アクセスポイントの RADIUS 認証を構成する

適用対象： WatchGuard Cloud の管理対象アクセスポイント (AP130、AP230W、AP330、AP332CR、AP430CR、AP432)

RADIUS (Remote Authentication Dial-In User Service) は、企業のネットワーク上のローカルユーザーおよびリモートユーザーを認証します。RADIUS はクライアント/サーバー型のシステムであり、ユーザー、リモートアクセスサーバー、VPN ゲートウェイ、およびその他のリソースの認証情報を 1 つの中央データベースで管理します。

RADIUS 認証が使用されるように Wi-Fi in WatchGuard Cloud アクセスポイントを構成するには、RADIUS サーバーを認証ドメインに追加し、そのドメインが認証に使用されるようにアカウントのアクセスポイントを構成します。

その後、ワイヤレスネットワーク SSID を WPA2 エンタープライズまたは WPA3 エンタープライズで構成し、RADIUS サーバーでワイヤレスクライアントを認証することができます。

ワイヤレスクライアントは、RADIUS サーバーで構成されている EAP ベースの方式を使用して、RADIUS サーバーで認証を受けます。

開始する前に

RADIUS 認証サーバーが使用されるようにアクセスポイントを構成するには、それぞれの RADIUS サーバーに関して以下の情報が必要となります。

RADIUS サーバー — RADIUS 認証サーバーの IP アドレスと RADIUS ポート。
共有シークレット — 大文字と小文字が区別されるパスワード。これは、WatchGuard Cloud の認証ドメイン構成と RADIUS サーバーで同じものになっている必要があります。
RADIUS アカウンティングサーバー (任意) — RADIUS アカウンティングサーバーの IP アドレスと RADIUS ポート。多くの配備環境では、認証サービスとアカウンティングサービスが同じ RADIUS サーバーに配置され、異なるポートで実行されます。
RADIUS アカウンティングサーバーでは、RADIUS トラフィックが監視され、セッションの開始や終了など、クライアントセッションに関するデータが収集されます。たとえば、RADIUS シングルサインオン (SSO) 配備において RADIUS アカウンティングサーバーを構成する必要があります。WatchGuard アクセスポイントと Firebox で RADIUS SSO を構成する方法の詳細については、次を参照してください：RADIUS シングルサインオンについて。
認証方法 — アクセスポイントとクライアントで使用される認証方法 (任意の EAP ベースの方法) が許可されるように RADIUS サーバーを構成します。

アクセスポイントの NAS 属性について

NAS (ネットワークアクセスサーバー) 属性とは、アクセスポイントとクライアントに関する特定の要素が RADIUS サーバーで識別されるようにするために、アクセスポイントから RADIUS サーバーに送信される要求パケットに含まれているデータです。こうした属性により、RADIUS サーバーでこのデータを認証、承認、アカウンティング、および動的なクライアントプロファイルの割り当て機能に使用できるようになります。

アクセスポイントファームウェア v2.1 以降では、SSID の詳細設定で、Called Station ID (コール先ステーションID) と NAS ID をカスタマイズすることができます。詳細については、次を参照してください：アクセスポイントの SSID 設定を構成する。

アクセスポイントファームウェア v2.1 以降

Called Station ID — 既定の Called Station ID は、SSID 名とアクセスポイントの MAC アドレス ([SSID]-[MAC アドレス]) となります。
例: MySSID-00-aa-00-bb-00-cc
また、SSID 詳細設定で、Called Station ID をカスタマイズすることもできます。事前定義された変数と組み合わせて、カスタムテキストを入力することができます。このフィールドの最大長は 32 文字です。変数展開を使用する場合、Called Station ID の最大長は 84 文字です。
%m — アクセスポイントイーサネットインターフェイスの MAC アドレス
%s — SSID 名
%n — デバイス名
NAS ID — 既定の NAS ID は、SSID 名とアクセスポイントの MAC アドレス ([SSID]-[MAC アドレス]) となります。例: MySSID-00-aa-00-bb-00-cc
また、SSID 詳細設定で、NAS ID をカスタマイズすることもできます。事前定義された変数と組み合わせて、カスタムテキストを入力することができます。このフィールドの最大長は 32 文字です。変数展開を使用する場合、NAS ID の最大長は 84 文字です。
%m — アクセスポイントイーサネットインターフェイスの MAC アドレス
%s — SSID 名
%n — デバイス名
NAS IP アドレス — アクセスポイントの IP アドレス。これは、静的 IP アドレスまたは DHCP IP アドレスとなります。RADIUS サーバーと通信を図るアクセスポイントには、静的 IPアドレスまたは予約済み DHCP IP アドレスを使用することが勧められます。
NAS ポート — NAS ポートは既定で 0 に設定されています。これは、変更することができません。

Screen shot of the SSID advanced settings (Called Station ID/NAS ID) for an access point

アクセスポイントファームウェア v2.0 以前

アクセスポイントファームウェア v2.0 以前の場合は、既定の RADIUS 属性を変更することができません。

Called Station ID — Called Station ID は、アクセスポイントの MAC アドレスとなります。
例：00-aa-00-bb-00-cc
NAS ID — NAS ID は SSID の名前となります。
例: MySSID
NAS IP アドレス — アクセスポイントの IP アドレス。これは、静的 IP アドレスまたは DHCP IP アドレスとなります。RADIUS サーバーと通信するアクセスポイントには、静的 IPアドレスまたは予約済み DHCP IP アドレスを使用することが勧められます。
NAS ポート — NAS ポートは既定で 0 に設定されています。これは、変更することができません。