Copyright (C) 2013, Oracle and/or its affiliates. All rights reserved. Legal Notices
Sun Ray クライアントファームウェアの 802.1x 認証機能は、wpa_supplicant と呼ばれるオープンソースプロジェクト (http://hostap.epitest.fi/wpa_supplicant/ を参照) に基づいています。802.1x 認証機能を使用すると、認証に成功するように適切な資格を提供して 802.1x アクセス制御の下でローカルエリアネットワークへのアクセス権を取得するように Sun Ray クライアントを構成できます。Sun Ray クライアントは、MD5、TLS、MSCHAPV2、PEAP、TTLS、GTC、および OTP という Extensible Authentication Protocol モードをサポートしています。
wpa_supplicant は、ワイヤレス認証の WPA サプリカントプロトコルの実装をサポートします (802.1x ポート認証プロトコルなど)。その結果、802.1x の認証は wpa_supplicant によって提供されるメカニズムおよび構成ファイル形式によって異なります。
WPA サプリカントプロトコルは、主にワイヤレス認証を対象としたものですが、現在のところ Sun Ray クライアントはワイヤレス処理をサポートしていません。
wpa_supplicant は、メインの構成ファイルと証明書および公開/非公開鍵ペアが含まれるセカンダリファイルをいくつか使用して、802.1x 認証を構成します。Sun Ray Software で使用されるメインの構成ファイルの名前は、wired.conf です。wpa_supplicant が構成ファイルにアクセスするには、リモート構成ファイルでファイルコピーエントリを使用することで、それらを Sun Ray クライアントファームウェアの Trivial File System にコピーする必要があります。詳細については、表14.3「リモート構成ファイルのキー値」を参照してください。
wired.conf ファイルは、wpa_supplicant コンポーネントの開始と 802.1x 認証の試行を行うために、Sun Ray クライアント上に存在する必要があります。この構成ファイルの存在または不在が、wpa_supplicant の有効化または無効化に使用されるプライマリメカニズムです。構成 GUI の「802.1x 構成」メニュー項目を使用することで、wired.conf ファイルを管理できます (802.1x のさまざまな認証モードに必要な構成値の限定的なセットのみを使用します)。構成オプションは、選択された特定の Extended Authentication Protocol (EAP) モードに基づいてさらに調整されます。詳細については、表14.1「構成 GUI のメインメニュー項目」を参照してください。
現在、Sun Ray クライアント自体で非公開鍵を生成できないため、その他の方法で非公開鍵および対応する証明書を生成し、リモート構成ファイルを使用して提供する必要があります。
wired.conf ファイルを構成 GUI を使用せずに作成および変更する場合は、適切なフィールドが提供され、ファイルの形式が正しいことを確認してください。ファイルには、ssid="wired" であるネットワーク定義が 1 つ含まれている必要があります。wired.conf ファイルが期待される形式に従っていない場合、wpa_supplicant は正しく動作しません。次の例で wired.conf ファイルの内容を参照してください。
この手順では、Sun Ray クライアントで 802.1x 認証を構成して有効にする方法を説明します。この手順は、EAP-TLS モードの動作を使用する 802.1x 認証を設定する例です。
手順に挙げられている構成ファイルは、リモート構成ファイルと同じ場所にある必要がありますが、これは通常、ローカル構成で定義されているファームウェアサーバーです。
wpa_supplicant の構成ファイル (メインの構成ファイルである wired.conf、証明書および公開/非公開鍵が含まれているセカンダリファイルなど) を作成します。
有効な wired.conf 値のリストについては、表14.1「構成 GUI のメインメニュー項目」の「802.1x 構成」メニューの説明を参照してください。
次にセカンダリファイルおよび wired.conf ファイルの例をいくつか示します。
someca_cert.pem - 「someca」からの認証局ルート証明書
-----BEGIN CERTIFICATE----- MIID3DCCA0WgAwIBAgIBADANBgkqhkiG9w0BAQUFADCB0zETMBEGCgmSJomT8ixk ARkWA2NvbTETMBEGCgmSJomT8ixkARkWA3N1bjEVMBMGCgmSJomT8ixkARkWBXNm .... CkS0he0fm5xVRd6D+nQQAbUkFy0MZO39QjXbopBxaY5Vm5hg2U+O0JJ5UHQXGGMk sxyGuzhrnu09oYF7Zje1BlO2fGhC/JrSJhKFQtgqNBQ= -----END CERTIFICATE-----
sunray_key.pem - Sun Ray クライアントの RSA 鍵ペア
-----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQCvGwBJjv/Uzp81QAd9B9uqehZqmS9BVA9xcfJtNf6Feou3FnKE 8tHcCISAXFdujYZSqhzcInzn/ZWnKk2cRQl8//IupuMcwPi10QebBmXhxfrTTW5L .... FEmkooUWFa6mUpAcpQJBANCe64twQ3RjNfIc3n4LpCEPgw7y5pgk8xmKIDiSZ/+U XwJQ4gpzmsakaZWBEcdxrJWkK6chvcFcwcfAN7rkOBc= -----END RSA PRIVATE KEY-----
sunray_cert.pem - 「someca」によって署名された、Sun Ray クライアント RSA 鍵用のクライアント認証
-----BEGIN CERTIFICATE----- MIIE+TCCBGKgAwIBAgIBCTANBgkqhkiG9w0BAQUFADCB0zETMBEGCgmSJomT8ixk ARkWA2NvbTETMBEGCgmSJomT8ixkARkWA3N1bjEVMBMGCgmSJomT8ixkARkWBXNm .... vv7TQOtlSlwPessnDJOFJ+oYoAMbc3f8bmvVOMvqQ98zZGdJ/VDK+siFJKeTpkoL ocRIJUFegNu4W0+pvgPY/ZBsbUchBA2rpdhwWnc= -----END CERTIFICATE-----
wired.conf - 802.1x/EAP-TLS 用の wpa_supplicant 構成ファイル
network={
ssid="wired"
key_mgmt=IEEE8021X
eap=TLS
ca_cert="/certs/someca.pem"
identity="john.doe@oracle.com"
private_key="/keys/sunray.pem"
client_cert="/certs/sunray.pem"
}必要なファイル割り当てエントリのあるリモート構成ファイルを作成します (wpa_supplicant 構成ファイルを Sun Ray クライアントにコピーするために使用されます)。
リモート構成ファイルの例を次に示します。
/certs/someca.pem=someca_cert.pem /keys/sunray.pem=sunray_key.pem /certs/sunray.pem=sunray_cert.pem /wpa/wired.conf=wired.conf
/wpa/wired.conf=wired.conf エントリが必要です。
構成 GUI の「詳細」>「構成のダウンロード」を選択して、リモート構成ファイルを Sun Ray クライアントにダウンロードします。
key_mgmt キーが IEEE8021X に設定されている場合、wired.conf ファイルが読み込まれると、802.1x 認証は自動的に有効になります。
(オプション) 構成 GUI で「802.1x 構成」を選択して、wired.conf ファイルに変更を加えます。
802.1x 認証を提供するポートに Sun Ray クライアントを接続し、認証をテストします。
可能性のあるエラーコードまたはステータスメッセージについては、「(20) 802.1x 認証アイコン」を参照してください。
Copyright (C) 2013, Oracle and/or its affiliates. All rights reserved. Legal Notices