無線LANアクセス-パスワード認証

文書更新日:2025-06-04

目的

SingleIDのユーザで、H3C 無線LANアクセスポイントへアクセスします。
接続する際の認証方式は、パスワード（PEAP、EAP-TTLS-PAP）です。
SingleIDの拡張RADIUSサーバを利用します。
ユーザ/グループによるアクセス制限をします。

設定方法

SingleIDのグループの作成

SingleID 管理者ポータル＞グループ画面へ移動します。
グループ追加をクリックします。グループ追加画面がポップアップします。
グループ名を入力し、登録ボタンをクリックします。

SingleIDのユーザの作成

SingleID 管理者ポータル＞ユーザ画面へ移動します。
登録ボタンをクリックします。ユーザ登録画面がポップアップします。
ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
メンバーとなるグループを選択し、登録ボタンをクリックします。

SingleIDの拡張RADIUSサーバの登録

SingleID 管理者ポータル＞認証＞RADIUS＞基本設定タブへ移動します。

拡張RADIUSサーバ＞RADIUSポート番号の登録ボタンをクリックします。拡張RADIUSサーバの登録画面がポップアップします。

設定項目	設定内容
使用するプロトコル	UDPを選択します。
シークレット	任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。

登録ボタンをクリックします。専用のRADIUSポート番号が割り当てれます。

SingleIDのRADIUSサイトの登録

SingleID 管理者ポータル＞認証＞RADIUS＞簡易設定タブへ移動します。
カタログ表示ボタンをクリックします。
カタログからH3C 無線LANアクセスポイントの登録ボタンをクリックします。H3C 無線LANアクセスポイント画面がポップアップします。

基本情報タブに、以下を設定します。

設定項目	設定内容
有効/無効	有効を選択します。
サーバ	拡張を選択します。
サーバ番号	SingleIDの拡張RADIUSサーバの登録の手順で登録したサーバ番号を選択します。
サイト識別する属性	NAS-IDを選択します。
属性値	Cloudnetに登録した無線LANアクセスポイントのデバイス名を設定します。サイト識別する属性にNAS-IDを選択した場合、実際にネットワーク機器から送信される属性値に対して、ここの設定項目で設定した文字列で部分一致検索します。

無線アクセスの認証タブへ移動します。
許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。

Info

接続可能なSSIDを制限したい場合には、SSID入力欄に、接続を許可したいSSIDを入力します。
登録ボタンをクリックします。

H3C 無線LANアクセスポイントの設定

RADIUS Schemeの登録

機器のウェブ管理画面へログインします。
Network Security＞AAA＞RADIUS画面へ移動します。

＋ボタンをクリックし、新しいRADIUS Schemeを追加します。以下を設定します。

設定項目	設定内容
RADIUS Scheme	任意の文字列を設定します。（例: singleid_radius）

Authentication server

設定項目	設定内容
Primary authentication server
VRF	Public networkを選択します。
Type	IP addressを選択します。
Host	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報画面の拡張RADIUSサーバ＞IPアドレスのプライマリです。
Port	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの拡張RADIUSサーバ＞RADIUSポート番号のポート番号です。
State	Activeを選択します。
Secondary authentication server
VRF	Public networkを選択します。
Type	IP addressを選択します。
Host	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報画面の拡張RADIUSサーバ＞IPアドレスのセカンダリです。
Port	Primary authentication serverのPortに設定したポート番号と同じです。
State	Activeを選択します。

The shared key for authentication	SingleIDの拡張RADIUSサーバの登録の手順のシークレットに設定した文字列です。

Advanced Settings

設定項目	設定内容
The RADIUS server response timeout time	デフォルト値の3秒では、インターネットの混雑次第ではタイムアウトする恐れがあります。タイムアウト値を長く設定することをお勧めします。(例: 10)

Applyボタンをクリックします。

ISP Domainの登録

機器のウェブ管理画面から設定します。

Network Security＞AAA＞ISP Domain画面へ移動します。

＋ボタンをクリックし、新しいDomainを追加します。以下を設定します。

設定項目	設定内容
Domain	自社のドメイン名を設定します。（例: example.com）
State	Activeを選択します。
Service type	LAN Accessを選択します。
AAA for login users
Authentication	RADIUSを選択します。先ほど登録したRADIUS SchemeをSchemeに選択します。（例: singleid_radius）
Authorization	RADIUSを選択します。先ほど登録したRADIUS SchemeをSchemeに選択します。（例: singleid_radius）

Applyボタンをクリックします。

Wireless serviceの設定（WPA/WPA2エンタープライズの場合）

機器のウェブ管理画面から設定します。

Wireless ConfigurationWireless＞Services Configuration画面へ移動します。

＋ボタンをクリックし、新しいWireless serviceを追加します。以下を設定します。

設定項目	設定内容
Basic settings
Wireless service name	任意の文字列を設定します。（例: 20）
SSID	任意の文字列を設定します。（例: h3c）
Wireless Service	Onを選択します。
Authentication settings
Authentication mode	802.1Xを選択します。
Security mode	WPA or WPA2を選択します。
Domain name	先ほど登録したISP Domainを選択します。（例: example.com）

Apply and Configure Advanced settingsボタンをクリックします。
Bindingタブへ移動します。Bind to APs画面で、SSIDに関連付ける周波数帯を選択し、Selectedへ移動させます。
Applyボタンをクリックします。
画面右上のSAVEボタンをクリックします。

Wireless serviceの設定（WPA2/WPA3エンタープライズの場合）

機器のCLIから設定します。

Wireless serviceを登録します。

system-view
wlan service-template 20 <= 任意の文字列を設定します。（例: 20）
ssid h3c <= 任意の文字列を設定します。（例: h3c）
akm mode dot1x
cipher-suite ccmp
security-ie rsn
wpa3 enterprise-transition-mode <= WPA2/WPA3エンタープライズ（下位互換性を考慮し、推奨）
client-security authentication-mode dot1x
dot1x domain example.com <= 先ほど登録した**ISP Domain**を選択します。（例: example.com）
bss transition-management enable
service-template enable
exit

Wireless serviceに周波数帯域を関連付けます。

interface WLAN-Radio1/0/1 <= SSIDに関連付ける周波数帯のインターフェース
service-template 20 <= 先ほど登録したWireless service
exit
interface WLAN-Radio1/0/2 <= SSIDに関連付ける周波数帯のインターフェース
service-template 20 <= 先ほど登録したWireless service
exit

設定を保存します。
```
save force
```

動作確認方法

以下を参考にクライアントを設定して動作確認します。

クライアント接続設定