BAO-RA1X ユーザーズマニュアル - バッファロー

AirStation Radius 

BAO-RA1X 

ユーザーズ 

マニュアル 

AirStation Radius の導入 1 

MAC アドレスによる認証設定 2 

EAP-MD5 による認証設定 3 

EAP-TTLS による認証設定 4 

EAP-TLS による認証設定 5 

EAP-PEAP による認証設定 6 

その他の設定例 7 

本書をよくお読みのうえ、正しくお使い 

ください。

本書の使い方 

本書を正しくお使いいただくための表記上の約束ごとを説明します。 

■文中マーク/用語表記 

注意マーク 

製品の取り扱いにあたって注意すべき事項です。この注意事項に従わなかった場合、身 

体や製品に損傷を与えるおそれがあります。 

メモマーク 

製品の取り扱いに関する補足事項、知っておくべき事項です。 

参照マーク 

関連のある項目のページを記しています。 

•文中 [ ] で囲んだ名称は、操作の際に選択するメニュー、ボタン、テキストボックス、 

チェックボックスなどの名称を表わしています。 

•文中『』で囲んだ名称は、ソフトウェアやダイアログボックスの名称を表わしています。 

•本書では原則として BAO-RA1X を AirStation Radius と表記しています。 

■ 本書の著作権は弊社に帰属します。本書の一部または全部を弊社に無断で転載、複製、改変などを行うこと 

は禁じられております。 

■ BUFFALO、AirStation は、株式会社バッファローの商標です。本書に記載されている他社製品名は、一般に 

各社の商標または登録商標です。本書では、®、© などのマークは記載していません。 

■ 本書に記載された仕様、デザイン、その他の内容については、改良のため予告なしに変更される場合があ 

り、現に購入された製品とは一部異なることがあります。 

■ 本書の内容に関しては万全を期して作成していますが、万一ご不審な点や誤り、記載漏れなどがありまし 

たら、お買い求めになった販売店または弊社サポートセンターまでご連絡ください。 

■ 本製品は一般的なオフィスや家庭の OA 機器としてお使いください。万一、一般 OA 機器以外として使用さ 

れたことにより損害が発生した場合、弊社はいかなる責任も負いかねますので、あらかじめご了承くださ 

い。 

・医療機器や人命に直接的または間接的に関わるシステムなど、高い安全性が要求される用途には使用し 

ないでください。 

・一般OA 機器よりも高い信頼性が要求される機器や電算機システムなどの用途に使用するときはご使用 

になるシステムの安全設計や故障に対する適切な処置を万全におこなってください。 

■ 本製品は日本国内でのみ使用されることを前提に設計、製造されています。日本国外では使用しないでく 

ださい。また弊社は、本製品に関して海外での保守および技術サポートを行っておりません。 

■ 本製品のうち、外国為替および外国貿易管理法の規定により戦略物資等(または役務)に該当するものにつ 

いては、日本国外への輸出に際して、日本国政府の輸出許可(または役務取引許可)が必要です。 

■ 本製品の使用に際しては、本書に記載した使用方法に沿ってご使用ください。特に、注意事項として記載さ 

れた取扱方法に違反する使用はお止めください。 

■ 弊社は、製品の故障に関して一定の条件下で修理を保証しますが、記憶されたデータが消失・破損した場合 

については、保証しておりません。本製品がハードディスク等の記憶装置の場合または記憶装置に接続し 

て使用するものである場合は、本書に記載された注意事項を遵守してください。また、必要なデータはバッ 

クアップを作成してください。お客様が、本書の注意事項に違反し、またはバックアップの作成を怠ったた 

めに、データを消失・破棄に伴う損害が発生した場合であっても、弊社はその責任を負いかねますのであら 

かじめご了承ください。 

■ 本製品に起因する債務不履行または不法行為に基づく損害賠償責任は、弊社に故意または重大な過失が 

あった場合を除き、本製品の購入代金と同額を上限と致します。 

■ 本製品に隠れた瑕疵があった場合、無償にて当該瑕疵を修補しまたは瑕疵のない同一製品または同等品に 

交換致しますが、当該瑕疵に基づく損害賠償の責に任じません。

はじめに 

このたびは、AirStation Radius BAO-RA1X をお買いあげいただき誠にありがとうござ 

います。AirStation Radius は、ネットワークのセキュリティを高める規格 802.1x 認証 

を行うサーバソフトウェアです。 

本書をよくお読みの上、正しくお使いください。 

■ AirStation Radius BAO-RA1X の特長 

• 802.1x/EAP 対応により、ユーザ認証管理をおこない、高セキュリティな無線 LAN 環 

境を実現。 

• 様々な組織のニーズに合ったプラットフォームに対応。 

• Microsoft Active Directry や LDAP などのディレクトリサービスとユーザ情報の参照 

が可能。 

• テキスト形式のユーザリストを読込可能。 

ユーザリストを Microsoft Excel 等の外部ツールで作成できるので、大量登録も簡単。 

• Proxy RADIUS 対応なので、ISP との提携による外部からのアカウント接続や、大規 

模な組織での分散認証管理が可能。 

•802.1x認証対応スイッチングハブにも対応し、無線/有線で統一的に管理可能。 

BAO-RA1X ユーザーズマニュアル 

1

第 1 章 AirStation Radius の導入 

2 

1.1 設定環境 ....................................................................................... 6 

1.2 JAVA のインストール ................................................................... 7 

1.3 AirStation Radius のインストール ................................................ 9 

1.4 AirStation Radius の起動と初期操作 ........................................... 12 

1.5 アンインストール ....................................................................... 16 

第 2 章 MAC アドレスによる認証設定 

2.1 MAC アドレスによる認証設定 .................................................. 18 

2.2 AirStation のセキュリティ設定 .................................................. 19 

2.3 パソコン(クライアント PC)の登録 ........................................... 21 

2.4 認証の設定 ................................................................................. 23 

2.5 接続方法 .................................................................................... 26 

第 3 章 EAP-MD5 による認証設定 

3.1 EAP-MD5 による認証設定 ......................................................... 28 



3.4 認証の設定 ................................................................................. 33 

3.5 接続方法 .................................................................................... 34 

第 4 章 EAP-TTLS による認証設定 

4.1 EAP-TTLS による認証設定 ........................................................ 43 

4.2 プライベート CA 局の設置 ........................................................ 45 



4.5 証明書の発行 ............................................................................. 53 

4.6 認証の設定 ................................................................................. 58 

4.7 クライアント PC 用証明書 ........................................................ 59 

4.8 接続方法 .................................................................................... 63 


目次

第 5 章 EAP-TLS による認証設定 

5.1 EAP-TLS による認証設定 .......................................................... 66 

5.2 プライベート CA 局の設置 ........................................................ 67 



5.5 証明書の発行 ............................................................................. 72 

5.6 クライアント PC 用証明書 ........................................................ 73 

5.7 認証の設定 ................................................................................. 81 

5.8 接続方法 .................................................................................... 82 

第 6 章 EAP-PEAP による認証設定 

6.1 EAP-PEAP による認証設定 ....................................................... 90 



6.4 証明書の発行 ............................................................................. 96 

6.5 認証の設定 ................................................................................. 97 

6.6 接続方法 .................................................................................... 98 

第 7 章その他の設定例 

7.1 ProxyRadius の設定例 ............................................................. 106 

7.2 UNIX 認証の設定例(TTLS) ......................................................111 

7.3 ActiveDirectory の設定例(PEAP) ............................................ 115 

7.4 CSV ファイルでのユーザ管理 ................................................. 120 

7.5 日付毎にログファイルを分割する ........................................... 128 


3

MEMO 

4 

BAO-RA1X ユーザーズマニュアル

■この章でおこなうこと 

セキュリティ管理を行う認証サーバ(RADIUS 

サーバ)の設定を行います。 

1.1 設定環境 

第 1 章 

AirStation Radius の 

導入 

■ 対応機器 ................................................................................... 6 ページへ 

■ 対応 OS ..................................................................................... 6 ページへ 

1.2 JAVA のインストール 

■ JAVA 環境 .................................................................................. 7 ページへ 

■ JAVA ランタイムのインストール ............................................ 7 ページへ 

1.3 AirStation Radius のインストール 

■ Windows 環境でのインストール .............................................. 9 ページへ 

■ Redhat Linux、Solaris 環境でのインストール ....................... 11 ページへ 

1.4 AirStation Radius の起動と初期操作 

■ AirStation Radius の起動 ........................................................ 12 ページへ 

■ AirStation(クライアント)の登録 ........................................ 13 ページへ 

■ サーバの起動 .......................................................................... 14 ページへ 

■ サーバの停止 .......................................................................... 15 ページへ 

■ AirStation Radius の再起動 ..................................................... 15 ページへ 

1.5 アンインストール 

■ AirStation Radius のアンインストール ................................... 16 ページへ

1.1 設定環境 

AirStation Radius の導入をおこなう前に、次のことを確認してください。 

AirStation Radius のインストールには、次の機器および OS の仕様が必要です。 

■ 対応機器 

•PC/AT互換機 

•PentiumⅡ 400MHz 以上 

• RAM 256MB 以上(推奨 512MB 以上) 

• HDD 40MB 以上の空きが必要 

■対応OS 

• Windows 2000 Server/Server 2003 

• Red Hat Linux 7.x ~ 8.x(ウィンドウマネージャ:GNOME または KDE) 

•Solaris 8、9(Sparc 版)(ウィンドウマネージャ:CDE) 

• Windows 98/Me/2000 Professional/XP Professional(サーバマネージメントツール 

を使用した RADIUS サーバのリモート操作のみ。RADIUS サーバとしては動作しま 

せん。) 

6 


1.2 JAVA のインストール 

■ JAVA 環境 

AirStation Radius の導入に必要な JAVA 環境は、以下のとおりです。 

• JAVA TM 2 Runtime Enviroment(以後、J2RE と表記) Ver.1.4.2 以上 

既に J2RE がインストールされている場合は、バージョンが上記の条件を満たしている 

か確認してください。条件を満たしていない場合には、古い J2RE をアンインストール 

した後、「AirStation Radius CD」内の J2RE をインストールしてください。 

■ JAVA ランタイムのインストール 

JAVA のランタイムプログラムは、「RSA Security, Inc からライセンスされたコード」 

を含みます。IBM からライセンスされるいくつかの部分については、 

「http://oss.software.ibm.com/icu4j」の URL において利用可能です。 

(インストール中に表示される使用許諾には、すべて同意する必要があります。) 

Windows 98/2000/Me/XP/Server 2003 の場合 

1 [スタート]→[ファイル名を指定して実行]を選択します。 

2 名前欄に「D:¥JRE1.4.2¥j2re-1_4_2-windows-i586.exe」と入力し、[OK]を選 

択します。(CD-ROM ドライブが D ドライブの場合) 

3 インストーラ画面の指示に従い、インストールを行います。 

Redhat Linux の場合 

1 ターミナルを起動し、インストールファイルをテンポラリファイルにコピーします。 

例:「cp /mnt/cdrom/JRE1.4.2/j2re-1_4_2-linux-i586-rpm.bin ./」 

(CD-ROM ドライブが /mnt/cdrom にマウントされている場合) 

2 解凍します。 

例:「./j2re-1_4_2-linux-i586-rpm.bin」 

3 インストーラを実行します。 

例:rpm -ivh j2re-1_4_2-linux-i586.rpm 


7

4 JAVA の実行ファイルに Path を追加します。 

例 root/.bash_profile ファイルにエディタなどで、Path を追加します。 

PATH=$PATH:$HOME/bin と記述されている場合、その後に 

「:/usr/java/j2re1.4.2/bin/」を追加します。 

5 OS を再起動して PATH を確定します。 

Solaris の場合 

1 ターミナルを起動し、CD-ROM から java ファイルをインストール先にコピーし 

ます。 

8 

例:「cd /usr」 

「mkdir java1.4.2」 

「cp /cdrom/(CD のボリューム名)/jre1.4.2/j2re-1_4_2-solaris-sparc.sh /usr/ 

java1.4.2/j2re-1_4_2-solaris-sparc.sh」 


例:「cd /usr/java1.4.2」 

「./j2re-1_4_2-solaris-sparc.sh」 

この場合「/usr/java1.4.2/j2re1.4.2」内にインストールされます。 

3 インストールした java1.4.2 を有効にします。 

例:「rm /usr/java」 

「ln -s /usr/java /usr/java1.4.2」 

4 JAVA の実行ファイルに Path を追加します。 

例: /.dtprofile にエディタなどで、Path を追加します。 

PATH=$PATH:$HOME/bin と記述されている場合、その後に 

「:/usr/java1.4.2/j2re1.4.2/bin/」を追加します。 

5 OS を再起動して PATH を確定します。 


1.3 AirStation Radius のインストール 

お使いの OS 環境によって、AirStation Radius のインストール方法が異なります。 

該当する環境のインストール方法を参照してください。 

•Windows環境でのインストール..........................................................................................................P9 参照 

• Redhat Linux、Solaris 環境でのインストール..................................................................P11 参照 

古いバージョンの AirStationRadius がインストールされた環境や以前にインストールした 

ことがある環境の場合は、AirStationRadiusCD の readme.txt の「インストール補足」を 

参照してインストールを行ってください。 

■ Windows 環境でのインストール 

1 「AirStation Radius CD」内の「setup.exe」を実行し、インストーラを起動します。 

例:「D:¥setup.exe」 

(CD-ROM ドライブが D ドライブの場合) 

2 [Next]をクリックします。 

3 [ライセンス同意書の内容を受け入れる]をチェックをつけます。 

[Next]をクリックします。 

4 インストール先のフォルダを確認して、[Next]をクリックします。 

「指定されたインストールディレクトリは存在しません。このディレクトリを作成 

しますか?」と表示されたら、[はい]をクリックします。 


9

5 [AirStation Radius をインストール]を選択します。 


10 

リモート接続のみ行う場合には、「サーバマネージメントツールをインストール」 

を選択します。 

6 ライセンスファイル(lic)の場所を指定します。 


ライセンスファイルを後からインストールする場合は未指定の状態(空欄)で[Next]を 

クリックします。未指定の場合、「ライセンスファイルがないと実行できませんが、続けま 

すか?」の警告が表示されます。そのまま「はい」をクリックしてください。 

7 管理者用のユーザ名とパスワードを入力します。 

(ユーザ名とパスワードは、英数半角のみで入力してください。) 


ここで入力したユーザ名とパスワードは、AirStation Radius を起動するたびに入力が必要 

となります。メモに残して安全な場所に保管してください。 


8 [Finish]をクリックします。 

以上で、Windows 環境における AirStation Radius のインストールは完了です。 

■ Redhat Linux、Solaris 環境でのインストール 

1 ターミナルを起動し、CD-ROM にカレントディレクトリを移します。 

例:「cd /mnt/cdrom」 



例:「./setup.sh -GUI」 

3 インストーラ画面の指示に従い、インストールを行います。(「Windows 環境での 

インストール」(P9)の手順 3 を参照してください。) 

以上で、Redhat Linux、Solaris 環境における AirStation Radius のインストールは完 

了です。 


11

1.4 AirStation Radius の起動と初期操作 

AirStation Radius からサーバを起動して、各設定をおこないます。 

■ AirStation Radius の起動 

Windows の場合 

1 [スタート]→[プログラム]→[AirStation Radius]→[Server Management Tool] 

を選択します。 

(インストールフォルダの「bin」サブフォルダにある、「nrsmt.exe」を実行しても 

同じです。) 

2 AirStation Radius を起動すると、ログイン画面が表示されます。 

3 お使いの環境によって、ログインの方法が異なります。該当する項目を参照して、 

ログインしてください。 

◆ 本操作を行う PC が RADIUS サーバの場合 

12 

1 「ユーザ名」と「パスワード」には、「■ Windows 環境でのインストール」(P9)の手 

順 7 の内容を入力します。 

2 「このコンピュータにローカル接続」を選択します。 

3 [接続]をクリックします。 

◆ すでに動作している AirStation Radius をリモート操作する場合 

すでに動作している AirStation Radius をリモート操作するときは、RADIUS サーバの 

「Configuration Server」が「Running」になっている必要があります。 

1 「ユーザ名」と「パスワード」には、RADIUS サーバの設定内容を入力します。 

2 「リモート接続(コンフィグレーションサーバを使用)」を選択します。 

3 「ホスト」欄に、RADIUS サーバのアドレスを入力します。(例:「192.168.0.11」) 


※ Windows 98/Me/2000 Professional/XP Professional の場合には、「リモート接続(コン 

フィグレーションサーバを使用)」による接続だけが有効となります。 

続いて「■ AirStation(クライアント)の登録」(P13)に進んでください。 


Redhat Linux、Solaris の場合 

1 ターミナルを起動し、カレントディレクトリを AirStationRadius のインストール 

フォルダの「bin」サブフォルダに移します。 

例:「cd /opt/BUFFALO/AirStationRadius/bin」 

2 サーバマネージメントツールを実行します。 

例:「./nrsmt」 

3 AirStation Radius を起動すると、ログイン画面が表示されます。(上記「Windows 

の場合」の手順 2 参照) 

4 お使いの環境によって、ログインの方法が異なります。該当する項目を参照して、 

ログインしてください。 

◆ 本操作を行う PC が RADIUS サーバの場合 

1 「ユーザ名」と「パスワード」には、「■ Windows 環境でのインストール」(P9)の 

手順 7 の内容を入力します。 

2 「このコンピュータにローカル接続」を選択します。 


◆ すでに動作している AirStation Radius をリモート操作する場合 

すでに動作している AirStation Radius をリモート操作するときは、RADIUS サーバの 

「Configuration Server」が「Running」になっている必要があります。 

1 「ユーザ名」と「パスワード」には、RADIUS サーバの設定内容を入力します。 

2 「リモート接続(コンフィグレーションサーバを使用)」を選択します。 

3 「ホスト」欄に、RADIUS サーバのアドレスを入力します。(例:「192.168.0.11」) 


続いて「■ AirStation(クライアント)の登録」(P13)に進んでください。 

■ AirStation(クライアント)の登録 

サーバに AirStation(クライアント)の登録をおこないます。 

• この操作を行う前に、あらかじめ AirStation(クライアント)の設定をしてください。 

本登録では、AirStation の「IP アドレス」と「暗号文字」が必要となります。 

• クライアントに弊社製品「AirStation シリーズ」をお使いの場合には、『RADIUS』画面 

で入力した「Shared Secret」が暗号文字(クライアントシークレット)となります。 

1 AirStation Radius を起動します。 

2 [クライアント]を選択します。 


13

3 使用する AirStation の登録を行います。 

[レコード挿入] または[レコード編集] をクリックします。 

4 「クライアント IP アドレス / ホスト名」と「クライアントシークレット」を入力 

します。 

14 

[OK]をクリックします。 

5 使用する AirStation の台数分、登録を行います。 

最大 5 台(基本仕様の場合)までの登録が可能です。 

6 手順 3 の画面に戻り、[保存]を選択します。 

(手順 4 の[OK]をクリックで、手順 3 の画面に戻ります。) 

以上で、AirStation の登録作業は完了です。 

■ サーバの起動 

サーバとして使用するパソコンを認証サーバとして機能させるため、AirStation 

Radius を起動して、以下の操作を行ってください。 


2 [AirStation Radius サーバの制御を許可]ツールボタンをクリックします。 

3 [Start AirStation Radius サーバ]を選択します。 


4 [コンフィグレーションサーバの制御を許可]ツールボタンをクリックします。 

5 [Start コンフィグレーションサーバ]を選択します。 

「ステータス」が「Radius Server」、「Configuration Server」共に「Running」にな 

ることを確認します。 

6 アイコンが両方とも緑になるまで待ちます。 

以上で、サーバの起動操作は完了です。 

■ サーバの停止 

サーバを起動したら、一度、次の手順でサーバを停止してください。 

1 [AirStation Radius サーバの制御を許可] ツールボタンをクリックします。 

2 [Stop AirStation Radius サーバ] を選択します。 

3 [コンフィグレーションサーバの制御を許可] ツールボタンをクリックします。 

4 [Stop コンフィグレーションサーバ] を選択します。 

アイコンが両方とも赤になるまで待ちます。 

■ AirStation Radius の再起動 

AirStationRadius を再起動する際は、次の手順でサーバをおこなってください。 

1 サーバがすでに起動している場合には「サーバの停止」(P15)の手順どおりサーバ 

を停止してください。 

2 [サーバ]-[終了]を選択し、AirStationRadius を終了します。 

3 「AirStation Radius の起動」(P12)を参照して AirStationRadius を起動します。 

4 「サーバの起動」(P14)を参照してサーバを起動します。 


15

1.5 アンインストール 

■ AirStation Radius のアンインストール 

AirStationRadius をアンインストールするときは、AirStationRadius を停止させてか 

ら、アンインストールします。 

1 AirStationRadius を起動します。 

2 [AirStation Radius サーバの制御を許可]ツールボタンクリックします。 

3 [Stop AirStation Radius サーバ]を選択します。 

4 [コンフィグレーションサーバの制御を許可]ツールボタンクリック 

5 [Stop コンフィグレーションサーバ]を選択します。 

アイコンが両方とも赤になるまでお待ちください。 

6 AirStationRadius アンインストールをおこないます。環境によって、手順が異なり 

ます。該当する項目を参照してください。 

16 

《Windows 環境の場合》 

Windows 環境において、AirStation Radius のアンインストールを行う場合には、[コント 

ロールパネル]内の『アプリケーションの追加と削除』を使用してください。 

《Redhat Linux、 Solaris 環境の場合》 

1 ターミナルを起動し、CD-ROM にカレントディレクトリを移します。 

例:「cd /mnt/cdrom」 


2 アンインストーラを実行します。 

例:「./setup.sh -uninstall」 



MAC アドレスで認証する設定手順を説明しま 

す。 

2.1 MAC アドレスによる認証設定 

第 2 章 

MAC アドレスによる 

認証設定 

■ 設定概要 ................................................................................. 18 ページへ 

2.2 AirStation のセキュリティ設定 

■ AirStation の設定 ..................................................................... 19 ページへ 

2.3 パソコン (クライアント PC) の登録 

■ ユーザの登録 .......................................................................... 21 ページへ 

2.4 認証の設定 

■ 認証の設定 .............................................................................. 23 ページへ 

2.5 接続方法 

■ クライアント PC の設定 ......................................................... 26 ページへ

2.1 MAC アドレスによる認証設定 

■ 設定概要 

AirStation Radius によるセキュリティシステムに『MAC アドレスによる認証』を利 

用する場合は、AirStation Radius を起動して以下の設定を行います。 

1 AirStation のセキュリティ設定 

AirStation(アクセスポイント)を『802.1x』用に設定します。 

…「2.2 AirStation のセキュリティ設定」(P19)参照 

2 パソコン(クライアント PC)の登録 

お使いになるパソコン(クライアント PC)を登録します。 

…「■ ユーザの登録」(P21)参照 

3 認証の設定 

4 接続 

18 

認証の設定とメソッドセレクタの設定を行います。 

…「■ 認証の設定」(P23)参照 

クライアントマネージャ3 を使って AirStation(アクセスポイント)と接続します。 

…「■ クライアント PC の設定」(P26)参照 



AirStation(アクセスポイント)にセキュリティ設定をおこないます。 

お使いの AirStation(アクセスポイント)が、AirStation Radius に対応するかどうか 

については、メーカまたはお買い求めの販売店にお問い合わせください。 

弊社製品「 WLM2 シリーズ」を例に手順を説明します。その他の AirStation(アクセ 

スポイント)や認証対応のスイッチングハブをお使いの場合は、使用される機器のマ 

ニュアルやヘルプを参照して、同様の設定をしてください。 

■ AirStation の設定 

1 AirStation のマニュアルを参照して、設定画面を表示させます。 

2 「LAN 設定」-「無線」をクリックします。 

3 「MAC アクセス制限制限する」にチェックをつけ、「EAP 認証使用する」のチェック 

を外します。 

※「WEP 自動変更」は MAC 認証では対応していません。 

WEP キーを入力するときは、「WEP 使用する」にチェックをつけて、WEP キーを入 

力します。 

4 「設定」をクリックします。 

5 「ネットワーク設定」-「RADIUS」をクリックします。 


19

6 「プライマリ」の各項目を設定します。 

「MAC 認証」:チェックをつけます。 

「EAP 認証」:チェックを外します。 

「サーバ名」:AirStationRadius サーバの IP アドレスを入力します。 

「SharedSecret」:暗号文字を入力します。(下記のメモ参照) 

「MAC アドレスをパスワードとして使用」:チェックをつけます。 

20 

[サーバ名]には、認証サーバ(RADIUS サーバ)の IP アドレス(例:192.168.0.11)を 

入力します。認証サーバの名称を入力して代用することもできます。 

[Shared Secret] には、任意の暗号文字を入力します。ここで入力した暗号文字は、 

認証サーバで AirStation の登録をする際に使用します。 

メモに残して安全な場所に保管してください。 

必要であれば「セカンダリ」も設定してください。 


以上で、AirStation のセキュリティ設定作業は完了です。 


2.3 パソコン(クライアント PC)の登録 

■ ユーザの登録 

お使いのパソコン(クライアント PC)で使用している無線アダプタの「MAC アドレ 

ス」を登録します。以下の手順で、MAC アドレスの確認と登録をおこないます。 

● MAC アドレスの確認 

無線アダプタの MAC アドレスを確認し、メモしておいてください。 

ここでは、クライアントマネージャ 3 を使って MAC アドレスを確認する手順を説明し 

ます。(お使いのクライアントマネージャ3 のバージョンによっても手順が異なります。) 

1 クライアントパソコンにてクライアントマネージャ3 を起動します。 

2 [ヘルプ]-[バージョン情報]をクリックします。 

3 「MAC アドレス」の部分の 12 桁の英数字をメモします。 

4 認証を許可するパソコン(無線アダプタ)全ての MAC アドレスを確認します。 

● MAC アドレスの登録 

無線アダプタの「MAC アドレス」を確認したら、以下の手順で MAC アドレスの登録 

を行います。 

1 AirStation Radius を起動します。(「■ AirStation Radius の起動」(P12)参照) 

2 [ユーザファイル]を選択します。 

3 [新規]をクリックします。 

4 [新しいファイル名の入力]に「mac-users.txt」と入力して[了解]をクリックします。 


21

5 [レコード挿入] をクリックします。 

「ユーザ名」「パスワード」の両方にメモした無線アダプタの MAC アドレスを入力し 

(例:000740784705)、[Auth-Type]を「Local」のまま[OK]をクリックします。 

22 

※ ユーザ名・パスワード共にアルファベットは小文字で入力してください。 

○ 000740abcdef 

× 000740ABCDEF 

6 ユーザの数だけ、登録を行います。 


以上で、ユーザの登録作業は完了です。 



認証の設定をおこないます。以下の手順で設定してください。 

■認証の設定 

サーバのセットアップを行います。 

1 AirStationRadius を起動します。 

サーバが起動している場合には、「サーバの停止」 (P15) の手順どおりサー 

バを停止してください。 

※ サーバが起動したままでの設定変更は反映されない場合がありますので、必 

ずサーバを停止した状態で行ってください。 

2 [ポリシーフローエディタ]を選択します。 

3 [認証メソッド]タブをクリックします。 

4 「レコードの挿入」をクリックします。 

「メソッド名」:「macAuthLocal」と入力します。 

「メソッドタイプ」:AuthLocal を選択します。 

「次のメソッド」:checkItems を選択します。 

「OK」をクリックします。 


23


「メソッド名」:「macAuth」と入力します。 

「メソッドタイプ」:ReadUserFile を選択します。 

「次のメソッド」:macAuthLocal を選択します。 

「FileName」:「mac-users.txt」と入力します 

24 



「メソッド名」:「IsMac」と入力し、「メソッドタイプ」:Compare を選択します。 

「次のメソッド」:macAuth を選択します。 

「システムエラー時メソッド」:start を選択します。 

「Input1」:「${request.User-Name}」と入力します。 

「Input2」:「${request.Calling-Station-ID}」と入力します。 

「Operator」:==を選択します。 



7 「メソッド名」:「start」を選択し「レコードの編集」をクリックします。 

8 「メソッドタイプ」を「Goto」に変更し、「Method」に「IsMac」を選択します。 


9 「保存」をクリックします。 

10「AirStation Radius の再起動」(P15)を参照し再起動します。 

以上で、認証の設定は完了です。 


25


AirStation(アクセスポイント)に接続します。 

■ クライアント PC の設定 

クライアントマネージャ 3 を使って、AirStation に接続してください。 

26 



EAP-MD5 で認証する設定手順を説明します。 

3.1 EAP-MD5 による認証設定 

第 3 章 

EAP-MD5 による 

認証設定 

■ 設定概要 ................................................................................. 28 ページへ 


■ AirStation の設定 ..................................................................... 29 ページへ 


■ ユーザの登録 .......................................................................... 31 ページへ 



■ 無線から接続する .................................................................... 34 ページへ 

■ 有線から接続する .................................................................... 39 ページへ

3.1 EAP-MD5 による認証設定 


AirStation Radius によるセキュリティシステムに『EAP-MD5』を利用する場合は、 

AirStation Radius を起動して以下の設定を行います。 








4 接続 

28 

AirStation Radius に認証の設定をおこないます。 

…「3.4 認証の設定」(P33)参照 


…「3.5 接続方法」(P34)参照 




お使いの AirStation(アクセスポイント)が、AirStation Radius に対応するかどうかに 

ついては、メーカまたはお買い求めの販売店にお問い合わせください。 







3 「EAP 認証使用する」にチェックをつけます。 

※「WEP 自動変更」は MD5 では対応していません。 

WEP キーを入力するときは、「WEP 使用する」にチェックをつけて、WEP キーを 

入力します。 




29


「EAP 認証」:チェックをつけます。 


「Password」:入力不要です。 


30 

[サーバ名]には、認証サーバ(RADIUS サーバ)の IP アドレス(例:192.168.0.11)を入力しま 

す。認証サーバの名称を入力して代用することもできます。 

[Shared Secret]には、任意の暗号文字を入力します。ここで入力した暗号文字は、認証サー 

バで AirStation の登録をする際に使用します。 








本登録では、お使いのパソコン(クライアント PC)の「ユーザ名」と「パスワード」が必要 

となります。 



3 [開く]をクリックします。 

4 「eap-users.txt」を選択して[開く]をクリックします。 

5 [レコード挿入] または変更したいユーザ名を選択してから[レコード編集] 

をクリックします。 


31

6 「ユーザ名」と「パスワード」を入力します。 

7 「Auth-Type」をダブルクリックします。 

8 「値」を「EAP-MD5」を選択し「OK」を選択します。 

9 [OK]を選択します。 



[リロード]を選択します。 

確認画面が表示されたら、[了解]をクリックしてください。 


32 



AirStationRadius は、初期状態で EAP-MD5 で認証可能な設定になっています。 

「AirStation Radius の再起動」(P15)を行った後、次の「接続方法」(P34) へ進んで、 

AirStation (アクセスポイント) に接続してください。 


33


接続方法は、AirStation(アクセスポイント)を使用する場合(無線から接続する場合)と 

認証対応スイッチングハブを使用する(有線から接続する場合)とでサプリカントの使 

用方法が異なります。 

本章の手順は一例ですので、くわしい操作手順はお使いになるサプリカントのマニュア 

ルやヘルプを参照してください。 

■ 無線から接続する 

●対応サプリカント 

EAP-MD5 は、Windows XP 標準サプリカント、クライアントマネージャ3 にのみ対応し 

ています。 

34 

対応する無線アダプタについては、弊社ホームーページ(buffalo.jp)を参照してください。 

Windows XP 標準サプリカントとクライアントマネージャ3 の設定例を説明します。 

Windows XP(Service Pack1 適用前)をお使いの場合: 

「Windows XP 標準サプリカントのプロファイル設定例」(P34) 

Windows XP Service Pack1 以降および Windows 2000/Me/98SE をお使いの場合: 

「クライアントマネージャ3 のプロファイル設定例」(P38) 

● Windows XP 標準サプリカントのプロファイル設定例 

• Windows XP SP1 以降では「EAP / MD5-Challenge」はサポートされていません。「EAP 

/ MD5-Challenge」をお使いの場合は、クライアントマネージャ 3 を併用してお使いく 

ださい。 

• ここでは、ごく一般的な設定例を説明しています。操作や仕様に関しては、Microsoft 

社へお問合せください。操作や仕様に関してのお問合せは、弊社ではお受けいたして 

おりませんのでご了承ください。 

1 [スタート](→[設定] ※ )→[コントロールパネル](→[ネットワークとインター 

ネット接続] ※ )→[ネットワーク接続]を開きます。 

※ ( )内は、表示モードによって、有無が変わります。 

2 「ワイヤレスネットワーク接続」を右クリックし、「プロパティ」を選択します。 


3 [全般]タブを選択し、「接続時に通知領域にインジケータを表示する」にチェックを 

つけます。 

チェック後、[ワイヤレスネットワーク]タブを選択します。 

4 「Windows を使ってワイヤレスネットワークの設定を構成する」にチェックをつけ 

ます。 

「優先するネットワークの追加」をクリックして、「ワイヤレスネットワークのプロ 

パティ」を表示させます。 

ネットワークの設定を変更するときは任意のネットワークを選択し、プロパティを 

表示させて設定を変更します。 


35

5 各種項目を設定します。 

36 

• ネットワーク認証 (共有モード): チェックをはずします 

• キーは自動的に提供される : チェックをはずします 

※ 「■ AirStation の設定」で WEP キーを設定した場合には WEP を入力します 

上記以外の項目はすべて AirStation の設定に合わせてください。 

設定後、[OK]を選択します。 

6 [認証]タブを選択します。 

[認証]タブがない場合は、いったん OK で閉じて、開きなおしてください。 

7 「ネットワークアクセスの制御に IEEE 802.1X を使う」にチェックをつけます。 

EAP の種類に「MD5-Challenge」を選択し、[OK] をクリックします。 


8 タスクトレイに表示されるワイヤレスネットワーク接続のふきだし(以下のメッ 

セージ)をクリックします。 

ふきだしには、次のメッセージが表示されます。 

「次のネットワークのユーザ名とパスワードを入力するには、ここをクリックして 

ください:xxxxxxxxxxxxxx」 

9 ワイヤレスネットワーク接続の状態が表示された場合は、[閉じる]をクリックしま 

す。 

10 ユーザ名、パスワードを入力します。 

11 [OK]をクリックします。 

これで、サプリカントの設定作業および接続操作は完了です。 

接続状態は、「ワイヤレスネットワーク接続」のプロパティで確認することができます。 


37

●クライアントマネージャ 3 のプロファイル設定例 

1 タスクトレイにあるクライアントマネージャ3 のアイコンを右クリックして、 

メニューから「オプション」を開き、動作モードを「ビジネスモード」に変更します。 

2 プロファイルの「802.1x プロファイル」で「新規」をクリックします。 

3 各種項目を設定し、「OK」をクリックします。 

• プロファイル名:任意の文字列を入力します。 

• EAP の種類:「EAP-MD5」を選択します。 

• 「入力した値を使用する」を選択して、ユーザ名とパスワードを入力します。 

ユーザ名:AirStationRadius へのログイン名を入力します。 

パスワード:AirStationRadius へのログインパスワードを入力します。 

※ AirStationRadius サーバ側でのユーザ・認証設定とあわせてください。 

これで、設定は完了です。 

38 


■ 有線から接続する 

Windows XP 標準サプリカントを使って、接続します。 





• Windows XP SP1 以降の場合は、EAP-MD5 を選択できないことがあります。 




2 「ローカルエリア接続」を右クリックし、「プロパティ」を選択します。 


4 「このネットワークで IEEE 802.1X 認証を有効にする」にチェックをつけます。 

EAP の種類に「MD5-Challenge」を選択し、[OK] をクリックします。 

5 タスクトレイに表示されるローカルエリア接続のふきだし(以下のメッセージ)を 

クリックします。 


「次のネットワークのユーザ名とパスワードを入力するには、ここをクリックして 

ください」 


39

6 ユーザ名、パスワードを入力します。 


これで、サプリカントの設定作業および接続操作は完了です。 

接続状態は、「ローカルエリア接続」のプロパティで確認することができます。 

40 



EAP-TTLS で認証する設定手順を説明しま 

す。 

4.1 EAP-TTLS による認証設定 

第 4 章 

EAP-TTLS による 

認証設定 

■ 設定概要 ................................................................................. 43 ページへ 

4.2 プライベート CA 局の設置 

■ プライベート CA 局の設置環境 ............................................. 45 ページへ 

■ Active Directory のインストール ............................................ 45 ページへ 

■ 証明書サービスのインストール ............................................. 46 ページへ 


■ AirStation の設定 .................................................................... 48 ページへ 


■ ユーザの登録 .......................................................................... 50 ページへ 

■ 匿名の登録 ............................................................................. 51 ページへ 

4.5 証明書の発行 

■ 証明書の発行方法 ................................................................... 53 ページへ 

■ 証明書 (秘密鍵・証明書要求) の作成 ............................. 53 ページへ 


4.7 クライアント PC 用証明書 

■ CA 局にアクセスして証明書を取得する ................................ 59 ページへ 

■ CA 局の設置されたサーバから証明書を直接取得する .......... 60 ページへ


42 

■ 対応サプリカント ................................................................... 63 ページへ 

■ クライアントマネージャ 3 のプロファイル設定例 ................ 63 ページへ 


4.1 EAP-TTLS による認証設定 


AirStation Radius によるセキュリティシステムに『EAP-TTLS』を利用する場合は、は 

じめに CA 局上で証明書を作成し、その後、AirStation Radius を起動して各種設定を行 

います。 

1 CA 局の設置 

Active Directory をインストールして、プライベート CA 局を設置します。 

…「4.2 プライベート CA 局の設置」(P45)参照 





以下の登録をおこないます。 

• お使いになるパソコン(クライアント PC)を登録します。 


• 匿名を登録します。 

…「■ 匿名の登録」(P51)参照 

4 証明書の作成 

証明書を発行します。 

…「4.5 証明書の発行」(P53)参照 




• クライアントPCでの設定を簡素化する場合は、CA証明書のインストールは必要 

ありません。「7 接続」へ進んでください。 

• よりセキュリティを向上させるためにはクライアント PC に CA 証明書のインス 

トールを行い、接続時にサーバ証明書の有効性を確認する設定をおすすめしま 

す。 

6 クライアント PC 用証明書の取得とセットアップ 

証明書の取得とセットアップをおこないます。 

…「4.7 クライアント PC 用証明書」(P59)参照 


43

7 接続 

44 


…「4.8 接続方法」(P63)参照 



■ プライベート CA 局の設置環境 

プライベート CA 局を設置するためには、Windows 2000 Server または、Server 2003 上 

に Active Directory のインストールが必要です。 

以下の要領で Active directory をインストールして、証明書サービスのインストールを 

おこなってください。 

• あらかじめ、Windows 2000 Server または、Server 2003 の CD を用意しておいてくだ 

さい。 




• Windows 2000 Server または、Server2003 の CA 局を使用した場合を説明しています。 

他の CA 局をご利用される場合は、読み替えが必要です。 

■ Active Directory のインストール 

1 [スタート]メニューから[プログラム]→[管理ツール]→[サーバの構成]をクリッ 

クします。 

2 左側メニューから[Active Directory]を選択します。 

「Active Directory ウィザードを開始します。」を選択します。 

3 インストールウィザードに従って、インストールを行ってください。 

4 インストール完了後、再起動してください。 

以上で、Active Directory のインストール作業は完了です。 

次は「証明書サービスのインストール」(P46)へ進んでください。 


45

■ 証明書サービスのインストール 

Active Directory のインストール後、『証明書サービス』をインストールします。 

『証明書サービス』は、Widows 2000 Server のオプションコンポーネントとして 

Windows 2000 Server の CD 内に格納されています。 

1 [スタート]メニューから[コントロールパネル]→[アプリケーションの追加と削 

除]を選択します。 

2 [Windows コンポーネントの追加と削除]をクリックし、[証明書サービス]のコン 

ポーネントを追加します。 

Windows コンポーネントウィザードに従って、インストールを行ってください。 

46 

『証明書機関の種類』では、「エンタープライズ CA」を選択します。 

3 『CA 局の登録』ダイアログが表示されたら、必要事項を入力してください。 

『CA 局の登録』ダイアログでは、次の項目が必須入力となります。 

• CA の名前 (例:CA) 

• 組織 (例:BUFFALO) 

• 地域コード (例:JP) 

• 電子メール (サーバ管理者のアドレス/例:admin@xxxxxx.co.jp) 

• 証明書の発行期間 

なお、ここで入力した一部の内容は、証明書作成の際に「nrcert」コマンドのオプションパラ 

メータとして必要となります。(「■ 証明書(秘密鍵・証明書要求)の作成」(P53)」参照) 


Windows Server 2003 では、以下のダイアログが表示されます。 

識別名のサフィックスに組織、地域コードを「,0 = BUFFALO , C=JP」のように追加入力し 

てくだい。 

以上で、証明書サービスのインストール作業は完了です。 

次は「4.3 AirStation のセキュリティ設定」(P48)へ進んでください。 


47












WEPキーを入力するときは、「WEP 使用する」と「WEP自動変更」にチェックをつ 

けて、WEP 設定を空欄にします。 



48 















次は、「4.4 パソコン(クライアント PC)の登録」(P50)へ進んでください。 


49











50 


6 「ユーザー名」と「パスワード」を入力して、「Auth-Type」を次のように設定します。 

内部認証プロトコルによって、設定する値が異なります。 

PAP、CHAP、MS-CHAP、MS-CHAP-V2 の場合:Local 

EAP-MD5 の場合:EAP-MD5 



以上で、ユーザーの登録作業は完了です。 

■匿名の登録 








51

6 「ユーザ名」に登録する匿名を入力し、[ レコードの挿入 ] をクリックします。 

通常、「anonymous」を入力します。 

7 [属性]から[Auth-Type]を選択し、「値」に「EAP-TTLS」を選択します。 

52 


8 匿名の数だけ、登録をおこないます。 

以上で、匿名の登録作業は完了です。 



■ 証明書の発行方法 

証明書は、次の二つの方法で発行することができます。お使いの環境に合わせて、証明書 

の発行を行ってください。 

• 証明機関サービスに委託 

証明書の発行を証明機関サービスに委託する場合は、証明書の取得方法等について、 

ご契約されている証明機関サービスにお問い合わせください。 

• プライベート CA 局による証明書発行 

プライベート CA 局を CA 局(認証局)とする場合で、CA 局の設置が済んでいない 

ときは、本操作の前に CA 局の設置作業を行ってください。詳細については、「4.2 

プライベート CA 局の設置」(P45)を参照してください。 

ここでは、プライベート CA 局が設置されている場合の操作方法を説明します。 

■ 証明書(秘密鍵・証明書要求)の作成 

1 RADIUS サーバでコマンドプロンプト(コンソール)を起動させます。 

2 カレントディレクトリを『AirStation Radius』のインストールディレクトリの「bin」 

サブディレクトリに変更します。 

3 「nrcert」コマンドを以下のオプションで実行します。 

> nrcert -s "C=JP,O=BUFFALO,CN=CA" -pw secret -out req.pem -keyout key.pem 

主なパラメータの内容は次のとおりです。 

JP :CA 局の登録ダイアログで入力した「国/地域コード」 

BUFFALO :CA 局の登録ダイアログで入力した「組織」 

CA :CA 局の登録ダイアログで入力した「CA の名前」 

secret :CA 局のパスワード 

req、key :任意の名称 

実行後、現行ディレクトリ下の「run」ディレクトリに「req.pem(要求ファイル)」 

「key.pem(秘密鍵ファイル)」の 2 つのファイルが生成されます。 


53

4 web ブラウザから「http://192.168.0.10/certsrv」を入力・実行します。 

(「192.168.0.10」は、プライベート CA 局のアドレス) 

CA 局と RADIUS サーバが同じ PC の場合、「http://localhost/certsrv」と入力しても実 

行できます。 

54 

操作や仕様に関しては、Microsoft 社へお問合せください。操作や仕様に関してのお問合せ 

は、弊社ではお受けいたしておりませんのでご了承ください。 

5 証明書の要求画面が表示されます。 

[証明書の要求]を選択して、[次へ]をクリックします。 

6 [要求の詳細設定]を選択します。 

[次へ]をクリックします。 

7 [Base64 エンコード PKCS#10 ファイル…]を選択します。 


『保存された要求の送信』画面が表示されます。 


8 「run」ディレクトリ下に生成された「req.pem(要求ファイル)」を任意のテキストエ 

ディタで開きます。 

9 「req.pem」の内容をすべてコピーし、[保存された要求]の入力域に貼り付けます。 

証明書のテンプレートに[Web サーバー]を選択します。 

上記の設定後、[送信]をクリックします。 

10『証明書は発行されました』画面が表示されます。 

[Base64 エンコード]を選択します。 

[CA 証明書をダウンロード]をクリックします。 

11 ダウンロードウィザードに従い、CA 証明書をダウンロードします。 

CA 証明書の保存先には、「run」ディレクトリを指定してください。 

保存ファイル名は任意です。ここでは「req_signed.cer」とします。 

このファイルを以降「サーバ証明書」と呼びます。 

12[Home]を押します。 


55

13 証明書の要求画面が表示されます。 

[CA 証明書または説明書失効リストの発行]を選択します。 


14[Base64 エンコード]を選択します。 



CA 証明書の保存先には、「run」ディレクトリを指定してください。 

56 

保存ファイル名は任意です。ここでは「req_CA.pem」とします。 

このファイルを以降「CA 証明書」と呼びます。 

16「サーバ証明書」「CA 証明書」「秘密鍵ファイル」の 3 つのファイルをひとつのファ 

イルにマージします。 

Windows の場合 

例:copy req_signed.cer+req_CA.cer+key.pem serverA.pem 

Redhat Linux、Solaris の場合 

例:cat req_signed.cer > serverA.pem 

:cat req_CA.cer >> serverA.pem 

:cat key.pem >> serverA.pem 

※ 上記は、Windows ServerをCA局として利用した場合を説明しています。Redhat 

Linux、Solaris の場合では、使用する CA 局によってファイル名が異なることが 

あります。出力されるファイル名に読み替えてください。 


17 保存先に「run」ディレクトリを指定して、マージしたファイルを保存します。 

保存ファイル名は任意です。ここでは「serverA.pem」とします。 

以上で、証明書ファイルの編集作業は完了です。 


57


認証サーバのセットアップは以下の手順に従ってください。 


サーバが起動している場合には「サーバの停止」(P15)の手順どおりサーバを停止 

してください。 





4 メソッド名[authEapTtls]をダブルクリックします。 

5 『認証メソッド環境設定』が表示されます。 

[Rsa Cert File]に編集した証明書ファイル名(例:serverA.pem)を入力します。 

[Rsa Key Passwaord]に CA 局のパスワードを入力します。 

※ プライベート CA 局から発行した証明書の場合、P53 の手順3で入力した 

「secret」が CA 局のパスワードです。 

58 

上記の入力後、[OK]をクリックします。 

6 メソッド名[start]と[authLocal]がデフォルト設定のままであることを確認します。 

7 「AirStation Radius の再起動」(P15)を参照し再起動します。 

以上で、サーバのセットアップ操作は完了です。 



クライアント PC で使用する証明書として、CA 証明書を取得する必要があります。 

証明書の取得方法には、クライアント PC から CA 局にアクセスして取得する方法(P59 

参照)と、CA局の設置されたサーバから直接取得する方法(プライベートCA局が設置さ 

れている場合のみ)(P60 参照)があります。 

■ CA 局にアクセスして証明書を取得する 

証明書の発行を証明機関サービスに委託する場合は、証明書の取得方法等について、ご 

契約されている証明機関サービスにお問い合わせください。 

以下、プライベート CA 局が設置されている場合の証明書の取得方法を説明します。 

CA 局へは、TLS や PEAP 認証なしでアクセスする必要があります。『EAP-MD5』によるアク 

セスや、有線による接続などの任意の方法で CA 局へアクセスしてください。 


(「192.168.0.10」は CA 局のアドレス) 

2 Active directory 用のユーザ名、パスワードを入力します。 

[OK]を選択し、ログインします。 

※ この「ユーザ名」「パスワード」は予めプライベート CA 局の Window パソコン側 

で ActiveDirectory に追加しておく必要があります。 

3 「CA 証明書の取得または証明書失効リストの取得」を選択します。 


4 [Base64 エンコード]を選択します。 




59

6 CA 証明書を開き、クライアント PC にインポートします。 

以上で、証明書の取得作業は完了です。 

次は、「4.8 接続方法」へ進んでください。 

■ CA 局の設置されたサーバから証明書を直接取得する 

プライベート CA 局が設置されたサーバから、CA 証明書を取得し、FD 等の媒体を利用 

して各クライアント PC へ配布する場合は、以下の手順に従ってください。 

なお、本作業は、あらかじめRADIUSサーバにおいて「EAP-TLS」または「EAP-PEAP」に 

よる認証設定(証明書の発行等)が行われている必要があります。 

以下、証明書の取得から、クライアント PC インポート用データファイルへの変換方法に 

ついて説明します。 

●証明書の取得 

はじめに、「秘密鍵」がエクスポート可能な形式で含まれた証明書を取得し、引き続き CA 

証明書を取得します。 

1 web ブラウザから「http://localhost/certsrv」または「http://192.168.0.10/certsrv」 

と入力・実行します。 

(「192.168.0.10」は CA 局のアドレス) 




[CA 証明書のダウンロード]をクリックします。 


60 

操作や仕様に関しては、Microsoft 社へお問合せください。操作や仕様に関してのお問合せ 

は、弊社ではお受けいたしておりませんのでご了承ください。 


●証明書のデータファイル化 

取得した CA 証明書のインポート用データファイルへの変換操作は、以下の手順に従っ 

てください。 

1 [スタート]メニューから[コントロールパネル]→[インターネットオプション]を 

選択します。 

2 『インターネットのプロパティ』の[コンテンツ]タブをクリックします。 

3 [証明書]をクリックします。 

4 [信頼されたルート証明機関]タブをクリックし、ユーザの CA 証明書(発行者が CA 

で目的がすべて)を選択します。 

5 [エクスポート]を選択します。 

6 証明書のエクスポートウィザードに従って、作業を進めます。 

以下の項目が表示されたら、次のように設定してください。 

• エクスポートファイルの形式に「DER encoded binary X509 (CER)」を選 

択する。 

• エクスポートする証明書ファイルの指定には、 [参照] をクリックして、保 

存先とファイル名、およびファイル形式を指定する。 

例:「a:¥ca.cer」 

7 [完了]をクリックします。 

以上で、証明書のデータファイル化がすべて完了しました。 

●証明書のインポート 

CA 局の設置されたサーバで取得した証明書が、FD 等の媒体によってクライアント PC 

へ配布された場合は、以下の手順に従って証明書のインポートを行ってください。 






61

4 [インポート]をクリックします。 

5 インポートする証明書ファイルの指定が表示されたら、[参照]をクリックして、 

ファイルの種類から「X509 証明書(*.cer, *.crt)」を選択し、ファイル名を指定して 

ください。 


62 

ファイル名指定後、[開く]でファイルを確定し、[次へ]をクリックします。 

6 「証明書の種類に基づいて、自動的に証明書ストアを選択する」をクリックします。 

選択後、[次へ]をクリックします。 


以上で、CA 証明書のインポート作業が完了しました。 

次は、「4.8 接続方法」へ進んでください。 



AirStation(アクセスポイント)に接続します。 

■ 対応サプリカント 

EAP-TTLS は、クライアントマネージャ3 にのみ対応しています。 

対応する無線アダプタについては、弊社ホームページ (buffalo.jp) を参照してください。 

クライアントマネージャ3 の設定例は、以下のとおりです。 

■ クライアントマネージャ 3 のプロファイル設定例 





63



• EAP の種類:「EAP-TTLS」を選択します。 




• サーバ証明書の有効化: 

CA 証明書がインストールされていない場合は、「サーバ証明書の有効化」のチェック 

を外してください。 

※ セキュリティ向上の為、CA 証明書をインストールして「サーバ証明書の有効性を確 

認」のチェックをいれてお使いいただくことをおすすめします。 

• 内部認証プロトコル:AirStationRadius で使用する内部認証プロトコル 

• 匿名:AirStationRadius で使用する匿名(通常は「anonymous」) 



64 



EAP-TLS で認証する設定手順を説明します。 

5.1 EAP-TLS による認証設定 

第 5 章 

EAP-TLS による 

認証設定 

■ 設定概要 ................................................................................ 66 ページへ 


■ プライベート CA の設置環境 ................................................. 67 ページへ 




■ ユーザの登録 .......................................................................... 69 ページへ 


■ 証明書の発行方法 ................................................................... 72 ページへ 


■ CA 局にアクセスして証明書を取得する ................................ 73 ページへ 

■ CA 局の設置されたサーバから証明書を直接取得する .......... 75 ページへ 



■ 無線から接続する ................................................................... 82 ページへ 

■ 有線から接続する ................................................................... 87 ページへ

5.1 EAP-TLS による認証設定 


AirStation Radius によるセキュリティシステムに『EAP-TLS』を利用する場合は、はじ 

めに CA 局上で証明書を作成し、その後、AirStation Radius を起動して各種設定を行い 

ます。 











66 


…「5.5 証明書の発行」(P72)」参照 





7 接続 

AirStation Radius に認証の設定をおこないます 



…「5.8 接続方法」(P82)参照 



■ プライベート CA の設置環境 

プライベート CA 局を設置するためには、Windows 2000 Server 上に Active Directory 

のインストールが必要です。 

「4.2 プライベート CA 局の設置」(P45)を参照して、プライベート CA 局の設置をおこ 

なってください。 

あらかじめ、Windows 2000 Server の CD を用意しておいてください。 



お使いのアクセスポイントが、AirStation Radius に対応するかどうかについては、メー 

カまたはお買い求めの販売店にお問い合わせください。 








WEPキーを入力するときは、「WEP 使用する」と「WEP自動変更」にチェックをつ 

けて、WEP 設定を空欄にします。 


67








68 

[サーバ名]には、認証サーバ(RADIUS サーバ)の IP アドレス(例:192.168.0.11)を 

入力します。認証サーバの名称を入力して代用することもできます。 

[Shared Secret]には、任意の暗号文字を入力します。ここで入力した暗号文字は、認証 

サーバで AirStation の登録をする際に使用します。 





続いて「5.4 パソコン(クライアント PC)の登録」(P69)」に進んでください。 





となります。(「■ AirStation Radius の起動」(P12)参照) 








69

6 「パスワード」を入力するかどうかによって、設定が異なります。 

70 

《パスワードを設定しない場合》 

1 「ユーザ名」を入力します。 

2 「レコード挿入」ボタンをクリックします。 

3 「属性」に「Auth-Type」を選択します。 

4 「値」に「EAP-TLS」を選択します。 

5 「OK」を選択します。 

《パスワードを設定する場合》 

1 「ユーザ名」と「パスワード」を入力します。 

2 「Auth-Type」をダブルクリックします。 


3 「値」を「EAP-TLS」を選択し「OK」を選択します。 

4 「OK」を選択します。 



[リロード]を選択します。 

確認画面が表示されたら、[了解]をクリックしてください。 


次は、「5.5 証明書の発行」(P72)へ進んでください。 


71


■ 証明書の発行方法 

証明書は、次の二つの方法で発行することができます。お使いの環境に合わせて、証明書 

の発行を行ってください。 

• 証明機関サービスに委託 

証明書の発行を証明機関サービスに委託する場合は、証明書の取得方法等について、 

ご契約されている証明機関サービスにお問い合わせください。 

• プライベート CA 局による証明書発行 

プライベート CA 局が設置されている場合の操作方法は、「4.5 証明書の発行」(P53) 

を参照してください。 

72 

プライベート CA 局を CA 局(認証局)とする場合で、CA 局の設置が済んでいな 

いときは、本操作の前に CA 局の設置作業を行ってください。詳細については、「4.2 

プライベート CA 局の設置」(P45)を参照してください。 

続いて「5.6 クライアント PC 用証明書」(P73)に進んでください。 



クライアント PC で使用する証明書として、CA 証明書とユーザの証明書を取得する必要 

があります。 

証明書の取得方法には、クライアント PC から CA 局にアクセスして取得する方法(P73 

参照)と、CA局の設置されたサーバから直接取得する方法(プライベートCA局が設置さ 

れている場合のみ)(P75 参照)があります。 

■ CA 局にアクセスして証明書を取得する 

証明書の発行を証明機関サービスに委託する場合は、証明書の取得方法等について、ご 

契約されている証明機関サービスにお問い合わせください。 

以下、Windows2000 サーバのプライベート CA 局が設置されている場合の証明書の取得方法 

を説明します。 

CA 局へは、TLS の認証なしでアクセスする必要があります。『EAP-MD5』によるアクセ 

スや、有線による接続などの任意の方法で CA 局へアクセスしてください。 


(「192.168.0.10」は CA 局のアドレス) 

2 Active directory 用のユーザ名、パスワードを入力します。 

[OK]を選択し、ログインします。 

※ この「ユーザ名」「パスワード」は予めプライベート CA 局の Window パソコン側 

で ActiveDirectory に追加しておく必要があります。 

3 「証明書の要求」を選択します。 


4 「ユーザー証明書の要求」を選択します。 



73

5 [送信]をクリックします。 

6 「この証明書のインストール」をクリックします。 

7 「正しくインストールされました」と表示されたら、ユーザ証明書の取得は終了で 

す。[Home]をクリックして手順 3 の画面に戻り、CA 証明書の取得作業を引き続き 

行います。 






11 CA 証明書を開き、クライアント PC にインポートします。 

以上で、証明書の取得作業は完了です。 

次は、「接続方法」(P82)へ進んでください。 

74 


■ CA 局の設置されたサーバから証明書を直接取得する 

プライベート CA 局が設置されたサーバから、クライアント PC 用のユーザ証明書と CA 

証明書を取得し、FD 等の媒体を利用して各クライアント PC へ配布する場合は、以下の 

手順に従ってください。 

なお、本作業は、あらかじめ RADIUS サーバにおいて「EAP-TLS」による認証設定(証明 

書の発行等)が行われている必要があります。 

ここでは、証明書の取得からクライアント PC インポート用データファイルへの変換方 

法について説明します。 

●証明書の取得 

プライベート CA 局が設置されている場合の証明書の取得方法を説明します。 

1 web ブラウザから「http://localhost/certsrv」または「http://192.168.0.10/certsrv」 

と入力・実行します。 

(「192.168.0.10」は CA 局のアドレス) 

2 [証明書の要求]を選択します。 


3 [要求の詳細設定]を選択します。 


4 [フォームを使用してこの CA へ証明書の要求を送信します。]を選択します。 



75

5 次の項目を設定します。 

76 

• 証明書テンプレート :「ユーザー」を選択する。 

• エクスポート可能なキーとしてマークする :チェックをつける。 

上記の設定後、[送信]をクリックします。 

6 『証明書は発行されました』画面が表示されます。 

[この証明書のインストール]をクリックします。 

7 「新しい証明書は正しくインストールされました」と表示されたら、ユーザ証明書の 

取得は終了です。[Home]をクリックして手順 2 の画面に戻り、CA 証明書の取得作 

業を引き続き行います。 




[CA 証明書のダウンロード]をクリックします。 


操作や仕様に関しては、Microsoft 社へお問合せください。操作や仕様に関してのお問合 

せは、弊社ではお受けいたしておりませんのでご了承ください。 


●証明書のデータファイル化 

取得した証明書と CA 証明書のインポート用データファイルへの変換操作は、以下の手 

順に従ってください。 





4 [個人]タブをクリックし、ユーザの証明書(発行者が CA で目的が暗号化ファイル 

システム)を選択します。 

5 [エクスポート]を選択します。 



•「はい、秘密キーをエクスポートします」にチェックをつける。 

• エクスポートファイルの形式に「Personal Information Exchange-PKCS#12 

(PFX)」を選択する。 

•「パスワード」には、インポート時に使用するものを入力する。 

• エクスポートする証明書ファイルの指定には、[参照]をクリックして、保存先と 

ファイル名、およびファイル形式を指定する。 

例:「a:¥user.pfx」 


以上で、証明書のデータファイル化が終了しました。 

引き続き、CA 証明書のデータファイル化作業を行います。 

8 手順 1 ~ 3 を繰り返します。 

9 [信頼されたルート証明機関]タブをクリックし、ユーザの CA 証明書(発行者が CA 

で目的がすべて)を選択します。 

10[エクスポート]を選択します。 


77



78 

• エクスポートファイルの形式に「DER encoded binary X509(CER)」を選択す 

る。 

• エクスポートする証明書ファイルの指定には、[参照]をクリックして、保存先と 

ファイル名、およびファイル形式を指定する。 


12[完了]をクリックします。 

以上で、証明書のデータファイル化がすべて完了しました。 

●証明書のインポート 

CA 局の設置されたサーバで取得した証明書が、FD 等の媒体によってクライアント PC 

へ配布された場合は、以下の手順に従って証明書のインポートを行ってください。 





4 [インポート]をクリックします。 



ファイルの種類から「Personal Information Exchange(*.pfx,*.p12)」を選択し、ファ 

イル名を指定してください。(例:「a:¥user.pfx」) 


6 「パスワード」には、エクスポート時に設定したパスワードを入力します。 

パスワード入力後、[次へ]をクリックします。 



操作や仕様に関しては、Microsoft 社へお問合せください。操作や仕様に関してのお問合 

せは、弊社ではお受けいたしておりませんのでご了承ください。 


79


以上で、証明書のインポートが終了しました。 

引き続き、CA 証明書のインポート作業を行います。 

9 手順 1 ~ 4 を繰り返します。 


ファイルの種類から「X509 証明書(*.cer, *.crt)」を選択し、ファイル名を指定して 

ください。 


80 




12[完了]をクリックします。 

以上で、すべての証明書のインポート作業が完了しました。 

次は、「5.8 接続方法」(P82)へ進んでください。 











4 メソッド名[authEap-Tls]をダブルクリックします。 

5 『認証メソッド環境設定』が表示されます。 

[Rsa Cert File]に編集した証明書ファイル名「serverA.pem」を入力します。 

[Rsa Key Passwaord]に暗証番号を入力します。 



6 [Trushed File]に CA 証明書ファイル名「req_CA.cer」を入力します。 

上記の入力後、[OK][保存]を順にクリックします。 


以上で、サーバのセットアップ操作は完了です。 


81









EAP-TLS は、Windows XP 標準サプリカント、クライアントマネージャ3 にのみ対応し 

ています。 

82 

対応する無線アダプタについては、弊社ホームページ(buffalo.jp)を参照してください。 

Windows XP 標準サプリカントとクライアントマネージャ3 の設定例を説明します。 

Windows XP をお使いの場合: 

「Windows XP 標準サプリカントのプロファイル設定例」(P82) 

Windows 2000/Me/98SE をお使いの場合: 






2 「ワイヤレスネットワーク接続」を右クリックし、「プロパティ」を選択します。 


3 [全般]タブを選択し、「接続時に通知領域にインジケータを表示する」にチェックを 


チェック後、[ワイヤレスネットワーク]タブを選択します。 

4 「Windows を使ってワイヤレスネットワークの設定を構成する」にチェックをつけ 

ます。 

「優先するネットワークの追加」をクリックして、「ワイヤレスネットワークのプロ 

パティ」を表示させます。 

ネットワークの設定を変更するときは任意のネットワークを選択し、プロパティを 

表示させて設定を変更します。 


83

5 各種項目を設定します。 

84 

• ネットワーク認証(共有モード) : チェックをはずします 

• キーは自動的に提供される : AirStation の設定で「WEP 自動変更」に 

チェックをつけた場合にのみ、チェックを 


※ 「■ AirStation の設定」で WEP キーを設定した場合には WEP を入力します 

上記以外の項目はすべて AirStation の設定に合わせてください。 

設定後、[OK]を選択します。 


[認証]タブがない場合は、いったん OK で閉じて、開きなおしてください。 

7 「ネットワークアクセスの制御に IEEE 802.1X を使う」にチェックをつけます。 

EAP の種類に「スマートカードまたはその他の証明書」を選択し、[プロパティ]をク 

リックします。 


8 [スマートカードまたはその他の証明書]を選択し、「プロパティ」をクリックしま 

す。 

8-1 「このコンピュータの証明書を使う」にチェックをつけます。 

8-2 「サーバの証明書を有効化する」にチェックをつけます。 

8-3 「信頼されたルート証明機関」で、証明書を選択します。 

8-4 「この接続で別のユーザ名を使う」にチェックをつけます。 

[OK]を選択します。 




「次のネットワーク接続のための証明書またはその他の資格情報を選択するには、 

ここをクリックしてください:xxxxxxxxxxxxxx」 

10 ワイヤレスネットワーク接続の状態が表示された場合は、[閉じる]をクリックしま 

す。 

11 ユーザ名を入力します。 

12[OK]をクリックします。 

これで、接続操作は完了です。 



85







• EAP の種類:「EAP-TLS」を選択します。 



• ユーザ証明書:「ユーザ証明書を使用してログインする」をチェックし、「証明書一覧」 

から使用する証明書を選択します。 



86 




※ Windows 2000 SP4 も WindowsXP と同様の手順で設定してください。ただし、 

Wireless Configuration サービスを有効にする必要があります。 







4 「このネットワークで IEEE 802.1X 認証を有効にする」にチェックをつけます。 

EAP の種類に「スマートカードまたはその他の証明書」を選択し、[プロパティ]をク 

リックします。 


87

5 [スマートカードまたはその他の証明書]を選択し、「プロパティ」をクリックしま 

す。 

88 

•「信頼されたルート証明機関」で、証明書を選択します。 

•「この接続で別のユーザ名を使う」にチェックをつけます。 





「次のネットワーク接続のための証明書またはその他の資格情報を選択するには、 

ここをクリックしてください」 

7 「接続のためのユーザ名」に AirStation RADIUS に登録したユーザ名を入力します。 

これで、接続操作は完了です。 




EAP-PEAP で認証する設定手順を説明しま 

す。 

6.1 EAP-PEAP による認証設定 

第 6 章 

EAP-PEAP による 

認証設定 

■ 設定概要 ................................................................................. 90 ページへ 




■ ユーザの登録 .......................................................................... 94 ページへ 




■ 無線から接続する ................................................................... 98 ページへ 

■ 有線から接続する ................................................................. 102 ページへ

6.1 EAP-PEAP による認証設定 


AirStation Radius によるセキュリティシステムに『EAP-PEAP』を利用する場合は、は 

じめに CA 局上で証明書を作成し、その後、AirStation Radius を起動して各種設定を行 

います。 











90 


…「6.4 証明書の発行」(P96)参照 




• クライアント PC での設定を簡素化する場合は、CA 証明書のインストールは必 

要ありません。「7 接続」へ進んでください。 



す。 





7 接続 

Windows XP/Windows2000 標準サプリカントを使用して、AirStation(アクセス 

ポイント)と接続します。 

…「6.6 接続方法」(P98)参照 


91





弊社製品「 WLM2 シリーズ」を例に手順を説明します。その他の AirStation(アクセスポ 

イント)や認証対応のスイッチングハブをお使いの場合は、使用される機器のマニュア 

ルやヘルプを参照して、同様の設定をしてください。 





WEP キーを入力するときは、「WEP 使用する」にチェックをつけて、WEP キーを 

入力します。 

※「WEP 自動変更」の場合は、WEP 設定は空欄にしてください。 



92 















次は、「6.3 パソコン(クライアント PC)の登録」(P94)へ進んでください。 


93











94 


6 「ユーザー名」と「パスワード」を入力して、「Auth-Type」を「EAP-PEAP」に設定しま 

す。 

[OK]をクリックします。 





95


プライベート CA 局による証明書発行をおこないます。 

操作方法は、「4.5 証明書の発行」(P53)を参照してください。 

96 

プライベート CA 局(認証局)の設置が済んでいないときは、本操作の前に CA 局の設置作業 

を行ってください。詳細については、「4.2 プライベート CA 局の設置」(P45)を参照してく 

ださい。 

続いて「6.5 認証の設定」(P97)に進んでください。 





サーバが起動している場合には「サーバの停止」(P15)の手順どおりサーバを停 

止してください。 





4 メソッド名[authEapPeap]をダブルクリックします。 

『認証メソッド環境設定』が表示されます。 

5 [Rsa Cert File]に編集したサーバ証明書ファイル名(例:serverA.pem)を入力しま 

す。 

6 [Rsa Key Password]に CA 局のパスワードを入力します。 



上記の入力後、[OK]→[保存]の順にクリックします。 




97









EAP-PEAP は、WindowsXP ServicePack1 および Windows2000 ServicePack4 標準の 

サプリカントのみに対応しています。 

98 

対応する無線アダプタについては、弊社ホームページ(buffalo.jp)を参照してください。 

Windows XP ServicePack1 をお使いの場合: 

「WindowsXP 標準サプリカントのプロファイル設定例」(P98) 

Windows XP(ServicePack1 適用前) / Windows 2000(ServicePack4 適用前) / 

Me / 98SE をお使いの場合: 


● WindowsXP 標準サプリカントのプロファイル設定例 

1 クライアント PC に無線アダプタのドライバをインストールして下さい。 

詳細は、製品マニュアルを参照してください。 

2 タスクトレイの「ワイヤレスネットワーク接続」アイコンをダブルクリックします。 

3 「詳細設定」をクリックします。 


4 「利用できるネットワーク」から接続先の AirStation を選択し「構成」をクリックし 

ます。 

5 必要な WEP を入力し「認証」タブをクリックします。 

6 下記の設定をおこないます。 

このネットワークで IEEE802.1X を有効にする:チェックをつける 

EAP の種類:「保護された EAP(PEAP)」を選択する 

7 「プロパティ」をクリックして、下記の設定をおこないます。 

サーバの証明書を有効化する: 

CA 証明書がインストールされていない場合は、チェックを外してください。 

※ セキュリティ向上の為、CA 証明書をインストールして「サーバ証明書の有 

効性を確認」のチェックをいれてお使いいただくことをおすすめします。 

信頼されたルート証明機関: 

CA 証明書がインストールされている場合、CA 局のもののみにチェックをい 

れてください。 

認証方法を選択する: 

「セキュリティで保護されたパスワード(EAP-MSCHAP v2)」を選択する 


99

8 「構成」をクリックして、下記の設定をおこないます。 

Windows のログオン名とパスワード 

(およびドメインがある場合はドメイン)を自動的に使う:チェックをはずす 

9 「OK」をクリックして、ウィンドウをすべて閉じます。 

10 吹き出しが表示されますので、クリックします。 

11 ユーザ名、パスワードを入力し、[OK]をクリックします。 

12 タスクトレイのネットワークアイコンにシグナルの強さがでれば、認証成功です。 


100 








• EAP の種類:「EAP-PEAP」を選択します。 




• サーバ証明書の有効化: 

CA 証明書がインストールされていない場合は、「サーバ証明書の有効化」のチェック 

を外してください。 

※ セキュリティ向上の為、CA 証明書をインストールして「サーバ証明書の有効性を確 

認」のチェックをいれてお使いいただくことをおすすめします。 

• 内部認証プロトコル:AirStationRadius で使用する内部認証プロトコル 




101



※ Windows 2000 ServicePack4をお使いの場合も下記と同様の手順で設定することが 

できます。 

● WindowsXP 標準サプリカントのプロファイル設定例 



102 




4 下記の設定をおこないます。 

このネットワークで IEEE802.1X を有効にする:チェックをつける 

EAP の種類:「保護された EAP(PEAP)」を選択する 


5 「プロパティ」をクリックして、下記の設定をおこないます。 

サーバの証明書を有効化する: 

CA 証明書がインストールされていない場合は、チェックを外してください。 

※ セキュリティ向上の為、CA 証明書をインストールして「サーバ証明書の有 

効性を確認」のチェックをいれてお使いいただくことをおすすめします。 

信頼されたルート証明機関: 

CA 証明書がインストールされている場合、CA 局のもののみにチェックをい 

れてください。 

認証方法を選択する: 

「セキュリティで保護されたパスワード(EAP-MSCHAP v2)」を選択する 

6 「構成」をクリックして、下記の設定をおこないます。 

Windows のログオン名とパスワード 

(およびドメインがある場合はドメイン)を自動的に使う:チェックをはずす 

7 「OK」をクリックして、ウィンドウをすべて閉じます。 

8 吹き出しが表示されますので、クリックします。 


103

9 ユーザ名、パスワードを入力し、[OK]をクリックします。 


104 



その他の設定例を紹介します。 

7.1 ProxyRadius の設定例 

第 7 章 

その他の設定例 

■ 設定概要 ............................................................................... 106 ページへ 

■ AirStation のセキュリティ設定 ............................................. 107 ページへ 

■ ProxyAirStationRadiusPC の設定 ......................................... 107 ページへ 

■ AirStationRadiusPC の設定 .................................................. 109 ページへ 

■ クライアント PC の設定 .......................................................110 ページへ 

7.2 UNIX 認証の設定例 (TTLS) 

■ 設定概要 ................................................................................111 ページへ 

■ ユーザの登録 .........................................................................112 ページへ 

■ 認証の設定 ............................................................................113 ページへ 

7.3 ActiveDirectory の設定例(PEAP) 

■ 設定概要 ................................................................................115 ページへ 

■ ユーザの登録 .........................................................................117 ページへ 

■ 認証の設定 ............................................................................117 ページへ 

7.4 CSV ファイルでのユーザ管理 

■ CSV ファイルでユーザを管理する(EAP-MD5/EAP-TLS 認証) 

............................................................................................... 120 ページへ 

■ CSV ファイルでユーザを管理する(EAP-TTLS 認証) ...... 122 ページへ 

■ CSV ファイルでユーザを管理する(EAP-PEAP 認証) ..... 124 ページへ 

■ CSV ファイルでユーザを管理する(MAC 認証) ............... 126 ページへ 

7.5 日付毎にログファイルを分割する 

■ サーバログを分割保存する設定例 ....................................... 128 ページへ 

■ ログの表示方法 .................................................................... 130 ページへ

106 

7.1 ProxyRadius の設定例 


ここでは、すでに構築されたRadius環境に対して、ProxyAirStationRadiusPCを追加す 

る手順を説明します。 

ここでの説明では、以下のパスワードが設定されているものとして、説明いたします。 


ProxyAirStationRadiusPC の IP アドレスを登録します。 

…「■ AirStation のセキュリティ設定」(P107)参照 

2 ProxyAirStationRadiusPC の設定 

AirStation の登録、認証の設定をおこない、サーバを再起動します。 

…「■ ProxyAirStationRadiusPC の設定」(P107)参照 

3 AirStationRadiusPC の設定 

クライアント PC を再登録します。 

…「■ AirStationRadiusPC の設定」(P109)参照 

4 接続 

AirStation(アクセスポイント)と接続します。 

…「■ クライアント PC の設定」(P110)参照 


■ AirStation のセキュリティ設定 

弊社製品「AirStation WLM2 シリーズ」を例に説明します。 



3 「プライマリ」の各項目の設定を以下のように変更します。 

「サーバ名」:ProxyAirStationRadiusPC の IP アドレスに変更します。 

(AirStationRadius サーバの IP アドレスから変更) 

「SharedSecret」:パスワード A に変更します。(パスワード C から変更) 

[サーバ名]には、認証サーバ(ProxyAirStationRadiusPC)の IP アドレス(例:192.168.0.11) 

を入力します。認証サーバの名称を入力して代用することもできます。 




■ ProxyAirStationRadiusPC の設定 

ここでは、以下の作業をおこないます。 

• AirStationRadius のインストール 

• AirStationRadius の起動 

• サーバの起動 

•AirStation (アクセスポイント) の登録 

• 認証の設定 

• サーバの再起動 

AirStation Radius のインストール / 起動 / サーバーの起動 /AirStation(アクセスポイン 

ト)の登録は、「第 1 章 AirStation Radius の導入」を参照してください。 


107

●認証の設定 









4 [start]を選択し「レコード編集」をクリックします。 

5 「メソッドタイプ」に「Radius」を選択します。 

6 「次のメソッド」「システムエラー時のメソッド」「エラー時のメソッド」を全て 

にします。 

7 [Server Address]に AirStationRadiusPC の IP アドレスを入力します。 

※ AirStationRadiusPC の認証ポートをデフォルトの 1812 から変更している場合 

には、 IP アドレス : ポート番号の形で入力してください。 

8 [Secret] にパスワード B を入力します。 

9 「OK」をクリックします。 

108 


10「保存」をクリックします。 



■ AirStationRadiusPC の設定 

クライアントを登録しなおします。 






2 [クライアント]をクリックします。 

3 使用するクライアントの登録を行います。 

4 [レコードの編集]をクリックします。 

5 [クライアントの IP アドレス / ホスト名]を AirStation の IP アドレスから 

ProxyAirStationRadiusPC の IP アドレスに変更します。 


109

6 [クライアントシークレット]をパスワード C からパスワード B に変更します。 

110 


7 使用する ProxyAirStationRadiusPC の台数分、登録を行います。 

最大 5 台(基本仕様の場合)までの登録が可能です。 

8 手順1の画面に戻り、[保存]をクリックします。 


手順1の画面に戻ります。 

10[ロード]をクリックします。 

11 確認画面が表示されたら、[了解]をクリックします。 


以上で、クライアントの登録作業は完了です。 

■ クライアント PC の設定 

設定変更の必要はありません。そのまま、接続してください。 


7.2 UNIX 認証の設定例(TTLS) 


ここでは、Radiusサーバへ認証可能なユーザと、UNIX の Radius サーバにログイン可能 

なユーザを同期させる方法を説明します。 

UNIX へのログインは、NIS サーバや LDAP サーバ等を参照するようにできますので、 

本章の設定でクライアントの管理を NIS サーバや LDAP サーバ等でおこなうことがで 

きます。 

本章では、TTLS 認証(内部認証プロトコルは PAP)の説明をします。 

1 ユーザの登録 

ユーザの登録の設定をおこないます。 

… 「■ ユーザの登録」 (P112) 参照 


認証の設定をおこないます。 


3 接続 

クライアントマネージャを使って AirStation (アクセスポイント)と接続します。 

… 「4.8 接続方法」(P63)参照 

※ ここでの設定方法では、プレーンテキストのパスワードを使うため、サプリカ 

ント側で内部認証プロトコルを「PAP」にしてください。 


111



• AirStation Radius の起動 

• サーバの起動 

• ユーザーの登録 

● AirStation Radius の起動 

「■ AirStation Radius の起動」(P12)を参照して AirStation Radius を起動します。 

●サーバの起動 

「■ サーバの起動」(P14)を参照してサーバーを起動します。 

●匿名の登録 

「■ 匿名の登録」(P51)を参照して匿名の登録をおこないます。 

●ユーザーの登録 

AirStationRadius をインストールした Linux パソコンに useradd コマンド等で、ユー 

ザ名とパスワードを登録してください。 

112 

authconfig や PAM の設定をおこなうことで、ユーザ名・パスワード管理に LDAP や NIS 

など外部データベースを利用できます。 

これらの設定方法については、お使いの Linux のマニュアル等を参照してください。 

Linux の操作や仕様に関してのお問合せは、弊社ではお受けいたしておりませんのでご了 

承ください。 


■ 認証の設定 

ここでは以下の作業を行います。 


• サーバーの再起動 




サーバが起動している場合には「サーバの停止」(P15)の手順どおりサーバを 

停止してください。 

※ サーバが起動したままでの設定変更は反映されない場合がありますので、 

必ずサーバを停止した状態で行ってください。 




「メソッド名」:「getpwname」と入力します。 

「メソッドタイプ」:ReadGetpwnam を選択します。 

「Map」:「${check.Password}=${passwd};」と入力します。 

「次のメソッド」:authLocal を選択します。 


5 「authEapTtls」を選択して、「レコード編集」をクリックします。 


113

6 「TunnelMethod」を「getpwname」に変更します。 

7 次のように入力します。 

「TunnnelWriteMap」:「${request.*}:=${tunnel.*};」(デフォルト) 

※ RsaCertFile、RsaKeyPassword ともに TTLS と同じ内容で設定してください。 

114 






7.3 ActiveDirectory の設定例(PEAP) 


ここでは、Radius サーバーへ認証可能なユーザを Active Directory から参照する方法を 

説明します。 

※ Windows Serverでは、Active Directoryを使用して、ユーザの追加を行うことができ 

ます。これらの設定方法については、お使いの OS のマニュアル等を参照してくださ 

い。Windows Server や Active Directory の操作や仕様に関してのお問い合わせは弊 

社ではお受けしておりませんので、ご了承ください。 

※ この設定を行う前にインストール後に作成される[BUFFALO]-[AirStation 

Radius]フォルダ下にある[run]フォルダをバックアップした後、設定を行う事を推 

奨します。 



… 「4.2 プライベート CA 局の設置」(P45)参照 


AirStation (アクセスポイント) を『802.1x』用に設定します。 

… 「4.3 AirStation のセキュリティ設定」(P48) 参照 

3 ユーザの登録 


… 「■ ユーザの登録」(P117)参照 


115



… 「4.5 証明書の発行」(P53)参照 




• クライアント PC での設定を簡素化する場合は、 CA 証明書のインストールは 

必要ありません。「7 接続」へ進んでください。 



す。 



… 「4.7 クライアント PC 用証明書」(P59) 参照 

7 接続 

クライアントマネージャを使って AirStation (アクセスポイント) と接続します。 

… 「4.8 接続方法」(P63)参照 

116 



AirStationRadius が参照するドメインコントローラに認証を許可するユーザ名とパス 

ワードを登録し、Domain User に所属させてください。 

Windows Server では、Active Directory を使用して、ユーザーの追加をおこなうことがで 

きます。これらの設定方法については、お使いの OS のマニュアル等を参照してくださ 

い。Windows Server や Active Directory の操作や仕様に関してのお問い合わせは弊社では 

お受けいたしておりませんのでご了承ください。 

■認証の設定 



• サーバの再起動 




サーバは起動しないでください。サーバが起動している場合には「サーバの停止」 

(P15)の手順どおりサーバを停止してください。 

※ サーバが起動したままでの設定変更は反映されない場合があります。 

2 [ポリシーフローエディタ] を選択します。 

3 [認証メソッド] タブをクリックします。 

4 「start」を選択し「レコード編集」をクリックします。 


117

5 「システムエラー時のメソッド」に「authEapPeap」を選択します。 

6 「OK」で閉じます。 

7 「authEapPeap」を選択し「レコード編集」をクリックします。 

8 「TunnelMethod」に「authEapMsChapv2」を選択します。 

9 「Rsa Cert File」に編集したサーバ証明書ファイル名を入力します。 

(例:serverA.pem) 

10「Rsa Key Password」に CA 局のパスワードを入力します。(例:secret) 

11 「OK」で閉じます。 

12「authEapMsChapv2」を選択し「レコード編集」をクリックします。 

13「Ms Domain」にドメイン名を入力します。 

14「Use Nt Auth」にチェックを入れます。 

15「OK」で閉じます。 


17[サーバ]-[終了]を選択し、AirStationRadius を終了します。 


118 


● OS の設定 

1 「スタート」「管理ツール」「ドメインコントローラセキュリティポリシー」を選択し 

ます。 

2 「セキュリティの設定」「ローカルポリシー」「ユーザー権利の割り当て」を選択しま 

す。 

3 「オペレーティングシステムの一部として機能」のプロパティを開きます。 

4 「ユーザーまたはグループの追加」をクリックします。 

5 「参照」をクリックします。 

6 OS へログインしている Administrator 権限を持つユーザ名を入力します。 

(例:administrator) 

7 「名前の確認」をクリックします。 

8 「説明」に『コンピュータ / ドメインの管理用‥』と表示されているものを選択し 


9 「OK」→「OK」→「適用」→「OK」で閉じます。 

10 OS を再起動します。 

11 OS 再起動後、AirStationRadius サーバの起動を行います。 

以上で、OS の設定は完了です。 


119

120 

7.4 CSV ファイルでのユーザ管理 

古いバージョンの AirStationRadius で CSV ファイル管理をしていた場合は、 

AirStationRadiusCD 内にある readme.txt の「インストール補足」および「既存の 

AirStationRadius 環境の移行およびバージョンアップをされる方へ」を参照してインス 

トールを行ってください。既存の CSV ユーザ管理の環境を移行できます。 

※ 事前に各認証のページを参照し、ローカルテキストファイルでのユーザ認証設定を 

行ってください。本項ではローカルテキストファイル管理から CSV ファイルへの移 

行手順を説明します。 

手順は、お使いの認証方式によって異なります。お使いの認証方式の項目を参照してく 

ださい。 

EAP-MD5/EAP-TLS 認証の場合 

................「CSV ファイルでユーザを管理する(EAP-MD5/EAP-TLS 認証)」(P120) 

EAP-TLS 認証の場合 

................「CSV ファイルでユーザを管理する(EAP-TTLS 認証)」(P122) 

EAP-PEAP 認証の場合 

................「CSV ファイルでユーザを管理する(EAP-PEAP 認証)」(P124) 

MAC 認証の場合 

................「CSV ファイルでユーザを管理する(MAC 認証)」(P126) 

■ CSV ファイルでユーザを管理する(EAP-MD5/EAP-TLS 認証) 






2 「ファイル編集ツール」「新規」をクリックします。 

3 ユーザファイル名を入力します。(例:eap_users.csv) 

ファイル内の各行に次のフォーマットでユーザを登録します。 

< ユーザ名 1> , < パスワード 1> , < 認証方式 > ,1,300, コメントなど 


: 

: 

※ 認証方式: EAP-Md5、EAP-TLS 

例) md5user,md5password,EAP-Md5,1,300,This is Md5User 

tlsuser,tlspassword,EAP-TLS,1,300,This is TlsUser 



5 ポリシーフローエディタを起動します。 

6 「認証メソッド」タブをクリックします。 

7 「start」をダブルクリックします。 

8 「メソッドタイプ」を「ReadDelimitedText」に変更します。 

9 「Text」欄に「@ < CSV ユーザファイル名>」を入力します。 

(例:@eap_users.csv) 

10「Map」欄に以下の値を入力します。 

${check.Password}=${2}; 

${check.Auth-Type}=${3}; 

${reply.Termination-Action}=${4}; 

${reply.Session-Timeout}=${5}; 

11 次の項目を以下のように入力します。 

「DelimitChar」欄 :「,」 

「KeyIndex」欄 :「1」(デフォルト) 

「SelectMode」欄 :「KEY」 

「SearchKey」欄 :「${packet.Base-User-Name:packet.EAP-Identity}」 



※ ユーザファイルの編集は上記手順 3 を参照するか、CSV 形式(カンマ区切り) 

で保存を行うことができるデータベースソフトにて行ってください。 


121

■ CSV ファイルでユーザを管理する(EAP-TTLS 認証) 











: 

: 

※ 認証方式:内部認証プロトコルによって、設定する値が異なります。 

・PAP、CHAP、MS-CHAP、MS-CHAP-V2 の場合: Local 

・EAP-MD5 の場合: EAP-Md5 

匿名パスワード:なし 

匿名認証方式:EAP-TTLS 

122 

例) ttlsuser,ttlspassword,Local,1,300,This is TtlsUser 

anonymous,,EAP-TTLS,1,300,This is TtlsAnonymous 



















12「認証メソッド」タブをクリックします。 

13「getTtlsUser」をダブルクリックします。 

14「メソッドタイプ」を「ReadDelimitedText」に変更します。 

15「Text」欄に「@ < CSV ユーザファイル名>」を入力します。 




${user.TTLS-Type}=${3}; 

${user.GTC-Type} = ${check.GTC-Type}; 





「SearchKey」欄 :「${packet.Base-User-Name}」 






123

■ CSV ファイルでユーザを管理する(EAP-PEAP 認証) 









, , ,1,300,,コメントなど 

, , ,1,300,,コメントなど 

: 

: 

※ 認証方式: EAP-PEAP 

PEAP- 内部認証プロトコル:内部認証プロトコルによって、設定する値が異な 

ります。 

・MS-CHAP-V2 の場合 :EAP-MSCHAPV2 

・EAP-MD5 の場合 :EAP-Md5 

124 

例) 

peapuser,peappassword,EAP-PEAP,1,300,EAP-MSCHAPV2,This is PeapUser 














${user.PEAP-Type}=${6}; 






12「認証メソッド」タブをクリックします。 

13「getPeapUser」をダブルクリックします。 

14「メソッドタイプ」を「ReadDelimitedText」に変更します。 

15「Text」欄に「@ < CSV ユーザファイル名>」を入力します。 




${user.PEAP-Type}=${6}; 

${user.GTC-Type} = ${check.GTC-Type}; 


「DelimitChar」欄 : 「,」 

「KeyIndex」欄 : 「1」(デフォルト) 

「SelectMode」欄 : 「KEY」 

「SearchKey」欄 : 「${packet.Base-User-Name}」 






125

■ CSV ファイルでユーザを管理する(MAC 認証) 







3 ユーザファイル名を入力します。(例: mac_users.csv) 


, , Local ,コメントなど 

, , Local ,コメントなど 

: 

: 

例)000740abcdef,000740abcdef,Local,This is MacAddress 

000740123456,000740123456,Local,This is MacAddress 

※ MAC アドレスのアルファベットは小文字で入力してください。 

○ 000740abcdef 

× 000740ABCDEF 




7 「macAuth」をダブルクリックします。 



(例:@mac_users.csv) 




126 



「DelimitChar」欄: 「,」 

「KeyIndex」欄: 「1」(デフォルト) 

「SelectMode」欄: 「KEY」 

「SearchKey」欄: 「${packet.Base-User-Name:packet.EAP-Identity}」 






127

128 

7.5 日付毎にログファイルを分割する 

■ サーバログを分割保存する設定例 

以下の設定で、手動にてログを分割して保存できます。 

1 AirStation Radius サーバ管理ツールを起動します。 

2 AirStation Radius サーバとコンフィグレーションサーバを停止します。 

3 「ロギングツール」-「ログチャンネル」をクリックします。 

4 [レコードの挿入]を選択します。 

5 Output Type を「ファイル:時刻で切り替え」を選択し、「Next」をクリックします。 

6 「◆名前」には任意の名前を入力します。(例:LogToFileDay) 

7 この設定をデフォルトの設定とする場合は、「Default-Channel」にチェックを入れ 

ます。 

8 「◆ Mode」は DAILY を選択します。 


9 「Prefix」、「Suffix」に任意の名称を入力します。 

出力されるログファイル名は、次のフォーマットが適用されます。 

ログファイル名:Prefix+"YYYYMMDD"+Suffix 

(YYYY= 西暦 (4 桁表示 )、MM= 月、DD= 日) 

例)Prefix( ファイル名 ):Radius 

Suffix( 拡張子 ) :.log 

ログ出力開始日時 :2004/10/15 

作成されるログファイル名:Radius20041015.log 

10 入力に間違いがないことを確認し、「Next」をクリックします。 

11 「Finish」をクリックします。 

12[ロギングツール]-[ログツール]を表示します。 

13 AirStationRadius サーバとコンフィグレーションサーバを起動します。 

14「アクティブログルール」のチャンネルを5.で作成したチャンネルを指定するよう 

に編集してください。 

15「アクティブログルール」の「リフレッシュ」をクリックし、変更を有効にします。 

16「サーバログルール」のチャンネルを5.で作成したチャンネルを指定するように編 

集してください。 

17「サーバログルール」の「保存」をクリックして、変更を有効にします。 

18 AirStation Radius サーバ管理ツールを終了します。 


129

■ ログの表示方法 

以下の設定で、手動にてログを分割して保存できます。 

1 AirStation Radius サーバ管理ツールを起動します。 

2 画面右下にあるボタンをクリックします。 

3 画面左下にあるボタンをクリックします。 

4 ログが表示されます。 

130 



2006 年 4 月 28 日第 2 版発行 

発行株式会社バッファロー

PY00-30005-DM10-02 2-01 C10-011

BAO-RA1X ユーザーズ マニュアル - バッファロー

Create successful ePaper yourself

Delete template?

Save as template?

BAO-RA1X ユーザーズマニュアル - バッファロー