クライアント端末が無線LAN経由で企業ネットワークに安全にアクセスする際は、WPA2 EAP認証とNPSサーバ(WindowsのNetwork Policy Server)を組み合わせる方法が一般的です。認証手順やDHCPでのIPアドレス取得を含めた全体フローを理解しておくと、トラブルシューティングやポリシー設計がスムーズになります。ここではNAS IDを活用した認証ポリシーの活用ポイントやフローの具体例をわかりやすく解説します。
WPA2 EAP認証とは
WPA2 EAP認証は、エンタープライズレベルのセキュリティを実現するために802.1Xと組み合わせて使用される無線LANの認証方式です。WPA2は暗号化プロトコルの一種で、AES暗号による高いセキュリティ強度を提供します。一方、EAP(Extensible Authentication Protocol)はユーザ認証方式のフレームワークであり、さまざまなEAPメソッド(EAP-TLSやPEAPなど)をサポートします。
WPA2 EAP認証のメリット
- 無線LAN接続でも高いセキュリティレベルが確保できる
- ユーザ名/パスワードやデジタル証明書を用いた強固な認証が可能
- 企業内のActive Directoryなどと連携しやすい
- RADIUSサーバ(NPSなど)のポリシー制御により詳細なアクセス制限を実現できる
WPA2 EAP認証の構成要素
- クライアント(PCやスマートフォンなど)
EAPクライアント機能を持ち、802.1Xの要求に応じて認証情報を送信します。 - アクセスポイント(またはスイッチ)
802.1X Authenticatorの役割を担い、クライアントとRADIUSサーバ間のEAPメッセージを転送します。 - RADIUSサーバ(NPS)
受け取ったEAPメッセージの処理やユーザ認証情報の検証を行います。Windows ServerのNPS機能を使って実装するケースが多く、NAS IDなどの条件によるポリシー判定を行います。
NAS ID(ネットワークアクセスサーバID)の概要
NAS IDは「Network Access Server Identifier」と呼ばれ、RADIUSクライアントを区別するために利用される文字列です。NPSサーバに接続する複数のAPやスイッチを運用する場合、デバイスごとにNAS IDを設定することで、NPS側でアクセスポイントごとの認証ポリシーを分岐できます。
- 使用例
- 拠点AのAPには
NAS-ID=AP-BranchA - 拠点BのAPには
NAS-ID=AP-BranchB
このように設定すると、NPS側で「NAS IDがAP-BranchAならばポリシーX、AP-BranchBならばポリシーY」といった条件分岐を行えます。
NPSサーバと連携したDHCP・認証フローの全体像
ここでは、WPA2 EAP認証をNPSサーバと連携しつつDHCPでIPアドレスを取得する際の全体的な流れを示します。必ずしもすべての環境で同一ではありませんが、以下のような手順を押さえておくと運用やトラブルシュートが円滑になります。
1. クライアントデバイスの起動とAP検出
クライアントはOS起動後にWi-Fiインターフェースをオンにし、周辺のアクセスポイントをスキャンします。SSIDを指定するか、一覧から企業のSSIDを選択することで接続を開始します。多くの企業環境ではSSIDが隠蔽されている場合や、証明書ベースの自動接続設定が行われているケースもあるため、クライアントは事前に接続情報(SSIDやEAP設定)を保持していることが多いです。
2. DHCPディスカバリ(初回IPアドレス取得)の例
802.1X認証の前か後かでDHCPを動かすタイミングは運用設計によって異なります。以下は、認証前に一時IPを取得しにいくケースの一例です。
- DHCP Discover
クライアントはブロードキャストでDHCP Discoverを送信し、IPアドレスの提供元を探索します。 - DHCP Offer
DHCPサーバ(もしくはDHCPリレー経由で届く場合もある)からDHCP Offerが返され、利用可能なIPアドレス情報を含むオファーが提示されます。 - DHCP Request
クライアントはDHCP Offerで提示されたIPアドレスを希望するためDHCP Requestを送信します。 - DHCP Ack
最後にDHCPサーバがDHCP Ackを返し、クライアントが仮に利用できるIPアドレスを取得します。
運用によっては、認証前にこのIPアドレスを割り当てても「仮IP」として通信制限をかけ、本格的なアクセスは認証成功後にしか許可されない方式を取ることもあります。認証が通らない場合は該当クライアントを隔離ネットワークに留めておき、社内リソースに一切アクセスさせない設定を行うのが一般的です。
3. 802.1X認証の開始
クライアントはアクセスポイントを通じて認証を行います。代表的なメッセージフローは以下のようになります。
- EAPOL-Start
クライアントはアクセスポイントに対してEAPOL-Startを送信し、802.1Xの認証開始を要求します。 - EAP-Request/Identity
アクセスポイントはクライアントにユーザ名などの識別情報を問い合わせるためEAP-Request/Identityを送ります。 - EAP-Response/Identity
クライアントは自身のID(ユーザ名、またはデバイスIDなど)を含むEAP-Response/Identityを返します。 - RADIUSへの転送
アクセスポイントは、このEAP-Response/IdentityをRADIUSパケット(Access-Request)としてNPSサーバに転送します。転送する際にNAS IDなどの情報も付与します。
NAS IDを付与する仕組み
NAS IDはRADIUSクライアント(ここではアクセスポイント)の設定画面で指定します。例えば、Cisco系APであればradius-server attribute 32 include-in-access-req format <NAS-ID>などの設定、Arubaや他ベンダのAPの場合はGUIやCLIでNAS-Identifierを指定する項目があり、それがRADIUSパケットに含まれてNPSサーバへ送信されます。
4. EAP認証フロー(NPSサーバ側)
NPSサーバは受け取ったAccess-Requestをもとに、ポリシー(ネットワークポリシー)を適用します。ここでNAS IDが評価され、適切なポリシーが選択されます。主なフローは以下のとおりです。
- ポリシーの選択
- NPSサーバは「接続要求ポリシー」「ネットワークポリシー」などを順に参照します。
- 例えば「NAS IdentifierがAP-BranchAの場合はEAP-TLSポリシーを使う」など、条件によってEAP方式や許可・拒否を決定。
- EAPメソッドのネゴシエーション
- クライアントからの
EAP-Response/Identityをもとに、サーバ側が要求するEAP方式(EAP-TLSやPEAP-MS-CHAP v2など)を選択。 - 例: サーバは
EAP-Request/PEAPやEAP-Request/EAP-TLSを送信し、クライアントと認証方式を交渉する。
- クライアント認証情報の確認
- 証明書ベースの場合はサーバ証明書の提示→クライアント証明書送付→サーバで有効性チェック。
- ユーザ名・パスワード(PEAP-MS-CHAP v2)の場合はNPSサーバがActive Directoryと連携し、資格情報の照合を行う。
- 認証成功/失敗の判定
- 認証成功の場合は
Access-AcceptをRADIUSパケットとしてAPに返す。EAPレイヤではEAP-Successがクライアントへ返される。 - 認証失敗の場合は
Access-Reject→EAP-Failureとなり、クライアントは無線LANに接続できない。
認証方式別の例
| EAP方式 | 特徴 | 運用のポイント |
|---|---|---|
| EAP-TLS | クライアント証明書を用いる、セキュリティが高い方式 | AD CS(証明書サービス)との連携や証明書の管理が必要 |
| PEAP-MS-CHAP v2 | サーバ側の証明書のみ必要、ユーザ名/パスワード認証 | ユーザパスワード管理が重要。ADと組み合わせるケースが多い |
| EAP-TTLS / PAPなど | トンネル内部でPAPなどを使用する | 大学・公共系で採用例があるが、企業利用はPEAPが主流 |
| EAP-FAST | Cisco独自方式。トンネルを張ってMS-CHAP v2などを利用 | Cisco機器同士では導入しやすいが、一般的にはPEAPに近い運用 |
5. 4-Way Handshakeによる暗号キー生成
認証が成功すると、WPA2の暗号キー(PTKやGTK)を共有するための4-Way Handshakeが行われます。この手順により、無線区間でのデータはAESなどの暗号方式で保護されます。
- Message 1 (AP→クライアント)
APがランダム値ANonceをクライアントに送信。 - Message 2 (クライアント→AP)
クライアントがSNonce(自分側のランダム値)を生成し、PMK(事前共有キーやEAP認証の結果生成されたキー)からPTKを導出。ANonceやSNonceを用いてAPにレスポンスを返す。 - Message 3 (AP→クライアント)
APはSNonce等を受け取り、同じPMKからPTKを導出。さらにGTK(グループキー)を含む情報をクライアントに送信。 - Message 4 (クライアント→AP)
クライアントはGTKをインストールし、最終的にAPへ完了通知を返す。
この4-Way Handshakeが完了した時点で、データフレームは暗号化されて送受信されるようになります。
6. DHCPリース更新や再認証
実際の運用では、802.1X認証成功後に改めてIPアドレスを取得するケースや、先に取った仮IPを継続利用するケースなど、ネットワーク設計によって様々です。もし認証後にVLANが切り替わる場合は、新たなVLANでDHCPを再実行してクライアントが正規IPを取得することもあります。
- DHCPリース更新
クライアントがリース期限の半分程度経過した際に再度DHCP Requestを送信し、DHCPサーバからDHCP Ackが返ってくればリースが延長される。 - 再認証(セッションタイムアウト)
802.1Xにはセッションタイムアウトや再認証インターバルが設定されている場合があり、一定時間ごとに再度EAP認証を行うことがある。これにより、証明書失効やパスワード変更などがリアルタイムに反映しやすくなる。
VLAN切り替えの例
NPSのポリシーで「認証が成功したユーザはVLAN Xへ移動させる」という設定が可能です。RADIUS属性である「Tunnel-Private-Group-Id」などを返すことで、AP(もしくはスイッチ)がクライアントを指定VLANに割り当てます。この場合、クライアントがアドレス再取得を行い、実際の社内LANに接続できるようにすることが一般的です。
NPSサーバの設定手順例
ここではWindows ServerのNPS(ネットワークポリシーサーバ)を利用し、WPA2 EAP認証を実現する場合の基本的な手順をコード例や手順例で示します。
1. NPSの役割をインストール
Windows Serverマネージャー、またはPowerShellでNPSの役割サービスを追加します。PowerShell例は以下のとおりです。
Install-WindowsFeature NPAS -IncludeManagementToolsこれによりNPSやRADIUS関連ツールがインストールされます。
2. RADIUSクライアント(アクセスポイント)の登録
NPSコンソールを開き、「RADIUSクライアントとサーバー」→「RADIUSクライアント」を右クリックして「新規」を選択。以下の情報を入力します。
- フレンドリ名: 識別用の名前(例: AP-BranchA)
- アドレス (IPまたはFQDN): APの管理IPアドレス(例: 192.168.10.10)
- 共有シークレット: AP側にも設定したRADIUS共有シークレットを入力
- その他: NAS IDを一致させたい場合はAPの設定を確認
3. 接続要求ポリシーとネットワークポリシーの設定
NPSは「接続要求ポリシー」と「ネットワークポリシー」の2段階構造です。基本的にはネットワークポリシーの方で認証や承認のルールを定義します。
- 接続要求ポリシー
- どのRADIUSクライアントからのリクエストを受け付けるか、処理方法を定義。
- 必要に応じてNAS IDによってルーティングやプロキシ設定などを行う場合もある。
- ネットワークポリシー
- EAP方式やユーザグループ、NAS ID等を条件に許可・拒否を制御。
- 「条件」タブで「NAS Identifier」や「Windows Groups」などを追加し、条件に合致したら承認する/拒否するを決定。
ネットワークポリシーの設定例
- ネットワークポリシーの新規作成
- ポリシー名: BranchA-Policy
- 条件: NAS Identifier が
AP-BranchA - 条件: Windows グループ が
Domain Users - 制御方法: アクセスを許可
- EAP方式: Microsoft: EAP(PEAP)、もしくは Microsoft: Smart Card or other certificate(EAP-TLS)
- その他パラメータ: VLANを返却するなどの拡張設定
このようにNAS IDで分岐させることで「拠点AのAPを利用した場合のみ、このポリシーが適用される」「拠点BのAPは別ポリシー」といった柔軟な認証制御が行えます。
トラブルシューティングのポイント
ネットワークポリシーとNAS IDを組み合わせたWPA2 EAP認証構成では、設定ミスや接続失敗が起きやすいため、以下のチェックポイントを押さえておくとスムーズです。
1. NAS IDの不一致
- AP側で設定したNAS IDとNPSのポリシー条件で指定したNAS IDが一致しているか
- 大文字・小文字やスペースの有無など、文字列の微妙な違いを見落とさない
2. 共有シークレットの不一致
- RADIUSクライアント設定でAPとNPSそれぞれに設定した共有シークレットが一致していないと認証要求が拒否される
- シークレットに特殊文字を含む場合、入力ミスが起きやすい
3. 証明書の有効期限切れ
- EAP-TLSやPEAPでサーバ証明書を用いる場合、期限切れの証明書を使っていないか
- クライアント証明書の期限切れや失効リスト(OCSP/CRL)の問題がないか
4. DHCPサーバとの通信経路
- APやスイッチでDHCPリレーエージェントの設定に不備がないか
- 認証VLANとゲスト/隔離VLANが正しく切り替わっているか
5. イベントログの参照
- NPSサーバのイベントビューア: 「カスタムビュー」や「NPSイベントログ」を確認し、エラーコードや拒否理由を調査
- AP(無線LANコントローラ)ログ: RADIUSに対してAccess-Requestを送っているかの確認
運用を安定化させるためのポイント
認証システムは企業内ネットワークの要であるため、以下の運用ポイントに注目することでシステムの安定稼働を実現できます。
1. 証明書管理の徹底
- EAP-TLSの場合、クライアント証明書の自動更新(Microsoft Intuneやグループポリシー)を活用
- ルートCA証明書の配置ミスや期限切れを早めに検知するため、定期的な監視体制を構築
2. NPSサーバの冗長化
- 可能であれば、複数のNPSサーバを立ててRADIUSプロキシや負荷分散を行う
- 一台のNPSサーバに障害が起こっても認証不可にならないように設計する
3. ポリシーの定期見直し
- ユーザグループの構成変更や新拠点追加時にNAS IDやポリシーを更新
- 無効になったユーザやグループへのアクセス許可が残っていないか確認
4. ログと監査
- 802.1Xの認証ログを定期的に監査し、不審な接続や試行回数が多いユーザがいないか確認
- SIEMなどのログ基盤にRADIUSログを取り込んで可視化・分析するとなお効果的
5. セキュリティパッチの適用
- NPSやWindows Server、無線LANコントローラ、クライアントOSなど、関連するシステムに最新パッチを当てる
- WPA2に限らず、脆弱性が見つかれば迅速にファームウェアやソフトウェアを更新する
まとめ
WPA2 EAP認証をNPSサーバと組み合わせることで、無線LANでも高いレベルのセキュリティを確保しながら柔軟なポリシー運用が可能になります。NAS IDを使用すれば拠点やAPごとに認証ポリシーを分岐でき、ネットワーク管理者にとっては拡張性と可視性が向上します。一方で、DHCPの割り当てタイミングやVLAN切り替えなど、環境設計によっては複雑になる部分もあるため、事前に認証フローやDHCPフローをしっかり理解し、適切なトラブルシューティング手順を確立しておくことが重要です。
WPA2 EAP認証からDHCPによるIPアドレス取得、4-Way Handshakeによる暗号キーの生成まで一連の流れを把握しておくと、無線LAN環境を安定的かつセキュアに運用できます。NPSサーバ側でのNAS IDの設定や証明書管理を含む細部の設計・運用に気を配りながら、企業環境に最適な構成を構築してみてください。
コメント