日本語フォーラム

IAPで opmode=wpa3-cnsa のSSIDを作成して、IAPの内部RADIUSサーバを認証サーバとして使っています。
EAP-TLS認証で接続はできるのですが、PEAP認証でも接続できてしまいます。通信に問題はありません。この状態は、正しく設定できている状態といえるでしょうか？
ユーザーガイド( https://www.arubanetworks.com/techdocs/Instant_811_WebHelp/Content/instant-ug/authentication/wpa3.htm )をみると下のような記述があり、EAP-TLSでのみ接続できると思っていたのですが・・・
「The WPA3-Enterprise CSNA (192-bit) mode requires a compatible EAP server (such as Aruba ClearPass Policy Manager 6.8 or later versions) and requires EAP-TLS. 」

EAP-TLS・PEAPともに、unicast_encr_alg=WPA3 CNSA と表示されます。
===
AP-615# show clients debug advanced 

Client List
-----------
Name     IP Address     MAC Address        Connect Status  802.11r  802.11k  802.11v  unicast_encr_alg  mac_auth_done  
----     ----------     -----------        --------------  -------  -------  -------  ----------------  -------------  
TEST     172.31.98.151  a*:**:**:**:**:**  1(151)          0        0        1        WPA3 CNSA         0
===

※アクセスポイント: AP-615(Aruba Instant 8.11.1.0_86591 SSR)、無線クライアント: MacBook（Wi-Fi 6対応）

以上、よろしくお願いいたします。

お問い合わせありがとうございます。
想定動作では無いと思うので確認中ですが、少し時間がかかると思うので、お急ぎの場合はサポートにもご相談頂ければ幸いです。

接続できないことが想定動作にはなりますので、WPA3-CNSAの場合はRADIUS ServerとしてInternal Server を利用しない設定をご利用下さい。

IAPで opmode=wpa3-cnsa のSSIDを作成して、IAPの内部RADIUSサーバを認証サーバとして使っています。
EAP-TLS認証で接続はできるのですが、PEAP認証でも接続できてしまいます。通信に問題はありません。この状態は、正しく設定できている状態といえるでしょうか？
ユーザーガイド( https://www.arubanetworks.com/techdocs/Instant_811_WebHelp/Content/instant-ug/authentication/wpa3.htm )をみると下のような記述があり、EAP-TLSでのみ接続できると思っていたのですが・・・
「The WPA3-Enterprise CSNA (192-bit) mode requires a compatible EAP server (such as Aruba ClearPass Policy Manager 6.8 or later versions) and requires EAP-TLS. 」

EAP-TLS・PEAPともに、unicast_encr_alg=WPA3 CNSA と表示されます。
===
AP-615# show clients debug advanced 

Client List
-----------
Name     IP Address     MAC Address        Connect Status  802.11r  802.11k  802.11v  unicast_encr_alg  mac_auth_done  
----     ----------     -----------        --------------  -------  -------  -------  ----------------  -------------  
TEST     172.31.98.151  a*:**:**:**:**:**  1(151)          0        0        1        WPA3 CNSA         0
===

※アクセスポイント: AP-615(Aruba Instant 8.11.1.0_86591 SSR)、無線クライアント: MacBook（Wi-Fi 6対応）

以上、よろしくお願いいたします。

ご返信いただきありがとうございます。

ご確認をしていただけますと大変助かります。

※現状、AP-505を小規模なネットワーク（WPA2-Enterprise：PEAP・EAP-TLS併用）で使っておりまして、

　この度AP-615を新しく購入でき、5GHz帯ではPEAPでもEAP-TLSでも接続できるSSID(1)、6GHz帯ではEAP-TLSを強制するSSID(2)を設定する方法があるといいなと考えて、

　6GHz帯のSSID(2)では、wpa3-cnsaを使えばいいのでは？と思っていた次第です。

お問い合わせありがとうございます。
想定動作では無いと思うので確認中ですが、少し時間がかかると思うので、お急ぎの場合はサポートにもご相談頂ければ幸いです。

接続できないことが想定動作にはなりますので、WPA3-CNSAの場合はRADIUS ServerとしてInternal Server を利用しない設定をご利用下さい。

IAPで opmode=wpa3-cnsa のSSIDを作成して、IAPの内部RADIUSサーバを認証サーバとして使っています。
EAP-TLS認証で接続はできるのですが、PEAP認証でも接続できてしまいます。通信に問題はありません。この状態は、正しく設定できている状態といえるでしょうか？
ユーザーガイド( https://www.arubanetworks.com/techdocs/Instant_811_WebHelp/Content/instant-ug/authentication/wpa3.htm )をみると下のような記述があり、EAP-TLSでのみ接続できると思っていたのですが・・・
「The WPA3-Enterprise CSNA (192-bit) mode requires a compatible EAP server (such as Aruba ClearPass Policy Manager 6.8 or later versions) and requires EAP-TLS. 」

EAP-TLS・PEAPともに、unicast_encr_alg=WPA3 CNSA と表示されます。
===
AP-615# show clients debug advanced 

Client List
-----------
Name     IP Address     MAC Address        Connect Status  802.11r  802.11k  802.11v  unicast_encr_alg  mac_auth_done  
----     ----------     -----------        --------------  -------  -------  -------  ----------------  -------------  
TEST     172.31.98.151  a*:**:**:**:**:**  1(151)          0        0        1        WPA3 CNSA         0
===

※アクセスポイント: AP-615(Aruba Instant 8.11.1.0_86591 SSR)、無線クライアント: MacBook（Wi-Fi 6対応）

以上、よろしくお願いいたします。

直接の回答はまだ無いのですが、仕様的にはWPA3-CNSAではInternal Serverをサポートはしておりませんので、他の方法でご検討頂ければ幸いです。
その前提で、IAPのRole Assignment Rule で dot1x-authentication-typeというのがあります。
こちら、Debugしてみると、PEAPの場合はEAP-PEAPとなっているので、この設定でTLSの時だけ特定のRoleに（もしくはPEAPの時だけDenyなど）といった設定はできると思います。

Security Log のLog Level を Debuggingにすると確認することができます。

MyAP# show log security | include dot1x-authentication-typeJun 16 15:53:50   stm[5340]: <121031> <DBUG> |AP xxx@192.168.x.x stm| |aaa| [rc_aal.c:2901]  dot1x-authentication-type: EAP-PEAP

ご返信いただきありがとうございます。

ご確認をしていただけますと大変助かります。

※現状、AP-505を小規模なネットワーク（WPA2-Enterprise：PEAP・EAP-TLS併用）で使っておりまして、

　この度AP-615を新しく購入でき、5GHz帯ではPEAPでもEAP-TLSでも接続できるSSID(1)、6GHz帯ではEAP-TLSを強制するSSID(2)を設定する方法があるといいなと考えて、

　6GHz帯のSSID(2)では、wpa3-cnsaを使えばいいのでは？と思っていた次第です。

お問い合わせありがとうございます。
想定動作では無いと思うので確認中ですが、少し時間がかかると思うので、お急ぎの場合はサポートにもご相談頂ければ幸いです。

接続できないことが想定動作にはなりますので、WPA3-CNSAの場合はRADIUS ServerとしてInternal Server を利用しない設定をご利用下さい。

IAPで opmode=wpa3-cnsa のSSIDを作成して、IAPの内部RADIUSサーバを認証サーバとして使っています。
EAP-TLS認証で接続はできるのですが、PEAP認証でも接続できてしまいます。通信に問題はありません。この状態は、正しく設定できている状態といえるでしょうか？
ユーザーガイド( https://www.arubanetworks.com/techdocs/Instant_811_WebHelp/Content/instant-ug/authentication/wpa3.htm )をみると下のような記述があり、EAP-TLSでのみ接続できると思っていたのですが・・・
「The WPA3-Enterprise CSNA (192-bit) mode requires a compatible EAP server (such as Aruba ClearPass Policy Manager 6.8 or later versions) and requires EAP-TLS. 」

EAP-TLS・PEAPともに、unicast_encr_alg=WPA3 CNSA と表示されます。
===
AP-615# show clients debug advanced 

Client List
-----------
Name     IP Address     MAC Address        Connect Status  802.11r  802.11k  802.11v  unicast_encr_alg  mac_auth_done  
----     ----------     -----------        --------------  -------  -------  -------  ----------------  -------------  
TEST     172.31.98.151  a*:**:**:**:**:**  1(151)          0        0        1        WPA3 CNSA         0
===

※アクセスポイント: AP-615(Aruba Instant 8.11.1.0_86591 SSR)、無線クライアント: MacBook（Wi-Fi 6対応）

以上、よろしくお願いいたします。

WPA3-CNSAはInternal Serverでは利用できないのですね、承知しました。

WebUIでは、WPA3-Enterpriseを選択すると、RADIUSサーバとしてInternal Serverを選択することができず、CLIから（無理やり?）Internal Serverを使うように設定していましたので、やはり・・・という感想を持ちました。

Internal Serverを使ったEAP-TLSのパケットキャプチャをしていたのですが、暗号スイートがWPA3-CNSA(192-bit mode)に対応してなさそうでしたので、あやしいとは思っていました。このあたりは、バージョンが上がっていくごとにクリアになっていくことを期待したいなと思いました。

ご提案いただきました、Role Assignment Ruleでの設定は全く発想にありませんでした。まだ別のRADIUSサーバが用意できていませんので、opmode=wpa2-aes(RADIUS: Internal Server)でRole Assignment Ruleを設定してみると、EAP-TLS認証のユーザーだけが通信ができる状態となりました。これをWPA3でもできるようにすれば、6GHz帯も思った通りに使っていけそうだなと思いました。ご教示いただきまして、誠にありがとうございました。

直接の回答はまだ無いのですが、仕様的にはWPA3-CNSAではInternal Serverをサポートはしておりませんので、他の方法でご検討頂ければ幸いです。
その前提で、IAPのRole Assignment Rule で dot1x-authentication-typeというのがあります。
こちら、Debugしてみると、PEAPの場合はEAP-PEAPとなっているので、この設定でTLSの時だけ特定のRoleに（もしくはPEAPの時だけDenyなど）といった設定はできると思います。

Security Log のLog Level を Debuggingにすると確認することができます。

MyAP# show log security | include dot1x-authentication-typeJun 16 15:53:50   stm[5340]: <121031> <DBUG> |AP xxx@192.168.x.x stm| |aaa| [rc_aal.c:2901]  dot1x-authentication-type: EAP-PEAP

ご返信いただきありがとうございます。

ご確認をしていただけますと大変助かります。

※現状、AP-505を小規模なネットワーク（WPA2-Enterprise：PEAP・EAP-TLS併用）で使っておりまして、

　この度AP-615を新しく購入でき、5GHz帯ではPEAPでもEAP-TLSでも接続できるSSID(1)、6GHz帯ではEAP-TLSを強制するSSID(2)を設定する方法があるといいなと考えて、

　6GHz帯のSSID(2)では、wpa3-cnsaを使えばいいのでは？と思っていた次第です。

お問い合わせありがとうございます。
想定動作では無いと思うので確認中ですが、少し時間がかかると思うので、お急ぎの場合はサポートにもご相談頂ければ幸いです。

接続できないことが想定動作にはなりますので、WPA3-CNSAの場合はRADIUS ServerとしてInternal Server を利用しない設定をご利用下さい。

IAPで opmode=wpa3-cnsa のSSIDを作成して、IAPの内部RADIUSサーバを認証サーバとして使っています。
EAP-TLS認証で接続はできるのですが、PEAP認証でも接続できてしまいます。通信に問題はありません。この状態は、正しく設定できている状態といえるでしょうか？
ユーザーガイド( https://www.arubanetworks.com/techdocs/Instant_811_WebHelp/Content/instant-ug/authentication/wpa3.htm )をみると下のような記述があり、EAP-TLSでのみ接続できると思っていたのですが・・・
「The WPA3-Enterprise CSNA (192-bit) mode requires a compatible EAP server (such as Aruba ClearPass Policy Manager 6.8 or later versions) and requires EAP-TLS. 」

EAP-TLS・PEAPともに、unicast_encr_alg=WPA3 CNSA と表示されます。
===
AP-615# show clients debug advanced 

Client List
-----------
Name     IP Address     MAC Address        Connect Status  802.11r  802.11k  802.11v  unicast_encr_alg  mac_auth_done  
----     ----------     -----------        --------------  -------  -------  -------  ----------------  -------------  
TEST     172.31.98.151  a*:**:**:**:**:**  1(151)          0        0        1        WPA3 CNSA         0
===

※アクセスポイント: AP-615(Aruba Instant 8.11.1.0_86591 SSR)、無線クライアント: MacBook（Wi-Fi 6対応）

以上、よろしくお願いいたします。

立て続けですみません。

RADIUSサーバをFreeRADIUSで立てて、WPA3 CNSAのSSIDが使う認証サーバとして設定をしてみました。

EAP-TLSで認証できて、暗号スイートはTLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、楕円曲線はsecp384r1を使ってTLSセッションを確立していました。

各証明書の公開鍵・秘密鍵はすべて、RSA3072ビットなので、Wi-Fi AllianceのWPA3-Enterprise 192-bit modeの仕様は満たせていると思われる状態でした。

しかし、この状態でもFreeRADIUSに登録してあるPEAP用ユーザで認証ができてしまいました。

なので、教えていただいたRole Assignment Ruleと組み合わせて設定をしていこうと思います。

WPA3-CNSAはInternal Serverでは利用できないのですね、承知しました。

WebUIでは、WPA3-Enterpriseを選択すると、RADIUSサーバとしてInternal Serverを選択することができず、CLIから（無理やり?）Internal Serverを使うように設定していましたので、やはり・・・という感想を持ちました。

Internal Serverを使ったEAP-TLSのパケットキャプチャをしていたのですが、暗号スイートがWPA3-CNSA(192-bit mode)に対応してなさそうでしたので、あやしいとは思っていました。このあたりは、バージョンが上がっていくごとにクリアになっていくことを期待したいなと思いました。

ご提案いただきました、Role Assignment Ruleでの設定は全く発想にありませんでした。まだ別のRADIUSサーバが用意できていませんので、opmode=wpa2-aes(RADIUS: Internal Server)でRole Assignment Ruleを設定してみると、EAP-TLS認証のユーザーだけが通信ができる状態となりました。これをWPA3でもできるようにすれば、6GHz帯も思った通りに使っていけそうだなと思いました。ご教示いただきまして、誠にありがとうございました。

直接の回答はまだ無いのですが、仕様的にはWPA3-CNSAではInternal Serverをサポートはしておりませんので、他の方法でご検討頂ければ幸いです。
その前提で、IAPのRole Assignment Rule で dot1x-authentication-typeというのがあります。
こちら、Debugしてみると、PEAPの場合はEAP-PEAPとなっているので、この設定でTLSの時だけ特定のRoleに（もしくはPEAPの時だけDenyなど）といった設定はできると思います。

Security Log のLog Level を Debuggingにすると確認することができます。

MyAP# show log security | include dot1x-authentication-typeJun 16 15:53:50   stm[5340]: <121031> <DBUG> |AP xxx@192.168.x.x stm| |aaa| [rc_aal.c:2901]  dot1x-authentication-type: EAP-PEAP

ご返信いただきありがとうございます。

ご確認をしていただけますと大変助かります。

※現状、AP-505を小規模なネットワーク（WPA2-Enterprise：PEAP・EAP-TLS併用）で使っておりまして、

　この度AP-615を新しく購入でき、5GHz帯ではPEAPでもEAP-TLSでも接続できるSSID(1)、6GHz帯ではEAP-TLSを強制するSSID(2)を設定する方法があるといいなと考えて、

　6GHz帯のSSID(2)では、wpa3-cnsaを使えばいいのでは？と思っていた次第です。

お問い合わせありがとうございます。
想定動作では無いと思うので確認中ですが、少し時間がかかると思うので、お急ぎの場合はサポートにもご相談頂ければ幸いです。

接続できないことが想定動作にはなりますので、WPA3-CNSAの場合はRADIUS ServerとしてInternal Server を利用しない設定をご利用下さい。

IAPで opmode=wpa3-cnsa のSSIDを作成して、IAPの内部RADIUSサーバを認証サーバとして使っています。
EAP-TLS認証で接続はできるのですが、PEAP認証でも接続できてしまいます。通信に問題はありません。この状態は、正しく設定できている状態といえるでしょうか？
ユーザーガイド( https://www.arubanetworks.com/techdocs/Instant_811_WebHelp/Content/instant-ug/authentication/wpa3.htm )をみると下のような記述があり、EAP-TLSでのみ接続できると思っていたのですが・・・
「The WPA3-Enterprise CSNA (192-bit) mode requires a compatible EAP server (such as Aruba ClearPass Policy Manager 6.8 or later versions) and requires EAP-TLS. 」

EAP-TLS・PEAPともに、unicast_encr_alg=WPA3 CNSA と表示されます。
===
AP-615# show clients debug advanced 

Client List
-----------
Name     IP Address     MAC Address        Connect Status  802.11r  802.11k  802.11v  unicast_encr_alg  mac_auth_done  
----     ----------     -----------        --------------  -------  -------  -------  ----------------  -------------  
TEST     172.31.98.151  a*:**:**:**:**:**  1(151)          0        0        1        WPA3 CNSA         0
===

※アクセスポイント: AP-615(Aruba Instant 8.11.1.0_86591 SSR)、無線クライアント: MacBook（Wi-Fi 6対応）

以上、よろしくお願いいたします。

ご確認、アップデート情報ありがとうございます。

少し気になったのですが、端末はWindowsでも同様の動作でしょうか。
こちらで確認する限り、APのBeaconでAdvertiseしてる情報に問題などは無さそうなので、
もしかすると端末側の動きでそのような動作になっている可能性もあるかなと思いました。

既にコメントいただいています通り、Role Assignment Rule をご活用頂ければ幸いです。
認証サーバがClearPassの場合は、ClearPassでもこの辺りの制御は柔軟にすることが可能です。

立て続けですみません。

RADIUSサーバをFreeRADIUSで立てて、WPA3 CNSAのSSIDが使う認証サーバとして設定をしてみました。

EAP-TLSで認証できて、暗号スイートはTLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、楕円曲線はsecp384r1を使ってTLSセッションを確立していました。

各証明書の公開鍵・秘密鍵はすべて、RSA3072ビットなので、Wi-Fi AllianceのWPA3-Enterprise 192-bit modeの仕様は満たせていると思われる状態でした。

しかし、この状態でもFreeRADIUSに登録してあるPEAP用ユーザで認証ができてしまいました。

なので、教えていただいたRole Assignment Ruleと組み合わせて設定をしていこうと思います。

WPA3-CNSAはInternal Serverでは利用できないのですね、承知しました。

WebUIでは、WPA3-Enterpriseを選択すると、RADIUSサーバとしてInternal Serverを選択することができず、CLIから（無理やり?）Internal Serverを使うように設定していましたので、やはり・・・という感想を持ちました。

Internal Serverを使ったEAP-TLSのパケットキャプチャをしていたのですが、暗号スイートがWPA3-CNSA(192-bit mode)に対応してなさそうでしたので、あやしいとは思っていました。このあたりは、バージョンが上がっていくごとにクリアになっていくことを期待したいなと思いました。

ご提案いただきました、Role Assignment Ruleでの設定は全く発想にありませんでした。まだ別のRADIUSサーバが用意できていませんので、opmode=wpa2-aes(RADIUS: Internal Server)でRole Assignment Ruleを設定してみると、EAP-TLS認証のユーザーだけが通信ができる状態となりました。これをWPA3でもできるようにすれば、6GHz帯も思った通りに使っていけそうだなと思いました。ご教示いただきまして、誠にありがとうございました。

直接の回答はまだ無いのですが、仕様的にはWPA3-CNSAではInternal Serverをサポートはしておりませんので、他の方法でご検討頂ければ幸いです。
その前提で、IAPのRole Assignment Rule で dot1x-authentication-typeというのがあります。
こちら、Debugしてみると、PEAPの場合はEAP-PEAPとなっているので、この設定でTLSの時だけ特定のRoleに（もしくはPEAPの時だけDenyなど）といった設定はできると思います。

Security Log のLog Level を Debuggingにすると確認することができます。

MyAP# show log security | include dot1x-authentication-typeJun 16 15:53:50   stm[5340]: <121031> <DBUG> |AP xxx@192.168.x.x stm| |aaa| [rc_aal.c:2901]  dot1x-authentication-type: EAP-PEAP

ご返信いただきありがとうございます。

ご確認をしていただけますと大変助かります。

※現状、AP-505を小規模なネットワーク（WPA2-Enterprise：PEAP・EAP-TLS併用）で使っておりまして、

　この度AP-615を新しく購入でき、5GHz帯ではPEAPでもEAP-TLSでも接続できるSSID(1)、6GHz帯ではEAP-TLSを強制するSSID(2)を設定する方法があるといいなと考えて、

　6GHz帯のSSID(2)では、wpa3-cnsaを使えばいいのでは？と思っていた次第です。

お問い合わせありがとうございます。
想定動作では無いと思うので確認中ですが、少し時間がかかると思うので、お急ぎの場合はサポートにもご相談頂ければ幸いです。

接続できないことが想定動作にはなりますので、WPA3-CNSAの場合はRADIUS ServerとしてInternal Server を利用しない設定をご利用下さい。

IAPで opmode=wpa3-cnsa のSSIDを作成して、IAPの内部RADIUSサーバを認証サーバとして使っています。
EAP-TLS認証で接続はできるのですが、PEAP認証でも接続できてしまいます。通信に問題はありません。この状態は、正しく設定できている状態といえるでしょうか？
ユーザーガイド( https://www.arubanetworks.com/techdocs/Instant_811_WebHelp/Content/instant-ug/authentication/wpa3.htm )をみると下のような記述があり、EAP-TLSでのみ接続できると思っていたのですが・・・
「The WPA3-Enterprise CSNA (192-bit) mode requires a compatible EAP server (such as Aruba ClearPass Policy Manager 6.8 or later versions) and requires EAP-TLS. 」

EAP-TLS・PEAPともに、unicast_encr_alg=WPA3 CNSA と表示されます。
===
AP-615# show clients debug advanced 

Client List
-----------
Name     IP Address     MAC Address        Connect Status  802.11r  802.11k  802.11v  unicast_encr_alg  mac_auth_done  
----     ----------     -----------        --------------  -------  -------  -------  ----------------  -------------  
TEST     172.31.98.151  a*:**:**:**:**:**  1(151)          0        0        1        WPA3 CNSA         0
===

※アクセスポイント: AP-615(Aruba Instant 8.11.1.0_86591 SSR)、無線クライアント: MacBook（Wi-Fi 6対応）

以上、よろしくお願いいたします。