Windowsと無線LANの連携、カギを握るのは人間関係？：無線LAN“再構築”プラン（1/4 ページ）

WindowsログオンもLANの認証も、1度で済ませたい――。Active Directoryと無線LANとを連携させればシングルサインオンも可能だが、むしろそうしないと管理者にとって面倒なことが起きる。

[大水祐一，ITmedia]

本記事の関連コンテンツは、オンライン・ムック「無線LAN“再構築”プラン」でご覧になれます。

大水祐一（NTTコミュニケーションズ）

　セキュアな無線LANの認証として使われるIEEE 802.1X。このIEEE 802.1Xの認証方式の1つにPEAP（Protected EAP）がある。

　PEAPは、端末側の認証をIDとパスワードを用いて行う方式だ。EAP-TLSと並んでWindows XPなどのOSで標準サポートされている。端末側の認証を電子証明書で行うEAP-TLSと違ってシステム管理者側の負担が軽くすみ、そのため企業の無線LANで活用されることが多いようだ。

　このPEAPを採用した場合に、要望として出てくるのが「Windowsドメイン認証との一元化」だ。

認証は1回で済ませたい

　現在、大手企業では、PCやユーザーを管理するディレクトリサービスにActive Directory（以下、AD）が利用されることが一般的だ。ADの環境ではドメインが形成され、そこに参加することで同じドメインにあるプリンタやサーバなどのIT資源が利用できるようになる。

　通常、PCがドメインに参加するためには、Windowsドメイン認証が必要になる。Windows OSが起動する際にログオンウィンドウが表示されるので、ユーザーはそこにIDとパスワードを入力する――。これがADを導入したWindowsドメイン環境のオペレーションだが、ここで無線LANを構築し、その認証にPEAPを採用するとどうなるだろう？　単純に考えればPCを起動する際にWindowsドメインの認証と、無線LANを使うためのPEAPの認証、2回の認証が必要となる。同じような情報を繰り返し入力することになり、ユーザーからしてみれば面倒以外の何物でもない。

　そこでWindows Serverでは、ADのアカウントを用いてWindowsドメイン認証と無線LANの認証を一元化できる仕組みが用意されている。Windows XPがサポートするPEAPの方式MS-PEAPを採用し、Windows Serverを802.1Xの認証サーバ（RADIUSサーバ）に使う構成で可能だ。

　この仕組みを使えば、ユーザーは1回の認証でPCが使用できるようになる。また、管理者はADに無線LANユーザーの管理を統合することができ、効率的な運用が実現するわけである。