Meraki MX シリーズでは追加費用なしでクライアント VPN を使用でき、TLS 接続の Lightweight Directory Access Protocol (LDAP) 認証にて Windows Server の Active Directory (AD) と連携することが可能です。今日では Azure AD への移行も段々と増えてきていますが、Azure AD は Windows Server を完全に置き換えることはできないので、Windows Server に Azure AD Connect をインストールし運用するのが一般的です。Azure AD のみでは MX のクライアント VPN とは連携させることはできません。なので、まずは MX と Windows Server を連携させる必要があります。
Windows Server に AD 機能をインストール
「サーバーマネージャー」の「役割と機能の追加」から「Active Directory Domain Services」を選択します。
上記スクリーンショットで「次へ」をクリックし、機能で「.NET Framework 3.5 Features」も追加します。インストールが完了すると、「このサーバーをドメインコントローラーへ昇格する」というメニューが同じウィザードで出現するので、それをクリックし手順に従います。完了後、Windows Server を再起動させる必要があります。
AD にテストユーザを追加
「サーバーマネージャー」の右上の「ツール」より「Active Directory ユーザーとコンピューター」を選択すると、下記画像のウィンドウが開きます。
設定したドメイン配下に Users のフォルダがあるので、そこに test ユーザーというテストユーザを作成してみます。
LDAP over TLS のための証明書を発行
Meraki ダッシュボードのクライアント VPN の設定で Active Directory を選択すると、MX は LDAP over TLS で指定の Windows Server へ通信を開始します。LDAP over TLS を使用するためには、Windows Server で Meraki の要件を満たす証明書を発行しなければいけません。今回は PoC (Proof of Concept) を目的に構築するので、自己署名証明書を発行します。
自己署名証明書を簡単に発行するためには、Web Server (IIS) を Windows Server に追加する必要があります。AD 機能をサーバーに追加したように、同様な手順で追加します。「サーバーマネージャー」の右上の「ツール」より「インターネット インフォーメーション サービス (IIS) マネージャー」を選択すると、下記の画像のウィンドウが開きます。
左のペインから自身のサーバーを選択し、サーバ証明書をダブルクリックすると、右のペインに「自己署名入り証明書の作成」が現れるので指示に従って証明書を作成します。
LDAP over TLS の設定が正しく実施できたかを確認するためには、Meraki ダッシュボードの「セキュリティアプライアンス」>「Active Directory」から確認すことが可能です。
上記の画像のように、Active Directory サーバにて「短いドメイン名」、「サーバ IP」、「ドメイン管理者」のユーザ名と「パスワード」を入力し、「状態」を確認してください。
MX でクライアント VPN を設定
Meraki ダッシュボードの「セキュリティアプライアンス」>「クライアント VPN」からVPN の設定はできます。「クライアント VPN サーバ」を有効にし、「VPN サブネット」、「DNS ネームサーバ」、「シークレット」を入力する。認証で 「Active Directory」を選択し、必要な設定を行います。
接続テスト
実際に AD で作成した test というユーザで接続試験すると、正常に接続できました。