Wondows2008 Standard 32bitオペレーション付随のNPSサーバとRADIUSサーバを使っております。
このサーバを証明機関と認証局として、WindowsPCからはEAP/TLSで端末証明書とサーバ証明書のやりとりにて無線認証し、AccessPointに接続で
きております。
ここにiPadを接続させようとするのですが、うまくいきません。
NPSのログを見ると、windowsの方は、認証方式「PEAP」「スマートカード」で処理されているのですが、
iPadは、なぜか「EAP」になってしまっております。
iPadの設定が悪いのか・・・NPSか・・・APか・・全く見当がつかないのです。
どなたか、少しのヒントでも頂ければ・・と思っております。
【手順】
1)証明書のエクスポート。
・端末ユーザ証明書 PKCS#12形式にてエクスポート。(*.pfx)・・・秘密鍵をエクスポートする。
■証明書のパスにある証明書を、可能であれば全て含める。
■強力な保護を有効にする。
・信頼されたroot証明書 CA認証局 「DER encoded binaryX509」形式にてエクスポート。
※認証局(NPS)、認証サーバ(RADIUS)ともwin2008R2。
※ユーザ証明書は、ActiveDirectoryのユーザ認証情報含む。
2)iPadに上記証明書をインストール。root証明書→ユーザ証明書の順。
※ユーザ証明書に、認証局の情報付加されている。「設定」-「情報」-「プロパティ」で確認。
3)iPad、無線の設定。
・「SSID」を設定。
・「セキュリティ;WPA2エンタープライズ」
↓
・「モード;EAP/TLS」
↓
・「ID;登録したユーザ証明書を指定」
↓
「接続」
・・・接続失敗。「SSIDへの接続に失敗しました。」と表示。
※ユーザ欄に、クライアント証明書のADユーザ名を指定しても失敗。
※証明書のエクスポート時、プロパティのチェックを入・切して数種作成したが、全て失敗。
※セキュリティを WPAエンタープライズにしても失敗。
【NPSのログ】
・正常接続されるものは、次の表示。
AuthenticationType PEAP
EAPType Microsoft: スマート カードまたはその他の証明書
AccountSessionIdentifier -
QuarantineState フル アクセス
・iPadは次の表示。
AuthenticationType EAP
EAPType -
AccountSessionIdentifier -
ReasonCode 22
Reason サーバーで拡張認証プロトコル (EAP) の種類を処理できないため、クライアントを認証できませんでした。
※オーゼンティケーション(AccessPoint?)、windowsPCの時は「PEAP」で受けて、iPadは「EAP」で処理してます。
↓
【対処策施行】
・「NPS」の「ネットワークポリシー」、「持ちこみPC」をコピーし、別のポリシーを作成。
作成したポリシー、「認証方法;スマートカードその他の証明書」に変更し、上位に配置して接続してみる。
※EAP/TLS接続の場合、これを選択する・・と訊いたことがあったので・・。iPadには、PEAPを選択する場所がなかったので。
・・・接続できず。
【質問】
・証明書は、iPadに組み込めていると思うのです。しかし、何故「AuthenticationType」を「EAP」にして処理しようとするのでしょうか?
確かにwin端末の時は、「PEAP」を設定する場所があります。が、iPadには「EAP/TLS」しかありません。
「AuthenticationType」絡みなので、AccessPointを触ればよいのでしょうか?
何かご存知であれば、ご教授頂きたく思います。