Active Directoryの設定

セキュリティタイプで「WPA2エンタープライズ」や「WPA3エンタープライズ」を設定する際に「Active Directory」を選択した場合の設定項目を説明します。

Microsoft Active Directoryサーバーのセットアップ

以下の手順では重要な設定のみを示しています。詳細については、Microsoft のドキュメントおよびサポートを参照してください。

• サーバーの役割選択の手順でドメインコントローラーを昇格するには、Active Directoryドメインサービスを選択します。

• ユーザー資格情報を検証するためのアクセス権限を構成します。

  • KOKOMOアクセスポイントがユーザーの資格情報を確認するためにアクセスできる組織単位とグループを指定します。

  • Active Directory アカウント を参照してください。

• アクセスポイントがドメインに参加して認証するために必要なファイアウォールルールを作成します（参照：Active Directory ドメインと信頼のファイアウォールを構成する方法）

  • 88/TCP/UDP ケルベロス

  • 389/TCP/UDP LDAP

  • 445/TCP の SMB

WPA2/WPA3エンタープライズ（Active Directory認証）

SSIDの認証にActive Directoryを使用するにはまず、「設定」＞「アクセスポイント」＞「SSID」＞「基本設定」＞「セキュリティタイプ」で「WPA2エンタープライズ」または「WPA3エンタープライズ」を選択します。

セキュリティタイプを選択したら、認証方法で「Active Directory」を選択します。

追加するActive Directoryサーバーは「サーバーの追加」をクリックして必要情報を登録します。

• Active Directoryサーバー：

  • ホスト：ADサーバーのIPアドレスまたはドメイン名を入力します

  • ポート：389（デフォルト）

  • 管理者：管理者のアカウントを入力します

  • パスワード：管理者のパスワードを入力します

• セキュリティグループ（オプション）：セキュリティグループは、「グループ単位で権限を与えたり、制限を掛けたりするための仕組み」です。詳細はActive Directory セキュリティ グループを参照してください。

• 認証子（オプション）：一部の種類のクライアントデバイス（Android PhoneやChromebookなど）では、802.1X認証される前にルート（CA）証明書（ca.pem）をインストールする必要がある場合があります。デフォルトのCA証明書は「エクスポート」でエクスポートできます。

エクスポートされたCA証明書（ca.pem）をクライアントデバイスにインストールします。

デフォルト以外の独自に用意したサーバー証明書を利用する場合、server.pem（アクセスポイントとクライアントデバイス間で使用される802.1X用のサーバー証明書）とca.pemを含むZipファイルを「インポート」でKOKOMO Cloudにアップロードします。

CA証明書（ca.pem）はクライアントデバイスにインストールします。

Active Directoryサーバーでユーザーを認証する動作

各アクセスポイントは、SMBv1 プロトコルを介して Active Directory サーバー上のユーザーの資格情報を検証する権限を取得する前に、Windows Active Directory ドメインに参加する必要があります。

アクセスポイントがActive Directoryドメインに参加するプロセス

• KOKOMOアクセスポイントは最も近いWindowsドメインコントローラーを自動的に検索し、その情報をSamba構成に保存します。

• アクセスポイントは、ADドメインに参加するために、KerberosサーバーにTicket-Granting Ticket（TGT）を要求します。

• アクセスポイントがドメインに参加すると、アクセスポイントファームウェア内のSamba Winbindデーモンがワイヤレスユーザーを認証する準備が整います。

ワイヤレスユーザーの認証プロセス

ユーザーがワイヤレスネットワークへのアクセスを要求すると、KOKOMOアクセスポイントの内部RADIUSサーバーはntlm_authツールを使用して、WinbindデーモンによるADサーバーへのアクセス権限を検証します。Winbindデーモンは直ちにSMBv1経由でADサーバーと通信し、ワイヤレスユーザーを認証します。