目的

• 現在のオフィスでは無線環境がないのだが、来年のオフィス移転に併せて、会社所有のPCだけを無線LANに接続できるようにしたい
• 無線LANの端末認証にはIEEE 802.1XのEAP-TLSを使えるか検証したい
• EAP-TLSは証明書の管理が面倒らしいので、Active Directoryで自動化したい
• IEEE802.1X対応APは持っていないので、余ったノートPCにhostapdを入れてアクセスポイントにして検証する

WindowsをRADIUSサーバにしてEAP-TLSの構成をしたhostapdの例は見つからなかったので、少々苦労した。

構成

• 既存のドメインコントローラ
  • OS: Windows Server 2012R2
  • IP: 192.168.10.234/24
  • 証明書サービスをインストールして、認証局(プライベートCA)にする
  • グループポリシーで、ドメイン参加PCにはコンピュータの証明書を自動で登録するよう構成
  • ネットワークポリシーサーバーをインストールして、認証サーバ(RADIUSサーバ)にする
• 余ったLet's Note
  • OS: Ubuntu 18.04 Server
  • IP: 192.168.10.202/24
  • hostapdをインストールして、オーセンティケータとして動作させる
  • NATではなくブリッジ接続する
• ドメイン参加済みのPC
  • サプリカントとして無線LANに接続できるか検証する
  • サーバとは同じセグメントにDHCPでIPが割り当てられるようにする

PKIの構築

標準テキスト Windows Server 2012 R2 構築・運用・管理パーフェクトガイドの通りに作業したので、
ここでは割愛。p.344からp.355をそのまま実施した。

認証局(CA)の構築、各コンピュータの証明書の自動登録テンプレートの登録を実施したので、
ドメインに参加したクライアントPCには、証明書の個人ストアに各々のコンピュータの証明書が入り、
信頼されたルート証明機関にドメインコントローラの証明書が自動で登録・更新される。

ネットワークポリシーサーバーのインストールと設定

アラクサラネットワークス社のマニュアル、RADIUS サーバ設定ガイド　Windows Server 2012 編に従って作業したので、これも割愛。

行った作業は下記の通り。

• 2.2.4. ネットワークポリシーとアクセスサービス(NPS)のインストール
• 3.1.2. NPS の設定

今回は証明書を用いた認証のみを有効化したので、EAPの種類は下図のような設定となった。

無線APの構築

hostapdのインストール

Ubuntu 18.04 Serverではリポジトリにhostapdがなかったので、

wget http://archive.ubuntu.com/ubuntu/pool/universe/w/wpa/hostapd_2.6-15ubuntu2_amd64.deb
sudo dpkg -i hostapd_2.6-15ubuntu2_amd64.deb

でhostapdをインストールした。

リポジトリにhostapdがあるなら

sudo apt install hostapd

でもOK。

ブリッジ設定

今回はhostapdに無線で接続してきたクライアントを、無線APと同じネットワークに接続したいので、ブリッジ接続する。

bridge-utilsがインストールされていなければ追加。

sudo apt install bridge-utils

netplanの設定ファイルを編集して、ブリッジを作成する。

network:
    ethernets:
        enp0s25:
            dhcp4: false
    bridges:
        br0:
            interfaces: [enp0s25]
            addresses: [192.168.10.202/24]
            gateway4: 192.168.10.253
            nameservers:
                addresses: [192.168.10.234, 192.168.10.236]    
            dhcp4: false
            optional: true
    version: 2

設定を適用する。

sudo netplan apply

hostapd設定

今回、なかなか設定例が見つからず苦労したところ。
wpa_key_mgmtにWPA-EAPを設定し、ieee8021xに1を設定する。

auth_server_shared_secretとacct_server_shared_secretにはネットワークポリシーサーバーの設定で
新しいRADIUSクライアントを設定したときに入れた値を入れる。

ctrl_interface=/var/run/hostapd
interface=wlp2s0
bridge=br0
driver=nl80211
ssid=TEST-EAP-TLS
country_code=JP
hw_mode=g
channel=3
wpa=2
wpa_key_mgmt=WPA-EAP
rsn_pairwise=CCMP
ieee8021x=1
nas_identifier=TEST-EAP-AP
own_ip_addr=192.168.10.202
radius_client_addr=192.168.10.202
auth_server_addr=192.168.10.234
auth_server_port=1812
auth_server_shared_secret=TestSecret
acct_server_addr=192.168.10.234
acct_server_port=1813
acct_server_shared_secret=TestSecret

設定ファイルができたら、起動する。

sudo hostapd -d /etc/hostapd/hostapd.conf

-dはデバッグメッセージを表示するオプション。
終了するときはCtrl + C。

接続できるかテスト

ドメイン参加済みのPC(Windows 10)の通知領域にあるWi-Fiのところから、
SSID一覧を表示させると、hostapdで設定したSSIDが表示されるはず(この例ではTEST-EAP-TLS)

そのまま「接続」とすると、下記のようにサーバの証明書が正しいか聞いてくるので、確認して「接続」を押し、ちゃんとIPが振られればOK。

一応、「ネットワークと共有センター」から、「新しい接続またはネットワークのセットアップ」を行い、マニュアルで設定することも可能(Windows 10だとこの設定画面に行くまでが大変)。
この場合は、信頼されたルート証明機関でサーバの証明書を選択できるので、上図のフィンガープリントの確認画面は出ない。
ヤマハのマニュアルが分かりやすかった
→ 無線端末を設定(WPA/WPA2エンタープライズ / EAP-TLS) : Windows10

上手く行かない場合

接続できない場合は、以下のログを確認する。

• hostapd起動中に標準出力へ吐かれるログ
• RADIUSサーバーのプロパティで、イベントログに成功と失敗のログを出力するように設定しておき、イベントビューアでIDが6272から6280あたりのログをフィルターして見る