無線LANアクセス グループごとに、接続可能な無線LANアクセスポイントをSSIDで制限-クライアント証明書認証
目的
SingleIDのユーザで、PIOLINK TiFRONT-APの無線LANアクセスポイントへアクセスします。 接続する際の認証方式は、クライアント証明書認証(EAP-TLS)です。
本ガイドでは、SingleIDのRADIUS機能により、グループごとに接続可能な無線LANアクセスポイントをSSIDで制御します。
環境
ユーザの情報
| ユーザ名 | 姓(英字) | 名(英字) | メールアドレス |
|---|---|---|---|
| user1 | user1 | user1 | user1@poc.singleid.jp |
Info
メールアドレス: 受信可能なメールアドレスを指定してください。
グループの情報
| グループ名 | メンバー | 接続可能な無線LANアクセスポイントのSSID | 動作 |
|---|---|---|---|
| restricted-wlan-access-users | user1 | restricted-wlan-access | このSSIDの無線LANアクセスポイントのみにアクセス可能 |
RADIUSの情報
| 設定に必要な情報 | 説明および情報取得の方法など |
|---|---|
| RADIUSサーバのホスト名 | SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブのホスト名です。 |
| RADIUSサーバのIPアドレス | SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブのIPアドレスです。 |
| RADIUSサーバのポート番号 | SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブのRADIUSポート番号です。ここでは、デフォルトUDP1812を使用します。 |
| RADIUSクライアントのIPアドレス | PIOLINK TiFRONT-AP側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。 |
| RADIUSクライアントのシークレット | 任意の文字列を設定します。ここでは、シークレットをtifrontapとします。 |
設定方法
SingleIDの設定
管理者ポータルへログイン
- SingleIDの管理者ポータルへログインします。
グループの作成
- SingleID 管理者ポータル>グループ画面へ移動します。
- グループ追加をクリックします。グループ追加画面がポップアップします。
- グループ名(参照)を入力し、登録ボタンをクリックします。
ユーザの作成
- SingleID 管理者ポータル>ユーザ画面へ移動します。
- 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
- ユーザ登録画面の基本情報を入力します。作成するユーザは、ユーザの情報を参照します。 グループタブをクリックします。
- 参加するグループ(参照)を選択し、登録ボタンをクリックします。
クライアント証明書の発行
- SingleID 管理者ポータル>ユーザ画面へ移動します。
- クライアント証明書を発行したいユーザの行にあるチェックボックスを選択します。クライアント証明書を発行するユーザは、ユーザの情報を参照します。
- 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書の発行を選択します。
- 証明書発行画面がポップアップします。
- プロファイルを選択します。(例:デフォルト)
- 発行ボタンをクリックして、クライアント証明書を発行します。ユーザのメールアドレス宛に発行されたクライアント証明書のダウンロードリンクが送信されます。
RADIUSの設定
- SingleID 管理者ポータル>認証>RADIUS画面の簡易設定タブへ移動します。
- カタログ表示ボタンをクリックします。
- カタログからPIOLINK TiFRONT-APの登録ボタンをクリックします。PIOLINK TiFRONT-AP画面がポップアップします。
-
基本情報タブに、以下を設定します。
設定項目 設定内容 有効/無効 有効 サーバ 1 ワンタイムパスワード強制 無効 IP or ホスト名 RADIUSの情報のRADIUSクライアントのIPアドレスを参照 シークレット RADIUSの情報のRADIUSクライアントのシークレットを参照 Info
選択するサーバの番号により、RADIUSサーバのポート番号が異なります。サーバが1の場合には、UDP1812です。SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブのRADIUSポート番号にサーバの番号と通信ポート番号の対応が記載されています。
-
無線アクセスの認証タブへ移動します。
- 許可グループの設定で許可したいグループ(参照)をダブルクリックし、許可へ移動させます。
- 許可へ移動させたグループの同じ行に、接続を許可したい無線LANアクセスポイントのSSID(参照)を入力します。
- 登録ボタンをクリックします。
PIOLINK TiFRONT-APの設定
管理者でログイン
- PIOLINK TiFRONT-AP GUIへアクセスします。
- 管理者のユーザ名、パスワードを入力し、ログインします。
RADIUSサーバの設定
- 無線(5GHz)もしくは無線(2.4GHz)>SSID X(使用するSSID)画面へ移動します。
-
以下を設定します。
設定項目 設定内容 選択 有効 無線LAN(SSID) グループの情報の接続可能な無線LANアクセスポイントのSSIDを参照 認証セキュリティ設定 WPA2 WPA Mode Enterprise(RADIUS) 受信/発信 RADIUSの情報のRADIUSサーバのIPアドレスを参照 認証サーバーポート RADIUSの情報のRADIUSサーバのポート番号を参照 認証サーバーSecretKey RADIUSの情報のRADIUSクライアントのシークレットを参照 -
適用ボタンをクリックします。
動作確認方法
無線LANアクセスの認証(EAP-TLS方式のクライアント証明書認証)
クライアント証明書のダウンロード
- SingleIDシステム管理から届いたメールを開きます。
- ダウンロードリンクをクリックします。P12形式のクライアント証明書がダウンロードされます。
Info
もし、PCでメールを受信し、スマートフォンやタブレットにクライアント証明書をインストールしたい場合には、メールに添付されているQRコードを スマートフォンやタブレットで読み取ります。クライアント証明書のダウンロードURLを認識しますので、そのURLへアクセスすることで、 スマートフォンやタブレット にもクライアント証明書をダウンロードできます。
クライアント証明書のインストール
- ダウンロードしたSingleIDのユーザ(参照)の P12形式のクライアント証明書ファイルをダブルクリックします。
-
保存場所として現在のユーザーを選択し、次へボタンをクリックします。
-
ダウンロードしたP12形式のファイル名とパスが正しく入力されていることを確認し、次へボタンをクリックします。
-
パスワードに、クライアント証明書のパスワードを入力します。クライアント証明書のパスワードは、ユーザ名(参照)と同一です。次へボタンをクリックします。
-
証明書の種類に基づいて、自動に証明書ストアを選択するが選択されていることを確認し、次へボタンをクリックします。
-
完了ボタンをクリックし、証明書をインストールします。
-
クライアント証明書のインストールが成功しました。
PIOLINK TiFRONT-APの無線LANアクセスポイントへ接続(Windows 10/11 の場合)
グループ情報の動作を参照して、接続可能な無線LANアクセスポイントのSSIDにのみ接続が成功することを確認します。以下は、接続成功のパターンです。接続を許可していないSSIDには、接続できないことも確認してください。
