RADIUSを使用しないIdentity PSK
こちらのドキュメントは英語版を 2022 年 12 月 27 日付けで翻訳したものです。
最新の情報は英語版をご確認ください。
概要
企業の無線LANを構築する際、ユーザーを無線LANに接続するためにWPA2-PSK認証を設定することが一般的です。しかし、IT 管理者は、異なる VLAN やファイアウォールルールを異なるユーザーグループに割り当てるためには異なる PSK(SSID) を使用する必要があります。その場合この認証方法にはいくつかの欠点があります。802.1X認証を使用する場合は、IT管理者はユーザーごとに VLAN やグループポリシーを割り当てできますが、RADIUS認証をサポートしていない IoTデバイスやその他のヘッドレスデバイスがあるため、すべてのシナリオで可能というわけではありません。上記 2 つの一般的な実装では以下のような欠点がありました。
- デバイスの種類別に専用の PSK を設定した SSID の場合、余分な RF オーバーヘッドが生じ、スループットが低下するおそれがあります。
- 1 つの SSID に 1 つの PSK を設定し、RADIUSは設定せずすべてのデバイスで使用するとします。この場合、セキュリティと管理の点で大きな問題を引き起こします。その PSK が漏洩した場合すべてのデバイスに設定した PSK を変更する手間が生じます。
このようなユースケースは、1つのSSIDに対して複数のPSKを設定できるRADIUSを使用しないIdentity PSK(Identity Pre-Shared Key)を使用することで解決できます。RADIUSを使用しないIdentity PSKでは、ネットワーク管理者がRADIUSサーバーを使用せずに、SSIDごとに複数のPSKを設定できます。 さらに、この機能により、クライアントデバイスがWiFiネットワークへの認証に使用するPSKに基づいて、ダッシュボードでグループポリシーを割り当てることができます。なお、ダッシュボードでSSIDごとに50 PSKまで設定できる制限があります。
このドキュメントでは、ダッシュボードでRADIUSを使用しないIdentity PSKを設定する方法について解説します。
注 : この機能は ファームウェア MR27.1 以降がインストールされた 802.11ac Wave 2 AP および 11ax AP でサポートされています。それ以前のアクセスポイントでは MR27.1 以降がインストールされていても本機能は利用できません。
注: この機能は API でもサポートされています。ダッシュボードのヘルプ > API ドキュメントを参照してください。
注: 現在 RADIUSを使用しないIdentity PSK では WPA3 による暗号化をサポートしていません
RADIUSを使用しないIdentity PSKの設定方法
ダッシュボードで RADIUSを使用しないIdentity PSK を設定する方法は以下のとおりです。
1. ワイヤレス > アクセス制御へアクセスします
2. SSID プルダウンより 有効にしたい SSID を選択します
3. セキュリティ/接続条件 で RADIUSを使用しないIdentity PSK を選択します
4. Identity PSK を追加 をクリックします
5. ここで 名前と 一意なPSK、紐づけるグループポリシーを設定します
6. PSK を定義するとダッシュボードで定義したグループポリシーをドロップダウンメニューから選択できるようになります。グループポリシーを追加する方法はこちらを参照してください。
注: 1 つの SSID につき 最大 50 個まで PSK を設定できます。各 PSK は半角英数字で 8 ~ 63 文字の範囲で設定できます。
7. 追加 をクリックし、その後保存をクリックします
8. 設定後、目のアイコンをクリックすると設定した PSK を確認できます
9. PSK 名をクリックすると紐づけるグループポリシーを変更できます
注: PSKを変更/削除すると、その特定のPSKを使用しているクライアントだけが切断されます。別のPSKを使用している他のワイヤレスクライアントは、問題なく接続されたままです。同様に、新しいPSKを追加しても、そのSSIDに接続している既存のクライアントデバイスには影響がありません。
10. 右上にある追加ボタンをクリックすると、PSK を新たに作成でき、PSK 名の左側にあるチェックボックスをクリックして”削除”ボタンをクリックするとチェックしたPSKを削除できます