2. Barco
  3. ClickShare CSE-200
ClickShare CSE-200

Barco ClickShare CSE-200 取扱説明書

  • こんにちは!ClickShare CSE-200 のアプリケーションノートについてのご質問にお答えします。このドキュメントでは、ClickShareを社内ネットワークに統合する方法、セキュリティ設定、トラブルシューティングについて詳細に解説しています。どのようなご質問でもお気軽にお尋ねください。
  • ClickShareを社内ネットワークに統合する際に、考慮すべきことは?
    サポートされているセキュリティモードは?
    EAP-TLSの設定で必要なものは?
    ボタンが社内ネットワークに接続できない場合はどうしたらいいですか?
ClickShare
ネットワークインテグレーション
アプリケーション
ノート
1
はじめに
この「
ClickShare
ネットワークインテグレーション」が目指すのは、大規模な組織でも既存のワイヤレスネットワークインフラストラクチャーに干渉せ
ずに
ClickShare
を設置することです。デフォルトのスタンドアロン設定の場合、
ClickShare
ベースユニット
ClickShare
ボタンによる接続に使う
ワイヤレスアクセスポイント(
AP
)を作成します。こうしたアクセスポイント、いわゆる「はぐれ(
rogue
)」
AP
は大規模な設置環境では厄介物になるお
それがあります。しかも、会議においてモバイル機器からコンテンツを共有する人たちは、
ClickShare
ベースユニットに接続するためにネットワ
クを切り替えなければなりません
こういった状況で
ClickShare
ネットワークインテグレーションが役に立ちます。いったん構成が完了して動作を始めると、ベースユニットの内蔵
AP
は無効化され、ボタンやモバイル機器は社内ネットワークの一部であるワイヤレスアクセスポイントに接続可能になります。この段階になると
ボタンやモバイル機器がベースユニット上のコンテンツを共有できるよに、ベースユニットを有線イーサネットインタフェース経由で社内ネットワ
ークに接続しておかなければなりません
このアプリケーション
ノートの以下の章では設定方法について詳しく説明し、システム内部について少々解説していきます。
2
セキュリティモード
ボタンを使って社内ネットワークに接続する方式としてサポートされているセキュリティモードは
2
種類あります。
1
つ目は一般的な社内ネットワーク設定に適用される
WPA2
エンタープライズ、
802.1X
認証
2
つ目として、従来の
Wi-Fi
設定を使用する可能性のある小規模な組織にも対応できるように、
WPA2
パーソナル
とも呼ばれる
WPA2-PSK
もサポートしています。
どちらのモードも
WPA
Wi-Fi Protected Access
)に基づいています。このアプリケーション
ノートでは、当初の
WPA
規格の改良版としセキ
ュリティ強化のために
AES
暗号化を追加した
WPA2
についてのみ説明します。
2.1
WWPA2
エンタープライズ、
802.1X
認証
WPA2
エンタープライズでは、ネットワーク上の個別クライアントの認証をサーバー(
RADIUS
使用)に依存し、
802.1x
認証を使います(ポート
ベースのネットワークアクセス制御ともいいます)。
802.1x
認証はローカルエリアネットワーク上で使えるよう
EAP
Extensible Authentication
Protocol
:拡張認証プロトコル)のカプセル化が行われます。これはまた
EAP over LAN
」や
EAPoL
とも呼ばれます。
RADIUS
を使いつつ、ネッ
トワーク上のクライアント機器(
ClickShare
の場合はボタン)を認証するためのこのような
EAPoL
メッセージがネットワーク内を流れます。
802.11i
WPA2
)規格ではかなりの数の必要な
EAP
方式が定義されています。とはいえすべての方式が幅広く現場で使用されているわけでは
なく、規格外の方式が多用されているものもあります。そこでわれわれは最も広く使用されている
EAP
方式を採用しました。
ClickShare
システ
ムがサポートする
EAP
方式は次のとおりです
:
EAP-TLS
PEAP
EAP-TTLS
各方式の詳細と設定方法については本アプリケーション・ノートにて後から説明します。
3
考慮すべきこと
ClickShare
システムを社内ネットワークに統合すると決定した場合には考慮しなければならない点がいくつかあります。まずは、全てのベースユ
ニットが有線イーサネットインタフェースでネットワークに接続できる状態になっていなければなりません。またキャプチャーされたスクリーンの内容
を各ボタンがベースユニットへストリーム配信するのに要な帯域幅も考慮する必要があります。これは通常
5
15Mbps
の間です。
ClickShare
の使い心地が悪くなるような帯域幅の不足を起こネットワークのボトルネック(例:
100Mbps
スイッチ)がない状態にしてください
4
必要条件
ClickShare
ネットワークインテグレーションを始める前に、インフラが以下の必要条件を満たしている必要があります。
4.1
ネットワーク
社内ネットワークを有効にすると
ClickShare
ベースユニットの内蔵
Wi-Fi
アクセスポイントは無効になります。そのためベー
スユニットを有線イ
ーサネットインタフェース経由で社内ネットワークに接続しておく必要があります。
4.2
ファイアウォー
コンテンツ
ClickShare
ボタンを経して共有されるようにあるいはモバイル機器からベースユニットときちんと共有されるように、ネットワーク
で以下のポートが開いていなければなりません:
送信元
CSE-200
ベースユニット
ClickShare
ボタン
TCP
UDP
6541-6545
514
ClickShare
Presenter
TCP
UDP
6541-6545
5353
WebUI
TCP
UDP
80; 443
REST API
TCP UDP
4000; 4001
Airplay
TCP
UDP
4100-4200; 7000; 7100; 47000
4100-4200; 5353
Google Cast
TCP UDP
8008; 8009; 9080
1900; 32768:61000*
MirrorOp
TCP
UDP
6541-6545
5353
4.3
VLAN
社内ネットワーの多くが「基幹」社内ネットワークから
BOYD
Bring Your Own Device
)トラフィックを分離するためなど、複数
VLAN
に分割さ
れています。そのため社内ネットワークに
ClickShare
を統合する際にはこことにをつけてください。社内のワイヤレスインフラに接続する
ClickShare
ボタンがベースユニットに接続できなければなりません。さらにモバイルアプリを使うなら、それもベースユニットにアクセスできるよう
する必要あります。管理を用意にするために、すべての
ClickShare
ユニット分割された
VLAN
に組み込むことを推奨します。
4.4
DNS
ボタンがコンテンツをベースユニットへストリーム配信するには、ベースユニットのホスト名をネットワーク内で解決できなければなりません。
DNS
が利用できないなら、ボタンは
USB
ペアリングの際にベースユニットの
IP
を参照するようになりま。そのため、ホスト名が解決できないときに問
題が発生するの防ぐために
DHCP
サーバー上でベースユニットのた
IP
アドレスを予約しておくことを強く推奨します。
4.4 NTP
EAP-TLS
を使用するなら、ベースユニット上にて
NTP
を設定する必要がありますが、これはベースユニットの
WebUI
を通じて行えます。
EAP-
TLS
に必要な証明書を処理するためにベースユニットの時刻は正確でなければなりません。できるならローカル社内ネ
トワーク上の可用性の
高い
NTP
サーバーを使うのが望ましいです。インターネット上の
NTP
サーバーを使用する場合は、ベースユニットがプロキシサーバー経由で
は接続できないので注意してください
5
設定
設定が容易に行えるように、
ClickShare WebUI
中にウィザードを用意しました。ウィザードがお客様の選択されたセキュリティモードに沿った設定プロ
セスをご案内します。さらにサポートされているセキュリティモードと、すべてを統合して動作させる上で必要な入力事項についての概要と説明もご覧
いただけるようになっています
5.1
スタートする前に
この機能を有効にする前に、社内のネットワーク設定
ClickShare
のネットワークインテグレーションと互換性があるか確認することを勧めます。
ClickShare
の社内ネットワークインテグレーション機能を有効にするには、
IT
部門、ネットワークインフラストラクチャと認証プロトコルの設定の担当
者の関与が特に不可欠です。
社内ネットワークインテグレーション機能は、バルコもしくはその代理人責任や義務(サポートも含めて)と全く関係なく「現状のまま」提供されま
バルコは社内ネットワークでの機能の動作を保証できません。社内ネットワークインテグレーションを使って共有するときの信頼性、品質、安定
度は、社内のインフラストラクチャーに左右されます。
5.2
セキュリテ方式
次の
4
つのセクションではサポートされるセキュリテ方式ひとつずつ詳しく説明します。貴社の環境に適合するものをご参照ください。
5.3
設定
設定ウィザードを終えたら、
ClickShare
ボタンをすべて再ペアリングするのを忘れないでください。再ペアリング前はベースユニット上で古いスタン
ドアロンモードがまだ動作中なので共有が行えません。
5.4
アプリ
モバイル機器はネットワークに統合されると、社内ネットワークに接続中なネットワーク上どのベースユニットとコンテンツを共有できるようにな
ります。(お望みであれば、ベースユニットの
WebUI
利用してモバイルデバイスからの共有を禁止することも可能です。)モバイル機器には
passcode
認証を設定することをお勧めします。この認証オプションは
WebUI
の‘
Wi-Fi & Network > Services
’ページにあります。
6
EAP-TLS
EAP-TLS
Transport Layer Security
)は証明書に基づく
EAP
方式で、クライアントとサーバー間の相互認証を許容します。サーバーとクラ
ントの証明書を配布するために
PKI
Public Key Infrasructure
:公開鍵基盤)が必要です。(組織として敷居が高いという場合には
EAP-TTLS
PEAP
で十分代用可能です)。規格で
X.509
クライアント証明書が絶対に必要だとしていませんが、当社のものをはじめとして大半の実装
において必須となっています。
クライアントの証明書を使用して実装する場合、
EAP-TLS
が最も安全な
EAP
方式のひとつだとされています。
PEAP
EAP-TTLS
と比べて、
EAP-TLS
が些細なことながら唯一劣る点は、実際の
TLS
ハンドシェイクが実行される前にユーザー
ID
が暗号化されずに送信されることです。
EAP-TLS
SCEP
または手動による証明書のアップロードを介してサポートされています
6.1
SCEP
Simple Certificate Enrolment Protocol
SCEP
)はスケーラブルな方法で証明書の発行および破棄を可能にするものです。
ClickShare
でもベ
ースユニットおよびボタンと社内ネットワークの統合が迅速かつ円滑に行えるよう、
SCEP
のサポートを追加しました。大半の企業がマイクロソフト
Windows Server
とそのアクティブディレクトリ(
AD
)を使ってユーザーと機器の管理を行っていることから、当社
SCEP
実装は特に、
Windows Server 2008 R2
および
Windows Server 2012
に含まれる
NDES
Network Device Enrolment Service
ネットワークデバイス登
サービス)を対象としています。現時点において、これ以外の
SCEP
サーバー実装はサポートされていません
6.1.1 NDES
NDES
Network Device Enrolment Service
:ネットワークデバイス登録サービス)はマイクロソフト社による
SCEP
プロトコルのサーバー実装です
SCEP
を使って
EAP-TLS
を有効にする場合は、
Windows Server
上で
NDES
が有効になっていて設定が完了し、動作中になっている必要があります。
NDES
設定の詳細についてはマイクロソフト社の
website1
をご覧ください。
1
SCEP
では登録申請の認証にいわゆる「チャレンジパスワード」を使用します。
NDES
のためのチャレンジパスワードは社内サーバーの
http(s)://[
貴社サーバーのホスト
]/CertSrv/mscep_admin
から取り出せます。必要な資格情報を設定ウィザードに入力するとき、ベースユニット
はチャレンジパスワードをインターネットペーから自動的に取り出し、登録申請で使用します。このようにすべてのプロセスが自動化されていま
す。
6.2
手動での証明書提供
現在の構成が
SCEP
をサポートしない、もしくは
SCEP
をあまり使いたくないけれども
EAP-TLS
による相互認証のメリットは捨てがたいという場合は、
必要な証明書を手動でアップロードすることも可能です
SCEP
サーバー
IP /
ホスト名
SCEP
ユーザー
SCEP
パスワード
ドメイン
ID
Cororate SSID
各設定の詳細については
10
節「構成の詳細」をご覧ください
6.2.1
クライアント証明
お客様の提供するクライアント証明書にはお客様のドメイン内の正式なルート
CA
による署名が必要であり、
ID
フィールドに指定されたユーザーにリンク
されていなければなりませんまたお客様の提供するクライアント証明書には秘密鍵が含まれるようにしてください。プライベート鍵は
TLS
接続を正しく設
定するために必要です。クライアント証明書は、いわゆるデバイスもしくはマシン証明書でなければならず、ユーザー証明書であってはなりません
6.2.2
CA
証明書
CA
証明書はドメインでの正式なルート
CA
の証明書であり、
EAP-TL
接続の設定に使います。ウィザード中、お客様の提供するクライアント証明書と
CA
証明書間の信頼の連鎖
(
トラストチェーン
)
確証できることをベースユニットは保証します
6.2.2
入力
SCEP
を使用して
EAP-TLS
構成を正しく設定するために必要なデータは
クライアント証明
7
PEAP
PEAP
Protected Extensible Authentication Protocol
)はシスコシステムズ社、マイクロソフト社および
RSA
セキュリティ社の共同開発による
EAP
の実
装です。
PEAP
はサーバーの
CA
証明書を使って安全な
TLS
トンネルを設定したのち、そトンネル内で実際のユーザー認証を行いますこの方
だとユーザー認証の際に
PKI
が不要になるだけでなく、
TLS
のセキュリティを利用することできます。
この規格ではトンネル内の認証に使う方式が定めれていませんが、本アプリケーションノートにおいて
PEAP
といえば内部認証方式
しての
EAP-MSCHAPv2
付の
PEAPv0
のことです。これは
WPA
および
WPA2
規格にて認定された
2
つの
PEAP
実装のうちの
1
つであ
り、他より群を抜いて最も一般的かつ広く普及してい
PEAP
実装です。
7.1
入力
ドメイン
ID
パスワード
Corporate SSID
各設定の詳細については
10
節「構成の詳細」をご覧ください
8
EAP-TTLS
EAP-TTLS
Tunneled Transport Layer Security
)は
Juniper2
ネットワークによ
EAP
実装です。
EAP-TLS
と同程度の強度の認証を提供すべく作成され
たものです、各ユーザーに証明書を発行する必要はありません。その代わりに認証サーバーにのみ証明書が発行されます。ユーザー認証はパスワー
により行われますが、パスワードの資格情報はサーバーの証明書に基づいて安全に暗号化されたトンネル内を転送されます。ユーザー認証が行われるの
社内
LAN
ですでに使用中のものと同一のセキュリティデータベースたとえば
SQL
LDAP
データベース、トークンシステムなどです
EAP-TTLS
は通常、社内環境でクライアントの証明書なしに実装されるため、当社のサポート対象にはなっていません。ユーザーごとのクライ
アント証明書を使いたいという場合は
EAP-TTLS
代わりに
EAP-TLS
を使うのがいいでしょう。
8.1
入力
ドメイン
ID
パスワード
Corporate SSID
各設定の詳細については
10
節「構成の詳細」をご覧ください
9
WPA-PSK
WPA2-PSK
では個々のユーザーの識別を行いません。ワイヤレスインフラに接続する全クライアントに対し
1
個のパスワード(
PSK
Pre-
Shared Key
(事前共有鍵))しかありません。おかげで設定が極めて簡単に行えます。接続後のクライアント
AP
間でやり取りするデータはすべ
256
ビット鍵を使用して暗号化されます。
9.1
入力
Corporate SSID
Pre-Shared Key
(事前共有鍵)
各設定の詳細については
10
節「構成の詳細」をご覧ください
10
構成の詳細
ここでは設定ウィザードで遭遇するかもしれないさまざまな構成について詳しく説明していきます。本節はクイックリファレンスガイドとしてもご
用いただけます。
10.1
SCEP
サーバー
URL /
ホスト名
これはお客様のネットワークにおい
NDES
サービスを実行している
Windows
サーバーの
IP
ないしホスト名です。
IIS
Internet
Information Services
)は
HTTP
HTTPS
の両方をサポートしているので、どちらを使うか指定してください。指定がない場合はデフォル
トで
HTTP
になります。
http://myserver or https://10.192.5.1 or server.mycompany.com (will use http)
10.2
SCEP
ユーザー名
これは社内の
Active Directory
のユーザーのなかで、
NDES
サービスへのアクセスと、チャレンジパスワードの申請に必要な許可を有している
者のことですこれを確認するためには、このユーザーが
CA
管理者グループに属しているか(スタンドアロン
CA
の場合)、あらかじめ構成され
た証明書テンプレート上で登録許可を有していなければなりません。
10.3
SCEP
パスワード
これは
SCEP
ユーザー名として使用されるユーザーアカウントのパスワードです。このパスワードがベースユニット保存されることはありませ
サーバーからのチャレンジパスワードを申請するの十分な時間だけメモリー内に保存され、その後直ちにメモリーから消去されます
10.4
ドメイン
お客様が登録される会社ドメインはお客様の会社の
Active Directory
に定義されたものと一致しなければなりません。
10.5
ID
Active Directory
中のユーザーアカウントの
ID
で、
ClickShare
ボタンが社内ネットワークに接続するために使用するものです。
10.6
パスワード
社内ネットワークでの認証を受ける際に使用する
ID
に対応するパスワードです。ベースユニットごとに、各ボタンが同一の
ID
とパスワードを使用
して社内ネットワークに接続しま
10.7
Corporate SSID
ClickShare
ボタンが接続する社内ワイヤレスインフラの
SSID
です。
10.8
ライアント証明書
クライアント証明書という場合はいわゆるデバイスやマシン証明書のことで、ユーザー証明書ではありません。
クライアント証明書のアップロード用に、以下の
2
種類のフォーマットをサポートしています。
PKCS#12
.pfx
)-複数の暗号化オブジェクトを保存するためのアーカイブファイルフォーマット
プライバシー強化メール(
.pem
)-
Base64
でエンコードされた
DER
証明書で以下の
2
つのタグの間に保存されています。
-----BEGIN CERTIFICATE-----
」および「
-----END CERTIFICATE-----
もし与えられた
PKCS#12
ファイルにも必要な
CA
証明書が入っている場合、ベースユニットがそれを抽出して信頼の連鎖(トラストチェーン)
検証するので、別途
CA
証明書を提供する必要はありません。
10.9
CA
証明
一般的な
.crt
ファイル拡張子をサポートします。これには
Base64
でエンコードされた
DER
証明書が含まれることもあります。
10.10
Pre-Shared Key
(事前共有鍵)
ワイヤレスインフ上で認証するための
WPA2-PSK
で使用される鍵です。これは、
64
桁の
16
進数字列または
8
から
63
文字の印刷可能な
ASCII
文字のパスフレーズです。
11
トラブルシューティング
ベースユニットは与えられた構成情報の入力を確認するためにできる限りの努力はしますが、それでもボタンが社内ネットワークに接続できない
こともあります。いくつかの根本原因として、
SSID
が間違っている
SSID
が利用できない
EAP
ID/
パスワードが間違っている、ファイアウォ
ール設定、
VLAN
構成などが考えられます(ただしこれだけに限りません)
ボタンが社内ネットワークに接続しようとしているときボタンからフィードバックが欲しいとき
ClickShare
クライアントのログを参照してください。
このログはクライアント実行ファイルを起動する際に[シフト]キーを押したままにすると見ることができます。
EDSUSBDongleConnection::mpParseDongleMessages
」の行を探してください。エラーコードと問題点の概要が書かれているはずです。
たとえば下に挙げるようなです。
EDSUSBDongleConnection::mpParseDongleMessages - error message Selected interface
‘wlan0’;bssid=00:0e:8e:3a:a8:efssid= ClickShare-CorporateCSC-
1;id=0;mode=station;pairwise_cipher=CCMP;group_cipher=CCMP;key_mgmt=WPA2-PSK;wpa_
state=COMPLETED;ip_address=192.168.2.2;address=00:23:a7:3a:17:bd;#012
ボタンがベースユニットまで到達できたかどうかを確認するためにはタンの接続と同じ方法(同じユーザ名、
pw
、証明書)で
PC
を接続し、
ベースユニットのホスト名に
ping
を送ってください。ホスト名はベースユニッ
WebUI
上で見つかります。この
ping
が失敗したら
IP
アドレス
ping
送信を試しホストネームへ
ping
送信が成功するようにネットワークを調整してください
ホスト名が解決できない場合でも問題が起こらないように
DHCP
サーバー上で各ベースユニットのためアドレスを予約しておくことを強く勧めます。
/