先の記事にてMeraki Access ManagerによるEAP-TLSの設定および通信確認を行いました。
今回はその続きとなり、前回の機能確認では行っていなかったEAP-TTLSの設定を確認していきたいと思います。
今回の設定は先のEAP-TLSでの設定をベースとしており、EAP-TTLS利用時に別途必要となる設定にフォーカスしていきます。
Microsoft Entra 管理センターへアクセス
下記URLのMicrosoft Entra 管理センターにアクセスします。
アプリケーションの登録からすべてのアプリケーションを選択します。
EAP-TLS検証時に作成したアプリケーションを選択します。
下のスクリーンショットのようにGroup.Read.Allを追加します。
EntraIDへのログインにおいては多要素認証がDefaultで必要となるため、EAP-TTLSでのログイン時にはMFAが機能しないように除外ルールを作成します。
条件付きアクセスから新しいポリシーの作成をクリックします。
下のスクリーンショットのように、
全てのユーザーでMerakiとのコネクションにおいては除外する設定を行います。
認可の設定も行います。
ここまでは、Meraki Documentationにも書かれていた通りなので特に問題はありませんでした。
詳細はこの後でまとめますが、Meraki Documentではここまででしたのでここで一度接続テストを行ってみました。
結果としては接続出来ませんでした。
Cannot validate user credentials.
Meraki Dashboard上のエラー表記では何が発生しているのか?が分からなかったのですが何とか情報にたどり着くことができました。
どうもアプリケーションを使ってログインを行う場合にはユーザの割り当てを行う必要があるようです。
エンタープライズアプリから全てのアプリケーションで作成したアプリケーションを選択します。
EAP-TTLSで認証させたいユーザを追加します。
これ、Entra側の設定は完了です。
Access Managerの設定
Access ManagerにてEAP-TTLSを行う際の特別な設定は存在しないようです。
今回は検証用途でのAuthentication Ruleとして
Entra IDとしてアカウントがEnableであり、EAP-TTLSによる認証が行われた場合に接続を御許可というルールを作成してみました。
無線クライアントの設定
検証環境においてはApple Deviceしか存在しなかったので今回はiPhoneを使って検証を行いました。
Appleデバイスに関してはEAP-TTLSをサポートしてはいるものの、端末直ではEAP-TTLSの設定はできないようで、Apple Configuratorを使って無線接続のプロファイルを作成する必要があるようです。
まずは、Meraki DashboadからRADIUS CA証明書をダウンロードします。
ダウンロードした証明書をAppleConfiguratorに貼り付けます。
Wi-Fi設定項目にて、
SSID : 利用するSSID
セキュリティの種類 : WPA2/WPA3エンタープライズ
EAPの種類 : TTLS
内部認証 : PAP
を設定します。
また、先に貼り付けた証明書を信頼するようにもします。
これでセーブを行い、iPhoneに取り込みます。
取り込み方法は割愛しますが、この設定ファイルをインポートする際に、EAP-TTLSで使われるUserID / Passwordを聞かれるのでそれらを入力します。
iPhoneを接続
Wi-Fiの設定ファイルを取り込んだiPhoneにてEAP-TTLS接続を行わせてみます。
とは言っても、該当のSSIDにアクセスするだけです。
結果はもちろん成功でAccess Managerのログにも無事表示されました。
まとめ
この検証で人生初めてEAP-TTLSでの検証を行いました。
Meraki Access Manager自体では特に難しい設定もなく、EAP-TLSであろうがTTLSであろうが簡単にポリシールールを設定できることも確認できました。
一つ気になるのはEntraID側の設定に関して。
EAP-TTLS認証を成功させるためにはMerakiとの同期アプリで無線ユーザをいちいち登録しなければいけないのか?ということです。
実環境においては無線利用者用のEntraID Groupを作成して、そのGroupをアプリケーションに紐づけておくというのが正解のようです。
