Meraki MRとOneLoginによるWPA2 Enterpriseの設定方法を整理します。
OneLoginはRADIUSの機能があり、Meraki MRからRADIUSの認証先として指定するとWPA2 Enterpriseによる認証が行えます。 OneLoginのRADIUSはInternet側に存在しており、RADIUSのAuthenticatorとなるMeraki MRを送信元IPアドレスとSecretで識別します。
OneLogin, Meraki, 無線LANクライアントの3ヵ所で設定が必要になるため、各構成要素を意識してください。
OneLoginではRADIUSの設定と資格情報のUsersの設定が必要になります。
MerakiではMeraki DashboardにてMeraki MRのSSIDに対するRADIUSの設定が必要になります。
前提情報
OneLoginのRADIUS設定が参照するIP Addressは、Meraki MRの LAN IP
ではなく PUBLIC IP
になります。
そのため本番環境での導入時は、Meraki MRの上流にあるWAN RouterのPublic IP Addressは固定アドレスの割り当て方式にしてください。 PPPoEのIPCPやDHCPによる動的アドレスの割り当て方式の場合は、InterfaceのDown/Upなどによって割り当てアドレスが変動したタイミングで、OneLoginのRADIUS設定で指定したPublic IP Addressの修正が必要になるケースがあります。
OneLoginのCredentials設定のマッピング
OneLoginのRADIUS設定では、WPA2 Enterpriseの認証時に用いる User-Name
と User-Password
に資格情報を Users
の登録要素とマッピングが必要になります。
本記事では下記の表のようにデフォルト値のままにしております。
設定項目 | Usersの該当要素 | 備考 |
---|---|---|
User-Name | Email (デフォルト値) | 例: wireless-test@lab.test |
User-Password | Password (デフォルト値) |
検証時の情報
2023年02月頃に検証しています。
Meraki MRのモデルはMR33でVersionは MR 29.4.1
(Stable)になります。
設定
OneLoginの設定
OneLoginではRADIUSとUserの設定が必要になります。本記事ではUserはOneLogin上に直接手動で作成します。
RADIUSの設定
メニュー:
Authentication > RADIUS
に移動し、New Configuration
ボタンを押下してRADIUS configを新しく作成します。RADIUS config の設定を行います。
Name
(RADIUS config /
に続く名称の指定箇所)には任意の名称を指定します。本記事ではMeraki MRとの認証連携を示すためにRADIUS_For_Meraki_MR
としています。Configuration
セクションのSecret
を設定します。Merakiの設定と一致させる必要があります。IP Address
にはMeraki MRに紐付くPublic IP Addressを設定します。
Userの設定
メニュー:
Users > Users
に移動し、New User
ボタンを押下して検証用Userを作成します。必須項目である
First name
とLast name
に任意の情報を指定し、Email
にはWPA2 Enterpriseの認証用メール アドレスを指定します。RADIUSのCredentials
設定でマッピングを変えている場合は、必要な項目にも適宜入力してください。More Actions
ボタンのサブ メニューより、Change Password
を選択して任意のPasswordを指定します。
Meraki Dashboardの設定
メニュー:
Wireless > SSIDs
から任意のSSIDのedit settings
を押下します。必要に応じて
SSID (name)
を任意の名称に修正します。また、SSID status
が無効になっている場合はEnabled
にしてください。Security
セクションにてEnterprise with
のラジオ ボタンを選択してから、ドロップダウン リストはmy RADIUS server
に設定します。RADIUS
セクションのRADIUS servers
を設定します。Host IP or FQDN
とPort
の設定情報はOneLoginのドキュメントから最新の情報を確認してください。US ShardとEU Shardがあるようですが本記事ではUS Shardで設定します。英語情報
Knowledge Base - Customer Support
https://onelogin.service-now.com/support?id=kb_article&sys_id=906f5265db35dd1057fac2450596190d#nas日本語情報 ※日本語情報のWebサイトの運営会社はペンティオ株式会社です。最新は英語情報の方になります。
OneLoginのサポート環境 – ペンティオヘルプセンター
https://support.onelogin.jp/hc/ja/articles/206240121#radius
2023年02月頃の情報では下記のように設定します。Meraki MRは名前解決ができるためFQDN指定が可能です。適宜、IPアドレス指定と使い分けてください。本記事ではUS Shardの情報で設定しているため、EU Shardの場合は読み替えてください。
# Host IP or FQDN Port #1 radius.us.onelogin.com (52.34.255.206) 1812 #2 radius2.us.onelogin.com (18.216.23.112) 1812 Secret
はOneLoginのRADIUS設定と一致させます。Done
ボタンを押下してRADIUS servers
の設定の確定を忘れないようにしてください。
無線LANクライアントの設定 - Windows想定
OneLoginのドキュメントにはWindows 10とmacOSの設定方法の情報があります。
Configure Windows 10 to Connect to Meraki Wi-Fi
https://onelogin.service-now.com/support?id=kb_article&sys_id=06a55e2b87d38d50695f0f66cebb3580Configure Macs to Connect to Meraki Wi-Fi Using OneLogin
https://onelogin.service-now.com/support?id=kb_article&sys_id=fdd66c4f87dbc950695f0f66cebb35c6
本記事ではWindows 10での設定を掲載します。
ワイヤレス ネットワークの追加
ネットワークと共有センター
を開いて、新しい接続またはネットワークのセットアップ
を押下します。
ファイル名を指定して実行
(ショートカット: Windowsキー + R) から画面を開く場合はcontrol.exe /name Microsoft.NetworkAndSharingCenter
と入力します。ワイヤレス ネットワークに手動で接続します
を選択して次へ
を押下します。ネットワーク名
に接続先のSSIDを入力し、セキュリティの種類
をWPA2-エンタープライズ
に指定してから次へ
を押下します。接続の設定を変更します
を押下します。
接続の設定の変更 (ワイヤレス ネットワークのプロパティの編集)
ワイヤレス ネットワークのプロパティの
セキュリティ
タブを押下します。セキュリティ
タブ内のネットワークの認証方法の選択
でMicrosoft: EAP-TTLS
を選択します。
セキュリティ
タブ内のMicrosoft: EAP-TTLS
の設定
ボタンを押下します。これらのサーバーに接続
にUS Shardの*.us.onelogin.com
を指定します。EU Shardの場合は*.eu.onelogin.com
に読み替えてください。信頼されたルート証明機関
でDigiCert Global Root CA
にチェックを入れます。編集が完了したらOK
ボタンを押下して設定を保存します。セキュリティ
タブ内の詳細設定
ボタンを押下します。802.1X の設定
タブで認証モードを指定する
にチェックを入れて、ドロップダウン リストでユーザー認証
を選択します。編集が完了したらOK
ボタンを押下して設定を保存します。
SSIDへの接続
対象のSSIDへ接続します。
Windows セキュリティ
のポップアップが表示されるため、事前にOneLoginで設定していたUserのEmail
とPasswordを入力します。OneLoginのCredentials
設定のマッピングを変更している場合は適宜読み替えてください。証明書の詳しい内容の表示
を押下して、OneLoginの証明書が表示されるのを確認してから接続
ボタンを押下します。
備考: 下記の画面キャプチャでは既に証明書の詳しい内容の表示
を押下したため、証明書の詳細の非表示
となっています。接続が完了したら設定が完了です。