Merakiクラウド認証によるRADIUSサーバ不要な802.1X認証環境の構築 Sentry Wi-Fi編

前回はMerakiクラウド認証を使ったEAP-PEAP環境の設定方法に関してまとめました。

今回はMerakiならではの機能であるSentry Wi-Fiに関してまとめておきます。
MerakiではSentyと名の付いた幾つかの機能をがあるのですが、それぞれが何の機能なのか分かりにくいと思います。
何回かに分けてこのSentry機能に関してまとめていければと思います。

Sentry Wi-Fiについて

企業においてはユーザIDとパスワードによるEAP-PEAP認証ではなく、クライアント証明書を展開して電子証明書ベースの認証である、EAP-TLS認証を望まれるケースは多くあります。
Sentry Wi-FiMeraki MRとSystems Managerを組み合わせて簡単にEAP-TLS認証を行える機能のこととなります。
クライアント証明書の管理はIT管理者とって面倒で可能な限り行いたくないのが事実だと思います。
Systems Managerで管理されているデバイスは自動でクライアント証明書が配布されていますのでそれを使って無線LANの認証までも行えることになりますので、一番面倒な部分を自動化しつつセキュアな認証環境とユーザに提供できることになります。

Systems Managerの設定

Systems Managerに登録されているすべてのデバイスEAP-TLS認証可能としたい場合には特に設定する必要はありませんが、今回はデバイスを限定しておきたいと思います。
システムマネージャ > 監視 > デバイス」から認証を許可したいデバイスを選択します。
設定を編集」をクリックし、タグの設定を行います。
今回は「Sentry-Test」として設定を行いました。

SSIDの設定

ワイヤレス > 設定 > アクセス制御」を選択し、Sentry Wi-Fi設定を行いたいSSIDを選択します。
セキュリティ設定にて「エンタープライズ認証」、「Merakiクラウド認証」を選択し、SM Sentry Wi-Fiの設定を行います。
今回はSystems Manager上で「Sentry-Test」のタグが設定されたデバイスをすべて認証の対象としたいので範囲を「すべて」とし、タグを「Sentry-Test」と設定します。

設定は以上でとても簡単です。

Systems Manager設定の確認

上記の設定を終えると、Systems Manager上に設定が自動で追加します。
システムマネージャ > 管理 > 設定」を選択します。
Meraki Wifi(SSID名)」と書かれた設定が追加されていると思います。
またその設定の対象となるのは「Sentry-Test」であることも確認できます。

バイスの確認

「Sentry-Test」のタグが設定されたデバイスに対してインストールがされているかを確認します。
「システムマネージャ > 監視 > デバイス」から該当のデバイスを選択します。
「プロファイル」にて上記で自動作成された設定がインストールされていることを確認します。
まだインストールされていない場合はDashboard上から手動インストールを行います。

端末に設定がインストールされていることを確認

実際に端末にSystems Managerから設定が自動ダウンロードされていることを確認します。
今回はiPhoneで確認を行いました。
「設定 > 一般 > VPNとデバイス管理」を選択します。
Meraki Systems Manager」というプロファイルがあると思いますので、その中の詳細に今回設定したWifi設定があることを確認します。

あとは実際に該当のSSIDにアソシエートできることを確認して終了です。

まとめ

一般的にEAP-TLS環境を構築する場合はオンプレミスにてRADIUSサーバ、プライベートCAの構築を行う必要ありますし、自動でクライアント証明書の発行を行うにはさらに面倒な設定が必要になってしまいます。
MerakiのSentry Wi-Fiを使うとそういったインテグレーション作業は不要で簡単に構築出来ることがわかったと思います。
デメリットとしては、
・Systems Managerのコストは必要
・マシン認証には未対応
となるので注意が必要です。