今回はWPA2-エンタープライズで接続する場合の動作を調査します。IAPのソフトウェアバージョンは6.5.1.0-4.3.1.2_58595です。

WPA2-エンタープライズ設定

下記のようにセキュリティレベルをエンタープライズに設定します。

認証サーバーにすでに作成したRadiusサーバを指定します。また、今回はEAP offloadを有効にしています。これを有効にすると、EAPフレームをIAPが終端し、Authenticatorとして代理でRadiusサーバに問い合わせを行うようになります。今回はRadiusクライアントとしてIAPを指定しているのでこの設定が必要になります。

NPSの設定

EAPの種類としてEAP-MSCHAP v2を登録します。この辺りは無線LAN端末のサプリカントの設定と帳尻をあわせて下さい。

設定としては以上です。

あとは無線LAN端末側でサプリカントの設定を行い、端末やRadiusサーバで対応しているEAP方式で認証を行うだけです。今回は認証サーバの認証を行わないPEAP認証を使用しました。PEAP認証を行うと、ダッシュボードには認証に使用したユーザIDが無線LAN端末として表示されるようになります。

with MACアドレス認証

設定上では1x認証と一緒にMACアドレス認証も行えるようです。しかし、何らかの設定が足りないのかもしれませんがMACアドレス認証が正しく動作しませんでした。調査結果を以下に記します。

MACアドレス認証のログ

ログを見る限り、Radiusサーバ側に認証問い合わせがそもそも来ていませんでした。IAP側のログを調べると、以下のログがありました。

<ERRS> <192.168.0.203 20:A6:CD:C1:86:AC> Dropping EAPOL packet sent by Station 98:5f:d3:3b:a4:ca 20:a6:cd:98:6a:d2

EAPフレームが破棄されているようです。このメッセージの意味を調べてみましたが、意味はそのままで対処は前後のログを見て原因を突き止めろとしか記載がなかったので手詰まりです。エンタープライズ設定の場合、MACアドレス認証もEAPで行われるのかもしれません。気になるログは

recv_radius_acct_multi_session_id: 17846: got mac='98:5f:d3:3b:a4:ca', name='(null)', start_time='1528602411 (Sun Jun 10 12:46:51 2018 )'

しかありませんでした。意味は不明です。メーカサポートを頼れないとこれ以上の調査は難しいので諦めました。

その他の設定

「802.1xの前にMAC認証を実行」を有効にした場合、MACアドレス認証が行われるようになります。有効にすることと認証を802.1x認証の前後どちらでやるかは別問題な気がしますが、そういうことらしいです。

「MAC認証フェイルスルー」を有効にするとMACアドレス認証に失敗した場合でも1x認証が行われ、こちらの認証に成功すれば正常に接続できるようになります。MACアドレス認証に失敗するが1x認証に成功する場合にだけ適用できるルールが設定できないとほとんど意味がない気がしますが・・。

今回の調査は以上です。次回は無線LAN接続後のアクセス権の付与に触れます。ゲスト用SSIDのCaptive Portal動作は、検証を行うための準備に少し手間がかかるため気が向いたらやります。