技術記事・調査 2024/12/05

【検証報告】バッファロー AirStation Pro（WAPM-AXETR）無線アクセスポイントと NetAttest EPS の認証連携を確認しました

はじめに

ソリトンシステムズのオールインワン認証アプライアンス「NetAttest EPS」と、バッファロー社製無線LANアクセスポイント「AirStation Pro（WAPM-AXETR）」を連携させ、エンタープライズ方式による認証が可能かを確認しました。

無線接続クライアントは、Windows、macOS、iOS、Android OS 搭載端末で、確認した認証方式はパスワード方式（EPS-PEAP）及び、電子証明書認証方式（EAP-TLS）です。

1. 構成

1-1 構成図

以下の環境を構成します。

有線LANで接続する機器はL2スイッチに収容
有線LANと無線LANは同一セグメント
無線LANで接続するクライアントPCのIPアドレスは、NetAttest D3のDHCPサーバーから払い出す

1-2 環境

1-2-1 機器

製品名	メーカー	役割	バージョン
NetAttest EPS-SX15A-A	ソリトンシステムズ	RADIUS/CAサーバー	5.2.2
WAPM-AXETR	バッファロー	RADIUSクライアント (無線アクセスポイント)	1.35
NetAttest D3-SX15-A	ソリトンシステムズ	DHCPサーバー	5.4.3
Latitude 3520	Dell	802.1Xクライアント (Client PC)	Windows 11 64bit Windows 標準サプリカント
MacBook Pro	Apple	802.1Xクライアント (Client PC)	13.3.1 (macOS Ventura)
iPhone X	Apple	802.1Xクライアント (Client SmartPhone)	16.7.5
Pixel 5	Google	802.1Xクライアント (Client SmartPhone)	14

1-2-2 認証方式

IEEE802.1X EAP-TLS/EAP-PEAP

1-2-3 ネットワーク設定

機器	IPアドレス	RADIUS port (Authentication)	RADIUS Secret (Key)
NetAttest EPS-SX15A-A	192.168.1.2/24	UDP 1812	secret
WAPM-AXETR	192.168.1.1/24	UDP 1812	secret
NetAttest D3-SX15-A	192.168.1.3/24	ー	ー
Client PC	DHCP	ー	ー
Client SmartPhone	DHCP	ー	ー

2. NetAttest EPSの設定

NetAttest EPSのセットアップを下記の流れで行います。

サービス管理ページへのログオン
初期設定ウィザード (システム､システム-2)の実行
初期設定ウィザード (サービス)の実行
httpsサービスの再起動
RADIUSクライアントの登録
利用者の登録
クライアント証明書の発行

2-1 サービス管理ページへのログオン

NetAttest EPSの初期設定はLAN1から行います。初期のIPアドレスは「192.168.1.2/24」です。管理端末に適切なIPアドレスを設定し、Google Chrome もしくは Microsoft Edgeから「https://192.168.1.2:2181」にアクセスしてください。

2-2 初期設定ウィザード (システム､システム-2)の実行

サービス管理ページにログイン後、システム初期設定ウィザードを使用し、以下の項目を設定します。

管理者アカウントの設定
日付と時刻の設定
ホスト名の設定
ネットワークの設定
DNSの設定
インターネット時刻サーバーの設定
ライセンスの設定

ログイン後に表示される画面より、「セットアップをはじめる」→「すすめる」→「はじめる」と進み、初期設定ウィザードの「システム」に関する設定を行います。

ここからは、システム初期セットアップウィザードの「システム-2」に関する設定を行います。

2-3 初期設定ウィザード (サービス)の実行

OS再起動が完了後、再度サービス管理ページにアクセス及びログインし、サービス初期設定ウィザードを使用して、以下の項目を設定します。

認証の用途の設定
認証の方式の設定
利用者情報リポジトリの設定
CA構築
サーバー証明書発行

2-4 httpsサービスの再起動

画面上部に「httpsサービスを再起動する」ボタンを選択し、httpsサービスの再起動を行います。
httpsサービスを再起動するとページの再読み込みを求められるため、ページの再読み込みを行います。

2-5 RADIUSクライアントの登録

サービス管理画面の「管理」メニューにて｢RADIUS認証｣でフィルタリングし､｢NAS/RADIUSクライアント｣を選択します｡表示された画面で「新規登録」ボタンを選択し、RADIUSクライアントの登録を行います。

2-6 利用者の登録

サービス管理画面の「管理」メニューにて｢利用者とデバイス｣でフィルタリングし､｢利用者一覧｣を選択します｡表示された画面で「新規登録」ボタンを選択し、利用者登録を行います。

2-7 クライアント証明書の発行

サービス管理画面より、クライアント証明書の発行を行います。[利用者一覧]ページから該当する利用者のクライアント証明書を発行します。
(クライアント証明書は、user01.p12という名前で保存)

3. WAPM-AXETRの設定

　WAPM-AXETRへの設定は、エアステーション設定ツールとWebブラウザを利用します。
まずバッファロー公式HPのツールダウンロードページ（https://86886.jp/airset/）にアクセスし、設定用端末に「エアステーション設定ツール」をインストールしてください。

下記の手順でWAPM-AXETRの設定を行います。

WAPM-AXETRへLAN側IPアドレスを設定
WAPM-AXETRへログイン
WAPM-AXETRのLAN側IPアドレスを確認
WAPM-AXETRへRADIUSを設定
WAPM-AXETRへSSIDを設定

尚、設定の際にはPCをWAPM-AXETRとLANケーブルで直結してWEBブラウザから行います。
3-1～3-5の項目の設定が完了次第、WAPM-AXETRをL2スイッチに接続します。
既にL2スイッチに接続済みの場合には、L2スイッチから切り離し、APを再起動して下さい。
※設定用PCのIPアドレスは
　・初期設定(エアステーション設定ツール使用)時：192.168.11.15/24
　・Webブラウザでの設定時：192.168.1.11/24
とします。

3-1 WAPM-AXETRへLAN側IPアドレスを設定

エアステーション設定ツールを用いて、WAPM-AXETRへLAN側IPアドレスを設定します。
エアステーション設定ツールを起動し、ウィザードに従って設定します。

3-2 WAPM-AXETRへログイン

エアステーション設定ツールから設定画面にアクセスし、WAPM-AXETRへログインします。

「完了」クリックすると、WebブラウザにWAPM-AXETRの設定画面が開きます。
ユーザー名、パスワードを入力しログインしてください。

3-3 WAPM-AXETRのLAN側IPアドレスを確認

ログイン後に「詳細設定」をクリックし、LAN側IPアドレスを確認します。
「LAN設定」-「IPアドレス」より、下記の通り設定されているかをどうか確認します。

値入力後、「設定」をクリックすると、以下の確認画面が表示されますので、再度「設定」をクリックして設定内容を反映します。

3-4 WAPM-AXETRへRADIUSを設定

再ログイン後に「詳細設定」をクリックし、RADIUSを設定します。
「ネットワーク設定」-「RADIUS設定」より、下記の通り設定します。

値入力後、「設定」をクリックして設定内容を反映します。

3-5 WAPM-AXETRへSSIDを設定

続いて「詳細設定」の項目から、SSIDを設定します。
「Wi-Fi 設定」-「SSID設定」より、SSID編集の「新規追加」をクリックします。

下記の通り設定を行います。無線の周波数帯はご利用の端末環境に応じて選択してください。
設定後は「修正保存」をクリックします。

以下確認画面が表示されますので、「設定」をクリックして設定内容を反映します。

設定したSSIDが有効になっていることを確認します。

また、Home画面のWi-Fi 情報で SSID が有効になっていることを確認します。

以上でWAPM-AXETRの設定は完了です。

4. EAP-TLS認証でのクライアント設定

4-1 Windows 11でのEAP-TLS認証

4-1-1 クライアント証明書のインポート

PCにクライアント証明書をインポートします。ダウンロードしておいたクライアント証明書(user01.p12)をダブルクリックすると、証明書インポートウィザードが実行されます。

4-1-2 サプリカント設定

Windows標準サプリカントでTLSの設定を行います。
[ワイヤレスネットワークのプロパティ] の [セキュリティ] タブから以下の設定を行います。

4-2 MacでのEAP-TLS認証

4-2-1 クライアント証明書のインポート

PCにデジタル証明書をインポートします。
「キーチェーンアクセス」を起動し、[デフォルトキーチェーン] - [ログイン]を選択後、PKCS#12ファイルをドラッグ＆ドロップし、PKCS#12ファイルのパスワードを入力します。

インポートしたCA証明書の信頼設定を変更します。
インポートしたCA証明書をダブルクリックし、[信頼] - [この証明書を使用するとき]の項目で「常に信頼」に変更します。

ウィンドウを閉じると、パスワードを求められるため、端末(Mac)に設定しているパスワードを入力し、「設定をアップデート」を選択します。

参考)

CLIコマンドを利用して、PKCS#12ファイルをインポートすることも可能です。
PKCS#12ファイルをデスクトップ上へ保存し、ターミナルで以下のコマンドを入力します。

security import /Users/<ログインユーザーID>/Desktop/<証明書ファイル名> -k /Users/<ログインユーザーID>/Library/KeyChains/Login.keychain-db –f pkcs12 –x

「ログインユーザーID」、「証明書ファイル名」は、環境に合わせて書き換えて下さい。

注：V11.6.6（macOS Big Sur）及びV12.5(macOS Monterey)で確認したところ、コマンドラインからエクスポート禁止オプション（"-x"）を設定してインポートしても、キーチェーアクセスから秘密鍵をエクスポート出来てしまうようです。

なお、ソリトンシステムズの証明書配布ソリューションであるEPS-apを利用してクライアント証明書をインポートした場合は、秘密鍵のエクスポートは不可の状態となります。

4-2-2 サプリカント設定

Mac標準サプリカントでTLSの設定を行います。
「設定」-「Wi-Fi」の「その他」をクリックして、以下の設定を行います。

4-3 iOSでのEAP-TLS認証

4-3-1 クライアント証明書のインポート

NetAttest EPSから発行したクライアント証明書をiOSデバイスにインポートする方法には下記などがあります。

Mac OSを利用してApple Configuratorを使う方法
クライアント証明書をメールに添付しiOSデバイスに送り、インポートする方法
SCEPで取得する方法(NetAttest EPS-apを利用できます)

いずれかの方法でCA証明書とクライアント証明書をインポートします。本書では割愛します。

4-3-2 サプリカント設定

WAPM-AXETRで設定したSSIDを選択し、サプリカントの設定を行います。
まず、「ユーザ名」には証明書を発行したユーザーのユーザーIDを入力します。次に「モード」より「EAP-TLS」を選択します。その後、「ユーザ名」の下の「ID」よりインポートされたクライアント証明書を選択します。

※初回接続時は「信頼されていません」と警告が出るので、「信頼」を選択し、接続します。

4-4 AndroidでのEAP-TLS認証

4-4-1 クライアント証明書のインポート

NetAttest EPSから発行したクライアント証明書をAndroidデバイスにインポートする方法として、下記３つの方法等があります。いずれかの方法でCA証明書とクライアント証明書をインポートします。手順については、本書では割愛します。

SDカードにクライアント証明書を保存し、インポートする方法※1
クライアント証明書をメールに添付しAndroidデバイスに送り、インポートする方法※2
SCEPで取得する方法(NetAttest EPS-apを利用できます)※3

※1 メーカーやOSバージョンにより、インポート方法が異なる場合があります。事前にご検証ください。
※2 メーカーやOSバージョン、メーラーにより、インポートできない場合があります。事前にご検証ください。
※3 メーカーやOSバージョンにより、Soliton KeyManagerが正常に動作しない場合があります。事前にご検証ください。

Android 13では証明書インポート時に用途別に証明書ストアが選択できますが、本書では無線LANへの接続を行うため、クライアント証明書は「Wi-Fi証明書」を選択しています。