WL-RA1Xユーザーズマニュアル2版

(1)

AirStation Radius

WL-RA1X

ユーザーズ

マニュアル

AirStation Radiusの導入

1

MACアドレスによる認証設定

2

EAP-MD5による認証設定

3

EAP-TTLSによる認証設定

4

EAP-TLSによる認証設定

5

EAP-PEAPによる認証設定

6

その他の設定例

7

本書をよくお読みのうえ、正しくお使い

(2)

本書の使い方

本書を正しくお使いいただくための表記上の約束ごとを説明します。

■文中マーク／用語表記

注意マーク製品の取り扱いにあたって注意すべき事項です。この注意事項に従わなかった場合、身体や製品に損傷を与えるおそれがあります。メモマーク製品の取り扱いに関する補足事項、知っておくべき事項です。参照マーク関連のある項目のページを記しています。 •文中 [ ] で囲んだ名称は、操作の際に選択するメニュー、ボタン、テキストボックス、チェックボックスなどの名称を表わしています。 •文中『』で囲んだ名称は、ソフトウェアやダイアログボックスの名称を表わしています。 •本書では原則として WL-RA1X を AirStation Radius と表記しています。

■本書の著作権は弊社に帰属します。本書の一部または全部を弊社に無断で転載、複製、改変などを行うことは禁じられております。 ■BUFFALO、AirStationは、株式会社メルコの商標です。本書に記載されている他社製品名は、一般に各社の商標または登録商標です。本書では、 、  などのマークは記載していません。 ■本書に記載された仕様、デザイン、その他の内容については、改良のため予告なしに変更される場合があり、現に購入された製品とは一部異なることがあります。 ■本書の内容に関しては万全を期して作成していますが、万一ご不審な点や誤り、記載漏れなどがありましたら、お買い求めになった販売店または弊社インフォメーションセンターまでご連絡ください。 ■本製品は一般的なオフィスや家庭のOA 機器としてお使いください。万一、一般 OA 機器以外として使用されたことにより損害が発生した場合、弊社はいかなる責任も負いかねますので、あらかじめご了承ください。・医療機器や人命に直接的または間接的に関わるシステムなど、高い安全性が要求される用途には使用しないでください。・一般OA 機器よりも高い信頼性が要求される機器や電算機システムなどの用途に使用するときはご使用になるシステムの安全設計や故障に対する適切な処置を万全におこなってください。 ■本製品は日本国内でのみ使用されることを前提に設計、製造されています。日本国外では使用しないでください。また弊社は、本製品に関して海外での保守および技術サポートを行っておりません。 ■本製品のうち、外国為替および外国貿易管理法の規定により戦略物資等（または役務）に該当するものについては、日本国外への輸出に際して、日本国政府の輸出許可（または役務取引許可）が必要です。 ■ 本製品の使用に際しては、本書に記載した使用方法に沿ってご使用ください。特に、注意事項として記載された取扱方法に違反する使用はお止めください。 ■ 弊社は、製品の故障に関して一定の条件下で修理を保証しますが、記憶されたデータが消失・破損した場合については、保証しておりません。本製品がハードディスク等の記憶装置の場合または記憶装置に接続して使用するものである場合は、本書に記載された注意事項を遵守してください。また、必要なデータはバックアップを作成してください。お客様が、本書の注意事項に違反し、またはバックアップの作成を怠ったために、データを消失・破棄に伴う損害が発生した場合であっても、弊社はその責任を負いかねますのであらかじめご了承ください。 ■ 本製品に起因する債務不履行または不法行為に基づく損害賠償責任は、弊社に故意または重大な過失があった場合を除き、本製品の購入代金と同額を上限と致します。 ■ 本製品に隠れた瑕疵があった場合、無償にて当該瑕疵を修補しまたは瑕疵のない同一製品または同等品に交換致しますが、当該瑕疵に基づく損害賠償の責に任じません。

(3)

はじめに

このたびは、AirStation Radius WL-RA1X をお買いあげいただき誠にありがとうございます。AirStation Radius は、ネットワークのセキュリティを高める規格 802.1x 認証を行うサーバソフトウェアです。

本書をよくお読みの上、正しくお使いください。

■ AirStation Radius WL-RA1Xの特長

• 802.1x/EAP 対応により、ユーザ認証管理をおこない、高セキュリティな無線 LAN 環境を実現。

• 様々な組織のニーズに合ったプラットフォームに対応。

• Microsoft Active Directry や LDAP などのディレクトリサービスとユーザ情報の連携が可能。

• テキスト形式のユーザリストを読込可能。

ユーザリストを Microsoft Excel 等の外部ツールで作成できるので、大量登録も簡単。

• Proxy RADIUS 対応なので、 ISP との提携による外部からのアカウント接続や、大規模な組織での分散認証管理が可能。

(4)

第

1 章

AirStation

Radius

の導入

1.1 設定環境 ... 6 1.2 JAVAのインストール ... 7 1.3 AirStation Radiusのインストール ... 9 1.4 アンインストール ... 12

第

2 章

MAC

アドレスによる認証設定

2.1 MACアドレスによる認証設定 ... 14 2.2 AirStationのセキュリティ設定 ... 15 2.3 AirStation Radiusの起動と初期操作 ... 17 2.4 認証設定 ... 23 2.5 接続方法 ... 27

第

3 章

EAP-MD5

による

認証設定

3.1 EAP-MD5による認証設定 ... 30 3.2 AirStationのセキュリティ設定 ... 31 3.3 AirStation Radiusの起動と初期操作 ... 33 3.4 認証の設定 ... 39 3.5 接続方法 ... 40

第

4 章

EAP-TTLS

による

認証設定

4.1 EAP-TTLSによる認証設定 ... 49 4.2 プライベートCA局の設置 ... 51 4.3 AirStationのセキュリティ設定 ... 53 4.4 AirStation Radiusの起動と初期操作 ... 55 4.5 証明書の発行 ... 61 4.6 認証の設定 ... 66 4.7 接続方法 ... 71

目　　次

(5)

第

5 章

EAP-TLS

による

認証設定

5.1 EAP-TLSによる認証設定 ... 76 5.2 プライベートCA局の設置 ... 77 5.3 AirStationのセキュリティ設定 ... 77 5.4 AirStation Radiusの起動と初期操作 ... 79 5.5 証明書の発行 ... 86 5.6 クライアントPC用証明書 ... 87 5.7 認証の設定 ... 95 5.8 接続方法 ... 96

第

6 章

EAP-PEAP

による

認証設定

6.1 EAP-PEAPによる認証設定 ... 104 6.2 AirStationのセキュリティ設定 ... 106 6.3 AirStation Radiusの起動と初期操作 ... 108 6.4 証明書の発行 ... 113 6.5 認証の設定 ... 114 6.6 接続方法 ... 115

第

7 章

その他の設定例

7.1 ProxyRadiusの設定例 ... 122 7.2 UNIX認証の設定例（TTLS） ... 130 7.3 CSVファイルでのユーザ管理 ... 140

(6)

(7)

■この章でおこなうこと

第

1

章

AirStation Radius

の

導入

セキュリティ管理を行う認証サーバ（RADIUS サーバ）の設定を行います。 1.1 設定環境 ■ 対応機器 ... 6ページへ ■ 対応OS ... 6ページへ 1.2 JAVAのインストール ■ JAVA環境 ... 7ページへ ■ JAVAランタイムのインストール ... 7ページへ 1.3 AirStation Radiusのインストール ■ Windows環境でのインストール ... 9ページへ ■ Redhat Linux、 Solaris環境でのインストール ...11ページへ

1.4 アンインストール

(8)

1.1 設定環境

AirStation Radius の導入をおこなう前に、次のことを確認してください。 AirStation Radius のインストールには、次の機器および OS の仕様が必要です。

■ 対応機器

• PC/AT 互換機 • ペンティアムⅡ 400MHz 以上 • RAM 256MB 以上（推奨 512MB 以上） • HDD 40MB 以上の空きが必要

■ 対応

OS

• Windows 2000 Server

• Red Hat Linux 7.x ～ 8.x （ウィンドウマネージャ： GNOME または KDE） • Solaris 8、 9 （Sparc 版） (Sparc 版 )( ウィンドウマネージャ： CDE） • Windows 98/Me/2000 Professional （サーバマネージメントツールを使用した

(9)

1.2 JAVA

のインストール

■

JAVA

環境

AirStation Radius の導入に必要な JAVA 環境は、以下のとおりです。 • JAVA TM 2 Runtime Enviroment （以後、 J2RE と表記）　 Ver.1.4.2 以上既にJ2RE がインストールされている場合は、バージョンが上記の条件を満たしているか確認してください。条件を満たしていない場合には、古い J2RE をアンインストールした後、「AirStation Radius CD」内の J2RE をインストールしてください。

■

JAVA

ランタイムのインストール

JAVAのランタイムプログラムは、「RSA Security, Incからライセンスされたコード」を含みます。 IBM からライセンスされるいくつかの部分については、「http:// oss.software.ibm.com/icu4j」の URL において利用可能です。（インストール中に表示される使用許諾には、すべて同意する必要があります。） Windows 98/2000/Meの場合

1

［スタート］ → ［ファイル名を指定して実行］を選択します。

2

名前欄に「D:￥JRE1.4.2￥j2re-1_4_2-windows-i586.exe」と入力し、［OK］を選択します。（CD-ROMドライブがDドライブの場合）

3

インストーラ画面の指示に従い、インストールを行います。 Redhat Linuxの場合

1

ターミナルを起動し、インストールファイルをテンポラリファイルにコピーします。例：「cp /mnt/cdrom/JRE1.4.2/j2re-1_4_2-linux-i586-rpm.bin ./」　　（CD-ROM ドライブが/mnt/cdrom にマウントされている場合）

2

解凍します。例：「./j2re-1_4_2-linux-i586-rpm.bin」

3

インストーラを実行します。例：rpm -ivh j2re-1_4_2-linux-i586.rpm

(10)

4

JAVAの実行ファイルにPathを追加します。例 root/.bash_profile ファイルにエディタなどで、 Pathを追加します。 PATH=$PATH:$HOME/bin と記述されている場合、その後に「:/usr/java/j2re1.4.2/bin/」を追加します。

5

OSを再起動してPATHを確定します。 Solaris の場合

1

ターミナルを起動し、 CD-ROMからjavaファイルをインストール先にコピーします。例：「cd /usr」「mkdir java1.4.2」「cp /cdrom/wl-ra1x111/jre1.4.2/j2re-1_4_2-solaris-sparc.sh /usr/java1.4.2/ j2re-1_4_2-solaris-sparc.sh」

2

インストーラを実行します。例：「cd /usr/java1.4.2」　　「./j2re-1_4_2-solaris-sparc.sh」　　この場合「/usr/java1.4.2/j2re1.4.2」内にインストールされます。

3

インストールしたjava1.4.2を有効にします。例：「rm /usr/java」　　「ln -s /usr/java /usr/java1.4.2」

4

JAVAの実行ファイルにPathを追加します。例： /.dtprofileにエディタなどで、 Pathを追加します。 PATH=$PATH:$HOME/bin と記述されている場合、その後に「:/usr/java1.4.2/j2re1.4.2/bin/」を追加します。

5

OSを再起動してPATHを確定します。

(11)

1.3 AirStation Radius

のインストール

お使いのOS 環境によって、 AirStation Radius のインストール方法が異なります。該当する環境のインストール方法を参照してください。

• Windows 環境でのインストール... P9 参照 • Redhat Linux、 Solaris 環境でのインストール ...P11 参照

古いバージョンのAirStationRadiusがインストールされた環境や以前にインストールしたことがある環境の場合は、 AirStationRadiusCDのreadme.txtの「インストール補足」を参照してインストールを行ってください。

■

Windows

環境でのインストール

1

「AirStation Radius CD」内の「setup.exe」を実行し、インストーラを起動します。例：「D:￥setup.exe」　　（CD-ROMドライブがDドライブの場合）

2

［Next］をクリックします。

3

［ライセンス同意書の内容を受け入れる］をチェックをつけます。［Next］をクリックします。

4

(12)

5

［AirStation Radiusをインストール］を選択します。［Next］をクリックします。リモート接続のみ行う場合には、「サーバマネージメントツールをインストール」を選択します。

6

ライセンスファイル（lic）の場所を指定します。［Next］をクリックします。ライセンスファイルを後からインストールする場合は未指定の状態（空欄）で［Next］をクリックします。未指定の場合、「ライセンスファイルがないと実行できませんが、続けますか？」の警告が表示されます。そのまま「はい」をクリックしてください。

7

管理者用のユーザ名とパスワードを入力します。（ユーザ名とパスワードは、英数半角のみで入力してください。）［Next］をクリックします。ここで入力したユーザ名とパスワードは、AirStation Radius を起動するたびに入力が必要となります。メモに残して安全な場所に保管してください。

(13)

8

［Finish］をクリックします。

以上で、 Windows 環境における AirStation Radius のインストールは完了です。

■

Redhat Linux

、

Solaris

環境でのインストール

1

ターミナルを起動し、 CD-ROMにカレントディレクトリを移します。例：「cd /mnt/cdrom」　　（CD-ROM ドライブが/mnt/cdrom にマウントされている場合）

2

インストーラを実行します。例：「./setup.sh -GUI」

3

インストーラ画面の指示に従い、インストールを行います。（「Windows 環境でのインストール」（P9）の手順3を参照してください。）

以上で、 Redhat Linux、 Solaris 環境における AirStation Radius のインストールは完了です。

(14)

1.4 アンインストール

■

AirStation Radius

のアンインストール

AirStationRadius をアンインストールするときは、AirStationRadius を停止させてから、アンインストールします。

1

AirStationRadiusを起動します。

2

［AirStation Radiusサーバの制御を許可］ツールボタンクリックします。

3

［Stop AirStation Radiusサーバ］を選択します。

4

［コンフィグレーションサーバの制御を許可］ツールボタンクリック

5

［Stop コンフィグレーションサーバ］を選択します。アイコンが両方とも赤になるまでお待ちください。

6

AirStationRadiusアンインストールをおこないます。環境によって、手順が異なります。該当する項目を参照してください。《Windows環境の場合》

Windows 環境において、 AirStation Radiusのアンインストールを行う場合には、［コントロールパネル］内の『アプリケーションの追加と削除』を使用してください。

《Redhat Linux、 Solaris環境の場合》

1 ターミナルを起動し、 CD-ROMにカレントディレクトリを移します。例：「cd /mnt/cdrom」

　　（CD-ROM ドライブが/mnt/cdrom にマウントされている場合）

2 アンインストーラを実行します。例：「./setup.sh -uninstall」

(15)

第

2

章

MAC

アドレスによる

認証設定

MAC アドレスで認証する設定手順を説明します。 2.1 MACアドレスによる認証設定 ■ 設定概要 ... 14ページへ 2.2 AirStationのセキュリティ設定 ■ AirStationの設定 ... 15ページへ 2.3 AirStation Radiusの起動と初期操作 ■ AirStation Radiusの起動 ... 17ページへ ■ サーバの起動 ... 18ページへ ■ AirStation （クライアント）の登録 ... 19ページへ ■ ユーザの登録 ... 20ページへ 2.4 認証設定 ■ 認証の設定 ... 23ページへ ■ サーバの再起動 ... 26ページへ 2.5 接続方法 ■ クライアントPCの設定 ... 27ページへ

(16)

2.1 MAC

アドレスによる認証設定

■ 設定概要

AirStation Radius によるセキュリティシステムに『MAC アドレスによる認証』を利用する場合は、 AirStation Radius を起動して以下の設定を行います。

1

AirStationのセキュリティ設定 AirStation （アクセスポイント）を『802.1x』用に設定します。 … 「2.2　AirStation のセキュリティ設定」（P15）参照

2

AirStationRadiusの起動と初期操作 AirStationRadius を起動して、以下の初期操作をおこないます。 • AirStation Radius を起動します。 … 「■　AirStation Radius の起動」（P17）参照 • サーバを起動します。 … 「■　サーバの起動」（P18）参照 • サーバに AirStation （アクセスポイント）を登録します。 … 「■　AirStation （クライアント）の登録」（P19）参照 • お使いになるパソコン（クライアント PC）を登録します。 … 「■　ユーザの登録」（P20）参照

3

認証設定認証の設定とメソッドセレクタの設定を行います。 • 認証の設定をおこないます。 … 「■　認証の設定」（P23）参照 • サーバを再起動します。 … 「■　サーバの再起動」（P26）参照

4

接続クライアントマネージャを使って AirStation （アクセスポイント）と接続します。 … 「■　クライアントPC の設定」（P27）参照

(17)

2.2 AirStation

のセキュリティ設定

AirStation （アクセスポイント）にセキュリティ設定をおこないます。

お使いのAirStation （アクセスポイント）が、 AirStation Radius に対応するかどうかについては、メーカまたはお買い求めの販売店にお問い合わせください。弊社製品「AirStation WLM2 シリーズ」をお使いの方は、以下のとおりにセキュリティ設定を行ってください。

■

AirStation

の設定

1

AirStationのマニュアルを参照して、設定画面を表示させます。

2

「LAN設定」－「無線」をクリックします。

3

「MACアクセス制限　制限する」にチェックをつけ、「EAP認証　使用する」のチェックを外します。 ※ 「WEP自動変更」はMAC認証では対応していません。

WEPキーを入力するときは、「WEP　使用する」にチェックをつけて、 WEP

キーを入力します。

4

「設定」をクリックします。

(18)

6

「プライマリ」の各項目を設定します。「MAC認証」：チェックをつけます。「EAP認証」：チェックを外します。「サーバ名」：AirStationRadiusサーバのIPアドレスを入力します。「SharedSecret」：暗号文字を入力します。（下記のメモ参照）「MACアドレスをパスワードとして使用」：チェックをつけます。［サーバ名］には、認証サーバ（RADIUS サーバ）のIPアドレス（例：192.168.0.11）を入力します。認証サーバの名称を入力して代用することもできます。［Shared Secret］には、任意の暗号文字を入力します。ここで入力した暗号文字は、認証サーバでAirStationの登録をする際に使用します。メモに残して安全な場所に保管してください。必要であれば「セカンダリ」も設定してください。

7

「設定」をクリックします。以上で、 AirStation のセキュリティ設定作業は完了です。

(19)

2.3 AirStation Radius

の起動と初期操作

AirStation Radius からサーバを起動して、各設定をおこないます。

■

AirStation Radius

の起動

Windowsの場合

1

［スタート］ → ［プログラム］ → ［AirStation Radius］ → ［Server Management Tool］を選択します。（インストールフォルダの「bin」サブフォルダにある、「nrsmt.exe」を実行しても同じです。）

2

AirStation Radiusを起動すると、ログイン画面が表示されます。

3

お使いの環境によって、ログインの方法が異なります。該当する項目を参照して、ログインしてください。 ◆本操作を行うPCがRADIUSサーバの場合 1「ユーザ名」と「パスワード」には、「■　Windows 環境でのインストール」（P9）の手順6の内容を入力します。 2 「このコンピュータにローカル接続」を選択します。 3 ［接続］をクリックします。 ◆すでに動作しているAirStation Radiusをリモート操作する場合

すでに動作している AirStation Radius をリモート操作するときは、 RADIUS サーバの「Configuration Server」が「Running」になっている必要があります。

1 「ユーザ名」と「パスワード」には、 RADIUSサーバの設定内容を入力します。

2 「リモート接続（コンフィグレーションサーバを使用）」を選択します。

3「ホスト」欄に、RADIUSサーバのアドレスを入力します。（例：「192.168.0.11」）

4 ［接続］をクリックします。

(20)

Redhat Linux、 Solaris の場合

1

ターミナルを起動し、カレントディレクトリをAirStationRadiusのインストールフォルダの「bin」サブフォルダに移します。例：「cd /opt/BUFFALO/AirStationRadius/bin」

2

サーバマネージメントツールを実行します。例：「./nrsmt」

3

AirStation Radius を起動すると、ログイン画面が表示されます。（上記「Windowsの場合」の手順2参照）

4

お使いの環境によって、ログインの方法が異なります。該当する項目を参照して、ログインしてください。 ◆本操作を行うPCがRADIUSサーバの場合 1 「ユーザ名」と「パスワード」には、「■　Windows 環境でのインストール」（P9）の手順6の内容を入力します。 2 「このコンピュータにローカル接続」を選択します。 3 ［接続］をクリックします。 ◆すでに動作しているAirStation Radiusをリモート操作する場合

1 「ユーザ名」と「パスワード」には、 RADIUSサーバの設定内容を入力します。 2 「リモート接続（コンフィグレーションサーバを使用）」を選択します。 3「ホスト」欄に、RADIUSサーバのアドレスを入力します。（例：「192.168.0.11」） 4 ［接続］をクリックします。続いて「■　サーバの起動」（P18）に進んでください。

■ サーバの起動

はじめに、サーバとして使用するパソコンを認証サーバとして機能させるため、 AirStation Radius を起動して、以下の操作を行ってください。

1

AirStation Radiusを起動します。

2

［AirStation Radiusサーバの制御を許可］ツールボタンをクリックします。

3

［Start AirStation Radiusサーバ］を選択します。

(21)

5

［Start コンフィグレーションサーバ］を選択します。

「ステータス」が「Radius Server」、「Configuration Server」共に「Running」になることを確認します。

6

アイコンが両方とも緑になるまで待ちます。以上で、 AirStation Radius のログイン操作、サーバの起動操作は完了です。

■

AirStation

（クライアント）の登録

サーバにAirStation （クライアント）の登録をおこないます。 • この操作を行う前に、あらかじめ AirStation （クライアント）の設定をしてください。本登録では、AirStationの「IPアドレス」と「暗号文字」が必要となります。 • クライアントに弊社製品「AirStation シリーズ」をお使いの場合には、『RADIUS』画面で入力した「Shared Secret」が暗号文字（クライアントシークレット）となります。

1

2

［クライアント］を選択します。

3

使用するAirStationの登録を行います。［レコード挿入］または［レコード編集］をクリックします。

(22)

4

「クライアント IP アドレス / ホスト名」と「クライアントシークレット」を入力します。［OK］をクリックします。

5

使用するAirStationの台数分、登録を行います。最大5台（基本仕様の場合）までの登録が可能です。

6

手順3の画面に戻り、［保存］を選択します。（手順4の［OK］をクリックで、手順3の画面に戻ります。）

7

［ロード］を選択します。

8

確認画面が表示されたら、［了解］をクリックします。以上で、 AirStation の登録作業は完了です。

■ ユーザの登録

お使いのパソコン（クライアントPC）で使用している無線アダプタの「MAC アドレス」を登録します。以下の手順で、MAC アドレスの確認と登録をおこないます。 ● MAC アドレスの確認無線アダプタのMAC アドレスを以下の手順で確認し、メモしておいてください。

1

クライアントパソコンにてクライアントマネージャを起動します。

2

［ヘルプ］－［バージョン情報］をクリックします。

3

「MACアドレス」の部分の12桁の英数字をメモします。

4

認証を許可するパソコン（無線アダプタ）全てのMACアドレスを確認します。

(23)

● MAC アドレスの登録無線アダプタの「MAC アドレス」を確認したら、以下の手順で MAC アドレスの登録を行います。

1

2

［ユーザファイル］を選択します。

3

［新規］をクリックします。

4

［新しいファイル名の入力］に「mac-users.txt」と入力して［了解］をクリックします。

5

［レコード挿入］をクリックします。「ユーザ名」「パスワード」の両方にメモした無線アダプタのMCアドレスを入力しA （例：000740784705）、［Auth-Type］を「Local」のまま［OK］をクリックします。 ※ ユーザ名・パスワード共にアルファベットは小文字で入力してください。 ○　000740abcdef ×　000740ABCDEF

6

ユーザの数だけ、登録を行います。

(24)

7

手順5の画面に戻り、［保存］を選択します。

※ すでに認証設定が済んでいて、ユーザを追加した場合には、［リロード］をクリックして、変更結果を反映してください。

確認画面が表示されたら、［了解］をクリックしてください。以上で、ユーザの登録作業は完了です。

(25)

2.4 認証設定

認証の設定をおこないます。以下の手順で設定してください。

■ 認証の設定

サーバのセットアップを行います。

1

［ポリシーフローエディタ］を選択します。

2

［認証メソッド］タブをクリックします。

3

「レコードの挿入」をクリックします。「メソッド名」：「macAuthLocal」と入力します。「メソッドタイプ」：AuthLocalを選択します。「次のメソッド」：checkItemsを選択します。「OK」をクリックします。

(26)

4

「レコードの挿入」をクリックします。「メソッド名」：「macAuth」と入力します。「メソッドタイプ」：ReadUserFileを選択します。「次のメソッド」：macAuthLocalを選択します。「FileName」：「mac-users.txt」と入力します「OK」をクリックします。

5

「レコードの挿入」をクリックします。「メソッド名」：「IsMac」と入力し、「メソッドタイプ」：Compareを選択します。「次のメソッド」：macAuthを選択します。「システムエラー時メソッド」：startを選択します。「Input1」：「${request.User-Name}」と入力します。「Input2」：「${request.Calling-Station-ID}」と入力します。「Operator」：＝＝を選択します。「OK」をクリックします。

(27)

6

「保存」をクリックします。

7

「ファイルマネージャ」からmethod_selectをダブルクリックして開きます。

8

*から始まる行を次のように記述します。「*　　Realm　IsMac　writeDetail」

「保存」をクリックします。

(28)

■ サーバの再起動

認証の設定が完了したら、サーバを一度停止／切断し、サーバを再度起動します。

1

2

［Stop AirStation Radiusサーバ］を選択します。

3

［コンフィグレーションサーバの制御を許可］ツールボタンをクリックします。

4

［Stop コンフィグレーションサーバ］を選択します。アイコンが両方とも赤になるまで待ちます。

5

「サーバ」－「サーバから切断」を選択します。これで、サーバの停止／切断が完了しました。引き続き、サーバの起動をおこないます。

6

「サーバ」－「サーバに接続」を選択します。

7

「ユーザ名」、「パスワード」を入力し「接続」をクリックします。

8

9

10

［コンフィグレーションサーバの制御を許可］ツールボタンをクリックします。

11

アイコンが両方とも緑になるまで待ちます。

(29)

2.5 接続方法

AirStation （アクセスポイント）に接続します。

■ クライアント

PC

の設定

クライアントマネージャを使って、お使いのパソコン（クライアントPC）の設定を行います。以下の作業を行う前にAirSupplicantなどを無効にしてください。

1

［スタート］－［（すべての）プログラム］－［MELCO INC］－［エアステーションユーティリティ］－［クライントマネージャ］を選択します。

2

［検索］ボタンをクリックします。

3

検索されたAirStationを選択後、必要な暗号化を設定して［接続］をクリックします。

4

クライアントマネージャに電波状態が表示されば、認証成功です。以上で、クライアントPC の設定は完了です。

(30)

(31)

第

3

章

EAP-MD5

による

認証設定

EAP-MD5 で認証する設定手順を説明します。 3.1 EAP-MD5による認証設定 ■ 設定概要 ... 30ページへ 3.2 AirStationのセキュリティ設定 ■ AirStationの設定 ... 31ページへ 3.3 AirStation Radiusの起動と初期操作 ■ AirStation Radiusの起動 ... 33ページへ ■ サーバの起動 ... 34ページへ ■ AirStation （クライアント）の登録 ... 35ページへ ■ ユーザの登録 ... 36ページへ 3.4 認証の設定 3.5 接続方法 ■ 対応サプリカント ... 40ページへ ■ Windows XP標準サプリカントの場合 ... 40ページへ ■ 弊社製無線アダプタ用サプリカントの場合 ... 43ページへ

(32)

3.1 EAP-MD5

による認証設定

■ 設定概要

AirStation Radius によるセキュリティシステムに『EAP-MD5』を利用する場合は、 AirStation Radius を起動して以下の設定を行います。

1

2

3

認証設定 AirStation Radius に認証の設定をおこないます。 … 「3.4　認証の設定」（P39）参照

4

接続クライアントマネージャを使って AirStation （アクセスポイント）と接続します。 … 「3.5　接続方法」（P40）参照

(33)

3.2 AirStation

のセキュリティ設定

お使いのAirStation （アクセスポイント）が、 AirStation Radius に対応するかどうかについては、メーカまたはお買い求めの販売店にお問い合わせください。弊社製品「WLM2 シリーズ」をお使いの方は、以下の手順でセキュリティ設定を行ってください。

■

AirStation

の設定

1

2

3

「EAP認証　使用する」にチェックをつけます。 ※「WEP自動変更」はMD5では対応していません。

WEPキーを入力するときは、「WEP　使用する」にチェックをつけて、WEPキー

を入力します。

4

(34)

6

「プライマリ」の各項目を設定します。「EAP認証」：チェックをつけます。「サーバ名」：AirStationRadiusサーバのIPアドレスを入力します。「Password」：入力不要です。「SharedSecret」：暗号文字を入力します。（下記のメモ参照）［サーバ名］には、認証サーバ（RADIUS サーバ）の IP アドレス（例：192.168.0.11）を入力します。認証サーバの名称を入力して代用することもできます。［Shared Secret］には、任意の暗号文字を入力します。ここで入力した暗号文字は、認証サーバでAirStationの登録をする際に使用します。メモに残して安全な場所に保管してください。必要であれば「セカンダリ」も設定してください。

7

「設定」をクリックします。以上で、 AirStation のセキュリティ設定作業は完了です。

(35)

3.3 AirStation Radius

の起動と初期操作

■

AirStation Radius

の起動

1

［スタート］→［プログラム］→［AirStation Radius］→［Server Management Tool］を選択します。（インストールフォルダの「bin」サブフォルダにある、「nrsmt.exe」を実行しても同じです。）

2

3

お使いの環境によって、ログインの方法が異なります。該当する項目を参照して、ログインしてください。 ◆本操作を行うPCがRADIUSサーバの場合 1「ユーザ名」と「パスワード」には、「■　Windows環境でのインストール」（P9）の手順6の内容を入力します。 2 「このコンピュータにローカル接続」を選択します。 3 ［接続］をクリックします。 ◆すでに動作しているAirStation Radiusをリモート操作する場合

(36)

1

2

3

AirStation Radius を起動すると、ログイン画面が表示されます。（上記「Windows

の場合」の手順2参照）

4

お使いの環境によって、ログインの方法が異なります。該当する項目を参照して、ログインしてください。 ◆本操作を行うPCがRADIUSサーバの場合 1「ユーザ名」と「パスワード」には、「■　Windows環境でのインストール」（P9）の手順6の内容を入力します。 2 「このコンピュータにローカル接続」を選択します。 3 ［接続］をクリックします。 ◆すでに動作しているAirStation Radiusをリモート操作する場合

■ サーバの起動

1

2

3

(37)

5

6 ■

AirStation

（クライアント）の登録

1

2

3

(38)

4

「クライアントIPアドレス/ホスト名」と「クライアントシークレット」を入力します。［OK］を選択します。

5

6

手順3の画面に戻り、［保存］を選択します。（手順4の［OK］選択で、手順3の画面に戻ります。）

7

8

確認画面が表示されたら、［了解］をクリックしてください。以上で、 AirStation の登録作業は完了です。

■ ユーザの登録

本登録では、お使いのパソコン（クライアントPC）の「ユーザ名」と「パスワード」が必要となります。

1

2

3

［開く］をクリックします。

4

「eap-users.txt」を選択して［開く］をクリックします。

(39)

5

［レコード挿入］または変更したいユーザ名を選択してから［レコード編集］をクリックします。

6

「ユーザ名」と「パスワード」を入力します。

7

「Auth-Type」をダブルクリックします。

8

「値」を「EAP-MD5」を選択し「OK」を選択します。

9

［OK］を選択します。

10

(40)

11

手順5の画面に戻り、［保存］を選択します。［リロード］を選択します。

確認画面が表示されたら、［了解］をクリックしてください。

(41)

3.4 認証の設定

AirStationRadius は、初期状態で EAP-MD5 で認証可能な設定になっています。次の「3.5　接続方法」（P40）へ進んで、 AirStation （アクセスポイント）に接続してください。

(42)

3.5 接続方法

AirStation （アクセスポイント）に接続します。

■ 対応サプリカント

EAP-MD5 は、 Windows XP 標準サプリカント、弊社製無線アダプタ用サプリカントにのみ対応しています。 ●対応無線アダプタ（2003 年 7 月現在）・WLI-PCM-L11/WLI-PCM-L11G/WLI-PCM-L11GP （※ 1）・WLI-CB-G54/WLI-PCI-G54 （※ 2）・WLI-PCM-S11/WLI-PCM-S11G/WLI-CF-S11G/WLI2-CF-S11 （※ 3）クライアントマネージャVer4.10以降が必要です。（※1）ドライバ Ver7.62 以降が必要です。（※2）ドライバ Ver3.10.39 以降が必要です。（※3）ドライバ Ver2.1.1.135 以降が必要です。 Windows XP 標準サプリカントと弊社製無線アダプタ用サプリカントの設定例を説明します。

Windows XP （Service Pack1 適用前）をお使いの場合：

　　　　　　「Windows XP 標準サプリカントの場合」（P40）

Windows XP Service Pack1 以降および Windows 2000/Me/98SE をお使いの場合：　　　　　　「弊社製無線アダプタ用サプリカントの場合」（P43）

■

Windows XP

標準サプリカントの場合

• Windows XP SP1 以降では「EAP / MD5-Challenge」はサポートされていません。「EAP / MD5-Challenge」をお使いの場合は、 AirSupplicant を併用してお使いください。 • ここでは、ごく一般的な設定例を説明しています。操作や仕様に関しては、Microsoft 社へお問合せください。操作や仕様に関してのお問合せは、弊社ではお受けいたしておりませんのでご了承ください。

1

［スタート］（→ ［設定］※） → ［コントロールパネル］（→ ［ネットワークとインターネット接続］※） → ［ネットワーク接続］を開きます。 ※ （　）内は、表示モードによって、有無が変わります。

2

「ワイヤレスネットワーク接続」を右クリックし、「プロパティ」を選択します。

(43)

3

［全般］タブを選択し、「接続時に通知領域にインジケータを表示する」にチェックをつけます。チェック後、［ワイヤレスネットワーク］タブを選択します。

4

「Windowsを使ってワイヤレスネットワークの設定を構成する」にチェックをつけます。「優先するネットワークの追加」をクリックして、「ワイヤレスネットワークのプロパティ」を表示させます。ネットワークの設定を変更するときは任意のネットワークを選択し、プロパティを表示させて設定を変更します。

(44)

5

各種項目を設定します。

• ネットワーク認証（共有モード）：チェックをはずします

• キーは自動的に提供される：チェックをはずします

※ 「■ AirStation の設定」でWEPキーを設定した場合にはWEPを入力します上記以外の項目はすべてAirStationの設定に合わせてください。設定後、［OK］を選択します。

6

［認証］タブを選択します。［認証］タブがない場合は、いったんOKで閉じて、開きなおしてください。

7

「ネットワークアクセスの制御にIEEE 802.1X を使う」にチェックをつけます。 EAPの種類に「MD5-Challenge」を選択し、［OK］をクリックします。

8

タスクトレイに表示されるワイヤレスネットワーク接続のふきだし（以下のメッセージ）をクリックします。ふきだしには、次のメッセージが表示されます。

(45)

「次のネットワークのユーザ名とパスワードを入力するには、ここをクリックしてください：xxxxxxxxxxxxxx」

9

ワイヤレスネットワーク接続の状態が表示された場合は、［閉じる］をクリックします。

10

ユーザ名、パスワードを入力します。

11

［OK］をクリックします。これで、サプリカントの設定作業および接続操作は完了です。接続状態は、「ワイヤレスネットワーク接続」のプロパティで確認することができます。

■ 弊社製無線アダプタ用サプリカントの場合

1

クライアント PC に無線アダプタのドライバ、 AirSupplicant およびクライアントマネージャをインストールして下さい。詳細は、製品マニュアルを参照してください。

2

［スタート］－［（すべての）プログラム］－［MELCO INC］－［エアステーションユーティリティ］－［AirSupplicant］を選択して起動します。

3

［次へ］をクリックします。

(46)

4

インストールされた無線アダプタが表示されますので、お使いのアダプタを選択後、［次へ］をクリックします。

5

［完了］をクリックします。

6

［プロファイル］を選択します。

7

［追加…］をクリックします。

8

［ユーザー情報］タブにて各種項目を設定します。・プロファイル名：接続するAirStationのESS-IDを入力します。・ログイン名：AirStationRadiusへのログイン名を入力します。・「パスワードを使ってログインする」：チェックをつけます。・「次のパスワードを使う」：チェックをつけて、 AirStationRadiusへのログイ　ンパスワードを入力します。　※AirStationRadiusサーバー側でのユーザ・認証設定とあわせてください。

(47)

9

［認証］タブにて必要な認証を追加します。「下の一覧にある順番で認証します」の枠内を全て削除します。［追加］をクリックし、「EAP / MD5-Challenge」を選択し、「はい」をクリックします。

10

［接続］を選択します。

11

クライアントマネージャを起動します。

12

［検索］ボタンをクリックします。

13

検索されたAirStationを選択後、必要な暗号化を設定して［接続］をクリックします。

14

クライアントマネージャに電波状態が表示され、 AirSupplicant に「オープンそして認証済み」と表示されれば、認証成功です。これで、サプリカントの設定作業および接続操作は完了です。

(48)

(49)

第

4

章

EAP-TTLS

による

認証設定

EAP-TTLS で認証する設定手順を説明します。 4.1 EAP-TTLSによる認証設定 ■ 設定概要 ... 49ページへ 4.2 プライベートCA局の設置 ■ プライベートCA局の設置環境 ... 51ページへ ■ Active Directoryのインストール ... 51ページへ ■ 証明書サービスのインストール ... 52ページへ 4.3 AirStationのセキュリティ設定 ■ AirStationの設定 ... 53ページへ 4.4 AirStation Radiusの起動と初期操作 ■ AirStation Radiusの起動 ... 55ページへ ■ サーバの起動 ... 56ページへ ■ AirStation （クライアント）の登録 ... 57ページへ ■ ユーザの登録 ... 58ページへ 4.5 証明書の発行 ■ 証明書の発行方法 ... 61ページへ ■ 証明書（秘密鍵・証明書要求）の作成 ... 61ページへ 4.6 認証の設定 4.7 クライアントPC用証明書

(50)

4.8 接続方法

■ 対応サプリカント ... 71ページへ ■ サプリカントの設定例 ... 71ページへ

(51)

4.1 EAP-TTLS

による認証設定

■ 設定概要

AirStation Radius によるセキュリティシステムに『EAP-TTLS』を利用する場合は、はじめにCA 局上で証明書を作成し、その後、 AirStation Radius を起動して各種設定を行います。

1

CA局の設置 Active Directory をインストールして、プライベート CA 局を設置します。 … 「4.2　プライベート CA 局の設置」（P51）参照

2

3

4

証明書の作成証明書を発行します。 … 「4.5　証明書の発行」（P61）参照

5

認証設定 AirStation Radius に認証の設定をおこないます。 … 「4.6　認証の設定」（P66）参照 • クライアント PC での設定を簡素化する場合は、CA 証明書のインストールは必要ありません。「7　接続」へ進んでください。

(52)

6

クライアントPC用証明書の取得とセットアップ証明書の取得とセットアップをおこないます。 … 「4.7　クライアント PC 用証明書」（P67）参照

7

接続クライアントマネージャを使って AirStation （アクセスポイント）と接続します。 … 「4.8　接続方法」（P71）参照

(53)

4.2 プライベート

_CA

局の設置

■ プライベート

CA

局の設置環境

プライベートCA 局を設置するためには、Windows 2000 Server 上に Active Directory のインストールが必要です。以下の要領で Active directory をインストールして、証明書サービスのインストールをおこなってください。 • あらかじめ、 Windows 2000 ServerのCDを用意しておいてください。 • ここでは、ごく一般的な設定例を説明しています。操作や仕様に関しては、Microsoft 社へお問合せください。操作や仕様に関してのお問合せは、弊社ではお受けいたしておりませんのでご了承ください。

■

Active Directory

のインストール

1

［スタート］メニューから［プログラム］ → ［管理ツール］ → ［サーバの構成］をクリックします。

2

左側メニューから［Active Directory］を選択します。「Active Directoryウィザードを開始します。」を選択します。

3

インストールウィザードに従って、インストールを行ってください。

4

インストール完了後、再起動してください。以上で、 Active Directory のインストール作業は完了です。次は「証明書サービスのインストール」（P52）へ進んでください。

(54)

■ 証明書サービスのインストール

Active Directory のインストール後、『証明書サービス』をインストールします。『証明書サービス』は、 Widows 2000 Server のオプションコンポーネントとして Windows 2000 Server の CD 内に格納されています。

1

［スタート］メニューから［コントロールパネル］ → ［アプリケーションの追加と削除］を選択します。

2

［Windows コンポーネントの追加と削除］をクリックし、［証明書サービス］のコンポーネントを追加します。 Windowsコンポーネントウィザードに従って、インストールを行ってください。『証明書機関の種類』では、「エンタープライズCA」を選択します。

3

『CA局の登録』ダイアログが表示されたら、必要事項を入力してください。『CA局の登録』ダイアログでは、次の項目が必須入力となります。 • CAの名前（例：CA） • 組織（例：BUFFALO） • 地域コード（例：JP） • 電子メール（サーバ管理者のアドレス／例：[email protected]） • 証明書の発行期間なお、ここで入力した一部の内容は、証明書作成の際に「nrcert」コマンドのオプションパラメータとして必要となります。（「■　証明書（秘密鍵・証明書要求）の作成」（P61）」参照）以上で、証明書サービスのインストール作業は完了です。次は「4.3　AirStation のセキュリティ設定」（P53）へ進んでください。

(55)

4.3 AirStation

のセキュリティ設定

お使いのAirStation （アクセスポイント）が、 AirStation Radius に対応するかどうかについては、メーカまたはお買い求めの販売店にお問い合わせください。弊社製品「AirStation WLM2 シリーズ」をお使いの方は、以下の手順でセキュリティ設定を行ってください。

■

AirStation

の設定

1

2

3

「EAP認証　使用する」にチェックをつけます。

WEP キーを入力するときは、「WEP　使用する」と「WEP 自動変更」にチェックをつけて、 WEP設定を空欄にします。

4

(56)

6

「プライマリ」の各項目を設定します。「EAP認証」：チェックをつけます。「サーバ名」：AirStationRadiusサーバのIPアドレスを入力します。「Password」：入力不要です。「SharedSecret」：暗号文字を入力します。（下記のメモ参照）［サーバ名］には、認証サーバ（RADIUS サーバ）の IP アドレス（例：192.168.0.11）を入力します。認証サーバの名称を入力して代用することもできます。［Shared Secret］には、任意の暗号文字を入力します。ここで入力した暗号文字は、認証サーバでAirStationの登録をする際に使用します。メモに残して安全な場所に保管してください。必要であれば「セカンダリ」も設定してください。

7

「設定」をクリックします。以上で、 AirStation のセキュリティ設定作業は完了です。次は、「4.4　AirStation Radius の起動と初期操作」（P55）へ進んでください。

(57)

4.4 AirStation Radius

の起動と初期操作

■

AirStation Radius

の起動

1

［スタート］ → ［プログラム］ → ［AirStation Radius］ → ［Server Management Tool］を選択します。（インストールフォルダの「bin」サブフォルダにある、「nrsmt.exe」を実行しても同じです。）

2

3

(58)

1

2

3

AirStation Radiusを起動すると、ログイン画面が表示されます。（上記「Windows

の場合」の手順2参照）

4 ■ サーバの起動

1

2

3

(59)

5

6 ■

AirStation

（クライアント）の登録

1

2

3

(60)

4

「クライアント IP アドレス / ホスト名」と「クライアントシークレット」を入力します。［OK］を選択します。

5

6

手順3の画面に戻り、［保存］を選択します。（手順4の［OK］選択で、手順3の画面に戻ります。）

7

8

確認画面が表示されたら、［了解］をクリックしてください。以上で、 AirStation の登録作業は完了です。

■ ユーザの登録

本登録では、お使いのパソコン（クライアントPC）の「ユーザ名」と「パスワード」が必要となります。

1

2

3

［開く］をクリックします。

(61)

4

「eap-users.txt」を選択して［開く］をクリックします。

5

6

「ユーザー名」と「パスワード」を入力して、「Auth-Type」を次のように設定します。内部認証プロトコルによって、設定する値が異なります。

PAP、 CHAP、 MS-CHAP、 MS-CHAP-V2の場合：Local EAP-MD5の場合：EAP-MD5

7

8

(62)

9

「ユーザ名」に登録する匿名を入力し、 [レコードの挿入]をクリックします。 AirSupplicantデフォルト匿名は「anonymous」です。

10

［属性］から［Auth-Type］を選択し、「値」に「EAP-TTLS」を選択します。「OK」をクリックします。

11

匿名の数だけ、登録をおこないます。

12

手順5の画面に戻り、［保存］を選択します。［リロード］を選択します。確認画面が表示されたら、［了解］をクリックしてください。以上で、ユーザの登録作業は完了です。

(63)

4.5 証明書の発行

■ 証明書の発行方法

証明書は、次の二つの方法で発行することができます。お使いの環境に合わせて、証明書の発行を行ってください。 • 証明機関サービスに委託証明書の発行を証明機関サービスに委託する場合は、証明書の入手方法等について、ご契約されている証明機関サービスにお問い合わせください。 • プライベート CA 局による証明書発行プライベートCA 局を CA 局（認証局）とする場合で、 CA 局の設置が済んでいないときは、本操作の前に CA 局の設置作業を行ってください。詳細については、「4.2　プライベート CA 局の設置」（P51）を参照してください。ここでは、プライベートCA 局が設置されている場合の操作方法を説明します。

■ 証明書（秘密鍵・証明書要求）の作成

1

RADIUSサーバでコマンドプロンプト（コンソール）を起動させます。

2

カレントディレクトリを『AirStation Radius』のインストールディレクトリの「bin」サブディレクトリに変更します。

3

「nrcert」コマンドを以下のオプションで実行します。

＞nrcert -s "C=JP,O=BUFFALO,CN=CA" -pw secret -out req.pem -keyout key.pem

主なパラメータの内容は次のとおりです。 JP ：CA局の登録ダイアログで入力した「国／地域コード」 BUFFALO ：CA局の登録ダイアログで入力した「組織」 CA ：CA局の登録ダイアログで入力した「CAの名前」 secret ：CA局のパスワード req、 key ：任意の名称実行後、現行ディレクトリ下の「run」ディレクトリに「req.pem （要求ファイル）」「key.pem （秘密鍵ファイル）」の2つのファイルが生成されます。

(64)

4

webブラウザから「http://192.168.0.10/certsrv」を入力・実行します。（「192.168.0.10」は、プライベートCA局のアドレス） CA局とRADIUSサーバが同じPCの場合、「http://localhost/certsrv」と入力しても実行できます。操作や仕様に関しては、 Microsoft 社へお問合せください。操作や仕様に関してのお問合せは、弊社ではお受けいたしておりませんのでご了承ください。

5

証明書の要求画面が表示されます。［証明書の要求］を選択して、［次へ］をクリックします。

6

［要求の詳細設定］を選択します。［次へ］をクリックします。

7

［Base64エンコードPKCS#10ファイル…］を選択します。［次へ］をクリックします。『保存された要求の送信』画面が表示されます。

WL-RA1Xユーザーズマニュアル2版

AirStation Radius

WL-RA1X

ユーザーズ

マニュアル

1

2

3

4

5

6

7

本書の使い方

■文中マーク／用語表記

はじめに

第

1

章

AirStation

Radius

の導入

第

2

章

MAC

アドレスによる認証設定

第

3

章

EAP-MD5

による

認証設定

第

4

章

EAP-TTLS

による

認証設定

目 次

第

5

章

EAP-TLS

による

認証設定

第

6

章

EAP-PEAP

による

認証設定

第

7

章

その他の設定例

第

1

章

AirStation Radius

の

導入

1.1

設定環境

■ 対応機器

■ 対応

OS

1.2

JAVA

のインストール

■

JAVA

環境

■

JAVA

ランタイムのインストール

1

2

3

1

2

目　　次