Windows10의 PC를 WindwosServer2016의 NPS로 IEEE802.1x 인증한다 Part-1

목적



Windows10과 Windows Server2016을 이용하여 EAP-TLS에 의한 IEEE802.1x 인증을 한다.
덧붙여서 무선이 아니라 유선! !
너무 간단한 개요도는 이런 느낌.


전제



· AD, ADCS, DHCP 구축
· 대상 Windows Server에는 NPS, AD, DHCP, ADCS를 공존
· RADIUS 인증 장치로 사용하는 스위치 설정은 생략
· DHCP 릴레이로 설정된 라우터 설정 생략

절차



1. 인증서 설정



사용자가 로그인했을 때 자동으로 사용자 인증서를 설치, 갱신하도록 인증서의 자동 배포 설정을 한다.

■ 사용자 인증서 템플릿 만들기



mmc(Microsoft 관리 콘솔)를 시작하고 파일 > 스냅인 추가/제거를 선택하여 인증 기관 및 인증서 템플릿을 추가합니다.
인증서 템플리트에서 "사용자"를 마우스 오른쪽 버튼으로 클릭 → "템플릿 복제"를 선택하십시오.
새 템플릿의 속성 화면이 표시되므로 다음과 같이 설정합니다.
※変更しなくても問題ない箇所は省略
[要求処理]
 デフォルトでは『秘密キーのエクスポートを許可する』が有効になっているが、セキュリティ向上のため無効とする。

[サブジェクト名]
 『ActiveDirectoryの情報から構築する』にチェックをいれ、以下の設定にする。
   サブジェクト名の形式:完全な識別名
   代わりのサブジェクト名に次の情報を含める:ユーザ―プリンシパル名(UPN)

[セキュリティ]
 ここでユーザ証明書を自動配布するための権限を追加する。
 今回はIEEEというグループに自動配布するため、
 グループIEEEを追加し、読み取り・自動登録・登録にチェックを入れる。

다음으로 「인증 기관」의 증명서 템플릿을 열고,
마우스 오른쪽 버튼을 클릭 → 새로 만들기 → 게시 할 인증서 템플릿을 선택하고 이전에 만든 템플릿을 게시합니다.
이제 사용자 인증서 아래 준비는 OK! !

■ 서버 인증서 템플릿 만들기



서버 인증서에 대해서도 거의 같은 순서로 템플릿을 작성한다.
기본 템플릿은 "RAS 및 IAS 서버"로 설정되어 다음과 같이 새 템플릿을 만듭니다.
※変更しなくても問題ない箇所は省略
[要求処理]
 デフォルトでは『秘密キーのエクスポートを許可する』が有効になっているが、セキュリティ向上のため無効とする。

[サブジェクト名]
 『ActiveDirectoryの情報から構築する』にチェックをいれ、以下の設定にする。
   サブジェクト名の形式:共通
   代わりのサブジェクト名に次の情報を含める:DNS名

[セキュリティ]
 ここでユーザ証明書を自動配布するための権限を追加する。
 NPSをインストールしたサーバに自動配布する設定にしたいため、
 『RAS and IAS Servers』グループの権限を読み取り・登録・自動登録に変更する。

사용자 인증서와 마찬가지로 서버 인증서 템플릿도 발행됩니다.

2. AD 설정



다음으로, 그룹 정책의 설정을 변경하여 작성한 사용자 인증서와 서버 인증서 템플릿을 자동 배포하도록 설정을 변경합니다.
여기는 간단하게 설정 대상만 기재. . .
[ユーザ証明書の自動配布]
 『ユーザの構成』→『ポリシー』→『Windowsの設定』→『セキュリティの設定』→『公開キーのポリシー』→『証明書サービスクライアント-自動登録』を有効にする。

[サーバ証明書の自動配布]
 『コンピュータの構成』→『ポリシー』→『Windowsの設定』→『セキュリティの設定』→『公開キーのポリシー』から『証明書サービスクライアント-自動登録』を有効にする。

3. NPS 설정



■ 연결 요청 정책 만들기



우선, 접속 요구 정책을 작성한다.
접속 요구 정책은 일단 대상의 NPS 클라이언트(스위치:이하 SW)로부터의 이더넷 통신은 전부 조건에 들어가도록 이하와 같이 작성.
 [接続要求ポリシー]
 ・概要 - ポリシー名とかを適当につけて、有効にする
 ・概要 - NASポートの種類:イーサネット
 ・設定 - デフォルトのまま

이것으로 대상의 NPS 클라이언트(SW)에 연결되어 있는 PC는 모두 NPS의 접속 요구 정책에 해당하므로, 다음에 네트워크 정책을 작성해 접속 가부를 설정한다.

■ 네트워크 정책 만들기



이번에는 특정 AD 그룹의 사람만 인증 허가하는 설정으로 하기 때문에 다음과 같이 네트워크 정책을 작성한다.
[ネットワークポリシー]
 ・概要 - ポリシー名とかを適当につけて、有効にする
 ・概要 - NASポートの種類:イーサネット、Windowsグループ:対象のグループ名(ここではIEEEとする)
 ・制約 - 認証方法(EAPの種類):『Microsoft:スマートカードまたはその他の証明書』を選択する。
 ・設定 - RADIUS属性(標準):今回はDHCPサーバと連携してIPを払い出すため、以下のattributeを設定
     Framed-Protocol:PPP
     Service-Type:Framed
     Tunnel-Medium-Type:802
     Tunnel-Medium-Type:802
     Tunnel-Pvt-Group-ID:100※ここはDHCPで払い出すVLANID
     Tunnel-Type:Virtual LANs(VLAN)

이상으로 NPS 측의 설정은 끝납니다.
길어질 것 같기 때문에 단말 측의 설정 등에 대해서는 다음에 계속된다. .

    

좋은 웹페이지 즐겨찾기