特集
» 2006年11月17日 08時00分 公開

無線LAN“再構築”プラン:Windowsと無線LANの連携、カギを握るのは人間関係? (1/4)

WindowsログオンもLANの認証も、1度で済ませたい――。Active Directoryと無線LANとを連携させればシングルサインオンも可能だが、むしろそうしないと管理者にとって面倒なことが起きる。

[大水祐一,ITmedia]

本記事の関連コンテンツは、オンライン・ムック「無線LAN“再構築”プラン」でご覧になれます。


大水祐一(NTTコミュニケーションズ)



 セキュアな無線LANの認証として使われるIEEE 802.1X。このIEEE 802.1Xの認証方式の1つにPEAP(Protected EAP)がある。

 PEAPは、端末側の認証をIDとパスワードを用いて行う方式だ。EAP-TLSと並んでWindows XPなどのOSで標準サポートされている。端末側の認証を電子証明書で行うEAP-TLSと違ってシステム管理者側の負担が軽くすみ、そのため企業の無線LANで活用されることが多いようだ。

 このPEAPを採用した場合に、要望として出てくるのが「Windowsドメイン認証との一元化」だ。

認証は1回で済ませたい

 現在、大手企業では、PCやユーザーを管理するディレクトリサービスにActive Directory(以下、AD)が利用されることが一般的だ。ADの環境ではドメインが形成され、そこに参加することで同じドメインにあるプリンタやサーバなどのIT資源が利用できるようになる。

 通常、PCがドメインに参加するためには、Windowsドメイン認証が必要になる。Windows OSが起動する際にログオンウィンドウが表示されるので、ユーザーはそこにIDとパスワードを入力する――。これがADを導入したWindowsドメイン環境のオペレーションだが、ここで無線LANを構築し、その認証にPEAPを採用するとどうなるだろう? 単純に考えればPCを起動する際にWindowsドメインの認証と、無線LANを使うためのPEAPの認証、2回の認証が必要となる。同じような情報を繰り返し入力することになり、ユーザーからしてみれば面倒以外の何物でもない。

 そこでWindows Serverでは、ADのアカウントを用いてWindowsドメイン認証と無線LANの認証を一元化できる仕組みが用意されている。Windows XPがサポートするPEAPの方式MS-PEAPを採用し、Windows Serverを802.1Xの認証サーバ(RADIUSサーバ)に使う構成で可能だ。

 この仕組みを使えば、ユーザーは1回の認証でPCが使用できるようになる。また、管理者はADに無線LANユーザーの管理を統合することができ、効率的な運用が実現するわけである。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -