AzureADとIronWifiを使ってEAP-TLS環境を構築する

AzureADとIronWifiを使ってEAP-TLS環境を構築する

AzureADとIronwifiを使ってEAP-TLS環境を構築する

散々悩んできたのですが、ようやくこの構成でいいかなーと思える構成ができました(金かかるけど)
利用するのは、AzureAD (Office365付属)、IronWifiです。

AzureADでアプリケーションを登録する

Azure Active Directoryの管理センターを開きます
[アプリの登録] → 【新規登録】をクリックします

名前は今回はそのまま「ironwifi」と設定しました。
リダイレクトURLはリージョンによって変わりますがTOKYOリージョンを選択するため、
「https://asia-northeast1.ironwifi.com/api/oauth2callback」になります(2019年8月現在)
設定が完了したら【登録】をクリックします

APIのアクセス許可を設定する

[APIのアクセス許可] → 【アクセス許可の追加】をクリックします

 

【Microsoft Graph】をクリックします

【アプリケーションの許可】をクリックします

[Directory.Read.All]にチェックを入れ、【アクセス許可の追加】をクリックします

[証明書とシークレット] → 【新しいクライアントシークレット】をクリックします

任意の名前を入力、有効期限を設定し【追加】をクリックします。
今回は、名前に「ironwifi」有効期限なしとしました

シークレットキーが発行されるので、コピーし内容を保存します
ページを移動するとシークレットキーを表示することはできませんので必ず保存してください

 

IronWifiのユーザ同期先をAzureADに設定する

https://www.ironwifi.com/ から7日間の無料トライアルが可能なので、こちらで試します

通常利用には1ユーザ$5/月額かかります


メールアドレスと、何がしたいかを選択し【Submit】をクリックします

メールが届くので本文中にあるURLをクリックします

各種情報を入力し、【Submit】をクリックします
RegionにはTokyoもあるので、日本で利用する場合にはTokyoを選択しておくといいかと思います

TOP画面が表示されます

[User]→【Connectors】をクリックします

【NewConnctor】をクリックします

Database Typeで「AzureAD」を選択します

「Application Source」から「Azure」を選択します
事前に設定したアプリケーション情報を使い各種設定欄を入力します

アプリケーションIDやテナントIDは登録したアプリの概要欄から確認することができます

Application Keyはアプリの登録の際に保存したシークレットキーを入力します
すべての入力が完了したら、【Continue】をクリックします

【Click To Authorize】をクリックします

AzureADへの認証画面が表示されるので、管理者権限を持ったユーザでログインします

【承諾】をクリックします

 

下記のような表示になったら、設定していたIrowifiのタブに戻ります

【Continue】となっているので、こちらをクリックします

ユーザをインポートするAAD Groupを選択します。
今回はAll Userを選択し全ユーザをインポートしています

Connectorsに設定したNAMEで登録されたことを確認します。

登録された内容を見ると色々と設定変更が可能みたいです
同期のインターバルは1時間、4時間、24時間のようですね

【User】をクリックします。
3ユーザしか作成していないので、インポートはすぐに完了しました

ユーザ名をクリックすると詳細が表示されます。
AzureAD上に登録されているユーザ名等が取得できているのがわかります
右側の人画像のところはプロフィール画像が設定されていれば表示されるのかと思ったのですが、そういうわけではないようです

EAP-TLS用の証明書を発行する

下のほうにスクロールしていくと「Certificates」という項目があるので、右にある【Add Certificate】をクリックします

証明書取得方法と有効期限を選択します

【Create】をクリックします
今回は「Download Certificate」「1year」としています

ダウンロードリンクと証明書パスワードが表示されるので、証明書をダウンロードし、パスワードを必ずメモしておきます

発行された証明書がリストとして表示されます。
無効化もここからできますね

RADIUSサーバとしての設定

[Network] → 【New Network】をクリックします

任意の名前を入力し、【Create】をクリックします

RADIUSサーバが追加されます

名前をクリックすると詳細が表示されます。
この内容を確認し、RADIUS認証させたいAPやネットワーク機器に設定し接続できることが確認できればOKですね!
標準のRADIUSポート番号ではないので、外向きの通信を制限している場合には表示されたポートを開放してください。

レポートも表示されます

まとめ

オンプレサーバがないためRADIUS認証をどうすべきかとずっと悩んでいましたが、月額がそこそこ発生してしまうもののこれも1つの解かなと思っています。
そのほかにもJumpCloudやOkta RADIUS、Onelogin RADIUS等々ありますがそちらもそれなりに費用がかかるのと色々な要件次第で利用サービスを考えていく必要があるかと思います。
10UserまでならJumpCloud無料で利用可能だったりしますし規模や今後の展開を見据えて検討していくといいのかなと思っています。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Networkカテゴリの最新記事

%d人のブロガーが「いいね」をつけました。