Windowsと無線LANの連携、カギを握るのは人間関係？：無線LAN“再構築”プラン（2/4 ページ）

[大水祐一，ITmedia]

AD連携をしないとPEAPは不完全!?

　実は無線LANのPEAP認証をADと連携させることで、Windowsの仕様による無線LAN接続時の課題とでもいえるものが解消する。

　そのWindowsの仕様上の課題とは、Windows XPではこのPEAPの認証で使うID／パスワードをOSがキャッシュしてしまうことである。初回のログオン時に入力された情報をキャッシュして自動的に認証が行われる。前言を翻すことになるが、だからユーザーが2度、ID／パスワードを入力しないといけないという課題は、2回目以降のログオン時には解決されていることになる。

　この辺りのフローを具体的に述べよう（図1）。まず、初回ログオンはどのような流れで認証を行うようになるかだ。初回ログオン時のWindowsドメイン認証だけをみると、少々問題がある。

図1●Active Directory連携をしていない時の起動シーケンス

　というのも、Windowsドメイン認証を行う際にはADのサーバ、ドメインコントローラとの間に通信経路が確立していることが前提になる。当たり前のことだが、ドメイン認証はPCのネットワークインタフェースが有効になっていなければ機能しない。ところが、IEEE 802.1X認証を設定している場合、ログオンウィンドウが現れてくる時点では認証が行われていない。このため、通信経路はまだ開かれていないことになる。ドメインコントローラとの間で通信ができないので、ドメイン参加を実現しようにもそれが果たせない。

　よって初回ログオン時は、ユーザーがとりあえずローカルにログオンして、ドメインに参加できないままWindowsが起動してくることになる。OSがスタートするとPEAPのウィンドウが立ち上がり、ID／パスワードを入力すると802.1X認証が開始される。認証が成功した後、Windowsはローカルにログオンした際の情報を基にドメインコントローラに認証情報を飛ばす。これによってWindowsドメイン認証が完了する。

　考え方としてはダイヤルアップ接続によるリモートアクセスのケースと同じである。リモートアクセスのPPP接続もWindowsが起動してから行われる動作だが、無線LANの802.1X認証はちょうどそのPPP接続認証と同じ段階で行われるのである。