Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

WLAN での WPA2/WPA3 エンタープライズ(802.1X)セキュリティの有効化

概要 RADIUS サーバを使用した高度な認証のために WLAN で WPA2/WPA3 エンタープライズを有効にします。

これらのトピックでは、802.1x セキュリティを有効にして RADIUS サーバーを追加する基本的な手順と、さまざまなオプションに関する追加情報について説明します。

WLANセキュリティタイプを設定し、RADIUSサーバーを追加します

Juniper Mist は、WPA2 および WPA3 で IEEE 802.1X セキュリティをサポートしています。

手記:

6 GHz では WPA3 または OWE が必須です。6GHzを採用するということは、WPA3を採用することも意味します。

WLAN セキュリティ タイプを設定し、RADIUS サーバを追加するには、次の手順を実行します。

  1. WLANに移動します。
    • WLAN が WLAN テンプレート内にある場合は、[ 組織] > [ワイヤレス |[WLAN テンプレート] をクリックし、テンプレートをクリックして、WLAN をクリックします。

    • サイトレベルの WLAN の場合は、[ サイト>ワイヤレス |[WLAN] をクリックし、WLAN をクリックします。

  2. [WLANの編集]ウィンドウの[セキュリティ]セクションで、次の操作を行います。
    1. [WPA3] または [WPA2] をクリックします。
    2. [エンタープライズ (802.1X)] をクリックします。

    RADIUS 認証は、[セキュリティ] セクションで [WPA2/WPA3] と [エンタープライズ (802.1X)] を選択した場合にのみ使用できます。

    Security Type Section of the Edit/Create WLAN Page
  3. [認証サーバー] セクションで、サーバーを追加します。
    1. サーバーの種類として [RADIUS] を選択します。
    2. [サーバーの追加] をクリックします。
      Add Server Button
    3. ホスト名と共有シークレットを入力します。
      手記:

      ホスト名を入力する代わりに、サイト変数を使用できます。 「(オプション) サイト変数を使用したサーバーの追加」を参照してください。

    4. チェックマークボタンをクリックします。
      Hostname, Shared Secret, and Checkmark Button
  4. (オプション)必要に応じて、WLAN の追加オプションを設定します(本書の残りのセクションで説明)。
  5. WLAN 設定を保存し、テンプレートの変更を保存します(WLAN が WLAN テンプレートの一部である場合)。

(オプション)サイト変数を使用してサーバーを追加する

サイト変数を使用して RADIUS サーバーを識別することで、特定の属性が異なっていても、同じ WLAN 設定を異なるサイトの AP に簡単に適用できます。このシナリオでは、サイト A とサイト B が異なる RADIUS サーバーを使用しているとします。変数を使用して、WLAN 構成に RADIUS サーバーを追加します。次に、2 つのサイト構成で変数を異なる方法で定義します。

サイト変数を使用してサーバーを追加するには:

  1. 最初のサイトのサイト構成でサイト変数を定義します。
    1. Juniper Mistポータル>左側のメニューから[組織][サイトの設定]を選択します。
    2. 構成するサイト (サイト A など) をクリックします。
    3. [サイト変数] セクションで、[変数の追加] をクリックします。
    4. RADIUS サーバーの IP アドレスの変数名と値を入力し、[保存] をクリックします。

      以下に示すように、[変数] に入力します{{RADIUS_IP}}[値] に実際の IP アドレスを入力します。

      Entering the Variable Name and Value
    5. {{RADIUS_Secret}} などの共有シークレットの変数を追加し、このサーバーの実際の共有シークレットを [値] として入力します。

      2 つの変数を追加すると、[サイトの構成] ページの [ サイト変数 ] セクションに表示されます。

      Example: Site Variables List on the Site Configuration Page
  2. 同じ変数を次のサイト(サイト B)に追加し、そのサイトの RADIUS サーバーの正しい値を入力します。
    たとえば、サイト B のサイト構成で、同じ {{RADIUS_Server}} 変数を追加します。 [値 ] フィールドに、サイト B の RADIUS サーバーの実際の IP アドレスを入力します。また、同じ {{RADIUS_Secret}} 変数を追加し、 に正しい共有シークレットを入力します。
  3. [サイトの構成] ページの右上隅にある [保存] をクリックします。
  4. WLANセキュリティタイプとRADIUSサーバーの追加を設定し、サーバーの詳細の変数を入力します。

    たとえば、RADIUSサーバーやCoA/DMサーバーを追加するときに変数を使用します。

    この例では、ホスト名は{{RADIUS_IP}}で、共有シークレットは{{RADIUS_Secret}}です。

    Example: Variables in the Hostname and Shared Secret Fields
  5. WLAN設定を保存します。

(オプション)NAS 識別子と NAS IP アドレスの追加

WLAN で 802.1X セキュリティを有効にする場合は、 NAS 識別子 または NAS IP アドレス を追加して、RADIUS サーバーに渡される情報をカスタマイズできます。

たとえば、サイトID(サイトレベルのWLANの場合)またはサイト名変数(WLANテンプレートの場合)をNAS識別子として入力できます。このアプローチでは、すべてのアクティビティをサイトに関連付けて、監査/アカウンティングプロセスを容易にしたり、サイトごとに異なるRADIUSルールを作成したりできます。別の例として、NAS識別子としてMistという単語を入力することもあります。これにより、Mist からのトラフィックに対して異なる RADIUS ルールまたはゲスト ポータル エクスペリエンスを作成できます。

NAS 識別子フィールドを空白のままにすると、WLAN ID が NAS ID として使用されます。

プレーンテキストと変数を入力できます。このフィールドでは、次の変数が有効です。

  • デバイス名—{{DEVICE_NAME}}

  • モデル - {{DEVICE_MODEL}}

  • MAC アドレス - {{DEVICE_MAC}}

  • サイト名 - {{SITE_NAME}}

この例では、ID でテキストと変数の両方を使用する方法を示します。

Example: Using Variables in the NAS Identifier Field

以下に示すように、このWLAN上のAPがアクセス要求を送信すると、APを識別するために変数が変換されます。

Example: Access-Request Contents Including NAS-ID

または、 NAS IPアドレスを指定します。通常、Mist は AP の実際の IP アドレスを通過します。ただし、RADIUSポリシーで参照できるように、すべてのアクティビティに使用するIPアドレスを指定することもできます。

NAS識別子またはNAS IPアドレスは、[WLANの編集/作成]ウィンドウで追加できます。

(オプション)CoA/DMサーバーを追加する

WLANで802.1Xセキュリティを有効にする場合は、CoA/DMサーバーを追加することもできます。

Change of Authorization(CoA)により、初期認証後に承認されたRADIUSセッションを変更し、変化するアクセス要件を満たすことができます。たとえば、管理者が開始したセッションのリセットなどのユース ケースを有効にします。

手記:

詳細については、 認可変更(CoA)を参照してください。

(オプション)RadSec を有効にする

RadSec は、RADIUS サーバーが TCP および TLS 経由でデータを転送してセキュリティを強化するプロトコルです。RadSec機能を使用すると、RADIUSパケットをパブリックネットワーク経由で転送すると同時に、トランスポート層を通じてエンドツーエンドのセキュリティを確保できます。
RadSec を有効にして証明書をインストールするには、次の手順を実行します。
  1. WLAN セキュリティ タイプを設定し、RADIUS サーバーを追加した後、RadSec サーバーを追加します。
    1. [認証サーバー] セクションで、ドロップダウン リストから [RadSec] を選択します。
    2. サーバー名を入力します。
    3. [サーバーの追加] をクリックし、ホスト名を入力します。
      RadSec Settings
    4. チェックマークボタンをクリックして、サーバーを追加します。
    5. WLAN 設定を保存し、テンプレートの変更を保存します(WLAN が WLAN テンプレートの一部である場合)。
  2. 組織の設定から Mist 証明書を取得します。
    1. Juniper Mistポータルの左側のメニューから[組織>設定]を選択します。
    2. 「Mist 証明書」の下で、「証明書の表示」をクリックします。証明書をコピーします。これは次の手順で必要になります。
  3. RadSec サーバーに移動し、以下のタスクを実行します。
    1. コピーしたMist証明書を読み込みます。
    2. RadSec サーバーから RadSec 証明書をコピーします。これは次の手順で必要になります。
  4. Juniper Mist ポータルの [組織の設定] ページに戻り、RadSec 証明書を追加します。
    1. [RadSec 証明書] で、[RadSec 証明書の追加] をクリックします。
    2. RadSec サーバーから証明書の内容を貼り付けます。
    3. [追加] をクリックします。
  5. (オプション)(MistがAPごとに生成する固有の証明書ではなく)独自のAP RadSec証明書を使用する場合は、[AP RadSec証明書の追加]をクリックし、CA証明書の秘密キーと署名付き証明書を入力します。
  6. [組織の設定] ページの右上隅にある [保存] をクリックします。