はじめに
以下の検証の一部です。
なお、本記事ではAPが発信している無線LANのことを「Wifi」という言葉で説明しています。なぜかって、一般的な意味でよく使われる言葉で意味自体は伝わりますし、何よりキーボードで打ち込むのみ楽だからです。
色々と検証結果を載せたところ、思った以上にボリュームが増えました。
構成図
Wifiの設定例
EAP-TTLS
記録として残すかどうか迷いましたが、残しておきます。
IDとパスワードを適切に設定します。
あとは[接続]を選択すれば設定完了です。
EAP-TLS
PSKや上記のEAP-TTLSをはじめとした認証と比べ、クライアント側の設定が必要になります。
クライアント証明書のインストール
ChromeBookの場合、ブラウザで証明書のインストールを実施します。
[プライバシーとセキュリティ]>[セキュリティ]を選択します。
[証明書の管理]を選択します。
クライアント証明書の場合[ユーザーの証明書]を左メニューから選びます。
[インポートしてバインド]を選択します。
念のため証明書選択画面も載せておきます。
パスワードを入力します。
インポートが完了すると、以下のように一覧に表示されます。
CA証明書のインストール
[ローカル証明書]を選択します。
[信頼できる証明書]の[インポート]を選択します。
同じようにインポートに成功すると一覧に表示されます。
Wifi設定
[EAP方式]をEAP-TLSにし、対応するパラメータを選択します。
IDの部分はパスフレーズの入力だったはずです。
[接続]を選択することで接続可能です。
ChromeBookのWifi設定の特徴について
本記事を書いた目的の1つでもあるのですが、WindowsのWifi設定にはないパラメータがあります。以下がChromeBookのWifi設定画面で、orange-kensyo-nw02というSSIDの設定画面です。
ご覧の通り、「このネットワークを優先する」と「このネットワークに自動接続する」というパラメータがあります。Windowsには自動接続する設定はある物の、優先するというパラメータはすぐ見えるところにありません(cliで設定はできるらしいですが)
まずは2つ設定をそれぞれ説明したいと思います。ま、文字通りなのですが。
「このネットワークに自動接続する」
これはPC起動時、そのSSIDのWifiに自動接続する設定となります。文字通りという感じはあります。
「このネットワークを優先する」
自動接続設定が行われており、かつ複数登録されている場合に動作します。例えばSSID①とSSID②が自動接続設定が有効になっていて2つとも接続可能な場合を想定します。このとき、SSID①のみに「このネットワークを優先する」の設定入っている場合はSSID①を優先して接続します。ま、これも文字通りといえばその通りです。
Wifiの優先接続という機能を調べてみた
上記の設定はSSIDが1つしかない場合は、単純な話ですが、複数あった場合は挙動が見えない部分があります。以下、異なる2つのSSIDを作成して検証してみました。
SSID①とSSID②という2つのSSIDを用意します。SSID①はEAP-TTLS認証、SSID②はEAP-TLSとします。SSID②の方がセキュリティの観点でセキュアな接続方法と言えます。
ChromeBookのWifi設定では、セキュアな方が優先されるという仕様(?)があります。
ただし、「優先される」というのは条件が変わればその通りでもないようなので、1つ1つ検証したのでまとめておきます。
なお、大前提として、2つのSSIDは「このネットワークに自動接続する」が有効になっているとします。
[1] SSID①:「このネットワークを優先する」が有効、SSID②:「このネットワークを優先する」が有効 の場合
このとき、SSID②が優先して接続されます。これは「セキュアな接続方法が優先される」という仕様が活かされた結果になります。
[2] SSID①:「このネットワークを優先する」が有効、SSID②:「このネットワークを優先する」が無効
このとき、SSID①が優先されます。セキュアな接続方法はSSID②ですが、「このネットワークを優先する」がないと、セキュアな接続方法云々の仕様は活きません。
[3] SSID①:「このネットワークを優先する」が無効、SSID②:「このネットワークを優先する」が無効
このとき、SSID②が優先して接続されます。[1]と同様、「このネットワークを優先する」の設定がない場合は、両方設定されているときと同様の決まり方になるようで、セキュアな接続方法が優先される仕様が活かされた結果になります。
[4] SSID①:「このネットワークを優先する」が有効、SSID②:「このネットワークを優先する」が有効 であるが、SSID②は一度も接続に成功していない。
このとき、SSID①が優先され、優先順位の変動は起こりません。SSID②の方がセキュアですが、優先制御の例外になります。
しかし、接続に成功していないのに設定だけあるって、そんなことて起こるの?と思いますよね。事例を挙げるとすれば、APと端末(PCやタブレット)を同時に更改しない場合に起こることがあります。APより先に端末を更改する場合、端末側に先行してSSIDの設定だけ入れるということはよくあると思います。このとき、稼働しているAP上にはSSIDが存在しない状況であるものの、端末側にはSSIDの設定だけが入っているという状況が起こります。
APを更改したと同時にSSIDも有効になって欲しいものですが、優先順位はあくまでも接続実績があるSSIDの中で決定されるので注意が必要です。SSID②をAPで有効にした状態で端末を再起動しても、端末側の優先順位は変わりません。優先順位を変えたい場合、接続実績のあるSSID①をAP上から削除するか、手動で切断することで、初めて端末はSSID②への接続を試行します。なお、一度接続実績ができた後は、以後の挙動はSSID②を優先することになります。
GoogleAdminから設定する場合の留意事項(補足)
ChoromeBookを大量に導入する場合、以下のリンクを参考にGoogleAdminの管理ページからWifi設定を入れることも多いと思います。
管理対象デバイス用のネットワークの設定(Wi-Fi、イーサネット、VPN、モバイル)
https://support.google.com/a/answer/2634553?hl=ja
「Wi-Fi ネットワーク設定を追加する」のドロップダウンで展開すると詳細な手順を確認することができます。その中には「自動的に接続する」はありますが、「優先する」の項目はありません。GoogleAdminでは上記でさんざん説明した「優先する」がどうやらなさそうです。※私も個人的に環境を揃えて試してみましたが、確かにパラメータがなかったです。
以下は、Wifi設定画面の一部です。
※実はあるよ!という事をご存じの方、是非教えてください。
