コンテンツにスキップ

有線LANアクセス-クライアント証明書認証

文書更新日:2025-07-06

目的

  • SingleIDのユーザで、Anti Spreader セキュアスイッチへアクセスします。
  • 接続する際の認証方式は、クライアント証明書認証(EAP-TLS)です。
  • SingleIDの標準RADIUSサーバを利用します。
  • ユーザ/グループによるアクセス制限をします。

設定方法

SingleIDのグループの作成

  1. SingleID 管理者ポータル>グループ画面へ移動します。
  2. グループ追加をクリックします。グループ追加画面がポップアップします。
  3. グループ名を入力し、登録ボタンをクリックします。

SingleIDのユーザの作成

  1. SingleID 管理者ポータル>ユーザ画面へ移動します。
  2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
  3. ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
  4. メンバーとなるグループを選択し、登録ボタンをクリックします。

SingleIDのクライアント証明書の発行

  1. SingleID 管理者ポータル>ユーザタブへ移動します。
  2. クライアント証明書を発行したいユーザの行にあるチェックボックスを選択します。
  3. 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書の発行を選択します。
  4. 証明書発行画面がポップアップします。
  5. プロファイル(例:デフォルト)および配布形式(例:一般)を選択します。
  6. 発行ボタンをクリックして、クライアント証明書を発行します。ユーザのメールアドレス宛に発行されたクライアント証明書のダウンロードリンクが送信されます。

SingleIDのRADIUSサイトの登録

  1. SingleID 管理者ポータル>認証>RADIUS>簡易設定タブへ移動します。
  2. カタログ表示ボタンをクリックします。
  3. カタログからAnti Spreader セキュアスイッチ登録ボタンをクリックします。Anti Spreader セキュアスイッチ画面がポップアップします。
  4. 基本情報タブに、以下を設定します。

    設定項目 設定内容
    有効/無効 有効を選択します。
    サーバ 標準を選択します。
    サーバ番号 適切なサーバ番号を選択します。選択するサーバの番号により、RADIUSサーバのポート番号が異なります。SingleID 管理者ポータル>認証>RADIUS>基本情報タブの標準RADIUSサーバ>RADIUSポート番号にサーバの番号と通信ポート番号の対応が記載されています。
    IP or ホスト名 Anti Spreader セキュアスイッチ側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。
    シークレット 任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。
  5. ネットワークアクセスの認証タブへ移動します。

  6. 許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。

    Info

    • 証明書認証(EAP-TLS)のみ許可有効にすると、クライアント証明書認証以外の認証方式のアクセスを拒否します。
    • 認証したユーザおよびグループにVLAN IDを割り当てたい場合には、VLAN ID入力欄に、割り当てたいVLAN IDを入力します。
  7. MACアドレス認証バイパスタブへ移動します。

  8. 802.1x認証をサポートしていないデバイスのMACアドレスを大文字英数字のハイフン区切りで入力します。(例:00-E1-5C-68-16-04)

    Info

    MACアドレスにVLAN IDを割り当てたい場合には、VLAN ID入力欄に、割り当てたいVLAN IDを入力します。

  9. 登録ボタンをクリックします。

Anti Spreader セキュアスイッチの設定

  1. Anti Spreader セキュアスイッチにCLIでログインして設定します。

    Info

    GUIでは、802.1x認証の設定を行うことはできません。

  2. mac-flooding無効化します。

    Info

    mac-floodingが有効の状態では、802.1x認証を有効にできません。

    SG2412G(config)#no mds mac-flooding enable
    
  3. 送信元のIPアドレスデフォルトルートの設定を行います。SingleIDのクラウドRADIUSと通信するために、デフォルトVLAN(vlan1.1)に送信元となるIPアドレス および デフォルトルートを設定します。送信元となるIPアドレスおよびデフォルトルートは、環境により異なるため適切なIPアドレスを設定します。

    送信元のIPアドレス設定
    SG2412G(config)interface vlan1.1
    SG2412G(config-if)ip address <送信元のIPアドレス>/<送信元のIPアドレスのネットマスク>
    
    デフォルートの設定
    SG2412G(config)ip route 0.0.0.0/0 <デフォルトゲートウェイのIPアドレス>
    
  4. (ダイナミックVLANを利用する場合)VLANを作成します。

    VLANの作成
    SG2412G(config)#vlan database
    SG2412G(config-vlan)#vlan <VLAN ID> bridge 1
    
  5. (ダイナミックVLANを利用する場合)アップリンクポートをトランクポートに設定します。

    設定項目 設定内容
    アップリンクポートのインターフェース名 アップリンクポートのインターフェース名です。(例: ge8)
    トランクポートの設定
    SG2412G(config)#interface <アップリンクポートのインターフェース名>
    SG2412G(config-if)#switchport mode trunk
    SG2412G(config-if)##switchport trunk allowed vlan add <VLAN ID>
    
  6. 以下の内容で、RADIUSサーバを登録します。

    設定項目 設定内容
    RADIUSサーバのプライマリIPアドレス SingleID 管理者ポータル>認証>RADIUS>基本情報タブの標準RADIUSサーバ>IPアドレスプライマリです。
    RADIUSサーバのセカンダリIPアドレス SingleID 管理者ポータル>認証>RADIUS>基本情報タブの標準RADIUSサーバ>IPアドレスセカンダリです。
    RADIUSサーバのポート番号 SingleIDのRADIUSサイトの登録の手順のサーバ番号に対応したポート番号です。
    RADIUSクライアントのシークレット SingleIDのRADIUSサイトの登録の手順のシークレットに設定した文字列です。
    送信元のIPアドレス Anti Spreader セキュアスイッチの設定の手順で設定した送信元のIPアドレスです。
    SG2412G(config)#aaa system-aaa-ctrl
    SG2412G(config)#radius-server host <RADIUSサーバのプライマリIPアドレス> auth-port <RADIUSサーバのポート番号> key <RADIUSクライアントのシークレット>
    SG2412G(config)#radius-server host <RADIUSサーバのセカンダリIPアドレス> auth-port <RADIUSサーバのポート番号> key <RADIUSクライアントのシークレット>
    SG2412G(config)#ip radius source-interface <送信元のIPアドレス> 1023
    
  7. 802.1x認証有効化します。

    設定項目 設定内容
    802.1x認証の有効化する物理ポート名 802.1x認証の有効化する物理ポート名です。(例: ge1-6)
    ダイナミックVLANを利用する場合
    SG2412G(config)#dot1x system-auth-ctrl
    SG2412G(config)#interface range <802.1x認証の有効化する物理ポート名>
    SG2412G(config-if-range)#dot1x port-control auto
    SG2412G(config-if-range)#dot1x extension multi-user
    SG2412G(config-if-range)#dot1x extension mac-auth-bypass
    
    ダイナミックVLANを利用しない場合
    SG2412G(config)#dot1x system-auth-ctrl
    SG2412G(config)#interface range <802.1x認証の有効化する物理ポート名>
    SG2412G(config-if-range)#dot1x port-control auto
    SG2412G(config-if-range)#dot1x extension mac-auth-bypass
    SG2412G(config-if-range)#dot1x extension dynamic-vlan
    

    Info

    dot1x extension multi-userdot1x extension dynamic-vlanの両方を同一の物理ポートで同時に有効にできません。

  8. 設定を保存します。

    SG2412G(config)#write memory
    

Anti Spreader セキュアスイッチのサンプルコンフィグ1 ダウンロード

Anti Spreader セキュアスイッチのサンプルコンフィグ2 ダウンロード

Anti Spreader セキュアスイッチのサンプルコンフィグ3 ダウンロード

動作確認方法

以下を参考にクライアントを設定して動作確認します。

クライアント接続設定

MACアドレス認証バイパス

  1. 802.1x認証を無効にしたPCをAnti Spreader セキュアスイッチの802.1x認証を有効にしたポートへ接続します。
  2. 1分間ほど待ち、ネットワークへ接続できたことを確認します。

    Info

    Anti Spreader セキュアスイッチで#show dot1x briefコマンドを実行して、接続状況を確認できます。