Meraki クライアント VPN と Active Directory 連携

Meraki MX シリーズでは追加費用なしでクライアント VPN を使用でき、TLS 接続の Lightweight Directory Access Protocol (LDAP) 認証にて Windows Server の Active Directory (AD) と連携することが可能です。今日では Azure AD への移行も段々と増えてきていますが、Azure AD は Windows Server を完全に置き換えることはできないので、Windows Server に Azure AD Connect をインストールし運用するのが一般的です。Azure AD のみでは MX のクライアント VPN とは連携させることはできません。なので、まずは MX と Windows Server を連携させる必要があります。

Windows Server に AD 機能をインストール

サーバーマネージャー」の「役割と機能の追加」から「Active Directory Domain Services」を選択します。

Screen Shot 2018-10-28 at 5.12.28 PM.png

上記スクリーンショットで「次へ」をクリックし、機能で「.NET Framework 3.5 Features」も追加します。インストールが完了すると、「このサーバーをドメインコントローラーへ昇格する」というメニューが同じウィザードで出現するので、それをクリックし手順に従います。完了後、Windows Server を再起動させる必要があります。

AD にテストユーザを追加

サーバーマネージャー」の右上の「ツール」より「Active Directory ユーザーとコンピューター」を選択すると、下記画像のウィンドウが開きます。

Screen Shot 2018-10-28 at 8.18.17 PM.png

設定したドメイン配下に Users のフォルダがあるので、そこに test ユーザーというテストユーザを作成してみます。

LDAP over TLS のための証明書を発行

Meraki ダッシュボードのクライアント VPN の設定で Active Directory を選択すると、MX は LDAP over TLS で指定の Windows Server へ通信を開始します。LDAP over TLS を使用するためには、Windows Server で Meraki の要件を満たす証明書を発行しなければいけません。今回は PoC (Proof of Concept) を目的に構築するので、自己署名証明書を発行します。

自己署名証明書を簡単に発行するためには、Web Server (IIS) を Windows Server に追加する必要があります。AD 機能をサーバーに追加したように、同様な手順で追加します。サーバーマネージャー」の右上の「ツール」より「インターネット インフォーメーション サービス (IIS) マネージャー」を選択すると、下記の画像のウィンドウが開きます。

Screen Shot 2018-10-28 at 8.40.17 PM.png

左のペインから自身のサーバーを選択し、サーバ証明書をダブルクリックすると、右のペインに「自己署名入り証明書の作成」が現れるので指示に従って証明書を作成します。

LDAP over TLS の設定が正しく実施できたかを確認するためには、Meraki ダッシュボードの「セキュリティアプライアンス」>「Active Directory」から確認すことが可能です。

Screenshot_2018-10-28 Active Directory - Meraki Dashboard.png

上記の画像のように、Active Directory サーバにて「短いドメイン名」、「サーバ IP」、「ドメイン管理者」のユーザ名と「パスワード」を入力し、「状態」を確認してください。

MX でクライアント VPN を設定

Meraki ダッシュボードの「セキュリティアプライアンス」>「クライアント VPN」からVPN の設定はできます。「クライアント VPN サーバ」を有効にし、「VPN サブネット」、「DNS ネームサーバ」、「シークレット」を入力する。認証で 「Active Directory」を選択し、必要な設定を行います。

meraki_client_vpn_active_directory

接続テスト

実際に AD で作成した test というユーザで接続試験すると、正常に接続できました。

mx_vpn_ad_test.gif

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.