ネットワーク接続の認証（グループによるアクセス制限）とダイナミックVLANの併用-クライアント証明書認証

目的

SingleIDのユーザで、SubGateにより構成されたネットワークにアクセスします。 接続する際の認証方式は、クライアント証明書認証（EAP-TLS）です。接続端末にVLAN IDを動的に割り当てます。

環境

ユーザの情報

ユーザ名	姓（英字）	名（英字）	メールアドレス
user1	user1	user1	user1@poc.singleid.jp

Info

メールアドレス: 受信可能なメールアドレスを指定してください。

グループの情報

グループ名	メンバー	割当てるVLAN ID
singleid-network-access-users	user1	101

RADIUSの情報

設定に必要な情報	説明および情報取得の方法など
RADIUSサーバのホスト名	SingleID 管理者ポータル＞認証＞RADIUS画面の基本情報タブのホスト名です。
RADIUSサーバのIPアドレス	SingleID 管理者ポータル＞認証＞RADIUS画面の基本情報タブのIPアドレスです。
RADIUSサーバのポート番号	SingleID 管理者ポータル＞認証＞RADIUS画面の基本情報タブのRADIUSポート番号です。ここでは、デフォルトUDP1812を使用します。
RADIUSクライアントのIPアドレス	SubGate側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。
RADIUSクライアントのシークレット	任意の文字列を設定します。ここでは、シークレットをSubgate-1234とします。SubGateによる仕様により、アルファベット大文字・小文字、数字、記号を各1文字以上使用した9文字以上の文字列を使用します。

SubGateのポート

ポート番号	ポート名	802.1x認証 の有効化	トランク ポート	アップリンク ポート（ルータへ接続）
1	ge1
2	ge2
3	ge3
4	ge4
5	ge5
6	ge6
7	ge7
8	ge8		(VLAN ID:101)

設定方法

SingleIDの設定

管理者ポータルへログイン

1. SingleIDの管理者ポータルへログインします。

グループの作成

1. SingleID 管理者ポータル＞グループ画面へ移動します。
2. グループ追加をクリックします。グループ追加画面がポップアップします。
3. グループ名（参照）を入力し、登録ボタンをクリックします。

ユーザの作成

1. SingleID 管理者ポータル＞ユーザ画面へ移動します。
2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
3. ユーザ登録画面の基本情報を入力します。作成するユーザは、ユーザの情報を参照します。 グループタブをクリックします。
4. 参加するグループ（参照）を選択し、登録ボタンをクリックします。

クライアント証明書の発行

1. SingleID 管理者ポータル＞ユーザ画面へ移動します。
2. クライアント証明書を発行したいユーザの行にあるチェックボックスを選択します。クライアント証明書を発行するユーザは、ユーザの情報を参照します。
3. 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書の発行を選択します。
4. 証明書発行画面がポップアップします。
5. プロファイルを選択します。（例：デフォルト）
6. 発行ボタンをクリックして、クライアント証明書を発行します。ユーザのメールアドレス宛に発行されたクライアント証明書のダウンロードリンクが送信されます。

RADIUSの設定

1. SingleID 管理者ポータル＞認証＞RADIUS画面の簡易設定タブへ移動します。
2. カタログ表示ボタンをクリックします。
3. カタログからSubGateの登録ボタンをクリックします。SubGate画面がポップアップします。

4. 基本情報タブに、以下を設定します。

   設定項目	設定内容
   有効/無効	有効
   サーバ	1
   ワンタイムパスワード強制	無効
   IP or ホスト名	RADIUSの情報のRADIUSクライアントのIPアドレスを参照
   シークレット	RADIUSの情報のRADIUSクライアントのシークレットを参照

   Info

   選択するサーバの番号により、RADIUSサーバのポート番号が異なります。サーバが1の場合には、UDP1812です。SingleID 管理者ポータル＞認証＞RADIUS画面の基本情報タブのRADIUSポート番号にサーバの番号と通信ポート番号の対応が記載されています。

5. ネットワークアクセスの認証タブへ移動します。

6. 許可グループの設定で許可したいグループ（参照）をダブルクリックし、許可へ移動させます。
7. 許可へ移動させたグループの同じ行に、割当てるVLAN ID（参照）を入力します。
8. 登録ボタンをクリックします。

SubGateの設定

SubGateにCLIでログインして設定します。

Warning

GUIでは、802.1x認証の設定を行うことはできません。

mac-floodingの無効化

mac-floodingが有効の状態では、802.1x認証を有効にできないため、mac-floodingを無効化します。

SG2412G(config)#no mds mac-flooding enable

送信元のIPアドレスとデフォルトルートの設定

SingleIDのクラウドRADIUSと通信するために、デフォルトVLAN(vlan1.1)に送信元となるIPアドレス　および　デフォルトルートをSubGateに設定します。送信元となるIPアドレスおよびデフォルトルートは、環境により異なるため適切なIPアドレスを設定します。

送信元のIPアドレス設定

SG2412G(config)interface vlan1.1
SG2412G(config-if)ip address <送信元のIPアドレス>/<送信元のIPアドレスのネットマスク>

デフォルートの設定

SG2412G(config)ip route 0.0.0.0/0 <デフォルトゲートウェイのIPアドレス>

VLANの作成

割当てるVLAN ID（参照）のVLANを作成します。

VLANの作成

SG2412G(config)#vlan database
SG2412G(config-vlan)#vlan <VLAN ID> bridge 1

アップリンクポートをトランクポートの設定

[SubGateのポート](#subgateのポート)に従い、ルータと接続するSubgateの物理ポート（アップリンクポート）に対して、トランクの設定をします。

トランクポートの設定

SG2412G(config)#interface <アップリンクポートのインターフェース名>
SG2412G(config-if)#switchport mode trunk
SG2412G(config-if)##switchport trunk allowed vlan add <VLAN ID>

AAA認証の有効化およびRADIUSサーバの登録

設定項目	設定内容
host	RADIUSの情報のRADIUSサーバのIPアドレスを参照
auth-port	RADIUSの情報のRADIUSサーバのポート番号を参照
Key	RADIUSの情報のRADIUSクライアントのシークレットを参照
source-interface	送信元のIPアドレスとデフォルトルートの設定の手順で設定した送信元のIPアドレスを指定

SG2412G(config)#aaa system-aaa-ctrl
SG2412G(config)#radius-server host <1つめのRADIUSサーバのIPアドレス> auth-port <RADIUSサーバのポート番号> key <RADIUSクライアントのシークレット>
SG2412G(config)#radius-server host <2つめのRADIUSサーバのIPアドレス> auth-port <RADIUSサーバのポート番号> key <RADIUSクライアントのシークレット>
SG2412G(config)#ip radius source-interface <送信元のIPアドレス> 1023

802.1x認証の有効化

SubGateのポートに従い、802.1x認証の設定を行います。

SG2412G(config)#dot1x system-auth-ctrl
SG2412G(config)#interface range <802.1x認証の有効化する物理ポート名>
SG2412G(config-if-range)#dot1x port-control auto
SG2412G(config-if-range)#dot1x extension mac-auth-bypass
SG2412G(config-if-range)#dot1x extension dynamic-vlan

Warning

dot1x extension multi-userとdot1x extension dynamic-vlanの両方を同一の物理ポートで同時に有効にできません。

設定を保存

SG2412G(config)#write memory

サンプルコンフィグ

ダウンロード

動作確認方法

ネットワーク接続の認証（EAP-TLS方式のクライアント証明書認証）

クライアント証明書のダウンロード

1. SingleIDシステム管理から届いたメールを開きます。
2. ダウンロードリンクをクリックします。P12形式のクライアント証明書がダウンロードされます。

Info

もし、PCでメールを受信し、スマートフォンやタブレットにクライアント証明書をインストールしたい場合には、メールに添付されているQRコードを スマートフォンやタブレットで読み取ります。クライアント証明書のダウンロードURLを認識しますので、そのURLへアクセスすることで、 スマートフォンやタブレット にもクライアント証明書をダウンロードできます。

クライアント証明書のインストール

1. ダウンロードしたSingleIDのユーザ（参照）の P12形式のクライアント証明書ファイルをダブルクリックします。

2. 保存場所として現在のユーザーを選択し、次へボタンをクリックします。

   

3. ダウンロードしたP12形式のファイル名とパスが正しく入力されていることを確認し、次へボタンをクリックします。

   

4. パスワードに、クライアント証明書のパスワードを入力します。クライアント証明書のパスワードは、ユーザ名（参照）と同一です。次へボタンをクリックします。

   

5. 証明書の種類に基づいて、自動に証明書ストアを選択するが選択されていることを確認し、次へボタンをクリックします。

   

6. 完了ボタンをクリックし、証明書をインストールします。

   

7. クライアント証明書のインストールが成功しました。

   

ネットワークへ接続（Windows 11 の場合）

1. PCのネットワークインターフェースの802.1x認証を有効化する必要があります。Windowsのサービス設定画面からWired AutoConfigサービスをダブルクリックします。

   

2. PC起動時に、ネットワークインターフェースの802.1x認証を有効化するために、Wired AutoConfigサービスのスタートアップの種類を自動に変更します。そして、開始ボタンをクリックして、802.1x認証を有効化します。

   

3. PCをSubGateの802.1x認証を有効にしたポート（SubGateのポートの802.1x認証の有効化を参照）へ接続します。

4. ログイン要求がポップアップします。サインインをクリックします。

   

5. 認証設定の編集ボタンをクリックします。

   

6. 以下を設定し、保存ボタンをクリックします。

   設定項目	設定内容
   EAPメソッド	スマートカードまたはその他の証明書(EAP-TLS)

   

7. サインインをクリックします。

   

8. 認証で使用するSingleIDのユーザ（参照）のクライアント証明書を選択し、接続ボタンをクリックします。

   

9. 接続先が正しいかどうかの確認を要求されます。証明書の詳しい内容の表示でRADIUSサーバのサーバ証明書の情報が表示されますので、接続先の確認を行います。接続先が正しければ、接続ボタンをクリックします。

   項目	内容
   発行先	RADIUSの情報のRADIUSサーバのホスト名
   発行元	R3

   

10. 接続成功したことを確認します。