Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
ClearPassを検証で使ってみよう!!802.1x(EAP-TLS) 編
2016 / 1月作成
はじめに
ClearPassの評価ライセンス には、下記のライセンスが含まれています。
Policy Manager 500ユーザ
Onboard 25ユーザ
Guest 25ユーザ
Onboad では認証局(CA)を構築することができますので、評価ライセンスのみで証明書が必要な
EAP-TLSでの認証を行うことが可能になっています。
2
1-1.Radius Client(APやSW)の追加
3
設定 > ネットワーク >デバイスの画面を開き、”デバイスの追加” をクリックします。
①
②
③
1-2.Radius Client(APやSW)の追加
4
Device名DeviceのIP Address
設定しているSecret Key
デバイス名/IPアドレス/デバイスに設定しているSecret Keyを入力し、Addをクリックします。
チェックを入れる
2-1.サービスの追加
5
設定 > サービス を開き、”サービスの追加”をクリックします。
①
②
③
2-2.802.1x認証用のサービスを作成
6
サービスのタイプを”802.1x Wireless-Identity Only” とし、名前に任意なものを入力します。”NEXT”をクリック
802.1x関連のタイプを選択
サービス名を入力
2-3.認証のためのクライアント情報格納箇所の指定
7
認証ソースにおいて、Select to Addをクリックし、クライアント情報の格納場所をしていします。クライアント格納箇所を選択(Local User Repository)し ”NEXT”をクリック
[EAP TLS]が入っていることを確認します。
Select Addをクリックし、クライアントの格納場所= Local UserRepositoryを選択すると、認証ソースに入ります。
2-4.認証後のロールマッピング
8
ロールマッピングポリシーを選択します。(Guestを選択) ”NEXT”をクリック
2-5.エンフォースメントポリシーの選択
9
エンフォースメントポリシーを選択します。(Default設定) ”NEXT”をクリック
2-6.作成したサービスのサマリー(確認)
10
設定したサービス内容で問題なければ”保存”をクリックします。
3-1.ローカルユーザの作成
11
設定> ID>ローカルユーザーを表示します。ユーザの追加をクリックします。
①
②
③
3-2.ローカルユーザの作成
12
ユーザIDおよびパスワード(確認)を入力します。追加をクリック
3-3.作成したユーザ状況確認
13
ユーザが作成されると、ローカルユーザ画面に作成をしたユーザが表示されます。
4-1-1. CSRの生成
14
①
②
管理>サーバー証明書を表示します。 証明書署名要求(CSR)の作成 をクリックします。
③
④
4-1-2. CSRの作成
15
パスワードを設定します。
適当なパスワードを入力し、送信をクリックします。
4-1-1で選択したサーバ名が入っています。
4-1-3. CSRの内容確認、ダウンロード
16
“CSRおよび秘密鍵ファイルのダウンロード”をクリックします。操作している端末に2つのファイルがダウンロードされます。
2つのファイルが生成されます。
5. ClearPass Onboardへのアクセス
17
ダッシュボード> Quick Links より “ClearPass Onboard”をクリックします。新しいタブにOnboardの画面が表示
①
②
③
ClearPassのTOP画面から ClearPass Onboard もしくはClearPass GuestでアクセスしてもOK
5-1. 認証局(CA)の作成
18
Onboard>認証局を表示します。 “新しい認証局を作成します” をクリックします。
①
②
③
5-2.認証局の設定
19
*がついている箇所を埋め、”認証局の作成” をクリックします。
デフォルトを利用
適当な値
ルートCAを選択
5-3.作成した認証局の確認
20
作成をした認証局が表示されます。
6-1.CSRのアップロード
21
Onboard> View by Cirtificate を表示し、”証明書署名要求をアップロードする” をクリックします。
①
②
③
6-2.証明書署名要求
22
認証局に 5-3 で作成した認証局を選択、4-1-3 でダウンロードした” CertSignRequest.csr” を選択し、送信をします。
作成をした認証局を選択
ファイルを選択からダウンロードしているCsrファイルを指定
デフォルトの”信頼された証明書”を選択
6-3.作成されたサーバ証明書の確認
23
CSRが読み込まれると、証明書管理画面にサーバ証明書が作成されたことが確認できます。
6-4.サーバ証明書のエクスポート
24
作成されたサーバ証明書をクリックし、”証明書のエクスポート”をクリックします。形式に”バイナリ証明書”を選択し、”証明書のエクスポート”ボタンをクリックします。操作しているPCに証明書がダウンロードされます。
①クリック
②証明書のエクスポートをクリック
③バイナリ証明書(crt)を選択
④証明書のエクスポートをクリックすると PCに証明書が保存されます。
7-1.サーバ証明書のインポート
25
ClearPass Policy Managerの画面に戻り、管理>証明書>サーバ証明書を表示し、”サーバ証明書のインポート”をクリックします。
①
②
③
7-2.サーバ証明書のインポート
26
証明書ファイルに 6-4でエクスポートした証明書、秘密鍵ファイルに4-1-3 でダウンロードした” CertPrivKey.pkey” を選択し、秘密鍵パスワードに4-1-2で設定をしたパスワードを入力し、インポートをクリック
4-1-2で指定したパスワード
7-3.サーバ証明書インポート完了確認
27
証明書が読み込まれていることを確認します。
8-1.クライアント証明書作成
28
Onboard> View by Certificate を表示し、”新しい証明書署名要求を生成する” をクリックします。
①
②
③
8-2.クライアント証明書設定
29
認証局に5-3で作成した認証局を選択、証明書タイプを”TLSクライアント証明書”とし、*項目を埋めます。一般名の値は、3-2で作成したユーザ名を入れ”作成”をクリック
作成をしたユーザ名
8-4.クライアント証明書作成完了確認
30
ユーザ用のクライアント証明書が作成されたことを確認します。
8-5.クライアント証明書のエクスポート
31
クライアント証明書をクリックし、”証明書のエクスポート”をクリックします。形式をPKCS#12 を選択しパスフレーズを入力。証明書のエクスポートをクリックします。操作PCにダウンロードされます。
①クリック
②証明書のエクスポートをクリック
③PKCS#12を選択
④パスフレーズを入力
⑤証明書のエクスポートをクリック
9-1.(参考)Windows PCへの証明書インポート
32
8-5で発行をした証明書をPCに移動させ、クリックを行うと、証明書のインポートウィザードが開始されます。
9-2.(参考)Windows PCへの証明書インポート
33
インポートするファイルがあっていることを確認します。
9-3.(参考)Windows PCへの証明書インポート
34
8-5で入力したパスフレーズを入力します。
9-4.(参考)Windows PCへの証明書インポート
35
9-5.(参考)Windows PCへの証明書インポート
36
9-6.(参考)Windows PCへの証明書インポート
37
10-1.(参考)無線LANへの接続設定
38
ワイヤレスネットワークの管理を選択します。
10-2.(参考)無線LANへの接続設定
39
追加をクリックします。
10-3.(参考)無線LANへの接続設定
40
手動で作成を選択します。
10-4.(参考)無線LANへの接続設定
41
接続をするSSIDをネットワーク名に入力し、WPA2-エンタープライズを選択し次をクリックします。
10-5.(参考)無線LANへの接続設定
42
「接続の設定を変更します」をクリックします。
10-6.(参考)無線LANへの接続設定
43
セキュリティータブをクリックします。
10-7.(参考)無線LANへの接続設定
44
ネットワークの認証方法の選択の設定ボタンをクリックします。
10-8.(参考)無線LANへの接続設定
45
読み込んだ証明書を選択
サーバーの証明書を検証するにチェックをいれ、9-6で読み込んだ証明書を選択します。
10-9.(参考)無線LANへの接続設定
46
詳細設定ボタンをクリックします。
10-10.(参考)無線LANへの接続設定
47
認証モードを”ユーザ認証”に変更し OKをクリックします。
10-11.(参考)無線LANへの接続設定
48
OKをクリックします。
10-12.(参考)無線LANへの接続設定
49
閉じるをクリックします。
12-1.接続確認
50
クライアントを接続させると、モニタリング> Live Monitoring>アクセストラッカーに接続情報が表示されます。
12-2.接続詳細
51