WLAN での WPA2/WPA3 エンタープライズ(802.1X)セキュリティの有効化
概要 RADIUS サーバを使用した高度な認証のために WLAN で WPA2/WPA3 エンタープライズを有効にします。
これらのトピックでは、802.1x セキュリティを有効にして RADIUS サーバーを追加する基本的な手順と、さまざまなオプションに関する追加情報について説明します。
WLANセキュリティタイプを設定し、RADIUSサーバーを追加します
Juniper Mist は、WPA2 および WPA3 で IEEE 802.1X セキュリティをサポートしています。
6 GHz では WPA3 または OWE が必須です。6GHzを採用するということは、WPA3を採用することも意味します。
WLAN セキュリティ タイプを設定し、RADIUS サーバを追加するには、次の手順を実行します。
(オプション)サイト変数を使用してサーバーを追加する
サイト変数を使用して RADIUS サーバーを識別することで、特定の属性が異なっていても、同じ WLAN 設定を異なるサイトの AP に簡単に適用できます。このシナリオでは、サイト A とサイト B が異なる RADIUS サーバーを使用しているとします。変数を使用して、WLAN 構成に RADIUS サーバーを追加します。次に、2 つのサイト構成で変数を異なる方法で定義します。
サイト変数を使用してサーバーを追加するには:
(オプション)NAS 識別子と NAS IP アドレスの追加
WLAN で 802.1X セキュリティを有効にする場合は、 NAS 識別子 または NAS IP アドレス を追加して、RADIUS サーバーに渡される情報をカスタマイズできます。
たとえば、サイトID(サイトレベルのWLANの場合)またはサイト名変数(WLANテンプレートの場合)をNAS識別子として入力できます。このアプローチでは、すべてのアクティビティをサイトに関連付けて、監査/アカウンティングプロセスを容易にしたり、サイトごとに異なるRADIUSルールを作成したりできます。別の例として、NAS識別子としてMistという単語を入力することもあります。これにより、Mist からのトラフィックに対して異なる RADIUS ルールまたはゲスト ポータル エクスペリエンスを作成できます。
NAS 識別子フィールドを空白のままにすると、WLAN ID が NAS ID として使用されます。
プレーンテキストと変数を入力できます。このフィールドでは、次の変数が有効です。
-
デバイス名—{{DEVICE_NAME}}
-
モデル - {{DEVICE_MODEL}}
-
MAC アドレス - {{DEVICE_MAC}}
-
サイト名 - {{SITE_NAME}}
この例では、ID でテキストと変数の両方を使用する方法を示します。
以下に示すように、このWLAN上のAPがアクセス要求を送信すると、APを識別するために変数が変換されます。
または、 NAS IPアドレスを指定します。通常、Mist は AP の実際の IP アドレスを通過します。ただし、RADIUSポリシーで参照できるように、すべてのアクティビティに使用するIPアドレスを指定することもできます。
NAS識別子またはNAS IPアドレスは、[WLANの編集/作成]ウィンドウで追加できます。
(オプション)CoA/DMサーバーを追加する
WLANで802.1Xセキュリティを有効にする場合は、CoA/DMサーバーを追加することもできます。
Change of Authorization(CoA)により、初期認証後に承認されたRADIUSセッションを変更し、変化するアクセス要件を満たすことができます。たとえば、管理者が開始したセッションのリセットなどのユース ケースを有効にします。
詳細については、 認可変更(CoA)を参照してください。
(オプション)RadSec を有効にする
- WLAN セキュリティ タイプを設定し、RADIUS サーバーを追加した後、RadSec サーバーを追加します。
- 組織の設定から Mist 証明書を取得します。
- Juniper Mistポータルの左側のメニューから[組織>設定]を選択します。
- 「Mist 証明書」の下で、「証明書の表示」をクリックします。証明書をコピーします。これは次の手順で必要になります。
- RadSec サーバーに移動し、以下のタスクを実行します。
- コピーしたMist証明書を読み込みます。
- RadSec サーバーから RadSec 証明書をコピーします。これは次の手順で必要になります。
- Juniper Mist ポータルの [組織の設定] ページに戻り、RadSec 証明書を追加します。
- [RadSec 証明書] で、[RadSec 証明書の追加] をクリックします。
- RadSec サーバーから証明書の内容を貼り付けます。
- [追加] をクリックします。
- (オプション)(MistがAPごとに生成する固有の証明書ではなく)独自のAP RadSec証明書を使用する場合は、[AP RadSec証明書の追加]をクリックし、CA証明書の秘密キーと署名付き証明書を入力します。
- [組織の設定] ページの右上隅にある [保存] をクリックします。