Google LDAPの設定
KOKOMOアクセスポイントは、Google LDAPサーバーを活用し、WPA2/WPA3エンタープライズまたはキャプティブポータル構成にて、非常に安全な認証サーバーとして利用可能です。Google WorkspaceのGoogle LDAPと連携することで、メールアドレスとパスワードを無線LANのユーザー認証に利用することができます。
セキュリティタイプで「WPA2エンタープライズ」や「WPA3エンタープライズ」を設定する際に「Google LDAP」を選択した場合の設定項目を説明します。
Google LDAPサーバーのセットアップ(証明書生成)
Google LDAPサーバーを設定するには、ユーザーはGoogleアカウント(Gmail)を適用し、Frontline Standard、Frontline Plus、Business Plus、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Education Plus、Enterprise Essentials Plus のいずれかのエディションでGoogle Workspaceを利用する必要があります。
Google管理コンソール(https://admin.google.com)に管理者としてログインします。
LDAPクライアントを追加します。
「アプリ」>「LDAP」へ移動します
「クライアントを追加」をクリックします
LDAPクライアント名に名前を入力します(例:KOKOMO AP)
「続行」ボタンをクリックします
ユーザー資格情報を検証するためのアクセス権限を構成します。
KOKOMOアクセスポイントがユーザーの資格情報を確認するためにアクセスできる組織単位とグループを指定します。特定の組織/グループを指定する必要がない場合は、「ドメイン全体」を選択してください(注:設定の変更は最大24時間以内に有効になります)。
2. アクセス権限を構成する を参照してください。
新しい証明書を生成します(アクセスポイントと Google Workspace 間で使用)
「アプリ」>「LDAP」へ移動します
リスト内のいずれかのクライアントをクリックします
「認証」カードをクリックします
「新しい証明書を生成してください」をクリックします
「ダウンロード」アイコンをクリックして証明書ファイルをコンピュータに保存します
「新しい認証情報を生成」をクリックしユーザー名とパスワードを記録します。ユーザー名とパスワードは、「アクセス認証情報」 ウィンドウで確認できます(参考:セキュア LDAP サービスについて)
クライアントをセキュア LDAP サービスに接続する際にパスワードが必要になるため、このウィンドウからパスワードをコピーしてください。目のアイコンをクリックすると、パスワードが表示されます
アクセスポイントがGoogle Secure LDAPを照会するために必要なファイアウォールルールを作成します。
プロトコルはTCP、トラフィック方向はアウトゴーイング、ホスト名
ldap.google.comのポート 636 に送信されます。
WPA2/WPA3エンタープライズ(Google LDAP認証)
SSIDの認証にGoogle LDAPを使用するにはまず、「設定」>「アクセスポイント」>「SSID」>「基本設定」>「セキュリティタイプ」で「WPA2エンタープライズ」または「WPA3エンタープライズ」を選択します。
キャプティブポータルを有効、かつ「クリックスルー」以外を選択している場合、「WPA2エンタープライズ」や「WPA3エンタープライズ」は選択できません。
セキュリティタイプを選択したら、認証方法で「Google LDAP」を選択します。
アカウント:Google LDAPサーバーの管理者の資格情報(アカウント)を入力します
パスワード:Google LDAPサーバーの管理者の資格情報(パスワード)を入力します
ベースDN(オプション):アクセスポイントがLDAPサーバーで対応するユーザーの認証情報を検索する際のLDAPディレクトリツリーの開始点を設定します。このフィールドが空の場合、アクセスポイントはGoogle LDAPサーバーから設定を自動検出します。それ以外の場合、ユーザーはGoogle LDAPアカウントに基づいて指定されたベースDN文字列を設定できます(形式:
'dc=xxx,dc=xxx')Google証明書:Google LDAPサーバーのセットアップ中に生成されたGoogle証明書のZipファイルをアップロードします。
Google証明書は、Google Workspace管理コンソールからダウンロードできます。
アプリ>LDAPに移動します
リスト内のクライアントのうち1つをクリックします
認証カードをクリックします
新しい証明書を生成するには、「新しい証明書を生成」をクリックしてください
認証子(オプション):一部の種類のクライアントデバイス(Android PhoneやChromebookなど)では、802.1X認証される前にルート(CA)証明書(ca.pem)をインストールする必要がある場合があります。デフォルトのCA証明書は「エクスポート」でエクスポートできます。
エクスポートされたCA証明書(ca.pem)をクライアントデバイスにインストールします。
デフォルト以外の独自に用意したサーバー証明書を利用する場合、server.pem(アクセスポイントとクライアントデバイス間で使用される802.1X用のサーバー証明書)とca.pemを含むZipファイルを「インポート」でKOKOMO Cloudにアップロードします。
CA証明書(ca.pem)はクライアントデバイスにインストールします。
802.1X認証に対応しており、認証方式はEAP-TTLSのみ対応しています。EAP-PEAPやEAP-TLSは対応していません。
WPA2/3エンタープライズの認証方式として、MAC認証およびWEB認証には対応していません。
最終更新
役に立ちましたか?