Ubiquiti UniFiの802.1X認証にSecureW2のクラウドRADIUSを利用する

今回は弊社のネットワーク環境にあるUbiquiti社のUniFiを使用して、弊社が提供するクラウド型認証ソリューションのSecureW2との連携について検証を行いました。本記事では下記3つのテーマについて検証レポートをまとめておりますので、これからUbiquiti UniFiの導入をお考えの方や、クラウドRADIUSによるEAP-TLS(クライアント証明書認証)にご関心がある方はぜひ最後までご覧ください。

検証テーマ

  • Ubiquiti UniFiの無線LAN認証にSecureW2のクラウドRADIUSを利用する
  • Ubiquiti UniFiの有線LAN認証(ポート認証)にSecureW2のクラウドRADIUSを利用する
  • SecureW2によるユーザーに応じたネットワークの動的制御(Dynamic VLAN)を実現する
クラウドRADIUS

クラウドRADIUS(Cloud Radius)とは、クラウド型で提供されているRADIUSサービスのことを指します。SecureW2の提供するクラウドRADIUSは、無線LAN機器認証で利用するEAP-TLS証明書や、VPN機器認証で利用するSSL証明書に、相互の認証判定を提供します。詳しくは クラウドRADIUS紹介ページ をご覧ください。
ペンティオでは、Cisco MerakiJuniper MistArubaExtreme NetworksUbiquiti UniFiACERAYAMAHAなどの各種無線APとSecureW2の連携を検証しております。SecureW2検証・設定手順一覧はこちら

Ubiquiti UniFiのご紹介

今回は弊社のネットワーク環境にある UniFi U6-Liteを使用して動作検証を行いました。機器のスペックやその他製品の詳細情報はUbiquiti社の日本公式ストア をご覧ください。

Ubiquiti UniFiの製品画像

UniFiはクラウドから直感的なGUIでネットワークを一元管理できるネットワークソリューションです。 今まではネットワークの設定をするために現地に赴き、CLIを使用してネットワーク設定を行う必要がありました。UniFiのクラウド管理によって、管理者が場所や時間に縛られることなく、遠隔からのGUI操作で簡単にネットワークの設定・監視・制御をすることが可能になります。SecureW2が物理アプライアンス不要のクラウドRADIUSであることに加え、SecureW2が2023年11月より提供を開始したReal-Time IntelligenceがUniFiに対応している点からも相性の良さが伺えます。

前提条件

今回の検証では、以下の項目を前提条件としています。

  • SecureW2の管理者アカウントをお持ちであること
  • クライアントPCにSecureW2発行のクライアント証明書の配布・登録が済んでいること
  • スイッチやアクセスポイントなどお使いのネットワーク製品がUniFiで統一されており、VLANの作成等ネットワークの設定が適切に施されていること

動作概要

IEEE802.1Xは以下の図のようなシーケンスに従って認証を行います。
EAP-TLS認証では認証情報にID / パスワードではなく、クライアント証明書を用いることが特徴です。

認証のシーケンス図

EAP-TLS認証の流れは次のとおりです。

  1. ユーザーがアクセスポイントに対してネットワークのアクセスを要求
  2. アクセスポイントがユーザーにクライアント証明書の提示を要求
  3. ユーザーはアクセスポイントに対して適当なクライアント証明書を提示
  4. アクセスポイントはSecureW2に対してクライアント証明書の検証要求を行う
  5. SecureW2がクライアント証明書を検証し、認証結果と認証許可した場合にはVLAN等の属性情報をアクセスポイントに返す
  6. アクセスポイントは受け取った認証可否に従い、ユーザーのネットワークアクセスを許可または拒否する

※VLAN IDなどのRADIUS属性やベンダー固有属性(VSA)は、5番目の段階で認証結果と共にアクセスポイントに返されます。

このようにIEEE802.1XのEAP-TLS認証を行うことで、社内ネットワークへの不正な端末やユーザーによるアクセスを排除し、ID / パスワードを利用したネットワークのアクセス管理に比べより強固なセキュリティを実現できます。 加えて、RADIUSサーバーとしてActive DirectoryやIDaaSであるOneLogin, Okta などを利用する場合と比べて、重要なIdPにログインするためのID / パスワードをネットワークに流さないことも組織全体のセキュリティを向上させます。

作業詳細

主な作業内容は、UniFiとSecureW2でそれぞれ次の通りです。

作業内容

基本的なUniFiとSecureW2の無線LAN利用設定を行うだけで簡単にSecureW2をクラウドRADIUSサーバーとしてご利用いただけます。お客様によって認証に加えて認可でもRADIUSを利用されたい場合には、SecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性(VSA)を認証結果に付与することもできます。

UniFiの設定

まずはSecureW2のクラウドRADIUSをUniFiの無線LANで参照するように設定します。
設定を始める前にSecureW2の以下の画像の情報(IPアドレス、ポート番号、シークレット)を控えておいてください。実際の値は管理コンソールのRADIUS Configurationからご確認いただけます。

ネットワークの設定
補足

2023年11月より、クラウドRADIUSAsiaPacific-1リージョンの無償提供が開始されました。これにより従来のサーバーよりも地理的距離が近くなるため、レイテンシの向上と高速な通信レスポンスを実現できます。そのため、ペンティオではAsiaPacific-1リージョンをプライマリRADIUSサーバーとして設定することを推奨しております。詳しくはこちらをご覧ください。

  1. UniFiの管理コンソールにアクセスします。
    UniFi管理コンソール
  2. まずはRADIUSプロファイルを作成します。管理画面の⚙(歯車マーク) > Profiles を選択します。
    コンソール画面
  3. 上部からRADIUSタブを選択し、Create Newをクリックします。
    コンソール画面2
  4. 認証サーバーとしてSecureW2のRADIUSサーバーを使用するように設定します。先ほど控えておいたSecureW2のRADIUS Configurationの情報を以下の表と画像を参考に設定してください。
    項目名 設定値 説明
    Name 例:SecureW2_RADIUS RADIUSプロファイルの名前
    Wireless Networks Enable 無線認証の場合にRADIUSサーバーからのVLANタグの応答を受け入れるかの設定です。Dynamic VLANを利用する場合は有効にします。
    Wired Networks Enable ポート認証の場合にRADIUSサーバーからのVLANタグの応答を受け入れるかの設定です。Dynamic VLANを利用する場合は有効にします。
    Authentication Servers IP Address:①の値
    Port:③の値
    Shared Secret:④の値
    先ほど控えたSecureW2のRADIUS Configurationの値をそれぞれ入力。セカンダリサーバーの設定の際は、行の横にあるAddをクリックして、IP Addressのみ②の値に変更して追加設定を行います。
    コンソール画面3
  5. 画像のようにセカンダリサーバーまでRADIUSサーバーの登録が完了したらApply Changesをクリックして設定を保存します。
    コンソール画面4

無線LAN認証を行う場合

無線LANでEAP-TLS認証を行う場合はSSIDの設定が必要になります。

  1. 管理画面の⚙(歯車マーク) > WiFiを選択し、Create Newをクリックします。
    コンソール画面5
  2. 以下の表と画像を参考にSSIDの設定を行います。
    項目名 設定値 説明
    Name 例:Pentio_test SSIDの名前
    Password 警告が出ることがあるが設定不要 今回はEAP-TLSによる証明書認証を行うため使用しません。入力しないと警告が出ることがありますが、手順9の認証方式の選択時に項目ごと消えます。
    Network 例:Default 使用するネットワークを指定
    Broadcasting APs 例:U6-Lite このSSIDを配信したいAPやGroupを指定
    Advanced Manual【選択】 認証方法などの詳細な設定を行います。次の手順で説明します。
    コンソール画面6
  3. Advancedの設定で認証方法などを設定します。以下の表と画像を参考に設定を行います。設定が完了したら、右下のAdd WiFi NetworkをクリックしてSSIDの設定を保存します。
    項目名 設定値
    Security Protocol WPA2 Enterprise【選択】
    RADIUS Profile 例:SecureW2_RADIUS
    コンソール画面7

有線LAN認証を行う場合

有線LANでEAP-TLS認証を行う場合はスイッチ・ポートの設定が必要になります。UniFiのクラウド上で操作を行うため、アクセスポイントだけでなくスイッチもUniFi製品をお使いである必要があります。

  1. 左のバーのからUniFi Devicesを選択し、お使いのスイッチをクリックします。
    コンソール画面8
  2. SettingsタブからAdvancedの項目を設定します。以下の表と画像を参考に設定を行い、設定が完了したらApply Changesをクリックして設定を保存します。
    項目名 設定値 説明
    Global Switch Settings ◻︎(チェックを外す) デフォルトはチェックが入っています。このチェックを外すことで以下の設定が可能になります。
    ※管理下にある全てのスイッチで802.1X認証を使用したい場合は、別の設定項目からGlobal Switch Settingsを有効にした状態でも設定可能です。
    802.1X Control ☑️
    RADIUS Profile 例:SecureW2_RADIUS【選択】 使用するRADIUSサーバーのプロファイルを選択
  3. コンソール画面9
  • 次はポートの設定を行います。左のバーからPortsを選択し、有線LANを利用するポートをクリックします。
    ポート設定
  • Advancedタブの設定を行います。以下の表に設定の詳細を記述しますので、ご使用の環境に応じて選択してください。設定が完了したらApply Changesをクリックして保存します。
    項目名 設定値
    Advancedの横のトグル Manual【選択】
    802.1X Control Auto【選択】
    ポート設定2
    • 802.1X Controlの詳細
      • Auto:認証が正常に行われるまで、ポートは無許可です。
      • Force authorized:ポートは、認証なしで通常のトラフィックを送受信します。
      • Force unauthorized:ポートはサプリカント認証の試行を無視し、クライアントに認証サービスを提供しません。
      • MAC-Based:同じポートに接続された複数のサプリカントがそれぞれ個別に認証できます。ポートに接続されている各ホストは、ネットワークにアクセスするために個別に認証する必要があります。ホストはMACアドレスによって区別されます。

    ※引用元:網屋 様 「ヘルプガイド:有線クライアントのアクセス制限」
    (https://www.amiya.co.jp/support/ubiquiti/help/wired-policy/)

  • VLANの設定

    IEEE802.1X認証において、RADIUSサーバーが接続許可を意味するAccess-Acceptメッセージを返すとき、認証結果とあわせてVLAN IDなどのRADIUS属性やベンダー固有属性をRADIUSサーバーからRADIUSクライアントへ連携すると、接続先のネットワークを制御することなどが可能です。SecureW2ではネットワークポリシーの設定を行うだけで簡単にRADIUS属性の指定やユーザー・デバイスに応じた値の定義が可能です。

    また、このレポートでは詳細は割愛いたしますが、OneLogin・Okta・Microsoft Entra IDをはじめとするIDaaSと連携するDynamic RADIUSも併用すると、Active DirectoryやLDAPなどのレガシーな認証基盤に依存しないクラウドネイティブなRADIUS基盤としてもご活用いただけます。

    1. SecureW2 Managemant Portal(管理コンソール)の Policy Management > Network Policies からNetwork Policyを追加します。
      VLANの設定
    2. ポリシーの名前を入力し、Saveをクリックします。
      VLANの設定2
    3. Conditionsタブに移動し、Add Ruleをクリックします。Conditionsタブでは、このNetwork Policyを適用させる対象の条件として利用する変数の種類を指定します。
      VLANの設定3
    4. ここでは例としてSecureW2のRoleを変数として設定します。各環境に合わせて適切な変数を指定してください。
      IdentityからRoleを選択してSaveをクリックします。画面上部に「'Role' selected」と表示されれば成功です。
    5. 正常に設定が反映されると、以下の画像のように変数の値を指定できます。今回は例として、前もって作成しておいたPentio Roleを値として設定します。
      変数の値を設定できたら、Updateをクリックします。
      VLANの設定5
    6. Settingsタブに移動し、Add Attributeをクリックします。この画面で使用するRADIUS属性の設定を行います。
      VLANの設定6
    7. DictionaryのプルダウンからRadius:IETFを選択します。今回のシナリオではDynamic VLANの利用を想定しているため、以下の表を参考にそれぞれ設定を行います。
      Radius:IETFの属性(Attribute:) 値(Value:) 説明
      Tunnel-Type 13 VLAN(固定値)
      Tunnel-Medium-Type 6 IEEE-802(固定値)
      Tunnel-Private-Group-ID 任意のVLAN-ID(1-4094) 認証対象のユーザーや機器が認証をパスした後に所属させるVLAN-ID
      (例:100, 200)
      VLANの設定7
      VLANの設定8
      VLANの設定9
    8. 画像のように設定できたら、Updateをクリックして設定を終了します。
      VLANの設定10

    今回はDynamic VLANが実現可能かを検証するために、同じ手順でVLAN-ID=200のネットワークポリシーも作成しておきます。他のNetwork Policyが存在している場合は、適宜ポリシーの優先度を操作してください。

    VLANの設定10

    動作確認

    以上の設定を終えたところで、MacBook Proを使用して動作確認を行いました。今回はWi-Fiの接続設定や証明書の配布を手作業で行っていますが、Microsoft Intune、Jamf ProなどのMDM(モバイルデバイス管理)製品とSecureW2を連携しておくと、これらも自動化することができます。

    無線LAN認証

    1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。
      動作確認1
    2. 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。
      動作確認2
    3. 以下のようなウィンドウが表示されたら、続けるをクリックします。
      動作確認3
    4. 以下のようなウィンドウが表示されたら、PC管理者のユーザー名とパスワードを入力して許可します。
      動作確認4
    5. 作成した無線LANへの接続ができたことが確認できました。
      動作確認5
    6. 今度はVLAN-IDが正しく付与されて、DHCPで指定した範囲内のIPからアドレスが払い出されているか確認します。
      今回の例では、VLAN-IDが100の際にDHCPサーバーから192.168.100.2/24 - 192.168.100.254/24の範囲で、200の場合は192.168.200.2/24 - 192.168.200.254/24でIPアドレスを割り振る設定にしているため、設定した範囲のIPアドレスが正しく割り振られていることが確認できます。
      動作確認6
      動作確認7

      WiresharkからもVLAN-IDが正常に割り振られていることが確認できました。
      "example@pentio.com"というユーザーがネットワークに参加する場合はVLAN=100
      "hanako.sato@pentio.com"というユーザーがネットワークに参加する場合はVLAN=200に所属させていることがわかります。

      動作確認8
      動作確認9

      SecureW2からも、それぞれのVLAN用ネットワークポリシーに基づいて「Pentio_test」への接続が許可されたログを確認することができました。

      動作確認10

    有線LAN認証

    1. デバイスとスイッチを有線で接続します。
    2. 接続すると以下のようなダイアログが表示されるので、認証に使用する有効な証明書を選択します。
      動作確認11
    3. システム設定のネットワークから有線LANアダプタを見ると、認証に成功しネットワークに接続できていることが確認できました。
      動作確認12

    SecureW2のRADIUSログからもUniFiのスイッチからの認証要求を許可したログが確認できました。

    13

    おわりに

    今回の検証ではUbiquiti UniFiの有線・無線LAN認証にSecureW2のRADIUSサーバーを利用し、SecureW2から発行されたクライアント証明書を用いて有線と無線の両方でIEEE802.1XのEAP-TLS認証ができるかの検証を行いました。また、SecureW2からのRADIUS属性の割り当てを行うDynamic VLANの動作検証も行い、ユーザーごとに異なるVLANへの割当も確認することができました。

    UniFiはクラウドのコンソールからコントローラーの設定を行うことが可能です。そこで統合認証基盤として物理アプライアンスの設置が一切不要なクラウド型RADIUSであるSecureW2と組み合わせることで、多拠点展開の際にも国内外問わずどこからでも管理可能で全拠点同水準のセキュリティを確保できます。毎拠点ごとにRADIUSアプライアンスを設置・管理・維持する必要がないため、コストを最小限に抑えられるという点で新たなメリットが生まれるでしょう。SecureW2が2023年11月より提供を開始したReal-Time IntelligenceがUniFiをサポートしている点からも相性の良さが伺えます。

    個人的な感想ですが、UniFiは他のアクセスポイント製品と異なりライセンスが不要で相対的に機器自体も低価格であるにもかかわらず、クラウド型コントローラー製品と遜色ない設定操作感でスムーズにネットワークの設定を行えた点が良いと感じました。ぜひ、Ubiquiti UniFiとSecureW2の導入を併せて検討してみてはいかがでしょうか。以上で「Ubiquiti UniFiの無線認証にSecureW2のクラウドRADIUSを利用する」検証レポートを終わります。

    参考

    本検証で使用した機種のスペックシート

    無線アクセスポイント

    U6 Lite U6 Pro U6 Enterprise
    無線規格 IEEE 802.11ax(Wi-Fi6)対応 IEEE 802.11ax(Wi-Fi6E)対応
    MIMO 2.4GHz:2×2
    5GHz:2×2
    2.4GHz:2×2(UL MU-MIMO)
    5GHz:4×4(DL/UL MU-MIMO)
    2.4GHz:2×2(UL MU-MIMO)
    5GHz:4×4(DL/UL MU-MIMO)
    6GHz:4×4(DL/UL MU-MIMO)
    ネットワークインターフェース 1Gポート(PoE)×1 2.5Gポート(PoE+)×1
    設置場所 天井・壁面など
    サイズ Ø160 x 32.65 mm (Ø6.3 x 1.3") Ø197 x 35 mm (Ø7.76 x 1.38") Ø220 x 48 mm (Ø8.66 x 1.89")
    重量 300g(マウント金具なし) 580g(マウント金具なし) 960g(マウント金具なし)
    データシート データシート データシート データシート

    スイッチ

    Lite 8 PoE Enterprise 8 PoE Pro 24 PoE
    ネットワークインターフェース (8) GbE RJ45ポート (8) 2.5 GbE RJ45ポート /
    (2) 10G SFP+ポート
    (24) GbE RJ45ポート /
    (2) 1/10G SFP+ポート
    スイッチング容量 16Gbps 80Gbps 88Gbps
    全体のノンブロッキングスループット 8Gbps 40Gbps 44Gbps
    PoE対応 (4) PoE/PoE+ /
    計52W
    (8) PoE/PoE+ / 計120W (16) PoE/PoE+ / (8) 60W
    PoE++ / 計400W
    レイヤー L2 L3 L3
    サイズ 99.6 x 163.7 x 31.7 mm 200 x 248 x 44 mm 442 x 285 x 44 mm
    重量 295 g 2.4kg 4.3 kg
    データシート データシート データシート データシート

    ソリューション詳細パンフレットをダウンロード

    クラウドRADIUS認証 for Ubiquiti UniFi 構成図

    この資料でわかること

    • UniFiコントローラとSecureW2の連携
    • Ubiquiti UniFi U6 Pro 特徴
    • SecureW2クラウドRADIUSの機能

    *本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。