PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する
-
[アーティクル]
-
-
第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する
公開日: 2004年9月7日
トピック
概要
章の前提条件
実装の準備をする
インストール準備が完了していることを確認する
IAS をインストールする
Active Directory で IAS を登録する
プライマリ IAS サーバーを構成する
設定を複数の IAS サーバーに展開する
ワイヤレス アクセス ポイントを構成する
要約
参照情報
概要
この章では、インターネット認証サービス (IAS) のインストールと構成を行いワイヤレス LAN (WLAN) に Remote Access Dial-In User Service (RADIUS) サービスを提供するガイダンス、およびワイヤレス アクセス ポイント (AP) を構成して IAS RADIUS サービスを使用するガイダンスを提供します。
この章で説明する主な項目は、次のとおりです。
この章で説明する手順は、これまでの章で説明した手順に比べて自動化が進んでいません。IAS はプログラムを使って構成することができますが、多くの設定は Windows® Scripting Host またはコマンドライン ツールを使って構成することができません。一般に、コンパイル済みのアプリケーション コードは、スクリプトと比べると開発者以外のユーザーにとって扱いにくい性質があります。したがって、手順をスクリプト化できなかった場合、その手順を実行するために手動でのステップを使用しました。Server Data Objects インターフェイスを使用して IAS の構成手順を自動化する場合は、MSDN® https://msdn.microsoft.com (英語) を参照してください。個別のテーマに関する情報の正確な場所については、この章の最後に記載されている「参照情報」を参照してください。
この章で説明する構成作業はそのほとんどが手動ですが、これには肯定的な面があります。第 1 に、IAS 管理インターフェイスは使いやすく、また一部の作業に対しては構成ウィザードが用意されています。第 2 に、構成の作業を行うサーバーは通常 1 台のみで、作業後に簡単なコマンドを使用して設定を他の IAS サーバーに複製します。第 3 に、構成作業を手動で実行することにより、IAS のインストールと構成に関する理解が深まります。最後に、このソリューションの他のコンポーネントを理解するうえで有意義です。IAS はこのソリューションの中核的な存在であり、IAS の管理と構成の作業を経験することは望ましいと言えます。
ページのトップへ
章の前提条件
この章で説明する指示を実行する前に、「第 3 章: 環境を準備する」および「第 4 章: ネットワーク証明機関を構築する」で説明されている手順を読んで実行しておく必要があります。また、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」を読み、このソリューションのアーキテクチャと設計について理解しておく必要があります。
さらに、次の項目に関する詳しい知識を持っていると有利です。
ページのトップへ
実装の準備をする
必要なアクセス許可
この章で説明する手順を実行するには、IAS サーバーのインストール先ドメインに対する Administrators グループのメンバのアカウントでログオンする必要があります。
注: IAS をドメイン コントローラ以外のサーバーにインストールする場合は、インストール先サーバーにおけるローカルの Administrators グループのメンバであれば、IAS のインストールと構成を行うことができます。その際、IAS サーバーのインストール先ドメインに対する RAS および IAS サーバー グループのメンバを修正する権限が付与されている必要があります。
必要なツール
この章で説明する手順を実行するには、次のツールが必要です。
表 5.1: 必要なツール
| MSS Secure WLAN Scripts |
このソリューションで提供されるスクリプトおよびツールのセット |
「第 3 章: 環境を準備する」で提供されています。 |
| インターネット認証サービス |
IAS のポリシーと設定の管理に使用する、Microsoft® 管理コンソール (MMC) ツール |
Windows Server 2003 の一部として提供されています。 |
| Active Directory ユーザーとコンピュータ |
Microsoft Active Directory® ディレクトリ サービスのユーザー、グループ、コンピュータ、およびその他の Active Directory オブジェクトを管理する際に使用する MMC ツール |
Windows Server 2003 の一部として提供されています。 |
#### IAS のパラメータ
次の表は、IAS サーバーのインストールと構成の作業で使用する主なパラメータを示しています。
**表 5.2: IAS サーバーの構成パラメータ**
| Windows のイベント ログへの IAS ログ記録 |
|
| 拒否された認証要求 |
有効 |
| 成功した認証要求 |
有効 |
| IAS RADIUS のログ記録 |
無効 |
| リモート アクセス ポリシー |
|
| リモート アクセス ポリシー名 |
Allow Wireless LAN Access |
| アクセスを許可するセキュリティ グループ |
Wireless LAN Access |
| 使用される EAP の種類 |
Protected Extensible Authentication Protocol (PEAP) |
| 使用される PEAP EAP の種類 |
EAP MS-CHAP v2 |
| すばやい再接続 |
有効 |
| リモート アクセス ポリシー プロファイル |
|
| クライアントが接続できる時間 (セッション タイムアウト) (分) |
60 分
54 Mbps の 802.11a/g WLAN の場合、この値を 15 分に減らすことができます。 |
| RADIUS 属性 |
Ignore-User-Dialin-Properties = "True"
Termination Action = "RADIUS-Request" |
| 接続要求ポリシー |
|
| ポリシー名 |
Windows 認証をすべてのユーザーに使用する |
| ポリシー条件 |
Day-and-Time-Restrictions = All times |
**重要:** 上記の設定は、このソリューションの内部テストの際に使用したものであり、正しく動作することが実証されています。上記のパラメータの多くは、設定を変更することが可能です。ただし、変更は、変更の目的と影響について十分に理解している場合だけにしてください。
[](#mainsection)[ページのトップへ](#mainsection)
### インストール準備が完了していることを確認する
IAS をインストールするには、正しいネットワークと Active Directory の構成、接続が必要です。IAS のインストールと保守の作業を正しく行うには、いくつかのツールが必要です。
#### IAS をインストールする環境を検証する
IAS をサーバーにインストールする前に、一連の検査を実行して、ドメイン コントローラが接続可能であるかどうか、および必要なツールが「第 3 章: 環境を準備する」での説明どおりにインストールされているかどうかを確認する必要があります。次の手順では、これらの確認作業を自動的に実行するスクリプトを使用します。
**IAS をインストールする環境を確認するには**
1. IAS をインストールするサーバー上で、\[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. 次のコマンドを実行します。
MSSSetup CheckIASEnvironment
3. このサーバーが属するドメインの名前が正しいかどうかが確認されます。正しい場合は \[OK\] をクリックします。
4. 確認が完了すると、ダイアログ ボックスが開き、確認の処理で問題が発生したかどうかの情報が表示されます。\[OK\] をクリックし、ダイアログ ボックスを閉じます。
5. すべての確認の処理において問題がなければ、次の手順に進みます。確認の処理で問題が発生した場合は、セットアップ ログ (%systemroot%\\debug\\MSSWLAN-Setup.log) で問題の原因を調べて解決し、その後でスクリプトを再度実行します。
#### DHCP 設定を確認する
IP アドレスを WLAN クライアントに自動的に割り当てるには、動的ホスト構成プロトコル (DHCP) を使用します。各サイトで割り当てられる DHCP スコープについて、そのサイトで同時接続する WLAN クライアント数に対応できるだけの数の IP アドレスがあるかどうかを確認します。DHCP スコープをワイヤード (有線) LAN クライアントと共有する場合は、WLAN クライアントとワイヤード (有線) LAN クライアントの両方を合わせた同時接続数に対応できる数の IP アドレス を用意する必要があります。
WLAN クライアント数が多い場合や、WLAN クライアントがサイト間を頻繁に移動する場合は、WLAN クライアント専用の DHCP スコープを構成することをお勧めします。WLAN クライアント用とワイヤード (有線) LAN クライアント用に別々の DHCP スコープを構成した場合、クライアントに対しきわめて短いリース時間 (例: 8 時間以下) を指定できるので、利用可能な IP アドレスが一時的な WLAN クライアントによって短時間で消費されるリスクを軽減できます。WLAN クライアント用とワイヤード (有線) LAN クライアント用に別々の DHCP スコープを構成するには、まず WLAN クライアントを、サイト ネットワーク内のワイヤード (有線) LAN 用サブネットとは別のサブネット上に配置します。次に、そのサブネットを接続するように、ルーターまたはレイヤ 3 スイッチを構成します。
小規模な環境や WLAN クライアントのサイト間移動が比較的少ない環境では、WLAN クライアントとワイヤード (有線) LAN クライアントの間で IP サブネットと DHCP スコープを共有しても、特に問題はありません。
詳細については、「*Windows Server 2003 Deployment Kit*」の「Deploying a Wireless LAN」の章 (英語) を参照してください。このマニュアルの参照情報は、この章の最後に記載されています。
[](#mainsection)[ページのトップへ](#mainsection)
### IAS をインストールする
ここでは、IAS をサーバーにインストールする方法について説明します。
#### IAS ソフトウェア コンポーネントをインストールする
IAS ソフトウェア コンポーネントをインストールする際に、このガイドに付属しているスクリプトを使用できます。このスクリプトを使用すると、Windows Optional Components Installation Manager によって IAS がインストールされ、必要な構成ファイルがすべて作成されます。
**IAS をインストールするには**
1. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. 次のコマンドを実行し、IAS ソフトウェア コンポーネントをインストールします。
MSSSetup InstallIAS
3. このスクリプトを実行すると、インストール パラメータ ファイルが作成されます。このスクリプトが完了すると、インストール作業を続行するかどうか確認のメッセージが表示されます。インストール作業を完了するには、Windows Server 2003 インストール用 CD-ROM を用意するか、Windows Server 2003 インストール用ファイルへのネットワーク パスを指定する必要があります。インストール作業を続行する場合は \[OK\] をクリックします。インストール作業を中止する場合は \[キャンセル\] をクリックします。
**注:** インストール作業をキャンセルした場合、IAS オプション コンポーネント パラメータ ファイル (OC\_IAS.txt) は現在の作業フォルダに残ったままになります。このソリューションの既定値を使用しない場合、カスタム インストールの際にこのファイルを修正して使用することができます。
4. インストールが完了すると、確認のメッセージが表示されます。\[OK\] をクリックします。
#### インストールを確認する
インストール結果が正しいかどうかを確認するには、\[スタート\]、\[すべてのプログラム\]、\[管理ツール\]、\[インターネット認証サービス\] の順にクリックします。IAS がインストールされており、サーバー上で実行されているという情報が表示されます。
[](#mainsection)[ページのトップへ](#mainsection)
### Active Directory で IAS を登録する
各 IAS サーバーを Active Directory に登録する必要があります。登録すると、IAS サーバーのコンピュータ アカウントが RAS および IAS サーバー セキュリティ グループに追加されます。これにより IAS サーバーは、Active Directory 内のユーザー アカウントとコンピュータ アカウントのプロパティをリモート アクセスで参照する権限を付与されます。
IAS サーバーを登録するには、次のいずれかの方法を使用します。
- \[Active Directory ユーザーとコンピュータ\] を使用して、IAS サーバーを手動で RAS および IAS サーバー セキュリティ グループに追加する。
- \[インターネット認証サービス\] MMC で \[操作\] メニューの \[Active Directory にサーバーを登録\] を使用する。
- Netsh コマンドを使用する。
ここでは、3 番目の Netsh コマンドを使用する方法について説明します。理由は、スクリプトを記述するのが簡単であり、サーバーを他のドメインに登録できるからです。
**IAS を既定のドメインに登録するには**
1. IAS サーバーにログオンし、\[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. 次のコマンドを実行します。
netsh ras add registeredserver
ドメインが複数ある場合、この IAS サーバーによって認証されるユーザーまたはコンピュータが属する各ドメインに対して、次の手順を実行します。たとえば、IAS サーバーがドメイン A にインストールされており、WLAN ユーザーがドメイン B に属している場合、IAS サーバーをドメイン A とドメイン B の両方に登録する必要があります。ドメインへの登録を行うには、登録先ドメインの RAS および IAS サーバー セキュリティ グループのメンバを修正する権限が付与されている必要があります。
**IAS を既定以外のドメインに登録するには**
1. コマンド プロンプトで次のコマンドを実行します。*DomainName* は、IAS サーバーを登録するドメインの名前に置き換えてください。
netsh ras add registeredserver domain = *DomainName*
**注:** IAS サーバー コンピュータ オブジェクトを登録先ドメインの RAS および IAS サーバー セキュリティ グループに直接追加するには、\[Active Directory ユーザーとコンピュータ\] を使用します。
[](#mainsection)[ページのトップへ](#mainsection)
### プライマリ IAS サーバーを構成する
ここでは、1 台目の IAS サーバーの構成作業に関するガイドを提供します。2 台目以降の IAS サーバーを構成するには、この章で後述する手順を使用して、1 台目のサーバーの設定を複製します。
#### IAS サーバー証明書を自動登録する
「第 4 章: ネットワーク証明機関を構築する」では、グループ ポリシー オブジェクト (GPO) をインストールして、RAS および IAS サーバー セキュリティ グループのメンバがコンピュータ証明書を自動登録できるようにする手順について説明しました。IAS サーバーを Active Directory に登録すると、サーバー アカウントがこの RAS および IAS サーバー セキュリティ グループに追加されます。ただし、このサーバー コンピュータ上で、このセキュリティ グループのメンバがそのログオン トークンに追加され、証明書を登録できるようにするには、サーバーを再起動する必要があります。
**注:** コンピュータは、ユーザーの場合と同様、ドメインにログオンし直すまでの間そのログオン セッション アクセス トークン内のグループ メンバが変更された旨を通知されません。コンピュータの場合、ドメインにログオンし直すのは起動時です。
次の手順に進む前に、サーバーを再起動してください。
**警告:** サーバーを再起動する前に、このサーバー上でタスクが実行されていないことを確認してください。このサーバーがドメイン コントローラである場合は、再起動の前に、ユーザーが別のドメイン コントローラを利用可能であることを確認してください。なお、サーバー バックアップなどの重要なシステム タスクの実行中は、再起動を行わないでください。
##### IAS サーバー証明書の展開を確認する
サーバーを再起動後、IAS サーバー証明書が正しく登録されたかどうかを確認します。
**IAS サーバー認証証明書を確認するには**
1. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. 次のコマンドを実行して、\[証明書\] MMC を開きます。
ComputerCerts.msc
3. コンソール ツリーで、\[Certificates (Local Computer)\] をダブルクリックし、\[個人\] をダブルクリックします。次に、\[証明書\] をクリックします。
4. 証明書が最低 1 つ表示されます。\[発行先\] 列には、このサーバーの名前が表示されます。\[発行者\] 列には、証明機関 (CA) の名前が表示されます。この一覧を右にスクロールし、\[証明書テンプレート\] 列を表示します。この列には \[コンピュータ\] と表示されます。
**注:** これが 1 台目の IAS サーバーで、CA と同じサーバーにインストールされている場合、証明書がもう 1 つ表示されます。この証明書の \[発行先\] 列と \[発行者\] 列にはこの CA の名前が表示されます。つまり、この証明書は自己署名入りの証明書です。
5. 必要な証明書が \[証明書\] MMC スナップインに表示されない場合は、左ペインのコンソール ツリーで \[Certificates (Local Computer)\] を選択し、\[操作\] メニューの \[すべてのタスク\] をクリックし、\[証明書を自動登録する\] をクリックします。これで \[証明書\] MMC の表示が更新されます。
#### 1 台目の IAS サーバーを構成する
このソリューションでは、各 IAS サーバーの構成はほとんど同じです。ただし、各サーバーにインストールされるワイヤレス AP のセットは通常、サーバーごとに異なります。サーバー間で構成を同期して、多くのサーバーを管理する作業の手間をできるだけ省くには、最初にインストールする IAS サーバー上でほとんどの構成作業を実行し、その後でこの IAS サーバーの設定を組織内の他の IAS サーバーに複製します。
ここで説明する手順では、1 台目の IAS サーバーに対して次の設定の種類を構成します。
- 要求のログ収集
- リモート アクセス ポリシー
- 接続要求設定
これらの設定は、後で他の IAS サーバーに複製します。また、この IAS サーバー上で動作するワイヤレス AP ごとに、RADIUS クライアント エントリを IAS に追加する必要があります。これについては、「ワイヤレス アクセス ポイントを構成する」で説明します。
##### Windows イベント ログにイベントを記録する処理を構成する
IAS では、重要なシステム レベルのイベント (例: サービスの開始と終了) と問題 (例: 構成エラー、サービスの失敗) が Windows システム ログに記録されます。また、認証処理で成功したものと失敗したものを記録することもできます。
**IAS における認証要求をログに記録するには**
1. \[スタート\]、\[すべてのプログラム\]、\[管理ツール\]、\[インターネット認証サービス\] の順にクリックし、\[インターネット認証サービス\] MMC を開きます。
2. \[インターネット認証サービス (ローカル)\] を右クリックし、\[プロパティ\] をクリックします。
3. \[拒否された認証要求\] チェック ボックスと \[成功した認証要求\] チェック ボックスがオンになっていることを確認します。
4. \[OK\] をクリックします。
##### 認証要求およびアカウンティング要求を RADIUS ログに記録する処理を構成する
IAS では、認証情報とアカウンティング情報を RADIUS ログに記録できます。RADIUS ログは、既定では作成されません。また、このソリューションでは、管理処理のオーバーヘッドを最小限に抑えるため、RADIUS ログへの記録は無効になっています。
セキュリティ監査や問題の原因の究明を目的として RADIUS ログに情報を記録する必要がある場合、認証情報とアカウンティング情報のいずれか、または両方のログ記録を有効にすることができます。IAS では、これらのログをテキスト ファイルか SQL Server データベースに出力できます。これらのログをセキュリティ監査システムへの入力データとして使用すれば、セキュリティ侵害が発生するおそれがあるかどうかを調べるのに役立ちます。まれなケースですが、アカウント管理のログを課金目的で使用する組織もあります。ただし、このような組織は、通常は営利目的のインターネット サービス プロバイダなどのネットワーク サービス プロバイダに限られます。RADIUS ログに情報を記録する場合や、RADIUS ログについて詳しく知りたい場合は、この章の最後に記載されている「参照情報」を参照してください。
**注:** 特に必要がない場合は、認証情報とアカウント管理情報を RADIUS ログに記録する処理を有効にしないでください。有効にした場合、サーバーのパフォーマンスが低下する可能性があります。また、ログ ファイルの保守作業を定期的に実行し、サーバーのディスクがログ ファイルで占領されないようにする必要があります。
##### WLAN の IAS リモート アクセス ポリシーを作成する
次の手順を実行し、IAS サーバー上でリモート アクセス ポリシーを作成します。
**IAS にリモート アクセス ポリシーを作成するには**
1. \[スタート\]、\[すべてのプログラム\]、\[管理ツール\]、\[インターネット認証サービス\] の順にクリックし、\[インターネット認証サービス\] MMC を開きます。
2. \[リモート アクセス ポリシー\] フォルダを右クリックし、\[新しいリモート アクセス ポリシー\] をクリックします。\[次へ\] をクリックして作業を続けます。
3. ポリシーの設定方法として \[ウィザードを使って共通のシナリオの標準ポリシーを設定する\] を選択し、そのポリシーに "Allow Wireless LAN Access" という名前を付けます。\[次へ\] をクリックします。
4. アクセス方法として \[ワイヤレス\] を選択します。
5. \[次の基準でアクセスを許可する\] で \[グループ\] を選択し、Wireless LAN Access セキュリティ グループについて名前を直接入力するか、またはディスク内を参照して選択します。\[次へ\] をクリックして作業を続けます。
6. EAP の種類の一覧で \[保護された EAP (PEAP)\] を選択します。
7. \[構成\] をクリックします。以前に発行された IAS サーバー証明書が、\[証明書の発行先\] フィールドに表示されます (表示されない場合は、使用可能な証明書の一覧から選択してください)。\[EAP の種類\] ボックスの一覧に \[セキュリティで保護されたパスワード (EAP-MSCHAP v2)\] が表示されます。\[すばやい再接続を有効にする\] チェック ボックスをオンにします。
**重要:** Pocket PC 2003 ワイヤレス クライアントを使用している場合は、\[すばやい再接続を有効にする\] チェック ボックスをオフにする必要があります。ただし、使用している Pocket PC のバージョンがこのオプションをサポートしている場合は例外です。詳細については、この章の最後に記載されているサポート技術情報を参照してください。\[すばやい再接続を有効にする\] チェック ボックスをオンにした場合、Pocket PC クライアントは最初の認証がタイムアウトになるとネットワークに再接続できません。
8. \[OK\] をクリックし、\[次へ\] をクリックします。\[完了\] をクリックし、この手順を完了します。
**重要:** 新規に作成した "Allow Wireless LAN Access" ポリシーは、今までに作成した他のリモート アクセス ポリシー、および既定のリモート アクセス ポリシーと共存させることができます。ただし、既定のリモート アクセス ポリシーは、IAS の "リモート アクセス ポリシー" フォルダから削除されているか、または "リモート アクセス ポリシー" フォルダ内において "Allow Wireless LAN Access" ポリシーよりも下に表示されている (すなわち "Allow Wireless LAN Access" ポリシーよりも優先度が低く設定されている) 必要があります。
##### WLAN アクセス ポリシー プロファイル設定を変更する
前の手順で使用した新しいリモート アクセス ポリシー ウィザードを実行すると、有効なリモート アクセス ポリシーが作成されます。ただし、次の 2 つの設定を手動で構成する必要があります。1 つ目の構成作業は、Ignore-User-Dialin-Properties という RADIUS 属性を追加することです。この属性を追加すると、Active Directory ユーザー オブジェクトの \[ダイヤルイン\] タブで指定されたリモート アクセス許可設定は無視されます。また、RADIUS 応答内でこのリモート アクセス許可設定がワイヤレス AP に送信されなくなります。これは、互換性の問題が発生するおそれがあるためです。
2 つ目の構成作業は、指定した時間が経過してクライアント接続がタイムアウトになった後に、IAS サーバーがクライアント接続を終了してクライアントに再認証を強制できるようにすることです。この設定が特に重要なのは、Wired Equivalent Privacy (WEP) による動的なデータ保護を使用している場合 (このソリューションにおける既定の設定) です。セッション タイムアウト値の設定によって、ネットワーク データ暗号キーを新たに生成する頻度が変わります。
**注:** Wi-Fi Protected Access (WPA) は、転送されるパケットごとに新しいキーを生成する、独自の機構を備えています。次の説明は、WPA を採用している WLAN には適用されません。
セッション タイムアウト値は、セキュリティと信頼性のバランスを考えて設定する必要があります。タイムアウト値を 60 分に設定した場合、ほとんどの環境、特に 11 Mbps の 802.11b ネットワークでは十分なセキュリティを確保できます。通常、ワイヤレス クライアントが 60 分間で送信できるデータ量では、攻撃者が動的な WEP キーを解読することはできません。802.11a 規格か 802.11g 規格を使用した 54 Mbps の高速な WLAN の場合は、11 Mbps の LAN に比べて一定時間内により多くのデータを送信できます。したがって、高速な WLAN を使用する場合は、タイムアウト値を 15 分に設定することを検討する必要があります。ただし、タイムアウト値を短くすると、WLAN の信頼性が低下し、IAS サーバーの負荷が増大するおそれがあります。
クライアント セッション タイムアウトの設定についての詳細は、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」の「動的 WEP 用のセキュリティ オプション」を参照してください。
クライアントが特定の間隔で再認証されるようにするには、クライアント セッション タイムアウトの値と、必要な値に対する RADIUS の Termination-Action 属性を構成する必要があります。リモート アクセス ポリシー設定の詳細については、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」の「RADIUS ポリシー」を参照してください。
**ワイヤレス アクセス ポリシー プロファイル設定を変更するには**
1. \[インターネット認証サービス\] MMC で、\[Allow Wireless LAN Access\] ポリシーを右クリックし、\[プロパティ\] をクリックします。次に、\[プロファイルの編集\] をクリックします。
2. \[ダイヤルインの制限\] タブをクリックして \[クライアントが接続できる時間 (セッション タイムアウト) (分)\] を選択し、802.11b 規格の WLAN (11 Mbps) を使用している場合は「60」、高速な 802.11a 規格または 802.11g 規格の WLAN (54 Mbps) を使用している場合は「15」と入力します。
**注:** 動的な WEP の代わりに WPA を採用して WLAN をセキュリティ保護している場合は、この値を 8 時間に設定します。8 時間に設定した場合、クライアントは有効な最新の証明書をある程度の期間保持できます。同時に、クライアントのアカウントが無効になった後では、それ以上接続し続けることはできなくなります。ただし、アカウントが無効になってからクライアントをネットワークから切断するまでの時間を最小限に抑える必要がある高セキュリティ環境では、この値を 1 時間に短縮することもできます。
3. \[詳細設定\] タブをクリックして Ignore-User-Dialin-Properties 属性を追加し、その値を True に設定します。次に、Termination-Action 属性を追加し、その値を RADIUS Request に設定します。
##### WLAN に対する接続要求ポリシーを確認する
既定の IAS 接続要求ポリシーは、IAS が Active Directory に直接ユーザーとコンピュータの認証を求めるよう構成されています。既定の接続要求ポリシーの構成を確認するには、次の手順を実行します。
**既定の接続要求ポリシーの構成を確認するには**
1. \[インターネット認証サービス\] MMC を開いて \[接続要求の処理\] フォルダの下の \[接続要求ポリシー\] フォルダを選択し、\[Windows 認証をすべてのユーザーに使用する\] 接続要求ポリシーを右クリックします。次に、\[プロパティ\] をクリックします。
2. ポリシー条件の中に、"Sun 00:00-24:00; Mon 00:00-24:00; Tue 00:00-24:00; Wed 00:00-24:00; Thu 00:00-24:00; Fri 00:00-24:00; Sat 00:00-24:00." に一致する \[Date-And-Time-Restrictions\] が含まれていることを確認します。
3. \[プロファイルの編集\] ボタンをクリックし、\[認証\] タブで \[このサーバーの要求を認証する\] が選択されていることを確認します。
4. \[属性\] タブでルールが何も指定されていないことを確認します。
[](#mainsection)[ページのトップへ](#mainsection)
### 設定を複数の IAS サーバーに展開する
プライマリ IAS サーバーの構成作業が完了したら、その設定を他の IAS サーバーに複製できます。
2 台目以降の IAS サーバーを構築する場合、それぞれのサーバーに対して「IAS をインストールする」および「Active Directory で IAS を登録する」で説明した手順を実行します。また、「IAS サーバー証明書の展開を確認する」で説明した手順を実行し、追加した IAS サーバーによって証明書が登録されたことを確認します。これらの作業が完了したら、ここで説明する手順に従って、1 台目の IAS サーバーから設定をエクスポートして他の IAS サーバーにインポートすることができます。
**重要:** 設定は、Windows Server 2003 を実行している他の IAS サーバーにのみ複製できます。ここで説明する手順では、Windows Server 2003 を実行している IAS サーバーから Windows 2000 を実行している IAS サーバーに設定を複製することはできません。
#### 1 台目の IAS サーバーの設定を複製する
**Netsh** コマンドを使って、IAS 構成を部分的にテキスト ファイルにエクスポートできます。この手順で使用するスクリプトでは、Netsh.exe を使用して IAS サーバーの設定のエクスポートとインポートを実行します。
IAS 設定における次のカテゴリは、個別にエクスポートおよびインポートできます。
- サーバー設定
- ログ設定
- リモート アクセス ポリシー
- 接続要求ポリシー
- RADIUS クライアント
- 構成全体 (上記の設定すべて)
エクスポートした設定はテキスト ファイルに保存されますが、データはエンコードされます。これらのテキスト ファイルを使用すれば、複数の IAS サーバーに共通の構成設定を転送できます。これにより、構成の一貫性が維持され、配置作業が簡素化されます。
ほとんどの構成カテゴリは、同じ役割の IAS サーバーであれば共通です (通常、例外は RADIUS クライアントのカテゴリだけです)。このソリューションでは、IAS サーバーは WLAN クライアントだけを認証します。別の用途 (たとえばリモート アクセス クライアントの認証) で使用する IAS サーバーを少なくとも 1 台用意する予定の場合、そのサーバーの設定は、別個に構成して複製するか、または手動で構成する必要があります。そうしない場合、ポリシーなどの構成設定が上書きされたり失われたりするおそれがあります。
前に説明したとおり、次の項目は 1 台目の IAS サーバー上でのみ構成することをお勧めします。
- サーバーの構成
- ログ設定
- リモート アクセス ポリシー
- 接続要求ポリシー
ここで説明する手順は、これらの設定をエクスポートし、他の IAS サーバーに複製するものです。
**ヒント:** IAS 構成に加えられた変更内容を追跡するには、リモート アクセス ポリシーの名前の中にバージョン番号を含めると便利です。つまり、IAS 設定を変更するたびに、この名前のバージョン番号を増やしていきます。これにより、IAS サーバー間で変更内容を追跡すること、およびどのサーバーも同じ設定を使用しているかどうかの確認が容易になります。
ここでは、1 台目の IAS サーバーを "マスタ" IAS サーバーとします。それから、次の手順を実行して、このサーバーから組織内の他の IAS サーバーに設定を複製します。RADIUS クライアント設定の複製については、「RADIUS クライアント構成を他の IAS サーバーに複製する」で詳しく説明します。
**注:** "マスタ" という用語は、IAS にとって特別な意味を持つわけではありません。この用語は、最初に構成を変更するサーバーを指しているに過ぎません。つまり、マスタ IAS サーバーの構成を変更してから、それを他の IAS サーバーに複製します。
##### マスタ IAS サーバーの設定をエクスポートする
この手順では、IAS サーバーの現在の設定をディスク ファイルに保存します。
**IAS 構成をディスク ファイルにエクスポートするには**
1. プライマリ IAS サーバーにログオンし、\[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. 出力ファイルの保存先フォルダを指定するか、フォーマット済みの空のフロッピー ディスクをサーバーのドライブに挿入します。
3. 次のコマンドを実行し、IAS 構成をエクスポートします。
**MSSTools ExportIASSettings** \[**/path:***OutputFolder*\]
*OutputFolder* はオプション パラメータであり、エクスポート ファイルの保存先フォルダを指定する際に使用します。パスの中に空白が含まれている場合は、引用符で囲む必要があります。このパラメータでフォルダを指定する場合、既存のフォルダを指定する必要があります。存在していない場合、ファイルは現在のフォルダに作成されます。
4. 作成されるファイルは次のとおりです。
- IAS\_Server\_Settings.txt
- IAS\_Logging.txt
- IAS\_Rem\_Access\_Policies.txt
- IAS\_Con\_Request\_Policies.txt
5. これらのファイルを保存し、他の IAS サーバーにインポートします。
##### 設定を他の IAS サーバーにインポートする
この手順では、前の手順でエクスポートした設定ファイルを使用して、他の IAS サーバーを同じ設定で構成します。この手順では、RADIUS クライアントの設定はインポートしません。これについては後述します。
**警告:** IAS 設定を IAS サーバーにインポートすると、そのサーバーの既存の IAS 設定は上書きされます (ただし、RADIUS クライアントの設定だけは上書きされません)。ある特定のサーバーに対して異なる設定を作成した場合、たとえば仮想プライベート ネットワーク (VPN) をサポートするために異なるリモート アクセス ポリシーを設定した場合は、この手順を実行して IAS WLAN 設定をそのサーバーにインポートしないでください。このような場合は、「プライマリ IAS サーバーを構成する」で説明した手順を実行し、設定を手動で構成します。
**IAS 構成をディスク ファイルからインポートするには**
1. インポート先 IAS サーバーにログオンし、\[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. マスタ IAS サーバーからエクスポートした構成ファイルがあるフォルダを確認します。
3. 次のコマンドを実行し、IAS 構成をインポートします。
**MSSTools ImportIASSettings** \[**/path:***IntputFolder*\]
*InputFolder* はオプション パラメータであり、インポート元の設定ファイルを探すフォルダを指定する際に使用します。パスの中に空白が含まれている場合は、引用符で囲む必要があります。フォルダを指定しない場合、ファイルは現在のフォルダにあると見なされます。
設定が正しくインポートされたかどうかを確認する必要があります。確認するには、\[インターネット認証サービス\] MMC を開き、リモート アクセス ポリシー設定と接続要求ポリシー設定の内容をチェックします。
[](#mainsection)[ページのトップへ](#mainsection)
### ワイヤレス アクセス ポイントを構成する
ここでは、ワイヤレス AP を IAS サーバーの RADIUS クライアントとして追加する方法について説明します。
#### アクセス ポイントを RADIUS クライアントとして IAS サーバーに追加する
ワイヤレス AP で RADIUS の認証サービスとアカウンティング サービスを利用できるようにするには、事前にそのワイヤレス AP を RADIUS クライアントとして IAS サーバーに追加しておく必要があります。各ワイヤレス AP を別々の IAS サーバーに割り当てる方法についての詳細は、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」で説明している手順を参照してください。
一般に、ある特定の場所にあるワイヤレス AP の RADIUS サーバー設定を構成する際は、同じ場所にある IAS サーバーをプライマリ RADIUS サーバーとして、また同じ場所または別の場所にある別の IAS サーバーをセカンダリ RADIUS サーバーとして使用するように構成します。ここでの "プライマリ" および "セカンダリ" という用語は、IAS サーバー間の階層関係や構成上の違いを示しているわけではありません。これらの用語はワイヤレス AP との関係を示しているだけです。つまり、それぞれのワイヤレス AP に対して、プライマリ RADIUS サーバーとセカンダリ (バックアップ) RADIUS サーバーを指定します。ワイヤレス AP を構成する前に、各ワイヤレス AP に対するプライマリ RADIUS サーバーとセカンダリ RADIUS サーバーをどの IAS サーバーにするかを決めておく必要があります。
ここで説明する手順では、RADIUS クライアントを 2 台の IAS サーバーに追加します。1 番目の手順、RADIUS クライアントの 1 台目の IAS サーバーへの追加を実行すると、ワイヤレス AP に対する RADIUS シークレットが生成されます。IAS サーバーとワイヤレス AP は、この RADIUS シークレットを使用して互いに相手を認証します。RADIUS クライアントとそのシークレットの詳細は、ファイルに記録されます。2 番目の手順、RADIUS クライアントの 2 台目の IAS サーバーへのインポートでは、このファイルを使用してクライアントを 2 台目の IAS サーバーにインポートします。
**重要:** 1 番目の手順で、同じクライアントを 2 台の IAS サーバーに追加しないでください。追加した場合、各 IAS サーバー上のクライアント エントリに対して異なる RADIUS シークレットが構成され、両方のサーバーはワイヤレス AP を認証することができなくなります。
##### アクセス ポイントを 1 台目の IAS サーバーに追加する
ここでは、ワイヤレス AP を 1 台目の IAS サーバーに追加する手順について説明します。強力な乱数 RADIUS シークレット (パスワード) を生成する処理と、クライアントを IAS サーバーに追加する処理を自動化するためのスクリプトが用意されています。このスクリプトを実行すると、追加された各ワイヤレス AP の詳細を記録したファイル (既定の名前は Clients.txt) の作成も行なわれます。このファイルに記録される情報は、各ワイヤレス AP の名前、IP アドレス、および生成された RADIUS シークレットです。これらの情報は、2 台目の IAS サーバーおよびワイヤレス AP を構成する際に必要になります。
クライアントを手動で追加する場合は、「ワイヤレス AP に対するクライアント エントリ ファイルを生成するには」にある 1 番目の手順の代替手順を実行し、ワイヤレス AP に対する RADIUS シークレットを生成してください。
**重要:** RADIUS クライアントは、"RADIUS Standard" クライアントとして IAS サーバーに追加されます。大部分のワイヤレス AP の場合これで問題ありませんが、一部のワイヤレス AP では IAS サーバー上でベンダ特有の属性 (VSA) を構成する必要があります。VSA を構成するには、\[インターネット認証サービス\] MMC を開き、その RADIUS クライアントのプロパティでそのベンダ特有の機器を選択します。機器の一覧が表示されない場合は、IAS リモート アクセス ポリシーの中で VSA を指定します。IAS サーバー上で VSA を構成する手順についての詳細は、この章の最後に記載されている関連情報を参照してください。
また、RADIUS サーバーにおける VSA の要件については、ご使用のワイヤレス AP のマニュアルを参照してください。
**RADIUS クライアントを 1 台目の IAS サーバーに追加するには**
1. ワイヤレス AP を追加する IAS サーバーにログオンし、\[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. 現在のフォルダに既に RADIUS クライアント出力ファイルが存在する場合、または path パラメータで既存の RADIUS クライアント出力ファイルを指定した場合、新しいクライアント エントリはそのファイルの末尾に追加されます。新しいクライアント エントリを既存の RADIUS クライアント出力ファイルに追加しない場合は、そのファイルを削除するか、または path パラメータで代わりのファイルを指定します。
3. 次のコマンドを実行し、ワイヤレス AP を IAS サーバーに追加します。
**MSSTools AddRADIUSClient** \[**/path:***OutputFile.txt*\]
**注:** **path** パラメータは省略可能です。このコマンドの出力データを格納するファイルの名前を指定できます。フォルダ パスを付加することも可能です。パスの中に空白が含まれている場合は、引用符で囲む必要があります。path パラメータを指定しない場合、コマンド出力データは現在のフォルダにある Clients.txt に保存されます。
4. ワイヤレス AP の名前を入力するよう要求されたら、名前を入力します。ここで入力する名前は、\[インターネット認証サービス\] MMC でわかりやすい名前にしてください。ワイヤレス AP 構成の中で指定された名前を入力する必要はありません。DNS 名などの文字列を使用してください。
5. ワイヤレス AP の IP アドレスを、ドットを使って入力します (例: 10.20.1.153)。
6. このクライアントに対するパスワード (RADIUS シークレット) が自動生成されます。このパスワードは、無作為に生成される印刷可能な 23 桁の文字列で、暗号化されています。IAS とワイヤレス AP は、このパスワードを使用して互いを認証します。ここまでで指定した設定に基づいて、RADIUS クライアントが IAS に追加されます。また、IP アドレスと RADIUS シークレットが、現在のフォルダにある出力ファイル (既定の名前は Clients.txt) の末尾に追加されます。この出力ファイルはカンマ区切り形式のテキスト ファイルであり、各行に RADIUS クライアントが 1 つずつ記述されています。そのため、この出力ファイルをスクリプト内で使用したり、Microsoft Excel などのツールにインポートして編集したりすることが簡単にできます。
7. この IAS サーバーに追加する他の全ワイヤレス AP に対して、ステップ 3 から 6 を実行します。
この出力ファイルは、後でワイヤレス AP 上で RADIUS シークレットを設定するときに参照されます。詳細については、後述の「ワイヤレス アクセス ポイントを構成する」を参照してください。
**重要:** RADIUS クライアント出力ファイルを IAS サーバー上に置いたままにしないでください。このファイルには、RADIUS クライアント シークレットが暗号化されない状態で格納されています。ワイヤレス AP の追加が完了したら、このファイルをフロッピー ディスクなどの書き込み可能なリムーバブル メディアに移動し、安全な場所に保管してください。
前の「RADIUS クライアントを 1 台目の IAS サーバーに追加するには」の手順では、このソリューションに付属しているサンプル ツール (AddRADIUSClient.exe) を使用しています。このツールはシンプルな Visual Basic .NET アプリケーションであり、Server Data Objects インターフェイスを使用して IAS サーバーを構成します。このツールを使用すれば、ユーザー独自のスクリプトを記述して、クライアントを IAS サーバーに追加することができます。
このツールはマイクロソフトによるサポートがなく、十分なテストもされていません。しかし、このツールの使用前にユーザー側でテストまたは修正する必要がある場合に備えて、このツールのソース コードも付属しています。
**注:** セットアップ手順で使用される多くのスクリプトと異なり、このスクリプトではログ ファイル MSSWLAN-setup.log に詳細な進行状況が書き込まれることはありません。これは、RADIUS クライアント シークレットがそのログ ファイルに保存され、セキュリティ上のリスクが高まるのを防ぐためです。ただし、画面には詳細な進行状況が表示されます。
###### アクセス ポイントを IAS サーバーに追加するスクリプトを作成する (代替手順)
ワイヤレス AP を IAS サーバーに追加する際に「RADIUS クライアントを 1 台目の IAS サーバーに追加するには」の対話型手順を使用しない場合、ワイヤレス AP を IAS に追加せずに、各ワイヤレス AP に対する RADIUS クライアント エントリ出力ファイルだけを生成する方法もあります。この場合、後述の「RADIUS クライアントを 2 台目の IAS サーバーにインポートするには」で説明する手順を使用して、RADIUS クライアント エントリを 1 台目の IAS サーバーと 2 台目の IAS サーバーの両方にインポートできます。これらの処理全体をスクリプトとして記述できるので、多数のワイヤレス AP を追加する必要がある場合にこの方法を使用することもできます。
**重要:** この手順は、スクリプトを使用して RADIUS クライアントを追加する方法であり、対話によって RADIUS クライアントを追加する方法の代わりとして使用するものです。前述の「RADIUS クライアントを 1 台目の IAS サーバーに追加するには」の手順を既に実行している場合は、この手順を実行する必要はありません。
次の手順を実行し、強力な RADIUS シークレットを生成します。このスクリプトは、「RADIUS クライアントを 1 台目の IAS サーバーに追加するには」の手順と同様、CryptoAPI 関数を使って各 RADIUS シークレットに用いる真の乱数値を生成します。この乱数値は強力であり、パスワード推測攻撃や辞書攻撃によって破られることはまずありません。
**ワイヤレス AP に対するクライアント エントリ ファイルを生成するには**
1. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. 次のコマンドを実行します。*ClientName* パラメータをわかりやすいワイヤレス AP の名前に、*IPAddress* をワイヤレス AP の IP アドレスに、それぞれ置き換えます。コマンド出力を保存するファイル名とパスを指定することもできます。path パラメータを指定しない場合、コマンド出力は現在の作業フォルダにある Clients.txt に保存されます。出力ファイルが既に存在している場合、コマンド出力はそのファイルの末尾に追加されます。存在しない場合は、新規に作成されます。
**MSSTools GenRADIUSPwd /client:***ClientName***/IP:***IPaddress* \[**/path:***path\\filename*\]
client パラメータと path パラメータの値には空白を含めることができますが、その場合はパラメータ値を引用符で囲む必要があります。このコマンド構文は、レイアウトの都合上複数行に分かれている場合がありますが、実際には 1 行で入力してください。
3. RADIUS シークレットを生成するすべてのワイヤレス AP に対して、ステップ 2 を実行します。各クライアント エントリが、出力ファイル (既定のファイルは Clients.txt) の末尾に追加されます。このファイルはカンマ区切り形式のテキスト ファイルであり、各行に RADIUS クライアントが 1つずつ記述されています。そのため、この出力ファイルをスクリプト内で使用したり、Microsoft Excel などのツールにインポートして編集することが簡単にできます。
**注意:** 出力ファイルを IAS サーバー上に置いたままにしないでください。このファイルには、RADIUS クライアント シークレットがプレーンテキストの状態で格納されています。ワイヤレス AP の追加が完了したら、このファイルをフロッピー ディスクなどの書き込み可能なリムーバブル メディアに移動し、安全な場所に保管してください。
**注:** セットアップ手順で使用される多くのスクリプトと異なり、このスクリプトではログ ファイル MSSWLAN-setup.log に詳細な進行状況が書き込まれることはありません。これは、RADIUS クライアント シークレットがそのログ ファイルに保存され、セキュリティ上のリスクが高まるのを防ぐためです。ただし、画面には詳細な進行状況が表示されます。
##### アクセス ポイントを 2 台目の IAS サーバーにインポートする
ワイヤレス AP を 1 台目の IAS サーバーに追加したら、RADIUS を使用するようにワイヤレス AP を構成する前に、ワイヤレス AP を 2 台目の IAS サーバーに追加する必要があります。
**RADIUS クライアントを 2 台目の IAS サーバーにインポートするには**
1. 前述の手順で生成されたクライアント出力ファイルをコピーします (セキュリティ上の問題があるため、このファイルを 1 台目の IAS サーバーから完全に削除してください。このファイルは、この後 1 台目の IAS サーバーで必要になることはありません)。
2. そのファイルをメモ帳か Microsoft Excel で開き、正しいエントリが追加されているかどうか確認します。この作業は重要です。以前に RADIUS クライアント追加手順を実行した際に作成された古いエントリが残っている可能性があるからです。不要なクライアント エントリがあれば、削除します。
3. 次のコマンドを実行し、これらのクライアントを 2 台目の IAS サーバーにインポートします。
**MSSTools AddSecRADIUSClients** \[**/path:***InputFile.txt*\]
**注:** **path** パラメータは省略可能です。path パラメータの指定を変更すれば、別のファイルまたはフォルダにあるファイルから入力データを読み取ることができます。パスの中に空白が含まれている場合は、引用符で囲む必要があります。path パラメータを指定しない場合、入力データは現在のフォルダにある Clients.txt から読み取られます。
4. 入力ファイル内に無効な形式のクライアント エントリがある場合、そのエントリは処理対象から除外されます。スクリプトの完了時に、正しく処理されたエントリと処理されなかったエントリの数が表示されます。
5. クライアントが正しく追加されたかどうかを確認するため、\[インターネット認証サービス\] MMC を開き、\[RADIUS クライアント\] フォルダの内容を調べます。
**注:** このソリューションのインストール作業と構成作業で使用される多くのスクリプトと異なり、このスクリプトではログ ファイル MSSWLAN-setup.log に詳細な進行状況が書き込まれることはありません。これは、RADIUS クライアント シークレットがそのログ ファイルに保存され、セキュリティ上のリスクが高まるのを防ぐためです。ただし、画面には詳細な進行状況が表示されます。
#### ワイヤレス アクセス ポイントを構成する
ワイヤレス AP に対して RADIUS クライアント エントリを IAS サーバーに追加する作業が完了したら、次にワイヤレス AP 自体の構成作業を行う必要があります。ここでは、IAS サーバーの IP アドレス、および各ワイヤレス AP が IAS サーバーと安全に通信するために使用する RADIUS クライアント シークレットを追加する必要があります。各ワイヤレス AP に対して、プライマリ IAS サーバーとセカンダリ (バックアップ) IAS サーバーを構成します。組織内の全サイトのワイヤレス AP に対して、ここで説明する手順を実行する必要があります。各ワイヤレス AP を IAS サーバーに割り当てる方法についての詳細は、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」で説明している手順を参照してください。
ワイヤレス AP を構成する手順は、デバイスの製造元やモデルによって大きく異なります。ただし、一般にワイヤレス AP のベンダは、自社製品を構成するための詳細な指示書を用意しています。ベンダによっては、これらの指示書を Web サイトで入手できます。
ワイヤレス AP に関するセキュリティ設定を構成する前に、基本的なネットワーク設定を構成する必要があります。主なネットワーク設定は次のとおりです。
- ワイヤレス AP の IP アドレスとサブネット マスク
- デフォルト ゲートウェイ
- ワイヤレス AP のフレンドリ名
- ワイヤレス ネットワーク名 (SSID)
この他にも、複数のワイヤレス AP を展開する際に影響を及ぼすパラメータが多くあります。たとえば、サイト全体にわたって無線を正しく使えるようにするための設定 (例: 802.11 無線チャネル、伝送レート、伝送能力) などです。ただし、これらのパラメータについてはこのソリューションの対象範囲外なので、ここでは説明しません。これらの設定を構成する場合は、ベンダから提供されるマニュアルを参照するか、またはネットワーク サービス事業者にお問い合わせください。ワイヤレス AP の展開についての詳細は、この章の最後に記載されている関連情報を参照してください。
この章では、これらの設定が正しく設定されており、未認証接続を使用して WLAN クライアントからワイヤレス AP に接続できることを前提としています。以降のセクションの一覧にある認証パラメータとセキュリティ パラメータを構成する前に、これらの設定が正しいかどうかテストしてください。
##### アクセス ポイント上でセキュリティ保護された WLAN 認証を有効にする
各ワイヤレス AP に対して、プライマリ RADIUS サーバーとセカンダリ RADIUS サーバーの設定を構成する必要があります。通常、ワイヤレス AP ではすべての認証要求に対してプライマリ サーバーが使用されます。プライマリ サーバーが使用できない場合は、セカンダリ サーバーに切り替わります。「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」で説明したとおり、ワイヤレス AP の割り当て計画を立てて、プライマリにするサーバーとセカンダリにするサーバーを慎重に決めることが重要です。まとめると、次のようになります。
- IAS サーバーが複数台あるサイトでは、サーバー間でワイヤレス AP 処理の負荷を分散します。つまり、ワイヤレス AP の約半数は、サーバー 1 をプライマリ サーバーとして、サーバー 2 をセカンダリ サーバーとして使用します。残りの約半数は、サーバー 2 をプライマリ サーバーとして、サーバー 1 をセカンダリ サーバーとして使用します。
- IAS サーバーが 1 台しかないサイトでは、そのサーバーが常にプライマリ サーバーになります。信頼性の高い方法でこのサイトと接続されているサイト内のリモート サーバーを、セカンダリ サーバーとして構成する必要があります。
- IAS サーバーが 1 台もないサイトの場合、リモート サーバー間でワイヤレス AP 処理の負荷を分散します。その際、障害からの回復能力が高く、接続待ち時間が短いサーバーを使用します。これらのサーバーは互いに別のサイトにあるのが理想です。ただし、ワイド エリア ネットワーク (WAN) 接続の障害回復能力が高い場合は、同じサイトにあっても差し支えありません。
次の表は、ワイヤレス AP 上で構成する必要のある設定の一覧です。これらの設定の名前と説明は、ベンダによって異なる場合があります。ただし、ご使用のワイヤレス AP のマニュアルを読めば、この表の項目に対応するものを特定できるはずです。
**表 5.3: ワイヤレス アクセス ポイントの構成**
| 認証パラメータ |
|
| 認証モード |
802.1x 認証 |
| 再認証 |
有効 |
| 高速/動的キー更新 |
有効 |
| キー更新タイムアウト |
60 分 |
| 暗号化パラメータ (これらの設定項目は通常、静的 WEP 暗号化に関連します) |
(高速キー更新が有効になっている場合、暗号化パラメータは無効になることがあります) |
| 暗号化を有効にする |
有効 |
| 暗号化されていないデータを拒否する |
有効 |
| RADIUS 認証 |
|
| RADIUS 認証を有効にする |
有効 |
| プライマリ RADIUS 認証サーバー |
プライマリ IAS サーバーの IP アドレス |
| プライマリ RADIUS サーバーのポート |
1812 (既定値) |
| セカンダリ RADIUS 認証サーバー |
セカンダリ IAS サーバーの IP アドレス |
| セカンダリ RADIUS サーバーのポート |
1812 (既定値) |
| RADIUS 認証共有シークレット |
XXXXXX (生成されたシークレット) |
| 最大再試行回数 |
5 |
| 再試行タイムアウト |
5 秒 |
| RADIUS アカウンティング |
|
| RADIUS アカウンティングを有効にする |
有効 |
| プライマリ RADIUS アカウンティング サーバー |
プライマリ IAS サーバーの IP アドレス |
| プライマリ RADIUS サーバーのポート |
1813 (既定値) |
| セカンダリ RADIUS アカウンティング サーバー |
セカンダリ IAS サーバーの IP アドレス |
| セカンダリ RADIUS サーバーのポート |
1813 (既定値) |
| RADIUS アカウンティング共有シークレット |
XXXXXX (生成されたシークレット) |
| 最大再試行回数 |
5 |
| 再試行タイムアウト |
5 秒 |
**重要:** 動的 WEP と組み合わせて使用する場合、"キー更新タイムアウト" は 60 分に設定します。IAS リモート アクセス ポリシーの \[セッション タイムアウト\] の値は、この値以下に設定します。詳細については、「WLAN アクセス ポリシー プロファイル設定を変更する」を参照してください。この 2 つの値のうち短い方が優先されるので、IAS で設定を変更するだけで十分です。WPA を使用している場合は、ワイヤレス AP でこの設定を 8 時間に増やすことをお勧めします。詳細については、ベンダから提供されている文書を参照してください。
「RADIUS クライアントを 1 台目の IAS サーバーに追加するには」の手順で生成された RADIUS シークレットを使用して、ワイヤレス AP を IAS に追加します。プライマリ IAS サーバーに対するバックアップとしてセカンダリ IAS サーバーをまだ構成していない場合、この時点でサーバーの IP アドレスをワイヤレス AP に追加することができます (これにより、後で構成を変更する手間が省けます)。2 台目以降の IAS サーバーの構成については、この章で後述します。
ワイヤレス AP のモデルの中には、認証用 RADIUS サーバーとアカウンティング用 RADIUS サーバーに対して、エントリを別々に構成できないものがあります。エントリを別々に構成できる機種でも、特別な理由がある場合を除いて、両方のエントリを同じサーバーに設定します。
この表で示されている RADIUS の最大再試行回数と再試行タイムアウトの値は既定値ですが、必ずしもその値を使用する必要はありません。
**注:** 現在使用しているワイヤレス AP において、セキュリティ機能が無効になっているか静的 WEP だけを有効にしている場合、802.1x 規格に対応した WLAN への移行を計画する必要があります。既存のワイヤレス ネットワークからの移行についての詳細は、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」の「既存の WLAN から移行する」を参照してください。
##### ワイヤレス アクセス ポイントをセキュリティ保護するための追加設定
802.1x 関連のパラメータを有効にするだけでなく、セキュリティを最大限に高めるようにワイヤレス AP を構成すべきです。ほとんどのネットワーク ハードウェアでは、セキュリティの低い管理プロトコルの使用が有効になっており、管理者パスワードにはよく知られた値が既定値として設定されています。このため、セキュリティ上のリスクが存在します。次の表に示す項目を構成する必要があります。ただし、この表ではすべての項目を網羅しているわけではありません。これらの項目に関して信頼できるガイダンスについては、ベンダから提供されている文書を参照してください。簡易ネットワーク管理プロトコル (SNMP) に対するパスワードとコミュニティ名は、大文字、小文字、数字、および句読点を組み合わせた複雑な値にします。ドメイン名、会社名、サイトのアドレスなどから容易に推測できる値は避けてください。
**表 5.4: ワイヤレス アクセス ポイントのセキュリティ構成**
| 一般 |
|
|
| 管理者パスワード |
XXXXXX |
複雑なパスワードを設定します。 |
| その他の管理パスワード |
XXXXXX |
一部のデバイスでは、複数の管理パスワードを使用することによって、さまざまな管理プロトコルを使用したアクセスをセキュリティ保護しています。このようなデバイスでは、すべての管理パスワードを既定値から安全な値に変更してください。 |
| 管理プロトコル |
|
|
| シリアル コンソール |
有効 |
暗号化されたプロトコルを利用できない場合に、ワイヤレス AP を構成するうえで最もセキュリティの高い方法です。ただし、ワイヤレス AP と端末をシリアル ケーブルで物理的に接続する必要があるので、リモート管理することはできません。 |
| Telnet |
無効 |
Telnet では、データは必ずプレーンテキストで送信されるので、パスワードと RADIUS クライアント シークレットはネットワーク上の他のユーザーが見られる状態となります。ただし、Internet Protocol security (IPsec) または SSH を使用して Telnet トラフィックをセキュリティ保護できる場合は、Telnet を安全に使用できるので、有効にしても差し支えありません。 |
| HTTP |
無効 |
通常、HTTP トラフィックはデータがプレーンテキストで送信されるので、暗号化されていない Telnet と同様の弱点を抱えています。可能であれば HTTPS を使用することをお勧めします。 |
| HTTPS (SSL または TLS) |
有効 |
HTTPS に関するキー/証明書の構成については、ベンダの指示に従ってください。 |
| SNMP コミュニティ |
|
SNMP は、ネットワーク管理用として既定で使われるプロトコルです。セキュリティを最大限に高めるには、SNMP v3 とパスワード保護を組み合わせて使用してください。SNMP は、GUI 構成ツールやネットワーク管理システムでもよく使われます。ただし、このプロトコルを使用しない場合は無効にしてください。 |
| コミュニティ 1 の名前 |
XXXXXX |
既定値は一般に "public" です。この名前を複雑な値に変更してください。 |
| コミュニティ 2 の名前 |
無効 |
不要なコミュニティの名前は、無効にするかまたは複雑な値に設定する必要があります。 |
SSID (WLAN ネットワーク名) ブロードキャストは無効にすべきではありません。無効にした場合、正しいネットワークに接続するという Windows XP の機能を妨げるおそれがあります。セキュリティ対策として、SSID ブロードキャストを無効にすることが推奨されることもありますが、セキュリティ保護された 802.1x 認証方式を使用している場合は、SSID ブロードキャストを無効にしてもセキュリティ上の実効性はほとんどありません。ワイヤレス AP からの SSID ブロードキャストを無効にしたとしても、攻撃者はクライアント接続パケットを取り込むことによって SSID を比較的容易に特定できます。WLAN の存在を知られることが心配な場合は、SSID に対して自分の組織に関係のない一般的な名前を使用することもできます。
#### RADIUS クライアント構成を他の IAS サーバーに複製する
通常、特定のサイトにあるワイヤレス AP は、そのサイトにある IAS サーバーの管轄下にあります。たとえば、サイト A の IAS サーバーはサイト A 内のワイヤレス AP を管轄し、サイト B の IAS サーバーはサイト B 内のワイヤレス AP を管轄します。ただし、リモート アクセス ポリシーなど他のサーバー設定は、多くの IAS サーバー間で共通しているのが一般的です。このため、RADIUS クライアント情報のエクスポートとインポートは、ここで説明する手順を使って別途処理します。
RADIUS クライアント情報を複製することに意味のあるケースは比較的少ないですが、ある特定の状況では便利です。たとえば、あるサイトに IAS サーバーが 2 台あり、それぞれがそのサイトのすべてのワイヤレス AP に対するプライマリ RADIUS サーバーとセカンダリ RADIUS サーバーとして動作している場合などです。
**RADIUS クライアント設定をファイルにエクスポートするには**
1. エクスポート元 IAS サーバーにログオンし、\[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. 出力ファイルの保存先フォルダを指定するか、フォーマット済みの空のフロッピー ディスクをサーバーのドライブに挿入します。
3. 次のコマンドを実行し、RADIUS クライアント構成をエクスポートします。
**MSSTools ExportIASClients** \[**/path:***OutputFolder*\]
*OutputFolder* はオプション パラメータであり、出力ファイルの保存先フォルダを指定する際に使用します。このパラメータを指定しない場合、出力ファイルは現在のフォルダに書き込まれます。このパラメータを指定する場合、そのフォルダが存在している必要があります。
4. IAS\_Clients.txt というファイルが生成されます。
**注意:** このファイルは IAS サーバーから安全な場所に移す必要があります。これは、このサーバー上で構成されたすべてのワイヤレス AP に対する RADIUS シークレットが格納されているためです。RADIUS クライアント設定のエクスポートが完了したら、その設定を他の IAS サーバーにインポートできます。通常は、このインポート作業を実行して、特定のワイヤレス AP に対するセカンダリ IAS サーバーを作成します。
**RADIUS クライアント設定をファイルからインポートするには**
1. インポート先 IAS サーバーにログオンし、\[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. エクスポートした RADIUS シークレット ファイル (IAS\_Clients.txt) が保存されているフォルダまたはフロッピー ディスクを確認します。
3. 次のコマンドを実行し、RADIUS クライアント構成をインポートします。
**MSSTools ImportIASClients** \[**/path:***InputFolder*\]
*InputFolder* はオプション パラメータであり、インポート元ファイルが格納されているフォルダを指定する際に使用します。このパラメータを指定する場合、そのフォルダが存在している必要があります。フォルダを指定しない場合、ファイルは現在のフォルダにあると見なされます。
**警告:** IAS\_Clients.txt をインポート先サーバーにコピーしたら、このファイルをインポート元 IAS サーバーから安全な場所に移す必要があります。このファイルには、このサーバー上で構成されたすべてのワイヤレス AP に対する RADIUS シークレットが格納されているためです。
RADIUS クライアント情報のインポート処理は、累積的な処理ではありません。つまり、RADIUS クライアント設定をインポートすると、サーバー上の既存のクライアント エントリはすべて上書きされます。
RADIUS クライアントのインポート処理の柔軟性を高めるには、このソリューションに付属している AddRADIUSClient.exe ツールを使用します。このツールを使用することにより、特定の RADIUS クライアントを選択してさまざまなサーバーに追加するスクリプトを作成できます。
[](#mainsection)[ページのトップへ](#mainsection)
### 要約
この章では、次のトピックに関するガイダンスを提供しました。
- 1 台目の IAS サーバーをインストールして構成する方法
- 2 台目以降の IAS サーバーをインストールし、1 台目のサーバーから構成を複製する方法
- ワイヤレス AP を RADIUS クライアントとして IAS サーバーに追加する方法
- ワイヤレス AP を構成してIAS サーバーを使用する方法、および既定値を変更してセキュリティを強化する方法
これで、WLAN クライアントを構成するための準備が整いました。WLAN クライアントを構成する方法については、「第 6 章: ワイヤレス LAN クライアントを構成する」を参照してください。
また、「第 8 章: セキュリティ保護されたワイヤレス LAN ソリューションを維持する」を読むことをお勧めします。この章では、RADIUS インフラストラクチャを安全性と信頼性の高い方法で運用するための基本情報について説明しています。
[](#mainsection)[ページのトップへ](#mainsection)
### 参照情報
ここでは、この章の内容に関連する重要な補足情報やその他の参考資料を紹介します。
- Windows Server 2003 製品マニュアルの「インターネット認証サービス」。URL は次のとおりです。