# Active Directoryの設定

セキュリティタイプで「WPA2エンタープライズ」や「WPA3エンタープライズ」を設定する際に「**Active Directory**」を選択した場合の設定項目を説明します。

{% hint style="info" %}
KOKOMOアクセスポイント に Microsoft AD 認証を設定する前に、Microsoft Windows 2000 Server 以降のエディションを設定する必要があります。

SMBv1 共有プロトコルを有効にするには、[Windows で SMBv1、SMBv2、および SMBv3 を検出、有効化、無効化する](https://learn.microsoft.com/ja-jp/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server)を参照してください。
{% endhint %}

### Microsoft Active Directoryサーバーのセットアップ <a href="#a-d-server-setup" id="a-d-server-setup"></a>

以下の手順では重要な設定のみを示しています。詳細については、Microsoft のドキュメントおよびサポートを参照してください。

* サーバーの役割選択の手順でドメインコントローラーを昇格するには、**Active Directoryドメインサービス**を選択します。

<figure><img src="/files/z8GtAq1yo3sGnp3W51Jh" alt=""><figcaption></figcaption></figure>

* ユーザー資格情報を検証するためのアクセス権限を構成します。
  * KOKOMOアクセスポイントがユーザーの資格情報を確認するためにアクセスできる組織単位とグループを指定します。
  * [Active Directory アカウント](https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/understand-default-user-accounts) を参照してください。
* アクセスポイントがドメインに参加して認証するために必要なファイアウォールルールを作成します（参照：[Active Directory ドメインと信頼のファイアウォールを構成する方法](https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/active-directory/config-firewall-for-ad-domains-and-trusts)）
  * 88/TCP/UDP ケルベロス
  * 389/TCP/UDP LDAP
  * 445/TCP の SMB

{% hint style="warning" %}
Microsoft Active Directoryサーバーは、アクセスポイントの管理VLANインターフェースと同じVLANサブネットに配置する必要があります。SSIDでVLANが有効になっている場合でも、アクセスポイントは管理VLANインターフェースを介してActive Directoryサーバーと通信するためにSMBv1パケットを送信します。
{% endhint %}

### WPA2/WPA3エンタープライズ（Active Directory認証） <a href="#a-d-auth" id="a-d-auth"></a>

SSIDの認証にActive Directoryを使用するにはまず、「**設定**」＞「**アクセスポイント**」＞「**SSID**」＞「**基本設定**」＞「**セキュリティタイプ**」で「**WPA2エンタープライズ**」または「**WPA3エンタープライズ**」を選択します。

{% hint style="warning" %}
キャプティブポータルを有効、かつ「**クリックスルー**」以外を選択している場合、「**WPA2エンタープライズ**」や「**WPA3エンタープライズ**」は選択できません。
{% endhint %}

<figure><img src="/files/W5rpIZ0U8NgCL3ww0uiH" alt=""><figcaption></figcaption></figure>

セキュリティタイプを選択したら、認証方法で「**Active Directory**」を選択します。

<figure><img src="/files/nMz2CmGUd0gPRHNmMHwX" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/qniFFzv35PH69mO12cmF" alt="" width="475"><figcaption></figcaption></figure>

追加するActive Directoryサーバーは「**サーバーの追加**」をクリックして必要情報を登録します。

* **Active Directoryサーバー**：
  * **ホスト**：ADサーバーのIPアドレスまたはドメイン名を入力します
  * **ポート**：389（デフォルト）
  * **管理者**：管理者のアカウントを入力します
  * **パスワード**：管理者のパスワードを入力します
* **セキュリティグループ**（オプション）：セキュリティグループは、「グループ単位で権限を与えたり、制限を掛けたりするための仕組み」です。詳細は[Active Directory セキュリティ グループ](https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/understand-security-groups)を参照してください。

<figure><img src="/files/HeSZTRTmiMbHVkf91k6L" alt="" width="474"><figcaption></figcaption></figure>

{% hint style="info" %}
Active Directory管理アカウントは、すべてのActive Directoryサーバーで管理者権限を持つ必要があります。これは、認証前にユーザーアカウントがロックされているかどうかを確認するために使用されます。
{% endhint %}

* **認証子**（オプション）：一部の種類のクライアントデバイス（Android PhoneやChromebookなど）では、802.1X認証される前にルート（CA）証明書（ca.pem）をインストールする必要がある場合があります。デフォルトのCA証明書は「**エクスポート**」でエクスポートできます。

<figure><img src="/files/5GJNRPhdMMK94Tep71Y9" alt="" width="563"><figcaption></figcaption></figure>

エクスポートされたCA証明書（ca.pem）をクライアントデバイスにインストールします。

デフォルト以外の独自に用意したサーバー証明書を利用する場合、server.pem（アクセスポイントとクライアントデバイス間で使用される802.1X用のサーバー証明書）とca.pemを含むZipファイルを「**インポート**」でKOKOMO Cloudにアップロードします。

<figure><img src="/files/jPPdSTgn7rbz1rt3l3Gk" alt="" width="563"><figcaption></figcaption></figure>

<figure><img src="/files/WQiowiutm1onPm3oDmoB" alt="" width="476"><figcaption></figcaption></figure>

CA証明書（ca.pem）はクライアントデバイスにインストールします。

{% hint style="info" %}
802.1X認証に対応しており、認証方式はEAP-PEAPのみ対応しています。EAP-TLSやEAP-TTLSは対応していません。
{% endhint %}

{% hint style="warning" %}
WPA2/3エンタープライズの認証方式として、MAC認証およびWEB認証には対応していません。
{% endhint %}

### Active Directoryサーバーでユーザーを認証する動作 <a href="#authentication-process" id="authentication-process"></a>

各アクセスポイントは、SMBv1 プロトコルを介して Active Directory サーバー上のユーザーの資格情報を検証する権限を取得する前に、Windows Active Directory ドメインに参加する必要があります。

#### アクセスポイントがActive Directoryドメインに参加するプロセス <a href="#domain-joining-process" id="domain-joining-process"></a>

* KOKOMOアクセスポイントは最も近いWindowsドメインコントローラーを自動的に検索し、その情報をSamba構成に保存します。
* アクセスポイントは、ADドメインに参加するために、KerberosサーバーにTicket-Granting Ticket（TGT）を要求します。
* アクセスポイントがドメインに参加すると、アクセスポイントファームウェア内のSamba Winbindデーモンがワイヤレスユーザーを認証する準備が整います。

#### ワイヤレスユーザーの認証プロセス <a href="#auth-process" id="auth-process"></a>

ユーザーがワイヤレスネットワークへのアクセスを要求すると、KOKOMOアクセスポイントの内部RADIUSサーバーはntlm\_authツールを使用して、WinbindデーモンによるADサーバーへのアクセス権限を検証します。Winbindデーモンは直ちにSMBv1経由でADサーバーと通信し、ワイヤレスユーザーを認証します。

<figure><img src="/files/nD2DV7c0FWNImvpwOwKH" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.lan.kokomocloud.com/configuring-networks/configuring-access-points/configuring-ssids/basic-settings/configuring-security/active-directory.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.