社内無線LAN(WIFI)がつながらなくなった(CA証明書の期限切れ)
本日の12時ごろから急に社内の無線LANが接続できなくなったと情報が入る。
結論から言うと認証機関のCA証明書が有効期限切れてました
経緯とか。
その前に社内の無線を含めたネットワーク情報を。。。
・拠点は2拠点(2拠点間はVPNで接続)
・無線APは計6台(A拠点に4台 B拠点に2台)
・VLANは2つに分かれている(通常NWと監視系NW)
・無線の認証はWPA-Enterprise(EPA-PEAP)
・認証はWindowsServerの認証機関/NPSを使用
とまあざっくりこんな感じ
まずはトラブルシューティングを開始
1.この時点では有線NWは生きているという情報が入る
2.RTの前にあるコアSWへログインし、各APと疎通確認→OK
→そのためAP自体は生きている
3.AP本体へログイン
→ログイン可能
4.ログを確認(※一部はXXでぼかしてます)
→Oct 23 12:34:05 logd@192.168.XXX.XXX hostapd: ath0ap0: STA 68:54:XX:XX:XX:XX IEEE 802.1X: authentication failed - EAP type: 25 (PEAP)
ここでAPからRADIUSサーバに送られた認証が失敗していることに気づきました
ので次はRADIUSサーバで調査開始
ってもWindowsのイベントログで変なの出てないか確認するだけなんだけど―――――
あったよね(一部*で伏せています)
ユーザー:
セキュリティ ID: **********
アカウント名: *****\*****
アカウント ドメイン: *****
完全修飾アカウント名: *****.local/Users/*****
クライアント コンピューター:
セキュリティ ID: NULL SID
アカウント名: -
完全修飾アカウント名: -
被呼端末 ID: 00-1F-D4-06-F1-6F:**************
起呼端末 ID: 68-54-5A-B9-E9-5C
NAS:
NAS IPv4 アドレス: 192.168.**.**
NAS IPv6 アドレス: -
NAS ID: -
NAS ポートの種類: ワイヤレス - IEEE 802.11
NAS ポート: 0
RADIUS クライアント:
クライアントのフレンドリ名: EAP738
クライアント IP アドレス: 192.168.**.**
認証の詳細:
接続要求ポリシー名: EAP-PEAP
ネットワーク ポリシー名: EAP-PEAP
認証プロバイダー: Windows
認証サーバー: *********************.local
認証の種類: PEAP
EAP の種類: -
アカウントのセッション ID: 35333143334241432D3030303030303031
ログ結果: アカウンティング情報はローカルのログ ファイルに書き込まれました。
理由コード: 16
理由: ユーザー資格情報の不一致のため、認証に失敗しました。入力したユーザー名が既存のユーザー アカウントにマップされていないか、パスワードが間違っています。
???なーーーんでーーーーーーーーと思いここで沼りました
色々触っていくうちにNPS内にあるEAPの種類のところでエラーが出て
認証機関じゃね?って思い認証機関を見に行く
あーそういえば5年前のこれくらいの時期に構築し直したっけ.......懐かしいなあ.....
と思いつつCA証明書の更新を行いました。
認証機関のCA証明書更新手順
証明機関開いたらサーバーで右クリ→「すべてのタスク」→「CA証明書の書き換え」
ここから進んでいけば更新できます。
証明機関のキーペアは書き換えないから途中出てくるラジオボタンは変更すること
参考にさせていただいたサイト:
昼休みと引き換えに少し賢くなったし、もう5年経ったんだなってしんみりしました。