各種操作 / 認証 / MACアクセス制御

MACアクセス制御は、無線クライアントとのアソシエートの際、無線クライアントのMACアドレスを使用して認証を行う仕組みです。

RADIUSサーバーを利用して認証を行う場合と、AWCプラグイン自身のMACアドレスリストを利用して認証を行う場合の、2通りの方法があります。
AWCプラグイン自身のMACアドレスリストを利用する場合は、1つのAP共通設定に対して1つ、参照するMACアドレスリストを指定します。AP共通設定に複数のVAPが登録されている場合は、各VAPで共通のMACアドレスリストを参照するか、必要に応じて個別のRADIUSサーバーを指定します。

Note
MACアクセス制御は、エリア認証との併用は未サポートです。

Note
MACアドレスリストに基づくMACアクセス制御は、通常ファームウェアのAT-TQ2450/3200/3400/3600/4400/4600/4400e、AT-TQ1402/5403/5403e/6602、AT-TQm1402/5403でのみ有効です。SDN/OpenFlow対応版ファームウェアのAT-TQ4400/4600/TQ5403、AT-TQ5403eでは未サポートとなります。

Note
MACアクセス制御は、無線クライアントが妥当かどうかを確認する機能であり、通信そのもののセキュリティーを向上する機能ではありません。別途、WPAパーソナルまたはWPAエンタープライズによる暗号化を行うことをお勧めします。
なお、MACアクセス制御とWPAエンタープライズを併用する場合、かつ、ダイナミックVLANを使用する場合は、WPAエンタープライズで参照するRADIUSサーバーの認証情報に所属VLANを指定するようにしてください。

MACアクセス制御を使用する場合は、「AP共通設定の作成、編集、削除」をご覧のうえ、VAPのMACアクセス制御を指定してください。

AWCプラグインのMACアドレスリストを使用する場合

「MACアドレスリストの作成、CSV出力、編集、削除」を参照して、MACアドレスリストを作成します。
MACアドレスリストのアクションは、「許可」または「ブロック」が選択できます。
- 「許可」を選択すると、MACアドレスリストに登録されたMACアドレスからの通信を許可し、その他のMACアドレスからの通信をブロックします（ホワイトリスト）。
- 「ブロック」を選択すると、MACアドレスリストに登録されたMACアドレスからの通信をブロックし、その他のMACアドレスからの通信を許可します（ブラックリスト）。
「AP共通設定の作成、編集、削除」を参照して、AP共通設定を作成します。
MACアクセス制御に関連する設定項目は、大きく次の2点です。
- 「AP本体」の「詳細設定」にて、MACアドレスリストを選択します。
  「MACアドレスリスト」ドロップダウンリストをクリックすると、「MACアドレスリスト選択」ダイアログが表示されます。MACアドレスリスト一覧から、このAP共通設定配下のVAPで参照するMACアドレスリストの行をクリックし、「選択」ボタンをクリックします。
- 「VAP(マルチSSID)設定」のそれぞれのVAPにて、MACアクセス制御の方法として、「MACアドレスリスト」を選択します。
  「MACアドレスリスト」を選択すると、「AP本体」の「詳細設定」で選択したMACアドレスリストの名前が「選択中のリスト」に表示されます。
  
  Note
  1つのAP共通設定で複数のVAPに対してそれぞれ異なるMACアドレスリストを指定することはできません。異なるMACアドレス情報を参照する必要がある場合は、外部RADIUSサーバーによるMACアクセス制御を併用する必要があります。

外部RADIUSサーバーを使用する場合

「AP共通設定の作成、編集、削除」を参照して、AP共通設定を作成します。
その際、「VAP(マルチSSID)設定」のそれぞれのVAPにて、MACアクセス制御の方法として、「外部RADIUS」を選択し、RADIUSサーバーとシークレットを指定してください。

AWCプラグインでは、RADIUSサーバーに対して、MACアドレスをユーザー名として送信します。このため、AWCプラグインとRADIUSサーバーの間で、MACアドレスのフォーマットを統一する必要があります。

Note
認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。

表 1：RADIUS属性のMACアドレスフォーマットの設定

項目名	説明
User-Name Format 区切り文字	RADIUSサーバーに問い合わせるユーザー名（MACアドレス）の区切り文字を、「ハイフン」、「コロン」、「なし」から選択します。デフォルトは「ハイフン」です。
User-Name Format 大文字/小文字	RADIUSサーバーに問い合わせるユーザー名（MACアドレス）の大文字、小文字を選択します。デフォルトは「小文字」です。
User-Password Format 形式	RADIUSサーバーに問い合わせるパスワードの形式を「固定値」または「ユーザー名」から選択します。デフォルトは「ユーザー名」です。「固定値」を選択すると、RADIUSサーバーに問い合わせるMACアドレスにかかわらず、「User-Password Format パスワード」にて設定した文字列をパスワードに使用します。「ユーザー名」を選択すると、RADIUSサーバーに問い合わせる際、ユーザー名と同じフォーマットのMACアドレスをパスワードとして使用します。
User-Password Format パスワード	「User-Password Format 形式」を「固定値」に設定した場合に、RADIUSサーバーに送信する際のパスワードを設定します。

デフォルトの状態、つまり、「User-Name Format 区切り文字」が「ハイフン」、「User-Name Format 大文字/小文字」が「小文字」、「User-Password Format 形式」が「ユーザー名」の場合、ユーザー名、パスワードは以下のようなフォーマットでRADIUSサーバーに送信されます。

表 2：デフォルト設定時のMACアドレスフォーマット

属性名	属性値	備考
User-Name	ユーザー名	MACアドレス。英数小文字、2桁ハイフン区切り（例：ab-cd-ef-12-34-56）
User-Password	パスワード	ユーザー名と同じ（例：ab-cd-ef-12-34-56）

RADIUSサーバーの設定

無線APをRADIUSクライアントとして、RADIUSサーバーに登録します。

表 3：RADIUSサーバーに設定するRADIUSクライアント情報

項目名	説明
RADIUSクライアントのIPアドレス	無線APのIPアドレス　（例）192.168.1.230
シークレット	無線APがRADIUSサーバーを認証するためのパスワード　（例）"himitsu"

Note
認証処理は無線APが行いますので、RADIUSサーバーに対して、認証を行うすべての無線APをRADIUSクライアントとして登録する必要があります。

MACアドレスリストと外部RADIUSサーバーの併用

AT-TQ1402/5403/5403e、AT-TQm1402/5403では、無線AP本体の持つMACアドレスリストと、外部RADIUSサーバーによるMACアクセス制御を併用することができます。
AP共通設定のVAP（マルチSSID）設定において、MACアクセス制御を「MACアドレスリスト + 外部RADIUS」に設定し、それぞれ個別に設定する場合と同様に、MACアドレスリストとRADIUSサーバー設定を行います。
MACアドレスリストと外部RADIUSサーバーを併用する場合、無線クライアントのMACアドレスは、MACアドレスリスト、外部RADIUSサーバーの順に照会され、無線クライアントはいずれかの一方の方式で接続を許可されれば、通信が可能となります。つまり、両方で接続を拒否された場合は、通信できません。

ダイナミックVLANの使用

AT-TQ4600では、MACアクセス制御の際、使用するRADIUSサーバーの認証情報にユーザーの所属VLANを設定することで、無線クライアントの接続先VLANを動的に変更することができます。

Note
AT-TQ4600以外の無線APでは、MACアクセス制御とダイナミックVLANの併用は未サポートです。

WPAエンタープライズとの併用

MACアクセス制御とWPAエンタープライズ認証を併用する場合、無線クライアントは、WPAエンタープライズ認証の際に決定したVLANを使用します。
すなわち、WPAエンタープライズで参照するRADIUSサーバーの認証情報にユーザーの所属VLANが設定されている場合はそのVLANが適用されます。
認証情報に所属VLANが設定されていない場合はVAPに指定された「VLAN ID」が、そのまま適用されます。

結果として、MACアクセス制御で参照するRADIUSサーバーの認証情報に設定されたVLAN属性は破棄されます。

Note
Web認証またはMACアクセス制御とWPAエンタープライズ認証を併用した場合は、「MACアクセス制御」→「WPAエンタープライズ認証」→「Web認証」の順で認証処理が行われます。

PN: 613-002906 Rev.J