エンタープライズ:特集 2003/07/14 13:49:00 更新

N+I NETWORK Guide 2003年3月号より転載
RADIUSの仕組みと構築のポイント――第2部:RADIUSを使ったシステム構築のポイント (1/6)

実際の社内システムで、RADIUSサーバはどのように設置・運用されるのだろうか。第2部では、RADIUSを活用する802.1xを中心に、実際のシステム構築と、RADIUS間の連携を解説する。
PART1 EAP-TLSを使ったユーザー認証――RADIUSと無線LANを組み合わせた社内システム構築

 実際の社内システムにおいて、RADIUSサーバはどのように設置され、どのように運用されるのだろうか。ここでは、RADIUSを活用する802.1xを中心に、実際のシステム構築とRADIUS間の連携について解説する。

802.1x導入前のチェックポイント

 IEEE802.1xの導入に際してまず考えることは、EAP認証方式の選択と、対応機器である。802.1xの歴史自体がまだ浅いためにデファクトスタンダードというべきEAP認証方式はなく、現在のどの認証方式もセキュリティ強度や運用に一長一短がある。それぞれの認証方式を理解し、自社に合った認証方式を選ぶ必要がある。

 またRADIUSサーバ、無線アクセスポイント、無線クライアントそれぞれがサポートする認証方式もバラバラなため、機器選定時には導入しようとしている認証方式をサポートしているか確認する必要がある。慎重にEAP認証方式と機器の選定を行ってほしい。

●EAP-TLS認証方式のメリット

 今回は、十分なセキュリティが確保でき、クライアント側に特別なソフトウェアのインストールを必要としないEAP-TLS認証方式を選択して解説する。

 ここでEAP-TLS認証方式を選んだ理由は、最新のクライアントOSであるWin dows XPでサポートされており、対応機器が十分にそろっているためだ。802.1xでは、EAP-MD5/EAP-TLS/EAP-TTLS/

PEAPなどの複数の認証方式が選択可能であるが、EAP-TTLS認証方式はWin

dows XPでサポートされないため、専用ソフトのインストールが必要となる。またPEAPはWindows XPではService Pack 1(以下SP1)でサポートされるものの、対応アクセスポイントやRADIUSサーバがまだ少ない。現状のEAP-MD5では、WEPキーの動的配布と更新ができないため、セキュリティ強度という面からはあまりお勧めできない。これらの理由により、EAP-TLS認証方式が現状では一番現実的な選択肢であると考えている。

 参考までに、RADIUSサーバ製品とアクセスポイント製品におけるEAP認証方式のサポート状況を挙げておこう(表3)。ただし、これはあくまでも筆者が調査したものであり、それぞれの機器での動作を保証するものではない。

表3 ソリューションがサポートするEAP認証方式一覧

ソリューション ベンダー/製品名 対応EAP認証方式
RADIUSサーバ Meetinghouse AEGIS EAP-MD5、EAP-TLS、EAP-TTLS、LEAP、PEAP
Funk Odyssey EAP-MD5、EAP-TLS、EAP-TTLS、LEAP
マイクロソフト EAP-MD5、EAP-TLS、PEAP(対応予定)
Luchent Technologies EAP-MD5、EAP-TLS、LEAP
NavisRadius EAP-MD5、EAP-TLS、LEAP、PEAP
Cisco ACS EAP-MD5、EAP-TLS、EAP-TTLS、PEAP
NEC Mobilink-500/RD EAP-MD5、EAP-TLS、EAP-TTLS、PEAP
アクセスポイント NEC CX6820-RD EAP-MD5、EAP-TLS、LEAP、PE
Cisco Aironet1200 EAP-MD5、EAP-TLS
メルコ WLM2-54L11G EAP-MD5、EAP-TLS、EAP-TTLS
ORiNOCO AP-2000 EAP-MD5、EAP-TLS、EAP-TTLS

      | 1 2 3 4 5 6 | 次のページ

[向山繁喜(NECネットワークス), 柿島真治(情報技術ネットワーク),N+I NETWORK Guide]



Special

- PR -

Special

- PR -