エンタープライズ:特集 2003/07/14 13:49:00 更新

N+I NETWORK Guide 2003年3月号より転載
RADIUSの仕組みと構築のポイント――第2部:RADIUSを使ったシステム構築のポイント (5/6)

自社システムの拠点間ユーザー認証で利用する802.1xとRADIUSサーバ

 次の例として、企業内における無線LAN、およびRADIUSサーバの活用事例を見ていこう。

●802.1xとVPNのどちらが有効か?

 社内LANでは、リモートアクセス以上に秘匿性の高い情報が流れている。ほとんどのデータがそれに該当するともいえるだろう。したがって、無線LAN通信においても、より厳しいセキュリティが要求される。

 このような状況では、無線LAN環境ではVPNを利用すべきだという意見も聞く。また、802.1xとVPNのどちらを利用すべきかという観点で論じられるケースも多い。

 しかしVPNを利用する場合でも、VPNトンネル確立前の認証に関しては何らかの方法でセキュリティを確保する必要がある。そこでは802.1xが非常に有効だ。

 すなわち、802.1xとVPNは排他的な関係ではなく、協力することでよりセキュリティを高めるものである。802.1xの認証によって接続時のセキュリティを確保し、そのあとにVPNで通信のセキュリティを確保するという二段構えが望ましい。

●無線ローミングにおけるRADIUSサーバのメリット

 拠点間通信に入る前に、事業所内での無線LANとRADIUSサーバについて解説しよう。

 社内ネットワークに無線LANを導入すると、ノートPCを自分のデスクから会議室などへ持ち歩くのに非常に便利である。これは、無線LANのためのアクセスポイントを複数、社屋内に設置しているために可能になる。

 無線LANクライアントは、最初のネットワーク接続時にどれか1つのアクセスポイントを経由して認証を行う。そのあと、クライアントの移動に伴って接続アクセスポイントが変わると、ユーザー名とパスワードによる認証方式の場合は、再度認証を行う必要が出てくる。しかし、RADIUSサーバを使用している場合はこれを簡略化でき、アクセスポイントを移動しても自動的に再認証を行えるのだ。

 このような状況は、意図的に移動した場合だけではなく、アクセスポイントとの位置によって移動しなくても起こり得る。無線の特性上、複数のアクセスポイントからの電波が届く位置にクライアントがあると、より良好に通信できるアクセスポイントを選んで切り替えていくのだ。誰かが立ち上がったりして電波状況が少し変わっただけで切り替わったりするので、再認証の手間を省くためには非常にメリットがあるといえるだろう。

●拠点間通信におけるRADIUSサーバのメリット

 社内システムのユーザー認証においてもRADIUSサーバがメリットを発揮できる局面は非常に多い。むしろ、このような複数のルートからのアクセスに対するユーザー認証にこそ、一元管理が行えるRADIUSサーバのメリットが最大限に生かされるといえるだろう。

 一元管理だけでなく、ユーザー情報に応じた管理の柔軟さもメリットの1つだ。ユーザー情報を保管する認証データベースを統一したり、ユーザーによって認証の仕方を変えたり、同じユーザーであってもアクセス手段によって認証の仕方を変えるなど、さまざまな運用が可能だ。RADIUSサーバ同士が連携して動くことで、より広範囲のネットワークをサポートすることもできる。

図7

図7 拠点間通信におけるRADIUSを使ったネットワーク構成

ケース1 支社ごとにRADIUSサーバを設置、ユーザー情報を本社に集約

 拠点間通信におけるRADIUSサーバの利用について、最初は各支社ごとにRADIUSサーバを設置するケースを見てみよう。

 一番簡単なケースは、各支社ごとにRADIUSサーバとユーザー認証データベースを置くというものだ。支社ごとに独立しているため、拠点間通信ならではのメリットが表れにくい。それよりも、社内システム全体として見た場合はデメリットの方が大きいと思われる。

 その理由は、ユーザー情報が分散してしまうことにある。何らかの都合でほかの支社から出張してきた人がいる場合、その支社のユーザー登録が行われていなければ社内システムへアクセスできない。解決策としては、ゲストアカウントのような誰でも使えるユーザーアカウントを用意しておくか、全ユーザーの認証ができるようにするかのどちらかとなる。

 前者は不正侵入の隙を自ら作ることになるのでやめたほうがよい。また、後者は各支社の認証データベースに全社員の認証データを置くことになり、非常に効率が悪い。しかも、このような情報は常に変動していくので運用面で非常に負担がかかる。

 このような場合は、全社員のデータを記録したユーザー認証データベースを本社など1カ所に置き、RADIUSサーバがユーザー認証を行う際には拠点間通信によってこのデータベースにアクセスするように構築するとよいだろう。このとき各支社にあるRADIUSサーバは、ユーザー認証作業よりも主に802.1xによるセキュリティ確保の役目をする。

 RADIUSサーバには参照するユーザー認証データベースを変更する機能がある。これを利用して、本社側だけでなく支社内にもユーザー認証データベースを設置し、支社関係のユーザーの認証はその支社の認証データベースを使い、それ以外のユーザーに関しては中央の認証データベースで行うなどの構成にすることもできる。

ケース2 すべての拠点におけるユーザー認証を1台のRADIUSサーバで行う

 ユーザー認証データベースを中央に集中し、1台のRADIUSサーバを設置してすべてのユーザー認証を中央で行う方法もある。もちろん、WAN回線が十分高速であることが条件だ。

 このような構成をとる場合、本社にあるRADIUSサーバと支社間の通信経路に障害対策を十分に行わないとすべてのネットワークが利用できなくなってしまう。ユーザー認証処理が停止することにより、新たなアクセスが認証されないだけでなく、EAP-TLS認証などでは接続の更新処理も行われず、切断されてしまうためだ。さらに、RADIUSサーバそのものの冗長化も検討したい。

前のページ | 1 2 3 4 5 6 | 次のページ

[向山繁喜(NECネットワークス), 柿島真治(情報技術ネットワーク),N+I NETWORK Guide]