IEEE 802.1X認証とは
ここでは、IEEE 802.1X認証を設定する方法について説明しています。
IEEE 802.1X認証では、ネットワークに接続する際に認証の対象となるサプリカント(本製品)にユーザー認証を求めます。認証結果に基づいて端末のアクセス制御を行うオーセンティケーター(LANスイッチ)とサプリカント間の通信では、EAPOL(EAP over LAN)が使用されます。RADIUS(Remote Authentication Dial In User Service)サーバーで認証情報を一括管理して、サプリカントを認証します。RADIUSサーバーに認証されたサプリカントのみがオーセンティケーターに通信を許可されてネットワークへ接続できるため、不正なアクセスを防止できます。RADIUSサーバーに認証されていないサプリカントは、オーセンティケーターが通信をブロックします。
本製品が対応している認証方式は、次のとおりです。
EAP-TLS(Extensible Authentication Protocol-Transport Level Security)
EAP-TLS方式は、クライアントとRADIUSサーバー間で相互に電子証明書を発行して認証を行います。RADIUSサーバー側では、本製品から送信された鍵ペアとクライアント証明書をCA証明書を使用して検証します。クライアント側(本製品)では、RADIUSサーバーから送信されたサーバー証明書をCA証明書を使用して検証します。サーバー証明書の検証に使用するCA証明書を登録する必要があります。リモートUIを使用してCA証明書ファイルをインストールする方法については
「CA証明書ファイルのインストール」、インストールしたCA証明書ファイルを登録する方法については
「CA証明書ファイルの登録/編集」を参照してください。
さらに、EAP-TLSを本製品で使用するには、IEEE 802.1X認証を受けるユーザーのログイン名の設定、およびPKCS#12形式の鍵ペアとクライアント証明書の設定が必要です。EAP-TLS用の鍵ペアとクライアント証明書は、リモートUIを使用して本製品に鍵ペアファイルとクライアント証明書ファイルをインストール
(→鍵ペアファイルとサーバー証明書のインストール)したあと、本製品の操作パネルで使用鍵に設定してください。
EAP-TTLS(EAP-Tunneled TLS)
EAP-TTLS方式では、電子証明書を発行するのはRADIUSサーバーのみです。クライアント側で、RADIUSサーバーから送信されたサーバー証明書をCA証明書を使用して検証します。サーバー証明書の検証に使用するCA証明書を登録する必要があります。リモートUIを使用してCA証明書ファイルをインストールする方法については
「CA証明書ファイルのインストール」、インストールしたCA証明書ファイルを登録する方法については
「CA証明書ファイルの登録/編集」を参照してください。
さらに、EAP-TTLSを本製品で使用するには、IEEE 802.1X認証を受けるユーザー/ログインユーザーの名称とパスワードを設定する必要があります。
EAP-TTLSがサポートする内部認証プロトコルはMS-CHAPv2(Microsoft Challenge Handshake AuthenticationProtocol Version 2)、PAP(Password Authentication Protocol)の2種類あり、ユーザーが選択できます。MS-CHAPv2とPAPは同時に設定できません。
PEAP(Protected EAP)
PEAP方式では、電子証明書を発行するのはRADIUSサーバーのみです。クライアント側で、RADIUSサーバーから送信されたサーバー証明書をCA証明書を使用して検証します。サーバー証明書の検証に使用するCA証明書を登録する必要があります。リモートUIを使用してCA証明書ファイルをインストールする方法については
「CA証明書ファイルのインストール」、インストールしたCA証明書ファイルを登録する方法については
「CA証明書ファイルの登録/編集」を参照してください。
さらに、PEAPを本製品で使用するには、IEEE 802.1X認証を受けるユーザー/ログインユーザーの名称とパスワードを設定する必要があります。
PEAPがサポートする内部認証プロトコルはMS-CHAPv2のみです。
重要 |
EAP-TLS方式と、EAP-TTLS/PEAP方式は同時に設定できません。 |