エンタープライズ:特集 | 2003/07/14 13:49:00 更新 |
N+I NETWORK Guide 2003年3月号より転載
RADIUSの仕組みと構築のポイント――第2部:RADIUSを使ったシステム構築のポイント (1/6)
実際の社内システムで、RADIUSサーバはどのように設置・運用されるのだろうか。第2部では、RADIUSを活用する802.1xを中心に、実際のシステム構築と、RADIUS間の連携を解説する。
PART1 EAP-TLSを使ったユーザー認証――RADIUSと無線LANを組み合わせた社内システム構築 |
実際の社内システムにおいて、RADIUSサーバはどのように設置され、どのように運用されるのだろうか。ここでは、RADIUSを活用する802.1xを中心に、実際のシステム構築とRADIUS間の連携について解説する。
802.1x導入前のチェックポイント |
IEEE802.1xの導入に際してまず考えることは、EAP認証方式の選択と、対応機器である。802.1xの歴史自体がまだ浅いためにデファクトスタンダードというべきEAP認証方式はなく、現在のどの認証方式もセキュリティ強度や運用に一長一短がある。それぞれの認証方式を理解し、自社に合った認証方式を選ぶ必要がある。
またRADIUSサーバ、無線アクセスポイント、無線クライアントそれぞれがサポートする認証方式もバラバラなため、機器選定時には導入しようとしている認証方式をサポートしているか確認する必要がある。慎重にEAP認証方式と機器の選定を行ってほしい。
●EAP-TLS認証方式のメリット今回は、十分なセキュリティが確保でき、クライアント側に特別なソフトウェアのインストールを必要としないEAP-TLS認証方式を選択して解説する。
ここでEAP-TLS認証方式を選んだ理由は、最新のクライアントOSであるWin dows XPでサポートされており、対応機器が十分にそろっているためだ。802.1xでは、EAP-MD5/EAP-TLS/EAP-TTLS/
PEAPなどの複数の認証方式が選択可能であるが、EAP-TTLS認証方式はWin
dows XPでサポートされないため、専用ソフトのインストールが必要となる。またPEAPはWindows XPではService Pack 1(以下SP1)でサポートされるものの、対応アクセスポイントやRADIUSサーバがまだ少ない。現状のEAP-MD5では、WEPキーの動的配布と更新ができないため、セキュリティ強度という面からはあまりお勧めできない。これらの理由により、EAP-TLS認証方式が現状では一番現実的な選択肢であると考えている。
参考までに、RADIUSサーバ製品とアクセスポイント製品におけるEAP認証方式のサポート状況を挙げておこう(表3)。ただし、これはあくまでも筆者が調査したものであり、それぞれの機器での動作を保証するものではない。
表3 ソリューションがサポートするEAP認証方式一覧
|
[向山繁喜(NECネットワークス), 柿島真治(情報技術ネットワーク),N+I NETWORK Guide]