teratail
回答率
85.31%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.31%
トップWindows Serverに関する質問
Windows Server

Windows Serverとは、Microsoft社のサーバ用オペレーティングシステムの総称です。 企業内ネットワークなどで利用されるサーバ機へ導入することを想定して開発されているため高い安定性があり、 管理機能を提供するソフトウェアが多く含まれています。

Q&A

解決済

1回答

5859閲覧

EAP-TLSコンピュータ認証について

yama-o
yama-o

総合スコア14

Windows Server

Windows Serverとは、Microsoft社のサーバ用オペレーティングシステムの総称です。 企業内ネットワークなどで利用されるサーバ機へ導入することを想定して開発されているため高い安定性があり、 管理機能を提供するソフトウェアが多く含まれています。

0グッド

0クリップ

投稿2017/09/26 05:07

0

0

###前提・実現したいこと
ワークグループPCの無線LAN認証をEAP-TLSコンピュータ認証で行いたい。
現在Windows2012サーバ上にNPS、エンタープライズCA 、ADを構築し、
AD上でユーザーを作成し、クライアント認証の証明書を発行。
サプリカントの設定でユーザー認証時は証明書のユーザーで認証可能ですが、
コンピュータ認証に変更するとユーザーが見つからずNPSにて拒否されます。
ユーザーの認識が異なっているためと思いますが、上記構成で証明書発行方法や設定を変えることによりコンピュータ認証を行うことは可能でしょうか?

###発生している問題・エラーメッセージ

ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。

詳細については、ネットワーク ポリシー サーバーの管理者に問い合わせてください。

ユーザー:
	セキュリティ ID:			NULL SID
	アカウント名:			host/user1
	アカウント ドメイン:			RADIUS-TEST
	完全修飾アカウント名:	RADIUS-TEST\host/user1

認証の詳細:
	接続要求ポリシー名:	ワイヤレス接続をセキュリティで保護する
	ネットワーク ポリシー名:		-
	認証プロバイダー:		Windows
	認証サーバー:		WIN.RADIUS-TEST.NET
	認証の種類:		EAP
	EAP の種類:			-
	アカウントのセッション ID:		32343044324446452D3030303030304446
	ログ結果:			アカウンティング情報はローカルのログ ファイルに書き込まれました。
	理由コード:			8
	理由:				指定したユーザー アカウントは存在しません。

###試したこと
ユーザー認証時は、以下のように認識され認証可能です。

ホストが定義済みの正常性ポリシーを満たしていたため、ネットワーク ポリシー サーバーはユーザーにフル アクセスを許可しました。

ユーザー:
セキュリティ ID: RADIUS-TEST\user1
アカウント名: user1@RADIUS-TEST.NET
アカウント ドメイン: RADIUS-TEST
完全修飾アカウント名: RADIUS-TEST.NET/Users/user1

認証の詳細:
接続要求ポリシー名: ワイヤレス接続をセキュリティで保護する
ネットワーク ポリシー名: ワイヤレス接続をセキュリティで保護する
認証プロバイダー: Windows
認証サーバー: WIN.RADIUS-TEST.NET
認証の種類: EAP
EAP の種類: Microsoft: スマート カードまたはその他の証明書
アカウントのセッション ID: 32343044324446452D3030303030304442

検疫情報:
結果: フル アクセス
拡張結果: -
セッション ID: -
ヘルプ URL: -
システム正常性検証ツールの結果: -

###補足情報(言語/FW/ツール等のバージョンなど)
より詳細な情報

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

over
over

2017/09/26 05:36

クライアント証明書を作成されたとのことですが、こちらはADユーザオブジェクトに対してのクライアント証明書ですか?そうであればコンピュータに対しての証明書ではないので認証できなくて当然のような気がしますが・・・違うのでしょうか?
yama-o
yama-o

2017/09/26 06:21

ご確認ありがとうございます。ADユーザオブジェクトに対してのクライアント証明です。ユーザー認証する場合は対象PCの証明書-現在のユーザーにインポートし、コンピュータ認証の場合は証明書(ローカルコンピュータ)にインポートしております。ワークグループPCのコンピュータに対しての証明書の発行方法が分かっておりません。
over
over

2017/09/26 06:39

ADから切り離された環境のデバイスではコンピュータに対してのクライアント証明書は自動発行してもらえず、証明要求→から証明書を発行するしかないと思います。環境が手元にないので想定回答となりますが、mmcスナップインで証明書スナップインを「コンピュータアカウント」で追加し、「証明書(ローカルコンピュータ)」のコンテキストメニュー「すべてのタスク」内に証明書要求のタスクがあれば、これを元に証明書が作成できるのかな?と思います。
guest

回答1

0

ベストアンサー

私も同じ問題が発生して解決したので昔の質問のようでしたが載せておきます。

1.certsrvでコンピュータテンプレートを指定して、名前にホスト名、属性にsan:dns=<FQDN>を書いて証明書を発行する。
2.ADにコンピュータアカウントを作成する。
3.作成したコンピュータアカウントのプロパティを開いて、オブジェクトタブをクリックしてオブジェクトの正規名をEAP-TLSの認証アカウント名に指定して認証する。

こちらはでは、3がミソでした。クライアントはLinuxです。
参考URL: https://service.snom.com/display/wiki/Port+Authentication+via+802.1x+-+EAP-TLS

投稿2019/09/13 04:05

soeno
soeno

総合スコア11

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yama-o
yama-o

2019/09/13 04:44

ご回答ありがとうございます。 当時解決できなかったため、サードベンダーの証明機関を導入し認証を行っております。
soeno
soeno

2019/09/14 12:48

なるほど。クライアント証明書要件が足りなかったのですね。 https://support.microsoft.com/ja-jp/help/814394/certificate-requirements-when-you-use-eap-tls-or-peap-with-eap-tls おそらくSubjectAltName(SAN) DNSかと。 証明書のSubjectはあまり関係ないようなので、SANですね。 certsrvの属性にSANを入れなくても、コンピュータ証明書のテンプレートにSAN DNSを入れるように変更して、名前にFQDNを書けばSANにその名前に書いたのが入ります。 サードベンダーの証明機関はいらなかったかもしれません。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.31%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップWindows Serverに関する質問

EAP-TLSコンピュータ認証について