WindowsログオンもLANの認証も、1度で済ませたい――。Active Directoryと無線LANとを連携させればシングルサインオンも可能だが、むしろそうしないと管理者にとって面倒なことが起きる。
本記事の関連コンテンツは、オンライン・ムック「無線LAN“再構築”プラン」でご覧になれます。
大水祐一(NTTコミュニケーションズ)
セキュアな無線LANの認証として使われるIEEE 802.1X。このIEEE 802.1Xの認証方式の1つにPEAP(Protected EAP)がある。
PEAPは、端末側の認証をIDとパスワードを用いて行う方式だ。EAP-TLSと並んでWindows XPなどのOSで標準サポートされている。端末側の認証を電子証明書で行うEAP-TLSと違ってシステム管理者側の負担が軽くすみ、そのため企業の無線LANで活用されることが多いようだ。
このPEAPを採用した場合に、要望として出てくるのが「Windowsドメイン認証との一元化」だ。
現在、大手企業では、PCやユーザーを管理するディレクトリサービスにActive Directory(以下、AD)が利用されることが一般的だ。ADの環境ではドメインが形成され、そこに参加することで同じドメインにあるプリンタやサーバなどのIT資源が利用できるようになる。
通常、PCがドメインに参加するためには、Windowsドメイン認証が必要になる。Windows OSが起動する際にログオンウィンドウが表示されるので、ユーザーはそこにIDとパスワードを入力する――。これがADを導入したWindowsドメイン環境のオペレーションだが、ここで無線LANを構築し、その認証にPEAPを採用するとどうなるだろう? 単純に考えればPCを起動する際にWindowsドメインの認証と、無線LANを使うためのPEAPの認証、2回の認証が必要となる。同じような情報を繰り返し入力することになり、ユーザーからしてみれば面倒以外の何物でもない。
そこでWindows Serverでは、ADのアカウントを用いてWindowsドメイン認証と無線LANの認証を一元化できる仕組みが用意されている。Windows XPがサポートするPEAPの方式MS-PEAPを採用し、Windows Serverを802.1Xの認証サーバ(RADIUSサーバ)に使う構成で可能だ。
この仕組みを使えば、ユーザーは1回の認証でPCが使用できるようになる。また、管理者はADに無線LANユーザーの管理を統合することができ、効率的な運用が実現するわけである。
Copyright © ITmedia, Inc. All Rights Reserved.