Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

WLAN で WPA2/WPA3 エンタープライズ(802.1X)セキュリティを有効にする

WLAN で WPA2/WPA3 エンタープライズを有効にし、RADIUS サーバーを使用した高度な認証を実現します。

これらのトピックでは、802.1x セキュリティを有効にし、RADIUS サーバーを追加するための基本的な手順と、さまざまなオプションに関する追加情報について説明します。

WLANセキュリティタイプの設定とRADIUSサーバーの追加

Juniper Mistは、WPA2およびWPA3のIEEE 802.1Xセキュリティをサポートしています。

手記:

6 GHzではWPA3またはOWEが必須です。6 GHzを導入するということは、WPA3を導入するということでもあります。

WLAN セキュリティ タイプを設定し、RADIUS サーバーを追加するには、次の手順に従います。

  1. WLANに移動します。

    • WLAN が WLAN テンプレートに含まれている場合は、[ Organization > Wireless |[WLAN テンプレート(WLAN Templates)] をクリックし、テンプレートをクリックしてから [WLAN] をクリックします。

    • サイトレベルの WLAN の場合は、[ Site > Wireless> WLANs] を選択し、WLAN をクリックします。

  2. [Edit WLAN] ウィンドウの [Security] セクションで、次の手順を実行します。
    1. [WPA3]または[WPA2]をクリックします。
    2. [エンタープライズ (802.1X)] をクリックします。

    RADIUS 認証は、[セキュリティ] セクションで [WPA2/WPA3 とエンタープライズ (802.1X)] を選択した場合にのみ使用できます。

    Security Type Section of the Edit/Create WLAN Page
  3. [認証サーバー] セクションで、サーバーを追加します。
    1. サーバーの種類として [RADIUS] を選択します。
    2. サーバーの追加」をクリックします。
      Add Server Button
    3. ホスト名共有シークレットを入力します。
      手記:

      ホスト名を入力する代わりに、サイト変数を使用できます。 (オプション)サイト変数を使用してサーバーを追加するを参照してください。
    4. チェックマークボタンをクリックします。
      Hostname, Shared Secret, and Checkmark Button
  4. (オプション)必要に応じて、WLAN の追加オプションを設定します(このドキュメントの残りのセクションで説明します)。
  5. WLAN 設定を保存し、テンプレートの変更を保存します(WLAN が WLAN テンプレートの一部である場合)。

(オプション)サイト変数を使用してサーバーを追加する

サイト変数を使用して RADIUS サーバーを識別することで、特定の属性が異なっていても同じ WLAN 設定を異なるサイトの AP に簡単に適用できます。このシナリオでは、サイトAとサイトBが異なるRADIUSサーバーを使用しているとします。変数を使用して、WLAN 構成に RADIUS サーバーを追加します。次に、2 つのサイト構成で変数を異なる方法で定義します。

サイト変数を使用してサーバーを追加するには、次のようにします。

  1. 最初のサイトのサイト構成でサイト変数を定義します。
    1. Juniper Mist ポータルの左側のメニューから [組織>サイト構成] を選択します。
    2. サイト A など、構成するサイトをクリックします。
    3. サイト変数」セクションで、「変数の追加」をクリックします。
    4. RADIUS サーバーの IP アドレスの変数名と値を入力し、[保存] をクリックします。

      下図のように、変数{{RADIUS_IP}}を入力します。[値] に実際の IP アドレスを入力します。

      Entering the Variable Name and Value
    5. {{RADIUS_Secret}} などの共有シークレットの変数を追加し、このサーバーの実際の共有シークレットを [値] として入力します。

      2 つの変数を追加すると、[サイト構成] ページの [ サイト変数 ] セクションに表示されます。

      Example: Site Variables List on the Site Configuration Page
  2. 同じ変数を次のサイト(サイト B)に追加し、そのサイトの RADIUS サーバーに正しい値を入力します。
    たとえば、サイト B のサイト構成で、同じ {{RADIUS_Server}} 変数を追加します。[ 値(Value )] フィールドに、サイト B の RADIUS サーバの実際の IP アドレスを入力します。また、同じ{{RADIUS_Secret}}変数を追加し、 に正しい共有シークレットを入力します。
  3. [ サイト構成] ページの右上隅にある [ 保存 ] をクリックします。
  4. [WLAN Security Type] と [Add Your RADIUS Server] を設定し、サーバーの詳細の変数を入力します。

    たとえば、RADIUSサーバーやCoA/DMサーバーを追加する場合は、変数を使用します。

    この例では、ホスト名は{{RADIUS_IP}}で、共有シークレットは{{RADIUS_Secret}}です。

    Example: Variables in the Hostname and Shared Secret Fields
  5. WLAN の設定を保存します。

(オプション)NAS 識別子と NAS IP アドレスを追加する

WLAN で 802.1X セキュリティを有効にする場合は、 NAS 識別子 または NAS IP アドレス を追加して、RADIUS サーバーに渡される情報をカスタマイズできます。

たとえば、NAS 識別子としてサイト ID(サイトレベルの WLAN)またはサイト名変数(WLAN テンプレート内)を入力できます。このアプローチでは、すべてのアクティビティをサイトに関連付けて、監査/会計プロセスを容易にしたり、サイトごとに異なるRADIUSルールを作成したりできます。別の例としては、NAS識別子としてMistという単語を入力することです。これにより、Mist からのトラフィックに対して異なる RADIUS ルールまたはゲスト ポータル エクスペリエンスを作成できます。

[NAS Identifier] フィールドを空白のままにすると、WLAN ID が NAS ID として使用されます。

プレーンテキストと変数を入力できます。このフィールドでは、次の変数が有効です。

  • デバイス名 - {{DEVICE_NAME}}

  • モデル - {{DEVICE_MODEL}}

  • MAC アドレス - {{DEVICE_MAC}}

  • サイト名 - {{SITE_NAME}}

この例では、ID でテキストと変数の両方を使用する方法を示します。

Example: Using Variables in the NAS Identifier Field

次に示すように、この WLAN 上の AP が Access-Request を送信すると、変数が変換されて AP が識別されます。

Example: Access-Request Contents Including NAS-ID

または、 NAS IP アドレスを指定します。通常、Mist は AP の実際の IP アドレスを通過します。ただし、RADIUS ポリシーで参照できるように、すべてのアクティビティに使用する IP アドレスを指定することもできます。

[NAS Identifier] または [NAS IP アドレス] は [WLANの編集/作成(Edit/Create WLAN)] ウィンドウに追加できます。

(オプション)CoA/DMサーバーの追加

WLANで802.1Xセキュリティを有効にする場合は、CoA/DMサーバーを追加することもできます。

Change of Authorization(CoA)を使用すると、最初の認証後に許可されたRADIUSセッションを変更して、変化するアクセス要件を満たすことができます。たとえば、管理者が開始するセッションのリセットなどのユースケースを有効にします。

手記:

詳細については、「 Change of Authorization(CoA)」を参照してください。

(オプション)RadSec の有効化

RadSecは、RADIUSサーバーがTCPおよびTLSを介してデータを転送してセキュリティを強化できるようにするプロトコルです。RadSec 機能により、トランスポート層でエンドツーエンドのセキュリティを確保しながら、パブリック ネットワークを介して RADIUS パケットを転送できます。
RadSec を有効にして証明書をインストールするには、次の手順を実行します。
  1. WLAN セキュリティ タイプを設定し、RADIUS サーバーを追加したら、RadSec サーバーを追加します。
    1. [認証サーバー(Authentication Servers)] セクションで、ドロップダウン リストから [RadSec] を選択します。
    2. [サーバー名] を入力します。
    3. サーバーの追加」をクリックし、ホスト名を入力します。
      RadSec Settings
    4. チェックマークボタンをクリックして、サーバーを追加します。
    5. WLAN 設定を保存し、テンプレートの変更を保存します(WLAN が WLAN テンプレートの一部である場合)。
  2. 組織の設定からMist証明書を取得します。
    1. Juniper Mist ポータルの左側のメニューから [組織>の設定] を選択します。
    2. [Mist証明書( Certificate)] で、[証明書の表示(View Certificate)] をクリックします。証明書をコピーします。これは次のステップで必要になります。
  3. RadSec サーバーに移動し、次のタスクを実行します。
    1. コピーしたMist証明書を読み込みます。
    2. RadSec サーバーから RadSec 証明書をコピーします。これは次のステップで必要になります。
  4. ポータルの [組織の設定] ページに戻りJuniper Mist RadSec 証明書を追加します。
    1. [RadSec 証明書] で、[RadSec 証明書の追加] をクリックします。
    2. RadSec サーバーから証明書の内容を貼り付けます。
    3. [追加] をクリックします。
  5. (オプション)Mist が各 AP に対して生成する固有の証明書ではなく、独自の AP RadSec 証明書を使用する場合は、[AP RadSec 証明書の追加(Add AP RadSec certificate)] をクリックし、CA 証明書の秘密キーと署名付き証明書を入力します。
  6. [組織の設定] ページの右上隅にある [保存] をクリックします。

参照