Neat デバイスで SCEP を使用して 802.1x をセットアップする方法 (ベータ版)

Yuki Iwagishi

注:Neat サポートページのオリジナル文書 を Google 翻訳を使って翻訳後に一部修正、追記しています

最終更新日: 2023 年 6 月 26 日

重要な注意事項: この新しく導入された機能は現在ベータ/プレビュー段階にあり、実稼働環境に実装されることはまだ意図されていません。この機能は、テストと評価の目的のみに限定してください。

重要な注意:この機能を使用するには、リリース ノートに記載されている最新の Neat ファームウェアを実行していることを確認してください。

はじめに – 802.1x とは何ですか?

802.1x は、ユーザーの ID と組織の内部認証システムによる認証に基づいてポートベースのアクセス制御を可能にする標準ネットワーク認証プロトコルです。これにより、ネットワーク内にセキュリティが提供され、職場に存在する管理対象外のデバイスから組織を保護します。

SCEPとは何ですか?

SCEP は Simple Certificate Enrollment Protocol の略で、スケーラブルな方法で証明書の自動発行を可能にする証明書管理プロトコルです。「Neat デバイスで 802.1x を構成する方法(参考和訳:https://note.com/neat_iwagishi/n/n3a7d58950a20)」で説明した従来の 802.1x プロセスとは異なり、SCEP は、Neat デバイスが署名のために CSR (証明書署名要求) を SCEP サーバーに送信するため、現在の明示的な CSR (証明書署名要求) 対話の必要性を置き換えます。
SCEP を使用すると、デバイスは URL と共有秘密を使用して PKI と通信することで、証明書を簡単に登録できます。

要件と制限:

構成に必要なコンポーネント:

  • Neat デバイスは、 デバイスを有線 802.1x ネットワーク環境に移動する前に、 ローカル エリア ネットワーク (LAN) (有線または無線) 上にあり、設定用の IP アドレスでアクセスできる必要があります。

  • 802.1x 対応のスイッチとネットワーク

    • EAP-TLS の証明書コンポーネント

  • SCEPのセットアップ

    • Intune 登録またはその他の PKI サポート SCEP

  • 顧客側スクリプト用の Python 3 環境

    • Python と PIP に精通していることが望ましい

    • PIP をインストールする – Python バージョン 3.4 以降を使用している場合、PIP はデフォルトで含まれています

    • neat-dot1x-cli の最新バージョンについては、リリース ノートを参照し、neat-dot1x-cli -Vコマンドを ターミナルで実行してください。

現在の制限 (執筆時点):

  • EAP-TLS のみのサポート

注: 次の手順は、認証局の所有を含め、ネットワーク上で 802.1x が事前設定されていることを前提としています。

重要な注意事項: 次のプロセスは、Neat デバイスごとに個別に実行する必要があります (たとえば、SCEP CSR は、ペアになっている場合でも、Neat Bar と Neat Pad に対して個別に開始する必要があります)。

ステップ 1 – デバイスのセットアップ

デバイスの Web API へのアクセスは、最初のOut-of-Box (OOB)セットアップ中、最初のインストール中または出荷時設定へのリセット後、またはすでにセットアップされていて Zoom/Teams が実行されている場合は、リモート アクセス(参考和訳:https://note.com/neat_iwagishi/n/nc3c71aa4f23f)を有効にすることで実行できます。その代わり。

  1. 802.1x ネットワークではないイーサネットまたは Wi-Fi を介してデバイスを LAN に接続します。キャプティブ ポータルはサポートされていないことに注意してください。

    • OOB (初期セットアップ中)構成の場合は、デバイスの背面にあるリセット ボタンを押して、デバイスが IP アドレスを受信して​​いることを確認します。注: デバイスはインターネットに接続する必要はありません。同じネットワーク上のラップトップ/コンピューターから接続できることのみが必要です。OOB 中の Web-API は、実行するプラットフォーム (Teams/Zoom) の選択までにのみ適用されます。

    • すでに Zoom/Teams ルーム構成を実行しているデバイスの場合は、Neat のシステム設定で [システム] -> [リモート アクセス] に移動し、有効にします。ステップ 5 で必要となるパスワードを設定してください。リモート アクセスを有効にする方法の詳細については、こちらの記事を参照してください。(参考和訳:https://note.com/neat_iwagishi/n/nc3c71aa4f23f)

ステップ 2 – Neat デバイスの接続を確認する

  1. 同じ LAN 上のラップトップまたはコンピューターから、Neat デバイスに到達できることを確認します。

    • ユニットの IP アドレスに ping を実行するか、

    • ホスト名 (「シリアル番号.local」) または FQDN 経由で ping を実行します

ヒント:デバイスが OOB の場合は、Neat デバイスの背面にあるリセット ボタンを押して放すと、シリアル番号と IP アドレスの両方が表示されます。
Neat デバイスがすでに Zoom/Teams を実行している場合は、[システム設定] > [システム] > [ネットワーク] > [情報] > [IP アドレス] に移動します。

ステップ 3 – Web-API 用 pi インストール


1.端末で次のコマンドを実行して、802.1x クライアント パッケージを PIP インストールします。

pip install neat_dot1x_client --upgrade --extra-index-url https://gitlab.com/api/v4/projects/41183007/packages/pypi/simple

オプションのステップ:以下を実行して、バージョンが上記の最新のものと一致していることを確認します。

neat-dot1x-cli -V

2.PIP パッケージがインストールされると、コマンド ライン クライアント (現在呼び出されている) が neat-dot1x-cli使用できるようになります。

neat-dot1x-cli コマンドのドキュメントについては、ページの一番下までスクロールしてください。

ステップ 4 – SCEP JSON ファイルの構成

SCEP は、URL と認証局との共有秘密を使用して PKI と通信します。
SCEP では、CSR はクライアントと CA 間の共有秘密を使用して認証されます。各 Neat デバイスの CSR を生成するには、特定のパラメーターを使用して JSON ファイルを作成する必要があります。

必須パラメータ:

  1. serverUrl

    • 定義する必要がある唯一の必須フィールドであり、SCEP サーバーの URL アドレスで構成されます。

オプションのパラメータ:

  1. challengePassword

    • これは、各 Neat デバイスの証明書を要求するときに CSR とともに送信する一時/ワンタイム パスワード (管理者によって提供される) で構成されます。

    • 注: この記事の執筆時点では、このchallengPasswordは検証されていないため、SCEP サーバーはチャレンジなしでリクエストを受け入れる必要があります。

  2. caFingerprint

    • これは、登録時に CA 応答の信頼性を確認するために必要な CA 証明書のフィンガープリントに対応します。

  3. profile

    • SCEP サーバーが複数の CA をサポートしている場合、CA 管理者は、使用する発行者を識別する文字列を提供する必要があります。

  4. csrTemplate

    • CSR テンプレートを使用すると、組織のモデルに準拠したパラメータを指定できます。

  5. connectionType

    • このパラメータは、「WIFI」または「ETHERNET」の引数を取ることができます。

    • 「WIFI」が使用されている場合は、 ssid 同様に渡す必要があり、必要に応じて hiddenSsid(ブール値) も渡す必要があります。

{
"connectionType": "WIFI",
"ssid": "Neat8021x",
"isHidden": True/False
}

以下に示すのは、neat-dot1x クライアントが各 Neat デバイスから CSR を生成するための JSON ファイルの例です。

{
  "serverUrl": "https://neat/scep",
  "challengePassword": "NeatIsTheBest",
  "caFingerprint": "2b232csfsfkdb8",
  "profile": "Our Radius CA",
  "csrTemplate": {
    "organizationName": "Neatframe Ltd",
    "organizationalUnit": "neat.no",
    "country": "NO",
    "locality": "Oslo",
    "commonName": "My neat device"
  },
  "connectionType": "WIFI",
  "ssid": "Neat802.1x"
}

ステップ 4 にリストされている引数を決定したら、ステップ 5 でコマンドライン クライアント ( neat-dot1x-cli)で実行できるように、この JSON ファイルを保存します。

ステップ 5 – Web API を使用して SCEP CSR を開始する

SCEP CSR を生成するには、デバイスの Web-API にアクセスするために次のパラメータが必要です。

  • IPアドレスまたはホスト名

  • ユーザー名

    • a) OOB(初期セットアップ中) のデバイス => ユーザー名: oob

    • b) Teams/Zoom を実行しているデバイス => ユーザー名: admin (ステップ 1 を参照)

  • パスワード

    • a) OOB のデバイス => パスワード: シリアル番号

    • b) Teams/Zoom を実行しているデバイス => パスワード: ステップ 1 を参照

上記のすべての引数を決定したら、デバイスとネットワークに固有の引数を置き換えて次のコマンドを実行します。

neat-dot1x-cli Host_or_IP Username Password init_scep path/to/scep_config.json

ステップ 6 – (有線) デバイスを 802.1x ネットワークに移動する

有線ネットワークの場合、最後に、デバイスを802.1x ネットワークに移動すると、デバイスは 802.1x 認証システムのチャレンジに応答し始めます。デバイスの ID が判明すると、そのエンドポイントからのすべてのトラフィックが許可され、デバイスがネットワークに接続されるようになります。

追加情報:

Python コマンドのドキュメント:

ツール バージョン:neat-dot1x-cli -V
ヘルプ: neat-dot1x-cli -h
CSR パラメーターの位置引数のヘルプ: neat-dot1x-cli X Y Z csr -h
SCEP CSR の位置引数のヘルプ:neat-dot1x-cli X Y Z init_scep -h
証明書のアップロード (有線) の位置引数のヘルプ:neat-dot1x-cli X Y Z init -h
証明書のアップロード (無線) の位置引数のヘルプ:neat-dot1x-cli X Y Z init_wifi -h

ご質問がある場合、または上記の手順で問題が発生した場合は、販売代理店にご相談ください。

この記事が気に入ったらサポートをしてみませんか?