適用対象:WatchGuard のクラウド管理のアクセス ポイント (AP130、AP330、AP332CR、AP430CR、AP432)
RADIUS (Remote Authentication Dial-In User Service) は、企業のネットワーク上のローカル ユーザーおよびリモートユーザーを認証します。RADIUS はクライアント/サーバー型のシステムであり、ユーザー、リモート アクセス サーバー、VPN ゲートウェイ、およびその他のリソースの認証情報を 1 つの中央データベースで管理します。
RADIUS 認証が使用されるように Wi-Fi in WatchGuard Cloud アクセス ポイントを構成するには、RADIUS サーバーを認証ドメインに追加した後、そのドメインが認証に使用されるようにアカウントのアクセス ポイントを構成します。
ワイヤレス クライアントは、RADIUS サーバーで構成されている EAP ベースの方式を使用して、RADIUS サーバーで認証を受けます。
開始する前に
RADIUS 認証サーバーが使用されるようにアクセス ポイントを構成するには、それぞれの RADIUS サーバーに関して以下の情報が必要となります。
- RADIUS サーバー — RADIUS 認証サーバーの IP アドレスと RADIUS ポート。バックアップ RADIUS 認証サーバーとして、追加のサーバーを加えることができます。
- 共有シークレット — 大文字と小文字が区別されるパスワード。これは、WatchGuard Cloud の認証ドメイン構成と RADIUS サーバーで同じものになっている必要があります。
- RADIUS アカウンティング サーバー (任意) — RADIUS アカウンティング サーバーの IP アドレスと RADIUS ポート。多くの配備環境では、認証サービスとアカウンティング サービスが同じ RADIUS サーバーに配置され、異なるポートで実行されます。
RADIUS アカウンティング サーバーでは、RADIUS トラフィックが監視され、セッションの開始や終了など、クライアント セッションに関するデータが収集されます。たとえば、RADIUS シングル サインオン (SSO) 配備において RADIUS アカウンティング サーバーを構成する必要があります。WatchGuard アクセス ポイントと Firebox で RADIUS SSO を構成する方法の詳細については、RADIUS シングル サインオンについて を参照してください。 - 認証方法 — アクセス ポイントとクライアントで使用される認証方法 (任意の EAP ベースの方法) が許可されるように RADIUS サーバーを構成します。
アクセス ポイントの NAS 属性について
NAS (ネットワーク アクセス サーバー) 属性とは、アクセス ポイントとクライアントに関する特定の要素が RADIUS サーバーで識別されるようにするために、アクセス ポイントから RADIUS サーバーに送信される要求パケットに含まれているデータです。こうした属性により、RADIUS サーバーでこのデータを認証、承認、アカウンティング、および動的なクライアント プロファイルの割り当て機能に使用できるようになります。
アクセス ポイント ファームウェア v2.1 以降では、SSID の詳細設定で、Called Station ID (コール先ステーションID) と NAS ID をカスタマイズすることができます。詳細については、アクセス ポイントの SSID 設定を構成する を参照してください。
アクセス ポイント ファームウェア v2.1 以降
- Called Station ID — 既定の Called Station ID は、SSID 名とアクセス ポイントの MAC アドレス ([SSID]-[MAC アドレス]) となります。
例:MySSID-00-aa-00-bb-00-cc
また、SSID 詳細設定 で、Called Station ID をカスタマイズすることもできます。事前定義された変数と組み合わせて、カスタム テキスト [a-z、a-z、0-9、-] を入力することができます。最大長は 84 万文字です。変数を使用する際は、最大長を超過しないように注意してください。 - %m — アクセス ポイント イーサネット インターフェイスの MAC アドレス
- %s — SSID 名
- %n — デバイス名
- NAS ID — 既定の NAS ID は、SSID 名とアクセス ポイントの MAC アドレス ([SSID]-[MAC アドレス]) となります。例:MySSID-00-aa-00-bb-00-cc
また、SSID 詳細設定 で、NAS ID をカスタマイズすることもできます。事前定義された変数と組み合わせて、カスタム テキスト [a-z、a-z、0-9、-] を入力することができます。最大長は 84 万文字です。変数を使用する際は、最大長を超過しないように注意してください。 - %m — アクセス ポイント イーサネット インターフェイスの MAC アドレス
- %s — SSID 名
- %n — デバイス名
- NAS IP アドレス — アクセス ポイントの IP アドレス。これは、静的 IP アドレスまたは DHCP IP アドレスとなります。RADIUS サーバーと通信を図るアクセス ポイントには、静的 IPアドレスまたは予約済み DHCP IP アドレスを使用することが勧められます。
- NAS ポート — NAS ポートは既定で 0 に設定されています。これは、変更することができません。
アクセス ポイント ファームウェア v2.0 以前
アクセス ポイント ファームウェア v2.0 以前の場合は、既定の RADIUS 属性を変更することができません。
- Called Station ID — Called Station ID は、アクセス ポイントの MAC アドレスとなります。
例:00-aa-00-bb-00-cc - NAS ID — NAS ID は SSID の名前となります。
例:MySSID - NAS IP アドレス — アクセス ポイントの IP アドレス。これは、静的 IP アドレスまたは DHCP IP アドレスとなります。RADIUS サーバーと通信を図るアクセス ポイントには、静的 IPアドレスまたは予約済み DHCP IP アドレスを使用することが勧められます。
- NAS ポート — NAS ポートは既定で 0 に設定されています。これは、変更することができません。
アクセス ポイントの RADIUS 認証を構成する
WatchGuard Cloud の管理対象アクセス ポイントで RADIUS サーバー認証を使用するには、以下を実行する必要があります。
- アクセス ポイントの IP アドレスを RADIUS サーバーに追加して、RADIUS クライアントとしてデバイスを構成します。RADIUS サーバーと通信を図るアクセス ポイントには、静的 IPアドレスまたは予約済み DHCP IP アドレスを使用することが勧められます。
- RADIUS サーバーを WatchGuard Cloud の認証ドメインに追加し、サーバー IP アドレスと共有シークレットを指定します。詳細については、認証ドメインを WatchGuard Cloud に追加する を参照してください。
- RADIUS アカウンティング サーバーがある場合は、それを同じ認証ドメインに追加します。詳細については、認証ドメインにサーバーを追加する を参照してください。
- 認証ドメインをアクセス ポイント構成に追加します。詳細については、アクセス ポイントの認証ドメイン を参照してください。
- WPA2 エンタープライズまたは WPA3 エンタープライズ セキュリティで SSID を構成し、RADIUS サーバーが構成された認証ドメインを選択します。
WPA3 エンタープライズの場合は、192 ビット モード(WPA3 エンタープライズ スイート B) を有効化して、機密性の高いエンタープライズ環境の暗号化セキュリティを高めることもできます。WPA3 エンタープライズの 192 ビット モードでは、アクセス ポイント ファームウェア V2.1 以降が必要となります。詳細については、アクセス ポイントの SSID 設定を構成する を参照してください。
Firebox とサードパーティ サーバーでの RADIUS 統合
WatchGuard アクセス ポイントと Firebox に RADIUS シングル サインオン (SSO) を構成する方法については、RADIUS シングル サインオンについて を参照してください。
Microsoft Active Directory と NPS に RADIUS 認証を統合する方法については、Microsoft Active Directory と NPS で Wi-Fi in WatchGuard Cloud クライアントを認証する を参照してください。