Cisco Meraki 無線LAN Radius認証 / 自前のRadiusサーバ不要編


中小企業様向けの社内無線LAN(Wi-Fi)のセキュリティについて考えてみましょう。 最も手軽なのはWPA2-PSK(事前共有鍵)なので、利用されている企業も多いかもしれません。

(例)
SSID:kaisya-wifi
パスワード:全員共通のパスワード

退職者や、部署移動があった場合に無線LANのパスワードを変更しないと、 退職した人や移動した人でも今までの無線LANに繋がってしまいます。 全員共通パスワードはやめて、個別のユーザ・パスワードで認証させたい場合、必要になるのは「Radiusサーバ(認証用のサーバ)」です。 自前でRadiusサーバを用意したり、管理もしたくない!と思いませんか、私は用意してもいいけど、好き好んで管理したくはありません。 MerakiはMerakiのクラウド上にRadiusサーバが用意されていてます。 ライセンスの料金に含まれているため、Merakiを利用していると自動的にクラウドのRadiusサーバを使えます。 せっかくなので利用しましょう。 的な売り文句はよく見かけるのですが、どこにも使用例がないのでやってみました。 Active Directoryサーバとユーザ情報を連携したい場合はこちら Meraki 無線LAN の 価格情報はこちら  

 

Meraki Radiusサーバの設定と、SSIDの設定

  ダッシュボードからSSIDを新規作成します。

変更した箇所は黄色蛍ペンの箇所のみです。 ・WPA2エンタープライズを使用する ・ブリッジモードを使用する(会社の有線LANと同じネットワークセグメントを利用する場合)

[ 変更内容を保存 ]した後、設定画面に戻り[ ユーザ ] をクリック

ユーザ管理ポータルから[ Add new user ]をクリック

無線LANの認証で使用するユーザを作成

テストユーザが追加されました

SSIDの名前を付けて、SSIDを有効にします ここでは”ATC Meraki-no-Radius WiFi”を名付けました

 

Windows端末から無線LANに接続設定

  Windoows 10の端末から無線LANに接続してみます 認証設定が必要なため一手間かかります

ネットワーク名:先ほど名付けたSSID名を入力 セキュリティの種類:WPA2-エンタープライズ

[ 接続の設定を変更します ] をクリック

[ 詳細設定 ] をクリック

[ 認証モードを指定する] にチェック [ ユーザー認証 ] を選択し、[ 資格情報の保存] をクリック

Meraki上で作成したユーザ名・パスワードを入力

OKボタンをクリックすると、“接続済み”になりました

 

Meraki から接続状況を確認

  Merakiダッシュボードからも、ユーザが”meraki-user01@atc.co.jp” で無線LANに接続していることが分かります

 

後書き

  個別認証の無線LANがあっと言う間に構築できました。 Radiusサーバをわざわざ用意しなくいいし、ハードウェアの面倒も見なくていいのは有り難い。 ちなみにRadiusサーバが止まるとユーザ認証ができなくなってしまいます。 今回の場合だと無線LANが使えなくなってしまいます。 社内にRadiusサーバを建てて運用するのは手間がかかります。 なので、Radiusサーバだけでもクラウドに出せるのは魅力的。 無線LANの認証は“802.1x認証”を導入したかったけど、Radiusサーバがネックでという企業様には安上がりです。