一般ガイド
PKI のセットアップ
これは 必須の 手順です。
RADIUSaaS を ユーザー名/パスワードベースの認証 のみに使用している場合は、省略できます。
必要なクライアント認証証明書がエンドポイント デバイスに自動的にプッシュされるように、PKI をセットアップしてください。
以下の PKI のいずれかを使用している場合は、代わりに該当するガイドに従ってください:
Microsoft Cloud PKI信頼済み CA のセットアップ
これは 必須の 手順です。
どのクライアント認証証明書が認証に使用可能か、またそれらの証明書がまだ有効かどうかをどのように確認するかを、RADIUSaaS インスタンスに伝えます:
Trusted CertificatesRADIUS サーバー証明書の構成
これは 必須の 手順です。
を使用するお客様向けに SCEPman PKI として、 SCEPman 統合 を活用して RADIUS Server Certificate ライフサイクルを完全に自動化することを推奨します。
エンドポイント デバイスはネットワーク認証中に RADIUSaaS への TLS 接続を確立するため、RADIUSaaS はクライアント( RADIUS Server Certificate)にサーバー証明書を提示する必要があります。この証明書は、 RADIUSaaS 管理ポータル から直接生成することも、すでに適切な証明書を所有している場合はインポートすることもできます(BYO)。同じサーバー証明書は、該当する場合、認証デバイス(WiFi アクセスポイント、スイッチ、VPN ゲートウェイ)への RadSec 接続を保護するためにも使用されます。
次のものを使用してもよい場合は 組み込みの Customer CA、その唯一の目的は RADIUS Server Certificateを発行することであるため、この手順で追加の操作は必要ありません。
ご自身の TLS サーバー証明書を持ち込みたい場合で、希望する CA によって発行されたものを使う場合は、 以下の手順.
ネットワーク機器の構成
これは 必須の 手順です。
RadSec
ネットワーク機器が RadSec プロトコルをサポートしている場合は、以下の手順に従ってください:
WiFi アクセスポイント
一般的なベンダーの一部については、RadSec 接続の設定に関する代表的な手順ガイドを用意しています こちら。すべてのベンダーのドキュメントを提供することはできませんが、一般的には以下の手順が適用されます:
有効な RADIUS Server Certificate を WiFi インフラストラクチャにインポートします。
AP が取得した RadSec 接続証明書 の CA 証明書を 信頼済み証明書 リストに追加します。 こちら.
新しい RADIUS プロファイルを作成します。
RADIUS プロファイルで、サーバーの IP アドレスとポートを設定します。そのため、 公開 RadSec IP アドレス と標準の RadSec ポート(2083)を使用します。
を設定 共有シークレット 該当する場合は、「radsec」にします。
作成したプロファイルを SSID に割り当てます。
有線(LAN)スイッチ
現在のところ、ネットワーク スイッチ向けのサンプルガイドはまだ用意していません。ただし、構成手順は WiFi アクセスポイントの場合と同様です。問題が発生した場合は、 お問い合わせください.
RADIUS
ネットワーク機器が RadSec をサポートしていない場合、まずプロトコル変換を処理するプロキシをデプロイする必要があります RADIUS に RadSec :
ページ次に、機器の構成に進みます:
WiFi アクセスポイント
一般的なベンダーの一部については、代表的な手順ガイドを用意しています こちら。すべてのベンダーのドキュメントを提供することはできませんが、一般的には以下の手順が適用されます:
新しい RADIUS プロファイルを作成します。
作成したプロファイルを SSID に割り当てます。
有線(LAN)スイッチ
現在のところ、スイッチ機器向けのサンプルガイドはまだ用意していません。ただし、構成手順は WiFi アクセスポイントの場合と同様です。問題が発生した場合は、 お問い合わせください.
MDM プロファイル
これは 必須の 手順です。
Jamf Pro の場合
すべての 802.1X 関連ペイロードを 1 つの Configuration Profile にまとめて Jamf Pro で構成することを強く推奨します。割り当てタイプ(コンピューター、デバイス、ユーザー)ごとに 1 つの Configuration Profile を使用してください。
サーバー証明書
エンドポイント デバイスと、認証時に RADIUSaaS が提示するサーバー証明書との間の信頼を確立するには、希望する MDM ソリューションで信頼済み証明書プロファイルを構成します。そのために、まず現在有効な RADIUS Server Certificate 次のように こちら.
関連する証明書をダウンロードする際は、 必ず ダウンロード その ルート CA 証明書のみをダウンロードしてください(緑で強調表示された現在有効な RADIUS サーバー証明書のルート CA 証明書)— チェーン全体や RADIUS サーバー証明書自体ではありません!
この証明書を MDM 経由で展開します:
Microsoft Intune
サーバー信頼Jamf Pro
サーバー信頼WiFi プロファイル
希望する MDM ソリューションで WiFi プロファイルを構成するには、以下のガイドのいずれかに従ってください:
Microsoft Intune
WiFi プロファイルJamf Pro
WiFi プロファイル有線(LAN)プロファイル
希望する MDM ソリューションで固定デバイス向けの有線(LAN)プロファイルを構成するには、以下のガイドのいずれかに従ってください:
Microsoft Intune
有線プロファイルJamf Pro
有線プロファイルルール
これは 任意の 手順です。
追加のルールを構成したい場合、たとえば VLAN ID を割り当てたり、認証要求を特定の信頼済み CA や WiFi アクセスポイントに制限したりしたい場合は、RADIUSaaS ルール エンジンをご確認ください。
ルール最終更新
役に立ちましたか?