More than 5 years have passed since last update.

WPA/WPA2 Enterprise(IEEE 802.1x)環境構築 - その1 知識編

Posted at 2018-12-26

事前に共有した鍵を使った無線LAN(WPA Personal)ではなく、Active Directoryに登録されているユーザIDで接続できる無線LAN環境を構築します。

IEEE 802.1x用語

自分の理解のために、環境構築時に必要そうな用語をまとめます。

無線LANのクライアントです。パソコンやスマホになります。

サプリカントが接続する機器です。無線LANのアクセスポイントです。

認証機が接続する機器です。ここでユーザID/パスワードが認証されます。
実際のところはRADIUSサーバです。これをActive Directoryドメインコントローラに任せます。

認証と認可、さらに課金管理（アカウンティング）のプロトコルです。デフォルトでは、認証と認可はUDP 1812番ポート、アカウンティングはUDP 1813番ポートで通信します。

自分が使うのは認証/認可だけなのでLDAPでもよいのですが、LDAP喋るWi-Fi APってないんですかね。

様々な認証方式をサポートするPPPです。

サプリカントによって使える認証方式が違います。
Windowsだと、以下のものが使えるようです。

Type	認証方式
13	EAP-TLS	EAP-Transport Layer Security
25	PEAP	Protected EAP
26	EAP-MS-CHAP v2	EAP-Microsoft Challenge Handshake Authentication Protocol version 2

EAP-TLSが最も強固ですが、クライアント証明書を運用したりしないといけないので面倒です。
EAP-MS-CHAP v2が一番簡単だそうです。

方式自体は、全部で何十個もあります。

混沌としたEAP界に現れたCisco/Microsoft/RSA Security連合による認証方式です。
しかし、versionが0から2まであって、混沌を生んでいます。

PEAPの中で、さらに以下の認証方式を選ぶことができるようになっています。いよいよもってわかりません。

上の項でEAP-MS-CHAP v2が使えるようなことを書きましたが、実際は使えません。
PEAPの中でEAP-MS-CHAP v2を使います。

レイヤ2上でEAPを通すプロトコルという理解で良いのかな？
知らなくても大丈夫です。

暗号化方式/暗号化アルゴリズムが違います。

	暗号化方式	アルゴリズム
WPA Enterprise	TKIP	RC4
WPA2 Enterprise	CCMP	AES

RC4はやめて、AESを使っていきたいです。

PCのスペック表を眺めて、対応しているかどうか調べてください。
USB等で後付けする際は、購入時の確認をお忘れなく。

自分は一番安価だったアライド・テレシスのAT-MWS1750APを買いました。

Windows Serverであれば、ネットワークポリシーサーバ(NPS)機能を有効にすると使えるようになります。

無線LANクライアントから信頼(知っている認証局から発行)されている証明書が必要です。RADIUSサーバで使います。

買うと結構なお値段がするので、オレオレ認証局を作って運用するのもありです。