Windows Server 2003を無線LANアクセスポイントの認証として利用する

2009/4/23 木曜日2017/11/11 土曜日

ページ : 1 2
<この記事を全て表示する場合はこちらをクリック>

WAPM-APG300Nの設定

以下の設定に入る前に、あらかじめWAPM-APG300NのIPアドレスの割り当てやパスワードの変更等の基本的な設定は完了させておいてください。

WAPM-APG300Nの設定自体は設定ウィザードを利用して出来ますので、物凄くシンプルです。

ウィザードを利用した設定手順

[機能設定]→[無線]から[無線LANの暗号化を設定する(RADIUSサーバーを使う)]を選択します。

[11gの暗号化を設定する]を選択します。
※この設定だけで自動的に11nも有効になるようです。

[WPA2-EAP(AES)]を選択します。

IASが稼動しているサーバのIPアドレスと、事前に設定したSharedSecretを入力します。

[設定]ボタンをクリックします。

これで設定は完了です。簡単ですね。

認証できない場合のトラブルシューティング

設定を行ったのに上手く認証できない場合には、[コンピュータの管理]から、システムのイベントログを確認します。
[ソース]にIASと記載されているのが[インターネット認証サービス]のログになります。

認証成功した場合

認証に成功した場合には、このようなログがイベントビューアに記録されます。

上手く認証できない場合

このようなログが残っていた場合には、IAS側の認証設定に誤りがある可能性があります。この場合には、IASの認証設定を見直してみてください。

参考URL

WAPM-APG300N

ページ : 1 2
<この記事を全て表示する場合はこちらをクリック>

1 2

2 COMMENTS

pnpk 2013/3/6 水曜日

>miyao
こんばんは、コメントありがとうございます。

Windows Serverを利用した場合の通信先の制御、VPNゲートウェイに対しては実装したことがあるのですが、無線LANに対しては実装したことが無いです。
※VPNゲートウェイに対しての制御の場合は、Windows Server側のRadius（インターネット認証サービス）を利用する事で、例えば記載されたように、「総務部は総務部以外にアクセス出来ない。」等の制御がIPアドレス単位で設定出来るので、無線LANの認証に対しても利用出来るかもしれません。

AAAサービスに関しては、すいません、聞きなれない言葉なので調べてみました。
Authentication（認証）、Authorization（認可）、Accounting（課金）のAAAなのですね。

Authenticationに関しては、接続可否はRadiusが決めています。たとえばRadiusサーバの認証データベースとしてActive Directory認証を選んでいたとしても、一般的な設定ならRadiusはあくまでドメインコントローラに対して要求アカウントが正規のActive Directory上に登録されているアカウントかを確認するだけで、接続の可否に関しては関与しないです。

AP(アクセスポイント)でユーザを認証を実施するか、Windows Server等のRadiusサーバ側で認証を実施するかは、各機器のアカウント認証を統合的に管理したいか否かだと思います。
APが複数あっても、全て同一のRadiusサーバをアカウントの認証先として選択していれば、Radiusサーバ側で認証可能なアカウントなら全ての異なるAPで同一のID・パスワードが利用出来ます。

無線LANを利用する範囲が広範囲にわたっている場合等は無線LANコントローラーを利用すると便利です。

以下のサイトに無線LANコントローラーについて少し概要が載っていましたので良ければ参考にしてみてください。

集中管理型ワイヤレス LAN の利点
http://www.cisco.com/web/JP/solution/netsol/mobility/literature/wpjpn_0900aecd8040f7b2.html
集中管理型ワイヤレスLAN
http://www.cisco.com/web/JP/news/cisco_news_letter/tech/wlc/index.html

ネットワーク専任ではないので確実に正しい事のみを記載出来た自信無いですが、何かのお役に立てていれば幸いです。

よろしくお願いします。

miyao 2013/3/2 土曜日

まず、URLとRemember Personal infoの意味が分からないので未記入です。
ネットワークに詳しくない電話設備とLANインフラの営業マンですですが、ネットワークに興味は人一倍ありますので教えてください。

無線LANのセキュリティポリシーの方法ですが、AP設定のセキュリティポリシーに従うのではなく、ラディウスで各クライアントの
セキュリティポリシーを設定出来ると書いてある説明を読んだ気がするのですが、どこに書いてあったか記憶にないので。

つまり、セキュリティポリシーをAPに依存しない方法が有れば教えてくださと言うことです。

通常はセキュリティポリシーをアクセスポイントに依存するように設定すると思いますが。
簡単に言うとゲストは社内にセクセス出来ずインターネット接続のみ可能。
総務部は総務部以外にアクセス出来ない。
サブネット毎にアクセス権が異なるというネットワークです。

あちこちに色々と書いてあるマルチSSIDにタグVLANをマッピングすると言う方法で出来るようですが。

ラディウスサーバはAAAサービスと言う機能を持っていると書いてあります。
その中のuthorization（認可）が、認証したユーザーに対して、どのリソースにアクセスできるかの権限もしくは許可を与えます。と書いてありますが、ラディウスサーバーが決めるのではなく、２００３サーバーが決めるのでしょうか。

素人の質問で申し訳ないのですが、APでの設定と２００３サーバでの設定でのメリットデメリットが分からないので教えて頂ければ幸いです。