【Aruba ClearPass】EAP-TLS 認証のサービスを設定する

インフラサーバ

はじめに

  • Aruba ClearPass Policy Manager にて EAP-TLS 認証をするための設定例を記載します
  • 認証ソースについてはローカルユーザ認証とします
  • 以下を前提とします
    • デバイス設定とローカルユーザ設定は完了しているものとします
  • ClearPass Onboard の認証機関を使用します

作業環境

  • 認証サーバ
    • Aruba ClearPass Policy Manager 6.7.X
  • オーセンティケータ
    • Cisco C891FJ-K9
    • バージョン:15.3(3)M5
  • サプリカント
    • Windows 10

検証構成

証明書について

以下の様に、ClearPass Onboard 機能を使用して認証機関を作成し、その認証機関にてクライアント証明書とサーバ証明書を発行します。

【ClearPass】EAP-TLS 認証のための設定

以下の設定を行います。

  • 認証機関の作成
    • 既存の認証局を使用する場合は不要です
  • サーバ証明書の発行
    • 証明書発行済みの場合は不要です
  • サーバ証明書のインポート
    • 証明書インポート済みの場合は不要です
  • サービスの設定

認証機関の作成

ClearPass Policy Manager のダッシュボード画面で [ClearPass Onboard] をクリックします。

ClearPass Onboard 画面が表示されるため [ホーム » Onboard » 証明機関] 画面にて [新しい認証機関を作成します] をクリックします。

認証局の設定画面が表示されるため以下の通り設定します。

  • 名前: 認証局の名前
  • モード: ルートCA
  • 以下の各項目は設計に合わせて設定

上画面で [認証局の作成] をクリック後、以下の様に認証局が作成されたことを確認します。

上の画面にて各認証局の OCSP URL を確認できます。認証時に OCSP を使用して証明書を検証する場合は、EAP-TLS タイプの認証方式の設定にて OCSP URL としてこの画面で確認できる URL を設定します。

サーバ証明書の発行

ClearPass にインポートするためのサーバ証明書を発行します。

ClearPass Policy Manager の [管理 » 証明書 » Certificate Store] 画面にて [証明書署名要求(CSR)の作成] をクリックします。

以下画面が表示されるため、各項目を設計に合わせて設定し [送信] をクリックします。
秘密鍵パスワードの設定は必須です。

以下の画面が表示されるため [Download DSR] をクリックします。ファイルの保存画面が表示されるため任意のフォルダに保存します。

次に ClearPass Onboard の [ホーム » Onboard » 管理と制御 » 証明書ごとに表示] 画面にて [証明書署名要求をアップロードする] をクリックします。

以下の画面が表示されるため、各項目を設定し [証明書署名要求の送信] をクリックします。

  • 認証局: 使用したい認証局を指定
  • 証明書署名要求: 上でダウンロードした .csr ファイルを指定
  • 証明書タイプ: 信頼された証明書
  • 承認: チェックを入れる
  • 有効期限: 設計に合わせて指定

以下の様に証明書が作成されたことを確認します。

作成された証明書の行をクリックし [証明書のエクスポート] をクリックします。形式として [バイナリ証明書(.crt)] を選択し、[証明書のエクスポート] をクリックします。ファイルの保存画面が表示されるため任意のフォルダに保存します。

サーバ証明書のインポート

ClearPass Policy Manager の [管理 » 証明書 » Certificate Store] 画面にて [サーバー証明書のインポート] をクリックします。

サーバー証明書のインポート画面が表示されます。

ここで、デフォルトの RADIUS サーバ証明書としてインポートする場合と、サービス証明書としてインポートする場合で項目の指定が異なります。

通常はデフォルトの RADIUS サーバ証明書としてインポートします。

デフォルトの RADIUS サーバ証明書としてインポートする場合は、以下の通り設定し [インポート] をクリックします。

  • Certificate Type: サーバー証明書
  • サーバー: 対象の ClearPass サーバ
  • タイプ: RADIUS/EAP Server Certificate
  • Upload Method: Upload Certificate and Use Saved Private Key
  • 証明書ファイル: 認証局で発行したサーバ証明書を指定

インポート後、以下の様に証明書の内容が更新されたことを確認します。

サービス証明書としてインポートする場合は、以下の通り設定し [インポート] をクリックします。

  • Certificate Type: Service Certificate
  • Upload Method: Upload Certificate and Use Saved Private Key
  • 証明書ファイル: 認証局で発行したサーバ証明書を指定

インポート後、[Service Cerificates] タブの画面にて証明書が追加されていることを確認します。

サービスの設定

有線クライアント用の EAP-TLS 認証のサービスを設定します。

ClearPass Policy Manager の [設定 » サービス] 画面にて [サービスの追加] をクリックします。

サービスタブでは以下の通り設定します。

  • タイプ: 802.1X Wired – Identity Only
  • 名前: 任意のサービス名

認証タブでは以下の通り設定します。

  • 認証方式: [EAP TLS] のみ
  • 認証ソース: [Local User Repository]
  • Service Certificate:
    • デフォルトの RADIUS サーバ証明書を使用する場合 → 指定無し
    • サービス証明書を使用する場合 → サービス証明書を指定

ロールタブではデフォルトのままとします。

エンフォースメントタブではデフォルトのままとします。

サマリータブでは内容を確認後 [保存] をクリックします。

サービス一覧画面にて、サービスが追加されたことを確認します。

※必要に応じてサービスの順序を変更します

クライアント証明書の発行

クライアントにインストールする証明書を発行します。

ClearPass Onboard の [ホーム » Onboard » 管理と制御 » 証明書ごとに表示] 画面にて [新しい証明書署名要求を生成する] をクリックします。

以下の画面が表示されるため各項目を設定し [証明書署名要求の作成] をクリックします。

  • 認証局: 使用する認証局を指定
  • 証明書タイプ: TLSクライアント証明書
  • 一般名: ローカルユーザ (認証ソース) のユーザ名を指定
  • 承認: チェックを入れる

[証明書ごとに表示] 画面にて証明書が作成されたことを確認します。
作成された証明書の行をクリックし [証明書のエクスポート] をクリックします。

以下の通り設定し [証明書のエクスポート] をクリックします。

  • 形式: PKCS#12証明書およびキー
  • 信頼チェーン: チェックを入れる
  • パスフレーズ: 証明書インストール時のパスワードを指定

ファイル保存画面となるため任意のフォルダに保存します。

オーセンティケータ(Cisco)の設定

## 1. AAA の有効化
aaa new-model

## 2. RADIUS サーバの設定
radius server radsv
 address ipv4 10.1.10.60 auth-port 1812 acct-port 1813
 key radiuskey

## 3. RADIUS サーバグループの設定
aaa group server radius group-radius
 server name radsv

## 4. IEEE 802.1X 認証リストの設定
aaa authentication dot1x default group group-radius

## 5. グローバルでの IEEE 802.1X 認証の有効化
dot1x system-auth-control

## 6. クライアント接続ポートの設定
interface GigabitEthernet0
 # 6.1. アクセスポート設定
 switchport mode access
 switchport access vlan 111
 # 6.2. IEEE 802.1X 認証の有効化
 authentication port-control auto
 # 6.3. オーセンティケータとしてのみ動作させる設定
 dot1x pae authenticator

C9000シリーズでは、インターフェース設定での認証オーダの設定は必須です。設定していない場合、対象ポートに端末を接続しても認証動作が開始されません。

interface GigabitEthernet0
 authentication order dot1x

サプリカント(Windows 10)の設定

クライアント証明書のインストール

認証局にて発行したクライアント証明書ファイルを開きます。

以下画面では [次へ] をクリックします。

以下画面では [次へ] をクリックします。

以下画面では証明書発行時に設定したパスワードを入力して [次へ] をクリックします。

以下画面では [次へ] をクリックします。

以下画面では [完了] をクリックします。

以下画面では [はい] をクリックします。

以下画面では [OK] をクリックします。

証明書の確認

[Windows キー] + [r] を押下し、「certmgr.msc」と入力して [OK] をクリックします。

certmgr が表示されるため、[個人]→[証明書] を開きます。ここにクライアント証明書が追加されています。

[信頼されたルート証明機関] → [証明書] を開きます。ここにルート証明機関の証明書が追加されています。

Wired AutoConfig サービスの起動

デフォルトでは停止しているため起動します。
必要に応じてスタートアップの種類を「自動」に設定します。

ネットワークアダプタでの認証設定

オーセンティケータに接続するネットワークアダプタのプロパティを開きます。

[認証] タブにて以下画像の通り設定します。

続けて以下の画像の通り設定します。

認証動作確認

端末に LAN ケーブル を接続します。

Windows 10 のコントロールパネルのアダプタ一覧画面の表示で状態を確認できます。

■認証試行中

■認証処理終了

※この画面だけでは認証成功したかどうかの判断はできないため通信試験や認証サーバのログ確認を行います

■認証失敗

オーセンティケータ(Cisco)のログ確認

  • show authentication sessions
Router#show authentication sessions

Interface      MAC Address     Method   Domain   Status         Session ID
Gi0            7085.c202.646d  dot1x    DATA     Authz Success  0A010AC90000000000009A18

Status が Authz Success となっていることから認証成功を確認できます。
※機器型番によっては Authz Success とは異なる表記になります

ClearPass のログ確認

[モニタリング » Live Monitoring » アクセス・トラッカー] 画面にてサービスの動作ログを確認できます。

Login Status が ACCEPT となっていることから認証成功を確認できます。

レコードをクリックするとより詳細なログを確認できます。

―――――――――――――

タイトルとURLをコピーしました