MACアドレス認証は、無線クライアントとのアソシエイトの際、無線クライアントのMACアドレスを使用して認証を行う仕組みです。
RADIUSサーバーを利用して認証を行う場合と、AWCプラグイン自身のMACアドレスリストを利用して認証を行う場合の、2通りの方法があります。
AWCプラグイン自身のMACアドレスリストを利用する場合は、1つの共通設定に対して1つ、参照するMACアドレスリストを指定します。共通設定に複数のVAPが登録されている場合は、各VAPで共通のMACアドレスリストを参照するか、必要に応じて個別のRADIUSサーバーを指定します。
Note
MACアドレス認証は、AT-TQシリーズでのみ有効です。
Note
MACアドレスリストに基づくMACアドレス認証は、AT-TQシリーズ(通常ファームウェア)でのみサポートします。AT-TQシリーズ(SDN/OpenFlow対応ファームウェア)およびAT-MWS APシリーズでは未サポートとなります。
Note
MACアドレス認証は、無線クライアントが妥当かどうかを確認する機能であり、通信そのもののセキュリティーを向上する機能ではありません。別途、WPA PersonalまたはWPA Enterpriseによる暗号化を行うことをお勧めします。
なお、MACアドレス認証とWPA Enterpriseを併用する場合、かつ、ダイナミックVLANを使用する場合は、WPA Enterpriseで参照するRADIUSサーバーの認証情報に所属VLANを指定するようにしてください。
MACアドレス認証を使用する場合は、「共通設定の作成、編集、削除」をご覧のうえ、VAPのMACアドレス認証を指定してください。
「MACアドレスリストの作成、CSV出力、編集、削除」を参照して、MACアドレスリストを作成します。
MACアドレスリストのアクションは、「許可」または「ブロック」が選択できます。
「許可」を選択すると、MACアドレスリストに登録されたMACアドレスからの通信を許可し、その他のMACアドレスからの通信をブロックします(ホワイトリスト)。
「ブロック」を選択すると、MACアドレスリストに登録されたMACアドレスからの通信をブロックし、その他のMACアドレスからの通信を許可します(ブラックリスト)。
「共通設定の作成、編集、削除」を参照して、共通設定を作成します。
MACアドレス認証に関連する設定項目は、大きく次の2点です。
「AP本体」の「詳細設定」にて、MACアドレスリストを選択します。
「MACアドレスリスト」ドロップダウンリストをクリックすると、「MACアドレスリスト選択」ダイアログが表示されます。MACアドレスリスト一覧から、この共通設定配下のVAPで参照するMACアドレスリストの行をクリックし、「選択」ボタンをクリックします。
「VAP(マルチSSID)設定」のそれぞれのVAPにて、MACアドレス認証の方法として、「MACフィルタリング」を選択します。
「MACフィルタリング」を選択すると、「AP本体」の「詳細設定」で選択したMACアドレスリストの名前が「選択中のリスト」に表示されます。
Note
一つの共通設定で複数のVAPに対してそれぞれ異なるMACアドレスリストを指定することはできません。異なるMACアドレス情報を参照する必要がある場合は、外部RADIUSサーバーによるMACアドレス認証を併用する必要があります。
「共通設定の作成、編集、削除」を参照して、共通設定を作成します。
その際、「VAP(マルチSSID)設定」のそれぞれのVAPにて、MACアドレス認証の方法として、「外部RADIUS」を選択し、RADIUSサーバーとシークレットを指定してください。
AWCプラグインでは、RADIUSサーバーに対して、MACアドレスをユーザー名として送信します。このため、AWCプラグインとRADIUSサーバーの間で、MACアドレスの書式を統一する必要があります。
Note
認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。
| User-Name Format 区切り文字 | RADIUSサーバーに問い合わせるユーザー名(MACアドレス)の区切り文字を、「ハイフン」、「コロン」、「なし」から選択します。デフォルトは「ハイフン」です。 |
| User-Name Format 大文字/小文字 | RADIUSサーバーに問い合わせるユーザー名(MACアドレス)の大文字、小文字を選択します。デフォルトは「小文字」です。 |
| User-Password Format 形式 | RADIUSサーバーに問い合わせるパスワードの形式を「固定値」または「ユーザー名」から選択します。デフォルトは「ユーザー名」です。 「固定値」を選択すると、RADIUSサーバーに問い合わせるMACアドレスにかかわらず、「User-Password Format パスワード」にて設定した文字列をパスワードに使用します。 「ユーザー名」を選択すると、RADIUSサーバーに問い合わせる際、ユーザー名と同じ書式のMACアドレスをパスワードとして使用します。 |
| User-Password Format パスワード | 「User-Password Format 形式」を「固定値」に設定した場合に、RADIUSサーバーに送信する際のパスワードを設定します。 |
デフォルトの状態、つまり、「User-Name Format 区切り文字」が「ハイフン」、「User-Name Format 大文字/小文字」が「小文字」、「User-Password Format 形式」が「ユーザー名」の場合、ユーザー名、パスワードは以下のようなフォーマットでRADIUSサーバーに送信されます。
| 属性名 | 属性値 | 備考 |
|---|---|---|
| User-Name | ユーザー名 | MACアドレス。英数小文字、2桁ハイフン区切り(例:ab-cd-ef-12-34-56) |
| User-Password | パスワード | ユーザー名と同じ(例:ab-cd-ef-12-34-56) |
無線APをRADIUSクライアントとして、RADIUSサーバーに登録します。
| RADIUSクライアントのIPアドレス | 無線APのIPアドレス (例)192.168.1.230 |
| シークレット | 無線APがRADIUSサーバーを認証するためのパスワード (例)"himitsu" |
Note
認証処理は無線APが行いますので、RADIUSサーバーに対して、認証を行うすべての無線APをRADIUSクライアントとして登録する必要があります。
MACアドレス認証では、使用するRADIUSサーバーの認証情報にユーザーの所属VLANが設定されている場合、無線クライアントの接続先VLANを動的に変更することができます。
MACアドレス認証とWPA Enterprise認証を併用する場合は、無線クライアントの接続先VLANは、WPA Enterprise認証の際に決定したVLANを使用します。
すなわち、WPA Enterpriseで参照するRADIUSサーバーの認証情報にユーザーの所属VLANが設定されている場合はそのVLANが、認証情報に所属VLANが設定されていない場合はVAPに指定された「VLAN ID」が、そのまま適用されます。
結果として、MACアドレス認証で参照するRADIUSサーバーの認証情報に設定されたVLAN属性は破棄されます。
Note
Web認証またはMACアドレス認証とWPA Enterprise認証を併用した場合は、「MACアドレス認証」→「WPA Enterprise認証」→「Web認証」の順で認証処理が行われます。