【EAPoL-TLS】有線LANにおける証明書を使ったRADIUS認証(備忘録)

ついにねんがんのYAMAHAスイッチを手に入れたぞ! しかもインテリジェントL2スイッチでよかったのに無駄にライトL3スイッチ、SWX3100-10Gだ!(だって、安かったから…)…というわけで、境界防御に頼りきりだった我がLAN環境にRADIUS認証を導入することにした。これでYAMAHAスイッチを経由する通信は、RADIUSサーバーで認証された機器のみに限られることになるので、LANの安全性が高まる(はず)。流行りのゼロトラストセキュリティへの一歩を踏み出し始めたのだ。この果てしなく遠い道をよ…

ところで、Wi-Fi環境にRADIUS認証を設定する話はネットにたくさん転がってるのだが、有線LAN環境に導入する話はあまり聞かない。ちょこちょこはあるけど、詳しい情報がまったく見つからない。なので、今回開通したやり方を記録していく。

まずは認証スイッチの設定から。ここはYAMAHAで公開されてる設定例を見ればだいたいわかる。基本的には設定例通りに行えば良いので、ここではスクリーンショットを掲載するだけに留めておく。

ダウンロードしたクライアント証明書をWindowsにインストールすることころまではYAMAHAの例(IEEE802.1X認証の場合)でOK。その先のWindows設定にコツがいるので備忘録としてここに記す。

まず、サービスのWired AutoConfigのスタートアップの種類が「無効or手動」になっているので、ここを「自動」に変更して保存する。こうすると、ネットワークのアダプターのプロパティを表示した時に、「認証」タブが出てくるようになる。

イーサネットのプロパティを開いたら「認証」のタブに移り「IEEE 802.1X認証を有効にする」にチェックを入れ、ネットワークの認証方法の選択を「Microsoft: スマートカードまたはその他の証明書」にして、まずは右側の「設定」ボタンをクリックする。

スマートカードまたはその他の証明書のプロパティが出てくるので、「このコンピューターの証明書を使う」にチェックを入れ、信頼されたルート証明機関のリストから、自分で作ったYAMAHAオレオレ証明局の名前(デフォルトだとYAMAHA_SWITCH、ここではLADS3100)を見つけ、チェックを入れてOKボタンをクリックする。
ひとつ戻って、次に「追加の設定」ボタンをクリックすると、802.1Xの設定タブが出てくるので、「認証モードを指定する」にチェックを入れて「ユーザーまたはコンピューターの認証」を選択する。以上で、ここでの設定は完了。OKボタン→OKボタンとたどって、ネットワークアダプターのプロパティ画面を閉じる。

すると、ネットワークアダプタアイコンが「認証中…」の画面になり、うまく行けば最後にWindowsから証明書の選択についてのポップアップ画面があるので、OKを激しくクリックして完了。

よくやった!!
お前には社内の全端末を
RADIUS認証に
対応させる権利をやる!

※8/10追記 Windows11の場合は、上記画面の代わりに「サインイン」しないとネットワークのすべてを使えないよ!と警告が出るので、サインインをクリックすると設定ダイアログに飛ばされて、同じように証明書を選択する画面になるようです。ただ、設定ダイアログがポップアップしたりしなかったり、動作が安定しない…Windows11だからか?