Merakiクラウド認証によるRADIUSサーバ不要な802.1X認証環境の構築 EAP-PEAP編

Meraki MR

企業における無線LANの構築において認証サーバの運用は大きな負担になってしまいます。
Active Directoryを自社のITスタッフで運用・管理しているような企業であればRADIUSサーバの構築は難しく無いのかもしれませんが、専門のITスタッフがいないような企業ではPSKによる無線LANを構築していることもあるのかもしれません。
PSKによる無線LANの運用ではPSKの漏洩があった場合に全ての端末設定を変更しなければならない等課題が多く存在します。
MerakiではMeraki Cloudにて簡易的なRADIUSの機能を提供しており、
Meraki認証を使ったEAP-PEAP環境の構築
・Sentry Wi-Fiを使ったEAP-TLS環境の構築
を簡単に行うことが可能となっています。
今回はその1としてユーザーID、パスワードを使ったEAP-PEAP環境の構築方法に関してまとめたいと思います。

SSIDの設定

ワイヤレス > 設定 > アクセス制御」を選択します。
SSIDの選択・設定をし、有効化します。

セキュリティ」設定で「エンタープライズ認証」を選択します。
RADIUSサーバとして「Merakiクラウド認証」を選択します。

無線LANとしての設定は以上となります。
とてつもなく簡単です。

ユーザーの登録

次にユーザーの登録を行います。
ネットワーク全体 > 設定 > ユーザ」を選択します。
「アクセスポリシー」で該当のSSIDを選択し、「新規ユーザの追加」をクリックします。

ユーザの登録を行います。
ユーザーIDは必ずメールアドレス形式である必要がありますが、必ずしも実在するメールアドレスである必要はありません。
しかし作成したパスワードのメール送信やユーザによるパスワード変更においてはメールの受信が必要になるので極力ユーザが実際に使用しているメールアドレスの登録を強くお勧めします。
パスワードは管理者が手入力で行うこともできますが、「生成」ボタンで自動生成を行うことも可能です。
また、設定したメールアドレスに対してメールの送信を行うこともできます(厳密にはできるはずです。理由は後で書きます)。
また、「認証済み」をはいにしてアカウントを有効化します。

アカウントの有効期限を設定するとこも可能です。

端末を接続してみる。

iPhoneを使って接続試験を行います。
WPA2エンタープライズ」を選択しユーザーID、パスワードを入力します。

設定項目が正しければ、Merakiクラウド上にあるRADIUSサーバの電子証明書の確認画面が表示されますので、「信頼」をタップします。

これで無線LANへの接続が完了です。

簡単なだけに欠点も多く存在する

無線LAN構築するためにRADIUSサーバを用意することを考えれば、ものすごく簡単に企業無線LANの認証環境が構築できることが分かったと思います。
しかし、簡易的な仕組みであるが故に欠点もあります。

Meraki Cloud障害時にNetworkへの接続が出来なくなる

MerakiSLA99.99%となることは以前に触れました。
Merakiクラウドに障害が発生している間は新規認証は行えなくなりますので無線LANへのアクセスができなくなってしまいます。

・パスワードの強度、強制変更等ができない

パスワードの設定で大文字小文字や数字、記号を含むことを強制させることや、定期的にパスワードの変更をユーザーに促す等、認証サーバで持ち合わせている機能はこのMeraki認証ではサポートしていません。

・パスワードの再設定が何故かできない

上記でユーザーIDを作成するタイミングで管理者からユーザーのメールアドレスに対してメールを送信できることは書きました。
ユーザーに新しいパスワードを電子メールで送信」にチェックを入れてアカウントを作成しても該当のメールアドレスにそのメールは届くことはありませんでした。
また、「https://account.meraki.com/account/account_login」にアクセスしてユーザー自身がパスワードの変更を行うことが可能ですが、このサイトでもメールが届くことはありませんでした。

documentation.meraki.com

このページはSplashページ設定されたSSIDかClient VPNの配下にて動作する旨が書かれていますが、それで試しても結果はNGでした。

引き続き検証を行ってみますが、これでは実運用には耐えられないかもしれません。

まとめ

いくつかの欠点はあるものの、まずは簡単にPEAPベースでの無線LAN環境を構築することが可能です。
ユーザIDによる管理となりますので、社員が会社を辞めた場合の対応等もユーザを削除するのみとなります。
PSKベースでの無線LAN環境と比較するとはるかにセキュアな環境を簡単に構築することが可能となりますのでこの機能を試してみてはいかがでしょうか。