読者です 読者をやめる 読者になる 読者になる

Windows Server 2008 R2 環境で PEAP-MS-CHAP-v2認証の無線LAN環境を構築する

Windows 無線LAN ActiveDirectory

Windows Server 2008 PKI & 認証セキュリティ大全」(以下、参考資料)を参考に構築しようとしたものの、その本では PEAP-TLS での接続を想定しているようなので、差分などをメモ。


構築前の環境


構築したい環境


実際の手順

1. 2008R2 に、Active Directory証明書サービスの役割を追加
基本はデフォルト。指定する部分は以下の通り。

分類 項目
役割サービスの選択 証明機関 左記のみチェックする
セットアップの種類の指定 エンタープライズ チェックする
CAの種類の指定 ルートCA チェックする
秘密キーの設定 新しい秘密キーを作成する チェックする


2.ネットワークポリシーサーバー(NPS)の役割を追加
ネットワークポリシーとアクセスサービス(NPS) がRADIUSサーバーとして利用できるため、役割を追加する。指定する部分は以下の通り。

分類 項目
サーバーの役割の選択 ネットワークポリシーとアクセスサービス チェックする
役割サービスの選択 ネットワークポリシーサーバー 左記のみチェックする


3.サーバー証明書のテンプレート追加
認証の種類を PEAP-MS-CHAP-V2 としている今回は、サーバー側の証明書のみ必要となる*2

サーバーの証明書としては「RASおよびIASサーバー」証明書テンプレートを利用すればよいため*3 *4、その証明書テンプレートを元に複製を行い、その証明書テンプレートを展開する。

  1. サーバーマネージャーの左側ペインより、「Active Directory 証明書サービス」->「証明書テンプレート」と展開
  2. 右側ペインより、「RASおよびIASサーバー」を右クリック、「テンプレートの複製」を選択
  3. セットアップしている認証機関は Windows Server 2008 R2 であるため、証明書バージョン3を扱えることから、「Windows Server 2008 Enterprise」を選択
  4. あとは以下の通りに入力
タブ 項目
全般 テンプレート表示名 (任意の名前)
セキュリティ RAS and IAS Servers 読取、登録、自動登録をチェックする


4.証明機関で扱えるテンプレートの追加
上記3.で作成したテンプレートを、サーバー上の証明機関で扱えるように設定する。

  1. サーバーマネージャー左ペインより、「Active Directory 証明書サービス」->「<サーバー名>CA」->「証明書テンプレート」を選択
  2. 左ペインの「証明書テンプレート」の上で右クリック、「新規作成」->「発行する証明書テンプレート」を選択
  3. 上記3.にて作成した証明書テンプレートを選択
  4. 証明書テンプレートが追加されれば、OK


5.RADIUSサーバー(NPS)のセキュリティグループ確認
「RAS and IAS Servers」グループに所属しているか確認する。
ドメインコントローラーに同居しているので、所属しているはず。


6.RADIUSクライアントの設定
RADIUSクライアントの無線アクセスポイントを設定する。
なお、無線アクセスポイントは、RADIUS周りの設定があるものを選択すること。

  1. サーバーマネージャーの左ペインより、「ネットワークポリシーとアクセスサービス」->「NPS(ローカル)」->「RADIUSクライアントとサーバー」と展開
  2. RADIUSクライアント」の上で右クリック、「新規」を選択
  3. 以下の内容を設定(「詳細設定」はそのまま)
項目
フレンドリ名 (任意の名前)
アドレス 無線LANアクセスポイントのIPアドレス
既存の共有シークレット なし
共有シークレットの選択 手動
共有シークレット 無線LANアクセスポイントで設定するものと共通の値


7.ワイヤレスコンピューターと利用ユーザーのアクセスポリシー設定
コンピューターとユーザーの認証のための初期接続を可能にするため、設定を行う。

なお、認証の種類で「PEAP-MS-CHAP-V2」を選択しているため、ユーザーの認証も必要*5

  1. サーバーマネージャーの左ペインより、「ネットワークポリシーとアクセスサービス」->「NPS(ローカル)」を選択
  2. 右ペインの標準構成より「802.1xワイヤレス接続または・・・」を選択、「802.1xを構成する」をクリック
  3. ウィザードでは以下の項目を指定
画面 項目
802.1x接続の種類の選択 802.1x接続の種類 ワイヤレス接続
  名前 (任意の名前)
802.1xスイッチの設定 RADIUSクライアント 上記6.にて設定したRAIDUSクライアントを指定
認証方法の構成 種類 Microsoft 保護されたEAP(PEAP)
 →構成ボタン 証明書の発行先 <サーバー名>.<ドメイン名>.local
  高速再接続 チェックを外す
  暗号化バインド チェックを外す
  EAPの種類 セキュリティで保護されたパスワード(EAP-MSCHAP-V2)
ユーザーグループの設定 ユーザーグループ 「Domain Computers」と「Domain Users」を指定
トラフィック制御の構成 (何もしない)


その後、作成したポリシーを編集する。
「NPS(ローカル)」->「ポリシー」->「ネットワークポリシー」->作成したポリシーをダブルクリック

タブ名 項目
条件 NASポートの種類 「その他」欄にある、「Wireless - other」のチェックを外す
制約 認証方法 「セキュリティレベルの低い認証方法」にある項目全てのチェックを外す
設定 暗号化 「最強の暗号化(MPPE 128ビット)以外のチェックを外す


8.無線LANアクセスポイントの設定
上記6.にあわせて、無線LANアクセスポイントを設定する

アクセスポイントのネットワーク情報関連
IPアドレスSSID、暗号化(WPA2-AES)

RADIUS周り
RADIUSサーバー(NPS)のIPアドレス、ポート番号(1812がデフォルト)、共有シークレット


9.グループポリシーによるサーバー証明書の自動配布
Windows Server 2008 R2 からは、どのエディションであっても証明書を自動配布することが可能となったため*6、グループポリシーにて自動配布設定を行う。

  1. サーバーマネージャーの左ペインより、「機能」->「グループポリシーの管理」->「フォレスト」->「ドメイン」->「ドメイン名.local」
  2. 左ペインの「グループポリシーオブジェクト」の上で右クリック、「新規」を選択
  3. 名前は任意、ソーススターターGPOは「なし」
  4. 「コンピューターの構成」->「Windowsの設定」->「セキュリティの設定」->「公開キーのポリシー」
  5. 「証明書サービスクライアント」->「自動登録」をダブルクリック
  6. 以下の項目を設定
項目
構成モデル 有効
有効期限が切れた証明書・・・ チェックする
証明書テンプレート・・・ チェックする


その後、以下を行う。

  1. 作成したグループポリシーをActiveDirectory全体に適用するため、ドメインへ割り当てる
  2. コマンドプロンプトから「gpupdate /force」でグループポリシーを適用


10.クライアント(Windows7)の設定

  • 「ワイヤレスネットワークの管理」を開く(「ネットワークとインターネット」->「ネットワークの状態とタスクの表示」等)
  • 「追加」ボタンを押す
  • 「ネットワークプロファイルを手動で構成する」を選択
  • 以下の通りに入力し、「次へ」
項目
ネットワーク名 無線LANアクセスポイントで設定したSSID
セキュリティの種類 WPA2-エンタープライズ
暗号化の種類 AES
この接続を自動的に開始します チェックする
ネットワークがブロードキャスト・・・ チェックする(ステルスSSID対応のため)


  • 「接続の設定を変更します」を選択
  • 「セキュリティ」タブより、以下の通りに入力、「設定」ボタンを押す
項目
ネットワーク認証の方法を選択 Microsoft 保護されたEAP(PEAP)


  • 「保護されたEAPのプロパティ」にて、以下の通りに入力、「OK」ボタンを押す
項目
サーバーの証明書を検証する チェックする
次のサーバーに接続する チェックし、「<サーバー名>.<ドメイン名>.local」を入力する
信頼されたルート証明機関 「<ドメイン名>-<サーバー名>-CA」を選択する
新しいサーバーまたは・・・ チェックする
認証方法を選択する セキュリティで保護されたパスワード(EAP-MSCHAP v2)
高速再接続を・・・(それ以降の項目も同様) チェックしない


  • 「セキュリティ」タブにて、「詳細設定」ボタンを押す
  • 以下の項目を入力し、全てOKボタンを押し、作業を完了させる
項目
認証モードを指定する チェックする
認証モード 「ユーザーまたはコンピューターの認証」を選択する


以上で、Windows7 端末の無線LAN環境の構築完了となる。


11.クライアント(WindowsXP)の設定

  • ネットワーク接続を開き、「ワイヤレスネットワーク接続」のプロパティを開く
  • 「ワイヤレスネットワーク」タブにて、「追加」ボタンを押す
  • 「アソシエーション」タブにて、以下の通りに入力する
項目
ネットワーク名 無線LANアクセスポイントで設定したSSID
このネットワークがブロードキャスト・・・ チェックする(ステルスSSID対応のため)
ネットワーク認証 WPA2
データの暗号化 AES


  • 「認証」タブにて、以下の通りに設定する
項目
EAPの種類 保護されたEAP (PEAP)
コンピューターの情報が利用できるときは・・・ チェックしない
ユーザーまたはコンピューターの情報が・・・ チェックしない


  • 「認証」タブの「プロパティ」ボタンを押し、以下の通りに入力する
項目
サーバーの証明書を検証する チェックする
次のサーバーに接続する チェックし、「<サーバー名>.<ドメイン名>.local」を入力する
信頼されたルート証明機関 「<ドメイン名>-<サーバー名>-CA」を選択する
新しいサーバーまたは・・・ チェックする
認証方法を選択する セキュリティで保護されたパスワード(EAP-MSCHAP v2)
すばやい再接続を・・・(それ以降の項目も同様) チェックしない

以上で、Windows XP 端末の無線LAN接続環境の構築が完了となる。




参考URL


参考文献

MS WINDOWS SERVER 2008 PKI&認証セキュリティ大全 (マイクロソフトITプロフェッショナルシリーズ)

MS WINDOWS SERVER 2008 PKI&認証セキュリティ大全 (マイクロソフトITプロフェッショナルシリーズ)

PEAP-MS-CHAP-V2には触れているものの、メインは EAP-TLS
今だと電子書籍の方が手に入れやすいかも。
日経BP書店|商品詳細 - Microsoft Windows Server 2008 PKI & 認証セキュリティ大全



Windows Server 2008オフィシャルマニュアル 下 (マイクロソフト公式解説書)

Windows Server 2008オフィシャルマニュアル 下 (マイクロソフト公式解説書)

ワイヤレス設定はあるものの、この通りではうまくできなかった。
こちらも電子書籍あり。
日経BP書店|商品詳細 - Windows Server 2008オフィシャルマニュアル 下


Windows Server 2008 実践ガイド

Windows Server 2008 実践ガイド

こちらも EAP-TLSがメイン。少々 PEAP-MS-CHAP-V2 にも触れている。

*1:PEAPの概要はTechNetを参照:http://technet.microsoft.com/ja-jp/library/cc754179%28WS.10%29.aspx

*2:Windowsサーバー使い倒し塾 802.1x認証方式とNAP対応:http://blogs.technet.com/b/windowsserverjp/archive/2010/02/16/3313048.aspx

*3:参考資料 Page 643

*4:既定の証明書テンプレートの一覧は、TechNetを参照:http://technet.microsoft.com/ja-jp/library/cc755033.aspx

*5:Windows Server使い倒し術 - 802.1x認証方式とNAP対応 の下部:http://blogs.technet.com/b/windowsserverjp/archive/2010/02/16/3313048.aspx

*6:以前のOSでは、Enterprise以上のエディションが必要。参考:Windows PKI Blog - Active Directory Certificate Services Features by SKU:http://blogs.technet.com/b/pki/archive/2009/09/03/active-directory-certificate-services-features-by-sku.aspx