クライアント（サプリカント）側の設定

サーバ、クライアントへの証明書のインストールが済みましたので、今回はサプリカント側の設定を行って、802.1X認証がきちんと動作するか検証してみます．サプリカントとしては Mac OS X 10.4(Tiger)とWindows XP Pro (SP2) + クライアントマネージャ３（バッファロー製）の組み合わせで実験しました．

尚、OS X 10.5(Leopard) でも検証を行ってありますが、802.1X認証の設定がとても複雑で難しいので、また別な機会に紹介したいと思います．また、Windows XP に標準で備わっているサプリカントの機能(EAP-TLSとEAP-PEAPのみ）を使ってテストして見ましたが、私の設定方法が悪いのか今回は上手く接続できませんでした．Windows XP についても別な機会にもう一度テストしてみたいと思います．

テスト環境

無線LANのアクセスポイントとして、AirMac Extream V5.7 を使用した．SSIDは “RemotePrinter” で、ラジオモードは802.11g、暗号化方式は “WPA/WPA2 Enterprise” (WPA-EAP TKIP) に設定．AirMac側のRADIUS設定は予め “AirPort Utility” で設定してある．ユーザ認証のためのアカウントは OpenDirectoryサーバ上に作成してあります．

Mac OS X 10.4 での設定

Mac OS X 10.4 で802.1X認証を設定するには、”Internet Connect” を用います．”Internet Connect” を立ち上げます．初期状態では802.1X認証の設定項目は表示されていませんので、”File” メニューから “New 802.1X Connection…” を選択すると、ダイアログに802.1X認証ペーンが現れます．802.1X認証ペーンを選択し、”Configuration” ポップアップメニューから “Edit Configrations…” を選びます．

まず EAP-TTLS から設定してみます．ダイアログ左下の “+” をクリックし新しいコンフィグレーションを作成します．”Description” には分かり易い適当な名前を付けておきます．EAP-TTLS ではユーザ名とパスワードが必要ですので、これらを設定します．設定しない場合は接続時にユーザ名とパスワードを尋ねるダイアログが現れます．”Wirelss Network” のところには SSID の”RemotePrinter” を指定します．”Authentication” のチェックボックスを “TTLS” だけチェックしておきます．複数チェックした場合は、恐らく一番最初（上部の）の認証方式を試すようです．但し、サーバがサポートしていない認証方式をチェックしていた場合は、認証エラーとなって接続に失敗しますので、チェックする項目はサーバがサポートしている方式だけにしておきます．”OK” ボタンを押してコンフィグレーションを保存します．

実際に上手くつながるかどうか検証してみましょう．作成したコンフィグレーションを選択して、”Connect” ボタンを押します．上手く認証が通るとダイアログの左下の”Status” 欄に接続情報が表示されます．これで接続完了です．同様に EAP-PEAP も設定してみましょう．認証方式のチェック項目を “PEAP” にするだけで、後は同じです．

次に、EAP-TLS の設定を試してみます．TLSではユーザ側の認証はクライアント証明書で行います．予め “Keychain Access” でクライアント証明書がインストールされていないと、”TLS” のチェックマークをセットすることはできません．ユーザ名とパスワードは入力する必要はありませんので、無記入の方が良いでしょう．EAP-TLSで接続すると、プライベート証明書の場合は証明書の信頼性が不明だという旨の確認ダイアログが現れますが、問題有りませんので先に進んで下さい．”Always trust these certificates” の項目チェックをするとこの証明書が信頼され、以後このような確認のダイアログは現れなくなります．

Windows XP(SP2) + クライアントマネージャ V3

Windowsの802.1X認証のサプリカントとしてメジャーなメルコの クライアントマネージャ V3 で接続テストを行いました．クライアントPCの無線LANカードは WLI-CB-G54 を使用しました．

クライアントマネージャはデフォルトでは802.1X認証モードが表示されませんので、オプション設定でビジネスモードに切り替える必要があります．ビジネスモードに切り替えるとダイアログの右下に802.1X認証プロファイル設定用のボタンが加わります．

まず、802.1X認証用のプロファイルから先に設定します．802.1X認証プロファイル設定用のボタンをクリックすると、認証プロファイルの一覧ダイアログが現れますので、”新規(N)”を選んでプロファイルを追加します．プロファイルの名前を適当に付け、EAP認証方式をプルダウンメニューから選択します．

EAP-TTLS, EAP-PEAPの設定ではクライアント設定の部分は、予めユーザ名とパスワードを登録しておくか、接続時にユーザ名とパスワードの入力ダイアログを表示するかを選択します．Windowsのログイン名とRADIUSサーバのユーザ名、パスワードが共通であれば一番上にあるWindowsのログイン情報を使用して認証する”という選択肢もあります．”サーバ証明書の有効化”をチェックし、ルート証明書としてプライベート認証局(y2itec)の証明書を信頼するように設定します．”内部認証プロトコルとして “MS-CHAP-V2” を選択します．その下の匿名欄はTTLSの場合は何か適当なフレーズを設定すれば良いようです．

EAP-TLSの場合は、クライアント設定の部分は”ユーザ証明書を使用してログインする”のチェックを付け、証明書一覧からクライアント証明書を選びます．サーバ証明書の部分はTTLS, PEAPと同じように設定して下さい．以上で３種類の認証方式に対応した802.1X認証プロファイルが作成されました．

引き続き、接続プロファイルを作成します．クライアントマネージャV3では、同一SSIDで複数の接続プロファイルを持たせる事はできないようです．とりあえずTLSで接続してみましょう．プロファイル名は適当に設定します．ネットワークタイプは”インフラストラクチャモード”、SSIDは “RemotePrinter” 、暗号化方式は “WPA-EAP TKIP” を選択します．認証プロファイルに先程作成した TLSの認証プロファイルを選びます．

“OK”ボタンを押してプロファイルの編集を終え、”接続”ボタンをクリックします．接続・認証中のメッセージが現れ、無事認証が通れば接続完了です．