前回までは、Meraki DashboardとEntra IDのAPI連携、そしてOpenSSLを使ったユーザ証明書の発行手順までまとめました。
今回は、先に発行したユーザ証明書をつかって実際にEAP-TLSで認証できるまでをまとめます。
Access Manager アクセスルールの設定
Meraki DashboardにてEAP-TLSで認証を行うためのアクセスルールの設定を行います。
「アクセスマネージャ > ポリシー > アクセスルール」へ移動します。
「ルールの追加」にて認証ルールの設定を行います。
今回はシンプルにユーザ証明書内Organizationとして"CandMOrg"とあるものを許可するルールとします。
設定が反映されていることを確認します。
設定はこれだけです。
Wireless SSIDの設定
EAP-TLSを行う無線SSIDの設定を行います。
基本設定は割愛しますが、今回はエンタープライズ認証にて「アクセスマネージャー」を選択します。
SSIDの設定はこれだけです。
クライアント設定
今回はiPhoneを使ってEAP-TLS接続試験を行います。
まずはMeraki DashboardからAccess ManagerのRADIUS CA証明書をダウンロードします。
「アクセスマネージャー > 設定 > 証明書」へ移動します。
「RADIUS CA 証明書」から証明書をダウンロードします。
ダウンロードしたRADIUS CA証明書をiPhoneにインストールします。
IdenTrust Commercial Root CA 1という名前になっていると思います。
インストールするだけでは、信頼されないと警告が出ます。
iPhoneの「設定 > 一般 > 情報 > 証明書信頼設定」へ移動します。
先にインストールしたCA証明書を信頼します。
次にユーザ証明書のインストールを行います。
先に作成したユーザ証明書"adelev.p12"を読み込みます。
「設定 > 一般 > VPNとデバイス管理」から「ダウンロード済みプロファイル」を選択します。
幾つかの確認が行われ、証明書発行時に設定したパスワードを入力します。
インストールした証明書の中身を念の為確認しておきます。
組織(Organization)としてCandMOrgが入っており、先にAccess Managerのルールとして設定した内容とマッチしていることを確認しておきます。
次にWi-Fiの設定を行います。
セキュリティをWPA2エンタープライズ、モードをEAP-TLSに設定します。
IDとしてインストールしたユーザ証明書を選択します。
ユーザー名は適当なもので構いません。(そもそもこれなぜ必要なのか不明なので詳しい方教えてください。。)
これでEAP-TLSを使った接続が完了です。
Meraki Access Managerでの接続確認
iPhone上で無線接続ができていることを確認した後、Meraki Dashboard上のログを確認しておきます。
「アクセスマネージャー > 監視 > セッションログ」へ移動します。
証明書内コモンネーム内に入っているユーザ名(adelev@xcyl5.onmicrosoft.com)にて認証が成功していることが確認できます。
ログの詳細を見てみると、先ほどiPhoneで適当に入れたユーザ名も表示されています。
普通のRADIUSであればこれを使って何か認可ポリシーの作成ができるのかもしれませんが、Meraki Access Managerでは意味のない情報なのかもしれません。
(詳しい方使い道教えてください。。)
以上で完了です。
まとめ
これまでの手順においてAccess ManagerによりEAP-TLS認証がおこなることまでは確認できました。
ここまでで、ん?と思われる方もいらっしゃると思いますがこれまでの手順としてはEntra IDとは何の連携もしていません。
単純にOpenSSLで発行したユーザ証明書を使ってEAP-TLS認証を行っただけとなります。
次回は、API連携しているEntra IDの情報を使ったAccess Managerのアクセスルールの設定を行いたいとおもます。
