AWCプラグイン編 / 各種操作 / 認証 / MACアドレス認証

MACアドレス認証は、無線クライアントとのアソシエートの際、無線クライアントのMACアドレスを使用して認証を行う仕組みです。

RADIUSサーバーを利用して認証を行う場合と、AWCプラグイン自身のMACアドレスリストを利用して認証を行う場合の、2通りの方法があります。
AWCプラグイン自身のMACアドレスリストを利用する場合は、1つのAP共通設定に対して1つ、参照するMACアドレスリストを指定します。AP共通設定に複数のVAPが登録されている場合は、各VAPで共通のMACアドレスリストを参照するか、必要に応じて個別のRADIUSサーバーを指定します。

Note
MACアドレス認証は、AT-TQシリーズでのみ有効です。

Note
MACアドレスリストに基づくMACアドレス認証は、通常ファームウェアのAT-TQ2450/3200/3400/3600/4400/4600/4400e、AT-TQ1402/5403/5403e、AT-TQm1402/5403、および、SDN/OpenFlow対応版ファームウェアのAT-TQ5403、AT-TQ5403eでのみ有効です。SDN/OpenFlow対応版ファームウェアのAT-TQ4400/4600、およびAT-MWS APシリーズでは未サポートとなります。

Note
MACアドレス認証は、無線クライアントが妥当かどうかを確認する機能であり、通信そのもののセキュリティーを向上する機能ではありません。別途、WPA PersonalまたはWPA Enterpriseによる暗号化を行うことをお勧めします。
なお、MACアドレス認証とWPA Enterpriseを併用する場合、かつ、ダイナミックVLANを使用する場合は、WPA Enterpriseで参照するRADIUSサーバーの認証情報に所属VLANを指定するようにしてください。

MACアドレス認証を使用する場合は、「AP共通設定の作成、編集、削除」をご覧のうえ、VAPのMACアドレス認証を指定してください。

AWCプラグインのMACアドレスリストを使用する場合

「MACアドレスリストの作成、CSV出力、編集、削除」を参照して、MACアドレスリストを作成します。
MACアドレスリストのアクションは、「許可」または「ブロック」が選択できます。
- 「許可」を選択すると、MACアドレスリストに登録されたMACアドレスからの通信を許可し、その他のMACアドレスからの通信をブロックします（ホワイトリスト）。
- 「ブロック」を選択すると、MACアドレスリストに登録されたMACアドレスからの通信をブロックし、その他のMACアドレスからの通信を許可します（ブラックリスト）。
「AP共通設定の作成、編集、削除」を参照して、AP共通設定を作成します。
MACアドレス認証に関連する設定項目は、大きく次の2点です。
- 「AP本体」の「詳細設定」にて、MACアドレスリストを選択します。
  「MACアドレスリスト」ドロップダウンリストをクリックすると、「MACアドレスリスト選択」ダイアログが表示されます。MACアドレスリスト一覧から、このAP共通設定配下のVAPで参照するMACアドレスリストの行をクリックし、「選択」ボタンをクリックします。
- 「VAP(マルチSSID)設定」のそれぞれのVAPにて、MACアドレス認証の方法として、「MACフィルタリング」を選択します。
  「MACフィルタリング」を選択すると、「AP本体」の「詳細設定」で選択したMACアドレスリストの名前が「選択中のリスト」に表示されます。
  
  Note
  1つのAP共通設定で複数のVAPに対してそれぞれ異なるMACアドレスリストを指定することはできません。異なるMACアドレス情報を参照する必要がある場合は、外部RADIUSサーバーによるMACアドレス認証を併用する必要があります。

外部RADIUSサーバーを使用する場合

「AP共通設定の作成、編集、削除」を参照して、AP共通設定を作成します。
その際、「VAP(マルチSSID)設定」のそれぞれのVAPにて、MACアドレス認証の方法として、「外部RADIUS」を選択し、RADIUSサーバーとシークレットを指定してください。

AWCプラグインでは、RADIUSサーバーに対して、MACアドレスをユーザー名として送信します。このため、AWCプラグインとRADIUSサーバーの間で、MACアドレスのフォーマットを統一する必要があります。

Note
認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。

表 1：RADIUS属性のMACアドレスフォーマットの設定

項目名	説明
User-Name Format 区切り文字	RADIUSサーバーに問い合わせるユーザー名（MACアドレス）の区切り文字を、「ハイフン」、「コロン」、「なし」から選択します。デフォルトは「ハイフン」です。
User-Name Format 大文字/小文字	RADIUSサーバーに問い合わせるユーザー名（MACアドレス）の大文字、小文字を選択します。デフォルトは「小文字」です。
User-Password Format 形式	RADIUSサーバーに問い合わせるパスワードの形式を「固定値」または「ユーザー名」から選択します。デフォルトは「ユーザー名」です。「固定値」を選択すると、RADIUSサーバーに問い合わせるMACアドレスにかかわらず、「User-Password Format パスワード」にて設定した文字列をパスワードに使用します。「ユーザー名」を選択すると、RADIUSサーバーに問い合わせる際、ユーザー名と同じフォーマットのMACアドレスをパスワードとして使用します。
User-Password Format パスワード	「User-Password Format 形式」を「固定値」に設定した場合に、RADIUSサーバーに送信する際のパスワードを設定します。

デフォルトの状態、つまり、「User-Name Format 区切り文字」が「ハイフン」、「User-Name Format 大文字/小文字」が「小文字」、「User-Password Format 形式」が「ユーザー名」の場合、ユーザー名、パスワードは以下のようなフォーマットでRADIUSサーバーに送信されます。

表 2：デフォルト設定時のMACアドレスフォーマット

属性名	属性値	備考
User-Name	ユーザー名	MACアドレス。英数小文字、2桁ハイフン区切り（例：ab-cd-ef-12-34-56）
User-Password	パスワード	ユーザー名と同じ（例：ab-cd-ef-12-34-56）

RADIUSサーバーの設定

無線APをRADIUSクライアントとして、RADIUSサーバーに登録します。

表 3：RADIUSサーバーに設定するRADIUSクライアント情報

項目名	説明
RADIUSクライアントのIPアドレス	無線APのIPアドレス　（例）192.168.1.230
シークレット	無線APがRADIUSサーバーを認証するためのパスワード　（例）"himitsu"

Note
認証処理は無線APが行いますので、RADIUSサーバーに対して、認証を行うすべての無線APをRADIUSクライアントとして登録する必要があります。

ダイナミックVLANの使用

MACアドレス認証では、使用するRADIUSサーバーの認証情報にユーザーの所属VLANが設定されている場合、無線クライアントの接続先VLANを動的に変更することができます。

WPA Enterpriseとの併用

MACアドレス認証とWPA Enterprise認証を併用する場合、無線クライアントは、WPA Enterprise認証の際に決定したVLANを使用します。
すなわち、WPA Enterpriseで参照するRADIUSサーバーの認証情報にユーザーの所属VLANが設定されている場合はそのVLANが適用されます。
認証情報に所属VLANが設定されていない場合はVAPに指定された「VLAN ID」が、そのまま適用されます。

結果として、MACアドレス認証で参照するRADIUSサーバーの認証情報に設定されたVLAN属性は破棄されます。

Note
Web認証またはMACアドレス認証とWPA Enterprise認証を併用した場合は、「MACアドレス認証」→「WPA Enterprise認証」→「Web認証」の順で認証処理が行われます。

PN: 613-002428 Rev.S