コンテンツにスキップ

ネットワーク接続の認証(グループによるアクセス制限)とMACアドレス認証バイパス(MAC Authentication Bypass)の併用-パスワード認証

目的

SingleIDのユーザで、SubGateにより構成されたネットワークにアクセスします。 その際、802.1x認証に対応していないデバイス(無線LANアクセスポイント、プリンター、IP電話など)は、MACアドレスをSingleIDへ登録することで、ユーザ認証を行わないようにします。 接続する際の認証方式は、パスワードです。

パスワード認証方式でサポートしている認証プロトコルは以下です。

  • EAP-TTLS-PAP
  • PEAP(MSCHAPv2)

環境

ユーザの情報

ユーザ名 姓(英字) 名(英字) メールアドレス
user1 user1 user1 user1@poc.singleid.jp

Info

メールアドレス: 受信可能なメールアドレスを指定してください。

グループの情報

グループ名 メンバー
singleid-network-access-users user1

RADIUSの情報

設定に必要な情報 説明および情報取得の方法など
RADIUSサーバのホスト名 SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブのホスト名です。
RADIUSサーバのIPアドレス SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブのIPアドレスです。
RADIUSサーバのポート番号 SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブのRADIUSポート番号です。ここでは、デフォルトUDP1812を使用します。
RADIUSクライアントのIPアドレス SubGate側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。
RADIUSクライアントのシークレット 任意の文字列を設定します。ここでは、シークレットをSubgate-1234とします。SubGateによる仕様により、アルファベット大文字・小文字、数字、記号を各1文字以上使用した9文字以上の文字列を使用します。

SubGateのポート

ポート番号 ポート名 802.1x認証の有効化
1 ge1
2 ge2
3 ge3
4 ge4
5 ge5
6 ge6
7 ge7
8 ge8

設定方法

SingleIDの設定

管理者ポータルへログイン

  1. SingleIDの管理者ポータルへログインします。

グループの作成

  1. SingleID 管理者ポータル>グループ画面へ移動します。
  2. グループ追加をクリックします。グループ追加画面がポップアップします。
  3. グループ名(参照)を入力し、登録ボタンをクリックします。

ユーザの作成

  1. SingleID 管理者ポータル>ユーザ画面へ移動します。
  2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
  3. ユーザ登録画面の基本情報を入力します。作成するユーザは、ユーザの情報を参照します。 グループタブをクリックします。
  4. 参加するグループ(参照)を選択し、登録ボタンをクリックします。

RADIUSの設定

  1. SingleID 管理者ポータル>認証>RADIUS画面の簡易設定タブへ移動します。
  2. カタログ表示ボタンをクリックします。
  3. カタログからSubGate登録ボタンをクリックします。SubGate画面がポップアップします。
  4. 基本情報タブに、以下を設定します。

    設定項目 設定内容
    有効/無効 有効
    サーバ 1
    ワンタイムパスワード強制 無効
    IP or ホスト名 RADIUSの情報RADIUSクライアントのIPアドレスを参照
    シークレット RADIUSの情報RADIUSクライアントのシークレットを参照

    Info

    選択するサーバの番号により、RADIUSサーバのポート番号が異なります。サーバが1の場合には、UDP1812です。SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブのRADIUSポート番号にサーバの番号と通信ポート番号の対応が記載されています。

  5. ネットワークアクセスの認証タブへ移動します。

  6. 許可グループの設定で許可したいグループ(参照)をダブルクリックし、許可へ移動させます。
  7. MACアドレス認証バイパスタブへ移動します。
  8. 802.1x認証をサポートしていないデバイスのMACアドレスを大文字英数字のハイフン区切りで入力します。(例:00-E1-5C-68-16-04)
  9. 登録ボタンをクリックします。

SubGateの設定

SubGateにCLIでログインして設定します。

Warning

GUIでは、802.1x認証の設定を行うことはできません。

mac-floodingの無効化

mac-floodingが有効の状態では、802.1x認証を有効にできないため、mac-floodingを無効化します。

SG2412G(config)#no mds mac-flooding enable

送信元のIPアドレスとデフォルトルートの設定

SingleIDのクラウドRADIUSと通信するために、デフォルトVLAN(vlan1.1)に送信元となるIPアドレス および デフォルトルートをSubGateに設定します。送信元となるIPアドレスおよびデフォルトルートは、環境により異なるため適切なIPアドレスを設定します。

送信元のIPアドレス設定
SG2412G(config)interface vlan1.1
SG2412G(config-if)ip address <送信元のIPアドレス>/<送信元のIPアドレスのネットマスク>
デフォルートの設定
SG2412G(config)ip route 0.0.0.0/0 <デフォルトゲートウェイのIPアドレス>

AAA認証の有効化およびRADIUSサーバの登録

設定項目 設定内容
host RADIUSの情報RADIUSサーバのIPアドレスを参照
auth-port RADIUSの情報RADIUSサーバのポート番号を参照
Key RADIUSの情報RADIUSクライアントのシークレットを参照
source-interface 送信元のIPアドレスとデフォルトルートの設定の手順で設定した送信元のIPアドレスを指定
SG2412G(config)#aaa system-aaa-ctrl
SG2412G(config)#radius-server host <1つめのRADIUSサーバのIPアドレス> auth-port <RADIUSサーバのポート番号> key <RADIUSクライアントのシークレット>
SG2412G(config)#radius-server host <2つめのRADIUSサーバのIPアドレス> auth-port <RADIUSサーバのポート番号> key <RADIUSクライアントのシークレット>
SG2412G(config)#ip radius source-interface <送信元のIPアドレス> 1023

802.1x認証の有効化

SubGateのポートに従い、802.1x認証の設定を行います。

SG2412G(config)#dot1x system-auth-ctrl
SG2412G(config)#interface range <802.1x認証の有効化する物理ポート名>
SG2412G(config-if-range)#dot1x port-control auto
SG2412G(config-if-range)#dot1x extension multi-user
SG2412G(config-if-range)#dot1x extension mac-auth-bypass

設定を保存

SG2412G(config)#write memory

サンプルコンフィグ

ダウンロード

動作確認方法

ネットワーク接続の認証(PEAP(MSCHAPv2)方式のパスワード認証)

ネットワークへ接続(Windows 11 の場合)

  1. PCのネットワークインターフェースの802.1x認証を有効化する必要があります。Windowsのサービス設定画面からWired AutoConfigサービスをダブルクリックします。

    Screenshot

  2. PC起動時に、ネットワークインターフェースの802.1x認証を有効化するために、Wired AutoConfigサービスのスタートアップの種類自動に変更します。そして、開始ボタンをクリックして、802.1x認証を有効化します。

    Screenshot

  3. PCをSubGateの802.1x認証を有効にしたポート(SubGateのポート802.1x認証の有効化を参照)へ接続します。

  4. ログイン要求がポップアップします。サインインをクリックします。

    Screenshot

  5. 認証設定編集ボタンをクリックします。

    Screenshot

  6. 以下を設定し、保存ボタンをクリックします。

    設定項目 設定内容
    EAPメソッド 保護されたEAP(PEAP)
    認証方法 セキュリティで保護されたパスワード(EAP-MSCHAP v2)

    Screenshot

  7. サインインをクリックします。

    Screenshot

  8. SingleIDのユーザ参照の認証情報を入力し、OKボタンをクリックします。

    Screenshot

  9. 接続先が正しいかどうかの確認を要求されます。証明書の詳しい内容の表示でRADIUSサーバのサーバ証明書の情報が表示されますので、接続先の確認を行います。接続先が正しければ、接続ボタンをクリックします。

    項目 内容
    発行先 RADIUSの情報RADIUSサーバのホスト名
    発行元 R3

    Screenshot

  10. 接続成功したことを確認します。

    Screenshot

MACアドレス認証バイパス

  1. 802.1x認証を無効にしたPCをSubGateの802.1x認証を有効にしたポート(SubGateのポート802.1x認証の有効化を参照)へ接続します。
  2. 1分間ほど待ち、ネットワークへ接続できたことを確認します。

    Info

    SubGateで#show dot1x briefコマンドを実行して、接続状況を確認できます。