Meraki MRとOneLoginによるWPA2 Enterprise

Meraki MRとOneLoginによるWPA2 Enterpriseの設定方法を整理します。

OneLoginはRADIUSの機能があり、Meraki MRからRADIUSの認証先として指定するとWPA2 Enterpriseによる認証が行えます。 OneLoginのRADIUSはInternet側に存在しており、RADIUSのAuthenticatorとなるMeraki MRを送信元IPアドレスとSecretで識別します。

OneLogin, Meraki, 無線LANクライアントの3ヵ所で設定が必要になるため、各構成要素を意識してください。

OneLoginではRADIUSの設定と資格情報のUsersの設定が必要になります。
MerakiではMeraki DashboardにてMeraki MRのSSIDに対するRADIUSの設定が必要になります。
無線LANクライアントではWPA2 Enterpriseの無線LAN接続設定が必要になります。

前提情報
OneLoginのCredentials設定のマッピング
検証時の情報
設定
関連ドキュメント

前提情報

OneLoginのRADIUS設定が参照するIP Addressは、Meraki MRの LAN IP ではなく PUBLIC IP になります。

そのため本番環境での導入時は、Meraki MRの上流にあるWAN RouterのPublic IP Addressは固定アドレスの割り当て方式にしてください。 PPPoEのIPCPやDHCPによる動的アドレスの割り当て方式の場合は、InterfaceのDown/Upなどによって割り当てアドレスが変動したタイミングで、OneLoginのRADIUS設定で指定したPublic IP Addressの修正が必要になるケースがあります。

OneLoginのCredentials設定のマッピング

OneLoginのRADIUS設定では、WPA2 Enterpriseの認証時に用いる User-Name と User-Password に資格情報を Users の登録要素とマッピングが必要になります。

本記事では下記の表のようにデフォルト値のままにしております。

設定項目	Usersの該当要素	備考
User-Name	Email (デフォルト値)	例: wireless-test@lab.test
User-Password	Password (デフォルト値)

検証時の情報

2023年02月頃に検証しています。 Meraki MRのモデルはMR33でVersionは MR 29.4.1 (Stable)になります。

設定

OneLoginの設定

OneLoginではRADIUSとUserの設定が必要になります。本記事ではUserはOneLogin上に直接手動で作成します。

RADIUSの設定

メニュー: Authentication > RADIUS に移動し、New Configuration ボタンを押下してRADIUS configを新しく作成します。

OneLogin - RADIUSの設定画面への移動 (1/2)

OneLogin - RADIUSの設定画面への移動 (2/2)
RADIUS config の設定を行います。
- Name (RADIUS config / に続く名称の指定箇所)には任意の名称を指定します。本記事ではMeraki MRとの認証連携を示すために RADIUS_For_Meraki_MR としています。
- Configuration セクションの Secret を設定します。Merakiの設定と一致させる必要があります。
- IP Address にはMeraki MRに紐付くPublic IP Addressを設定します。
OneLogin - RADIUS config の設定

Userの設定

メニュー: Users > Users に移動し、New User ボタンを押下して検証用Userを作成します。

OneLogin - Userの設定画面への移動 (1/2)

OneLogin - Userの設定画面への移動 (2/2)
必須項目である First name と Last name に任意の情報を指定し、Email にはWPA2 Enterpriseの認証用メールアドレスを指定します。RADIUSの Credentials 設定でマッピングを変えている場合は、必要な項目にも適宜入力してください。

OneLogin - Userの作成
More Actions ボタンのサブメニューより、Change Password を選択して任意のPasswordを指定します。

OneLogin - Passowrdの変更 (1/2)

OneLogin - Passowrdの変更 (2/2)

Meraki Dashboardの設定

メニュー: Wireless > SSIDs から任意のSSIDの edit settings を押下します。

Meraki Dashboard - 対象SSIDの選択
必要に応じて SSID (name) を任意の名称に修正します。また、SSID status が無効になっている場合は Enabled にしてください。

Meraki Dashboard - SSID名の修正と有効化
Security セクションにて Enterprise with のラジオボタンを選択してから、ドロップダウンリストは my RADIUS server に設定します。

Meraki Dashboard - 認証方式の選択
RADIUS セクションの RADIUS servers を設定します。

Meraki Dashboard - RADIUS serversの設定
- Host IP or FQDN と Port の設定情報はOneLoginのドキュメントから最新の情報を確認してください。US ShardとEU Shardがあるようですが本記事ではUS Shardで設定します。
  - 英語情報
    Knowledge Base - Customer Support
    https://onelogin.service-now.com/support?id=kb_article&sys_id=906f5265db35dd1057fac2450596190d#nas
    
    OneLogin RADIUS エンドポイントの情報 - 英語情報 (2023年02月頃)
  - 日本語情報 ※日本語情報のWebサイトの運営会社はペンティオ株式会社です。最新は英語情報の方になります。
    OneLoginのサポート環境 – ペンティオヘルプセンター
    https://support.onelogin.jp/hc/ja/articles/206240121#radius
    
    OneLogin RADIUS エンドポイントの情報 - 日本語情報 (2023年02月頃)
  2023年02月頃の情報では下記のように設定します。Meraki MRは名前解決ができるためFQDN指定が可能です。適宜、IPアドレス指定と使い分けてください。本記事ではUS Shardの情報で設定しているため、EU Shardの場合は読み替えてください。
  
  # Host IP or FQDN Port
  
  #1 radius.us.onelogin.com (52.34.255.206) 1812
  
  #2 radius2.us.onelogin.com (18.216.23.112) 1812
- Secret はOneLoginのRADIUS設定と一致させます。
- Done ボタンを押下して RADIUS servers の設定の確定を忘れないようにしてください。
  
  Meraki Dashboard - RADIUS設定の確定

#	Host IP or FQDN	Port
#1	radius.us.onelogin.com (52.34.255.206)	1812
#2	radius2.us.onelogin.com (18.216.23.112)	1812

無線LANクライアントの設定 - Windows想定

OneLoginのドキュメントにはWindows 10とmacOSの設定方法の情報があります。

Configure Windows 10 to Connect to Meraki Wi-Fi
https://onelogin.service-now.com/support?id=kb_article&sys_id=06a55e2b87d38d50695f0f66cebb3580
Configure Macs to Connect to Meraki Wi-Fi Using OneLogin
https://onelogin.service-now.com/support?id=kb_article&sys_id=fdd66c4f87dbc950695f0f66cebb35c6

本記事ではWindows 10での設定を掲載します。

ワイヤレスネットワークの追加

ネットワークと共有センター を開いて、新しい接続またはネットワークのセットアップ を押下します。
ファイル名を指定して実行 (ショートカット: Windowsキー + R) から画面を開く場合は control.exe /name Microsoft.NetworkAndSharingCenter と入力します。

Windows 10 - ネットワークと共有センター
ワイヤレスネットワークに手動で接続します を選択して 次へ を押下します。

Windows 10 - 接続またはネットワークのセットアップ
ネットワーク名 に接続先のSSIDを入力し、セキュリティの種類 を WPA2-エンタープライズ に指定してから 次へ を押下します。

Windows 10 - ワイヤレスネットワークに手動で接続します
接続の設定を変更します を押下します。

Windows 10 - 接続の設定を変更します

接続の設定の変更 (ワイヤレスネットワークのプロパティの編集)

ワイヤレスネットワークのプロパティのセキュリティ タブを押下します。

Windows 10 - ワイヤレスネットワークのプロパティ
セキュリティ タブ内の ネットワークの認証方法の選択 で Microsoft: EAP-TTLS を選択します。

セキュリティ タブ内の Microsoft: EAP-TTLS の 設定 ボタンを押下します。

Windows 10 - Microsoft: EAP-TTLS の設定
これらのサーバーに接続 にUS Shardの *.us.onelogin.com を指定します。EU Shardの場合は *.eu.onelogin.com に読み替えてください。

Windows 10 - これらのサーバーに接続
信頼されたルート証明機関 で DigiCert Global Root CA にチェックを入れます。編集が完了したら OK ボタンを押下して設定を保存します。

Windows 10 - 信頼されたルート証明機関
セキュリティ タブ内の 詳細設定 ボタンを押下します。

Windows 10 - セキュリティタブの詳細設定
802.1X の設定 タブで 認証モードを指定する にチェックを入れて、ドロップダウンリストで ユーザー認証 を選択します。編集が完了したら OK ボタンを押下して設定を保存します。

Windows 10 - 認証モード

SSIDへの接続

対象のSSIDへ接続します。

Windows 10 - SSIDへの接続
Windows セキュリティ のポップアップが表示されるため、事前にOneLoginで設定していたUserの Email とPasswordを入力します。OneLoginの Credentials 設定のマッピングを変更している場合は適宜読み替えてください。

Windows 10 - 資格情報の入力
証明書の詳しい内容の表示 を押下して、OneLoginの証明書が表示されるのを確認してから 接続 ボタンを押下します。
備考: 下記の画面キャプチャでは既に 証明書の詳しい内容の表示 を押下したため、 証明書の詳細の非表示 となっています。

Windows 10 - 証明書の確認と接続
接続が完了したら設定が完了です。

Windows 10 - WPA2 Enterprise接続完了状態