Cisco Merakiがサポートするクライアントを構成する
Cisco Merakiは、MS WindowsおよびApple OSXクライアントを含む複数のワイヤレスクライアントをサポートしています。このガイドでは、サポートされているデバイスによるワイヤレス・クライアントの構成について説明します。
はじめに
- 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。
Apple macOSデバイスを構成する
- MacのApp StoreからApple Configuratorをインストールして開きます。
- [File(ファイル)]>[New Profile(新しいプロファイル)]を選択します。
- [General(一般)]タブを選択します。
- プロファイルの名前を入力します(例:Merakiワイヤレスルーターの設定)。
- [Certificates(証明書)]タブを選択します。
- [Configure(構成)]をクリックし、有効なルート証明書があるディレクトリに移動します。
- ルート証明書を追加します。
- [Wi-Fi]タブを選択します。環境に適した値を入力します。
- [Wi-Fi]セクションの[Trust(信頼)]タブで、信頼できる証明書として、以前追加したルート証明書を選択します。
- [File(ファイル)]>[Save(保存)]を選択し、.mobileconfigの拡張子でファイルを保存します。「Profile has an error(プロファイルにエラーがあります)」というメッセージが表示された場合は、メッセージを無視して、[Save Anyway(このままで保存)]を選択します。
- システムに802.1X Wifiユーザー・プロファイルを追加します。
- [System Preferences(システム設定)]から[Profiles(プロファイル)]を選択します
- [+]記号を選択して、以前に選択したWifiプロファイルを追加します
-
[System Preferences(システム設定)]内の[Network(ネットワーク)]パネルを使用して、ネットワークに接続します。成功したログインがMerakiのイベントログに表示されます。
ADまたはOktaのパスワードを更新しても、macOSからWi-Fi接続のパスワードを更新するよう求められることはありません。macOSは以前のパスワードを使用して接続を試行し続けるため、アカウントがロックアウトされる可能性があります。
Apple iOSデバイスを構成する
- MacのApp StoreからApple Configuratorをインストールして開きます。
- [File(ファイル)]>[New Profile(新しいプロファイル)]を選択します。
- [General(一般)]タブを選択します。
- プロファイルの名前を入力します(例:Merakiワイヤレスルーターの設定)。
- [Certificates(証明書)]タブを選択します。
- [Configure(構成)]をクリックし、有効なルート証明書があるディレクトリに移動します。
- ルート証明書を追加します。
- [Wi-Fi]タブで、環境に適した値を入力します。
- [Wi-Fi]セクションの[Trust(信頼)]タブで、以前追加したルート証明書を信頼するように選択します。
- [File(ファイル)]>[Save(保存)]を選択し、.mobileconfigの拡張子でファイルを保存します。エラーが発生した場合は[Save Anyway(このままで保存)]を選択します。
- USBケーブルを使用してiOSデバイスをMacに接続します。Apple Configuratorの[All Devices(すべてのデバイス)]ビューにデバイスが表示されます。
- [All Devices(すべてのデバイス)]ビューからデバイスを右クリックし、プロファイルを追加するオプションを選択します。以前に作成したプロファイルを選択し、Macとモバイルデバイスのプロンプトに従います。
-
Wi-Fiネットワークに接続します。
Androidデバイスを構成する
- EAP-TTLSルート証明書をインストールします。
- ノートパソコンに接続されたUSBなどを使用して、証明書をAndroidデバイスにコピーします。
- デバイスで、[Settings(設定)]>[Security & location(セキュリティと現在地情報)]>[Advances(詳細設定)]>[Encryption & credentials(暗号化と認証情報)]に移動します。
- [Credential Storage(認証情報ストレージ)]で、デバイスのストレージからインストールするオプションをタップします。
- 証明書を保存した場所に移動します。
- ファイルをタップします。
- 証明書の名前を入力し、[Wi-Fi]を選択します。
- [OK]をタップします。
- Wi-Fi設定を開き、接続するSSIDをクリックします。SSIDが表示されない場合、[Add network(ネットワークを追加)]オプションを選択してネットワークSSID名を入力し、[Security type(セキュリティのタイプ)]を[802.1x EAP]に設定します。
- 以下のオプションを設定します。
フィールド 値 [EAP Methods(EAP方式)] TTLS [CA certification(CA証明書)] 前の手順でインストールした証明書を選択します [Identity(ID)] Oktaユーザー名 [Password(パスワード)] Oktaパスワード/MFA [Advanced(詳細設定)]
[advanced(詳細設定)]で以下を設定します。
- フェーズ2認証:PAP
- [Anonymous identity(匿名ID)]:この値は、TLSトンネル外で使用される暗号化されていないユーザーのIDです。RADIUS Agentは現在この値を使用しないため、任意のランダムな値を入力できます。
これでデバイスがWi-Fiネットワークに接続できるようになります。
Windows 10デバイス
- [Network and Sharing Center(ネットワークと共有センター)]に移動し、[Set up a new connection or network(新しい接続またはネットワークのセットアップ)]を選択して、[Next(次へ)]をクリックします。
- [Manually connect to a wireless network(ワイヤレス・ネットワークに手動で接続します)]を選択し、[Next(次へ)]をクリックします。
- [Network name(ネットワーク名)]として、ワイヤレスネットワークのSSIDを入力します。
- セキュリティタイプとして[WPA2-Enterprise(WPA2-エンタープライズ)]を選択します。
- [Next(次へ)]をクリックします。
- [Change connection settings(接続の設定を変更します)]をクリックします。
- [Security(セキュリティ)]タブを選択します。
- ネットワーク認証方法を[Microsoft: EAP-TTLS]に変更します。
- [Settings(設定)]をクリックします。
- [TTLS Properties(TTLSプロパティ)]ページで以下の設定を使用します。
設定 値 [Enable identity privacy(IDプライバシーを有効にする)] 匿名 [Trusted Root Certification Authorities(信頼されたルート認証局)] 顧客EAP-TTLSサーバー証明書の署名に使用されるルート証明書を選択します。例:
USERTrust RSA Certification Authority root certificate(USERTrust RSA認証局のルート証明書)
[Client authentication(クライアント認証)]内 [Client authentication(クライアント認証)]で[Select a non-EAP method for authentication(認証にEAP以外の方法を選択)]を選択します。認証方法のドロップダウンリストから[Unencrypted password (PAP)(暗号化されていないパスワード(PAP))]を選択します。 - [Network Properties(ネットワークのプロパティ)]ダイアログに戻り、[Advanced settings(詳細設定)]をクリックします。
- [Specify authentication mode(認証モードを指定)]を選択します。ドロップダウンリストから[User authentication(ユーザー認証)]を選択します。[OK]をクリックします。
- RADIUSが有効になったSSIDに接続します。