIUS サーバーを追加するための基本的な手順と、さまざまなオプションに関する追加情報について説明します。

WLAN セキュリティ タイプを設定し、RADIUS サーバーを追加します

Wi-Fi 7(802.11be)および6GHz無線周波数帯の使用には、WPA3または拡張オープン(OWEに基づく)セキュリティタイプが必要です。Wi-Fi 7の場合は、 Wi-Fi 7セキュリティ オプションも有効にする必要があります。サポートされていますが、WPA2 と Open セキュリティ タイプはデフォルトでは使用できません。これらを使用するには、 Wi-FiプロトコルでWi-Fi 6とWi-Fi 7の両方の選択を解除し、WLANテンプレートまたは設定ページの 無線帯 域で6GHzの選択を解除する必要があります。

ファームウェアバージョン0.15.34098以降を実行するジュニパー Mist Wi-Fi 7およびWi-Fi 6E APは、Wi-Fi 7セキュリティをサポートします。

WLANセキュリティタイプを設定し、RADIUSサーバーを追加するには:

  1. WLANに移動します。

    • WLANがWLANテンプレートにある場合は、[ 組織]>[無線] |WLANテンプレートでテンプレートをクリックしてから、WLANをクリックします。

    • サイトレベルのWLANの場合は、 サイト > 無線> WLANを選択し、WLANをクリックします。

  2. WLANの編集ウィンドウのセキュリティセクションで、次の手順に従います。
    1. WPA3またはWPA2をクリックします。
    2. エンタープライズ(802.1X)をクリックします。

    RADIUS 認証は、[セキュリティ] セクションで WPA2/WPA3 およびエンタープライズ (802.1X) を選択した場合にのみ使用できます。

    Security Type Section of the Edit/Create WLAN Page
  3. 認証サーバーセクションで、サーバーを追加します。
    1. サーバータイプとしてRADIUSを選択します。
    2. サーバーの追加をクリックします。
      Add Server Button
    3. ホスト名共有シークレットを入力します。
      注:

      ホスト名を入力する代わりに、サイト変数を使用できます。 「(オプション)サイト変数を使用してサーバーを追加する」を参照してください。
    4. チェックマークボタンをクリックします。
      Hostname, Shared Secret, and Checkmark Button
  4. (オプション)必要に応じて、WLANの追加オプションを設定します(このドキュメントの残りのセクションで説明)。
  5. WLAN設定を保存し、テンプレートの変更を保存します(WLANがWLANテンプレートの一部である場合)。

(オプション)サイト変数を使用してサーバーを追加する

サイト変数を使用して RADIUS サーバーを特定することで、属性が異なっていても、異なるサイトの AP に同じ WLAN 設定を簡単に適用できます。このシナリオでは、サイトAとサイトBが異なるRADIUSサーバーを使用しているとします。変数を使用して、WLAN設定にRADIUSサーバーを追加します。次に、2 つのサイト構成で変数を異なる方法で定義します。

サイト変数を使用してサーバーを追加するには:

  1. 最初のサイトのサイト構成でサイト変数を定義します。
    1. ジュニパー Mistポータルの左側のメニューから組織>サイト設定を選択します。
    2. サイト Aなど、設定するサイトをクリックします。
    3. サイト変数セクションで、変数の追加をクリックします
    4. RADIUSサーバーのIPアドレスに変数名と値を入力し、保存をクリックします。

      以下に示すように、変数に{{RADIUS_IP}}を入力します。[Value]に実際のIPアドレスを入力します。

      Entering the Variable Name and Value
    5. 共有シークレットの変数(例:{{RADIUS_Secret}})を追加し、このサーバーの実際の共有シークレットをとして入力します。

      2つの変数を追加すると、サイト設定ページの サイト変数 セクションに表示されます。

      Example: Site Variables List on the Site Configuration Page
  2. 同じ変数を次のサイト(サイトB)に追加し、そのサイトのRADIUSサーバーに正しい値を入力します。
    たとえば、サイトBのサイト設定で、同じ{{RADIUS_Server}}変数を追加します。 フィールドに、サイトBのRADIUSサーバーの実際のIPアドレスを入力します。また、同じ{{RADIUS_Secret}}変数を追加し、 に正しい共有シークレットを入力します。
  3. サイト設定ページの右上隅にある保存をクリックします。
  4. WLAN セキュリティ タイプを設定して RADIUS サーバーを追加し、サーバーの詳細に変数を入力します。

    例えば、RADIUSサーバーやCoA/DMサーバーを追加するときに変数を使用します。

    この例では、ホスト名は{{RADIUS_IP}}で、共有シークレットは{{RADIUS_Secret}}です。

    Example: Variables in the Hostname and Shared Secret Fields
  5. WLAN設定を保存します。

(オプション)NAS識別子とNAS IPアドレスを追加します

WLANで802.1Xセキュリティを有効にする場合、 NAS識別子 または NAS IPアドレス を追加して、RADIUSサーバーに渡される情報をカスタマイズできます。

例えば、サイトID(サイトレベルのWLAN)またはサイト名変数(WLANテンプレート)を NAS識別子として入力できます。このアプローチでは、すべてのアクティビティをサイトに関連付けて、監査/会計プロセスを容易にしたり、サイトごとに異なるRADIUSルールを作成したりできます。別の例として、 Mist という単語を NAS識別子として入力する方法があります。このようにして、Mistからのトラフィックに対して異なるRADIUSルールやゲストポータルエクスペリエンスを作成できます。

NAS識別子フィールドを空白のままにすると、WLAN IDがNAS IDとして使用されます。

プレーンテキストと変数を入力できます。このフィールドでは、以下の変数が有効です。

  • デバイス名—{{DEVICE_NAME}}

  • モデル—{{DEVICE_MODEL}}

  • MACアドレス—{{DEVICE_MAC}}

  • サイト名—{{SITE_NAME}}

この例は、ID でテキストと変数の両方を使用する方法を示しています。

Example: Using Variables in the NAS Identifier Field

以下に示すように、このWLAN上のAPがAccess-Requestを送信すると、変数が変換されてAPを識別します。

Example: Access-Request Contents Including NAS-ID

または、 NAS IPアドレスを指定します。通常、MistはAPの実際のIPアドレスを通過します。ただし、すべてのアクティビティに使用するIPアドレスを指定して、RADIUSポリシーで参照できるようにすることもできます。

NAS識別子またはNAS IPアドレスは、WLANの編集/作成ウィンドウに追加できます。

(オプション)CoA/DMサーバーを追加する

WLANで802.1Xセキュリティを有効にする場合は、CoA/DMサーバーを追加することもできます。

Change of Authorization(CoA)を使用すると、最初の認証後に承認されたRADIUSセッションを変更して、変化するアクセス要件を満たすことができます。例えば、管理者が開始するセッションのリセットなどのユースケースを可能にします。

注:

詳細については、「 Change of Authorization (CoA)」を参照してください。

(オプション)RadSecを有効にする

RadSec は、RADIUS サーバーが TCP および TLS 経由でデータを転送してセキュリティを強化できるようにするプロトコルです。RadSec機能を使用すると、トランスポート層を介してエンドツーエンドのセキュリティを確保しながら、パブリックネットワーク経由でRADIUSパケットを転送できます。
RadSecを有効にして証明書をインストールするには:
  1. WLAN セキュリティ タイプを設定し、RADIUS サーバーを追加したら、RadSec サーバーを追加します。
    1. 認証サーバーセクションで、ドロップダウンリストからRadSecを選択します。
    2. サーバー名を入力します。
    3. サーバーを追加をクリックし、ホスト名を入力します。
      RadSec Settings
    4. チェックマークボタンをクリックしてサーバーを追加します。
    5. WLAN設定を保存し、テンプレートの変更を保存します(WLANがWLANテンプレートの一部である場合)。
  2. 組織の設定からMist証明書を取得します。
    1. ジュニパー Mistポータルの左側のメニューから組織>設定を選択します。
    2. Mist証明書で、証明書を表示をクリックします。証明書をコピーします。次のステップで必要になります。
  3. RadSecサーバーに移動し、次のタスクを完了します。
    1. コピーしたMist証明書をロードします。
    2. RadSecサーバーからRadSec証明書をコピーします。次のステップで必要になります。
  4. ジュニパー Mist ポータルの組織設定ページに戻り、RadSec 証明書を追加します。
    1. RadSec証明書で、RadSec証明書の追加をクリックします。
    2. RadSecサーバーから証明書の内容を貼り付けます。
    3. 追加をクリックします
  5. (オプション)(APごとに生成される固有の証明書ではなく)独自のAP RadSec証明書を使用する場合Mist、RadSec証明書AP追加をクリックし、CA証明書のプライベートキーと署名付き証明書を入力します。
  6. 組織設定ページの右上隅にある保存をクリックします

関連項目