Reply

WindowsNPSサーバとWAC720「Remote MAC Address Database」の利用について

Toku
Follower

WindowsNPSサーバとWAC720「Remote MAC Address Database」の利用について

 お世話になります。

WindowsNPS(ネットワークポリシーサーバ)の機能とWAC720の「MAC Authentication」―「Remote MAC Address Database」の機能を連携させたMACアドレス認証を検討しています。

 

WindowsNPSサーバをMACアドレス認証用に構築し、WAC720のRADIUSサーバ設定と「Remote MAC Address Database」の設定を施しました。

NPSサーバ側にMACアドレス認証用のユーザを作成し、WAC720との疎通を確認したかったのですが、NPSサーバ側でアクセス拒否され認証疎通が確認できず、設定方法など指南頂きたく投稿させて頂きました。

 

○WAC720の設定内容
・ファームウェア:3.5.12.0
・クラウドモード:無効
・無線設定:2.4 GHz Band 11bgn、5 GHz Band 11a-na-ac
・認証方式:WPA2-PSK(AES)
・MAC認証:有効 Remote MAC Address Database
・RADIUS設定(IPv4):WindowsNPSサーバのIPアドレス、ポート番号はデフォルト値、共有シークレットを設定
 →「Primary Authentication Server」「Primary Accounting Server」の2項目に同値を設定

○WindowsNPS
・RADIUSクライアント:上記WAC720を登録済み
・ネットワークポリシー:接続要求がポリシーに一致する場合許可する
・条件:接続ユーザがMacAuthグループに所属
・認証方法:PEAP、EAP-MSCHAP v2、PAP、SPAP など

MACアドレス認証はクライアントから認証要求がある場合において、通常はユーザ名とパスワードにMACアドレスそのものが設定されると認識しています。
そのため、上記NPSサーバに示すMacAuthグループにMACアドレス12桁のユーザを作成し、パスワードもそのユーザ名と同値としました。

上記の設定で認証疎通を確認したのですが、NPSサーバ側でアクセス拒否されました。その際、NPSサーバ側では以下のログが記録されていました。

==========================NPS ログ=======================================
ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。

詳細については、ネットワーク ポリシー サーバーの管理者に問い合わせてください。

ユーザー:
セキュリティ ID: NULL SID
アカウント名: XX-XX-XX-XX-XX-XX
アカウント ドメイン: <NPSサーバホスト名>
完全修飾アカウント名: <NPSサーバホスト名>\XX-XX-XX-XX-XX-XX
<...中略...>
認証の詳細:
接続要求ポリシー名: すべてのユーザーに Windows 認証を使用
ネットワーク ポリシー名: -
認証プロバイダー: Windows
認証サーバー: <NPSサーバホスト名>
認証の種類: PAP
EAP の種類: -
アカウントのセッション ID: -
ログ結果: アカウンティング情報はローカルのログ ファイルに書き込まれました。
理由コード: 16
理由: ユーザー資格情報の不一致のため、認証に失敗しました。入力したユーザー名が既存のユーザー アカウントにマップされていないか、パスワードが間違っています。
=======================================================================

WAC720から認証で送られてくるユーザ名が「XX-XX-XX-XX-XX-XX」(区切り文字にハイフン有)の形式だったため、NPSサーバ側で新しくそのユーザを作成しパスワードも同値として疎通確認しましたが、上記と同じログが記録され認証が通りませんでした。

残り考えられる原因としては、ユーザのパスワードが異なっていることが原因と思いますが、WAC720のRADIUS MAC認証ではユーザ名とパスワードは同値ではないのでしょうか。

なお、他メーカ製の無線アクセスポイントで認証疎通を試行したところ、正常に認証できました。
問い合わせは以上となります。お忙しい所恐れ入りますが、お力添え頂けますと幸いです。よろしくお願い致します。

Model: WAC720|2x2 Wireless-AC Access Points
Message 1 of 2
Dog_track
Virtuoso

Re: WindowsNPSサーバとWAC720「Remote MAC Address Database」の利用について

うろ覚えで申し訳ないですが、パスワードはMACアドレス(XX-XX-XX-XX-XX-XX)で
良かったように思います。

WAC720の設定で認証方式を「WPA2 with Radius」にしてみてはどうでしょうか。

Message 2 of 2
Discussion stats
  • 1 reply
  • 3124 views
  • 0 kudos
  • 2 in conversation