ITの窓辺から

三流IT技術者の日常

Aruba IAP-305の設定と動作に迫る (8)

今回はRadiusサーバを使用した認証を調査していきます。IAPのソフトウェアバージョンは6.5.1.0-4.3.1.2_58595です。RadiusサーバはWindows Server2012R2のNPSを使用します。NPSも掘り下げるとネタがいくらでもあるのですが、今回はIAPが主役なのでNPSの詳細にはあまり触れないようにします。アカウント情報Active Directoryに保存します。どうでも良いですが、最近McAfee社のIPSであるNSPに触ることことがよくあり、NPSと名前がごっちゃになることがあります。

Radius認証を使ったMACアドレス認証

以下のように認証サーバに事前に定義したRadiusサーバを指定します。

f:id:ReaLiZeZNSG:20180610102122p:plain

Radiusサーバはダッシュボードのセキュリティから作成することができます。

f:id:ReaLiZeZNSG:20180610102250p:plain

一般的なRadius設定はできるようです。尚、今回はアカウンティングは無視します。いずれ機会があれば・・。

MACアドレス認証の設定で、Radiusサーバを複数指定すると、若番のRadiusサーバからのRadius応答が設定した再試行回数タイムアウトすると次の番号のRadiusサーバに問い合わせに行くようになります。若番のRadiusRadius Rejectが返ってきた場合は問い合わせを終了するので注意が必要です。複数のActive DirectoryLDAPをなめたい時には別途Radiusサーバ等で調整を行う必要があります。

NPSの設定

まずRadiusクライアントを設定します。IAP側で指定したRadiusサーバのシークレットキーとRadius問い合わせを行ってくるIPアドレスを指定するだけです。IAPでは仮想コントローラではなくIAPの実IPアドレスで認証が行われます。

f:id:ReaLiZeZNSG:20180610103032p:plain

続いてポリシーの設定です。接続要求ポリシーはデフォルトで全ての認証要求をローカルNPSで受け付ける設定が入っているので、これをそのまま使用します。

ネットワークポリシーは新たに作成する必要があります。

f:id:ReaLiZeZNSG:20180610104156p:plain

とりあえず条件は日付と時刻の制限にし、値は全ての時間に設定します。接続要求ポリシーも同じ設定なのですが、特に条件なしで受け付ける、というようなデフォルト処理の設定ができるようになると良いんですけどね。この設定だと無理矢理感があって好きじゃないです。

次に制約です。以下の通り、暗号化されていない認証(PAP,SPAP)を有効にします。

f:id:ReaLiZeZNSG:20180610125903p:plain

以上で設定は完了です。

あとはActive Directory上にMACアドレスのアカウントを登録するだけです。MACアドレスだからといってコンピューターアカウントではありません。ユーザーアカウントとして登録する必要があります。パスワードもMACアドレスと同じものを設定します。パスワードの複雑性と矛盾が出ないように調整して下さい。

f:id:ReaLiZeZNSG:20180610104931p:plain

Syslog

IAP側のログです。基本的にはローカルデータベースを使用する場合と同じですが、アカウントのパスワードはログに残らなくなるようです。設定したRadiusサーバに認証要求を投げていることが示されています。


<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <121031> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> |aaa| [rc_api.c:476] Radius authenticate user (985fd33ba4ca) PAP using server NPS01
<143>Jun 10 10:55:25 2018 192.168.0.203 <192.168.0.203 20:A6:CD:C1:86:AC> stm[2323]: iap_fmt_called_station_id: Called Station ID Type is (0)
<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <304008> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> |ap| AP MAC Address - 20:a6:cd:c1:86:ac
<143>Jun 10 10:55:25 2018 192.168.0.203 <192.168.0.203 20:A6:CD:C1:86:AC> stm[2323]: iap_fmt_called_station_id: Called Station ID buffer is (20a6cdc186ac)
<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <121031> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> |aaa| [rc_request.c:55] Add Request: id=26, srv=192.168.0.156, fd=17
<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <121031> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> |aaa| [rc_server.c:2184] Sending radius request to NPS01:192.168.0.156:1812 id:26,len:167

もう少し下の方までログをたどると、Radiusサーバから応答があり、MACアドレス認証が完了したと記録がありました

<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <121031> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> |aaa| [rc_server.c:570] Receive response from server: name NPS01, id=26, srv=192.168.0.156, fd=17
<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <121031> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> |aaa| [rc_request.c:79] Find Request: id=26, srv=192.168.0.156, fd=17
<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <121031> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> |aaa| [rc_request.c:85] Current entry: srv=192.168.0.156, fd=17
<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <121031> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> |aaa| [rc_server.c:1265] (RadiusReadHandler)(1265)Del Request: id=26, srv=192.168.0.156, fd=17
<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <121031> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> |aaa| [rc_request.c:40] Del Request: id=26, srv=192.168.0.156, fd=17
<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <121050> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> in rc_aal.c(server_cbh),auth result = 0, with user name = 985fd33ba4ca
<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <520012> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> server_cbh clarity: station 98:5f:d3:3b:a4:ca auth process = 0 ctx = 0x57c4bc
<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <524124> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> dot1x_supplicant_up(): MAC:98:5f:d3:3b:a4:ca, pmkid_present:False, pmkid:N/A
<143>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <304008> <DBUG> <192.168.0.203 20:A6:CD:C1:86:AC> |ap| Sending STM Reset Key Index 0 to SAPD ip= 0.0.0.0, bssid=20:a6:cd:98:6a:d2
<141>Jun 10 10:55:25 2018 192.168.0.203 stm[2323]: <501201> <NOTI> <192.168.0.203 20:A6:CD:C1:86:AC> mac_authentication_complete10869: mac-98:5f:d3:3b:a4:ca, role-test-employee, intercept-0

イベントログ

参考ですが、イベントビューアには以下のようなログが残ります。

f:id:ReaLiZeZNSG:20180610110506p:plain

今回の記事は以上になります。IEEE802.1x認証もまとめて書こうと思ったのですが、今回とテーマが異なるので次の記事で記載することにします。