このWeb認証方式、エンドユーザーからみるとどのような手順になるのだろうか。少し細かく追ってみよう(図1)。
ユーザーはまず端末を起動し、無線LANに接続する。この時、無線LANに接続するための暗号化の設定をあらかじめ管理者やユーザー自身の手によって行っておく必要がある。OSがスタートして無線LANへの接続とDHCPによるアドレス取得が済んでいることが確認できたら、Webブラウザを起動する。
Webブラウザが起動したら、ユーザーはURLのウィンドウに所定のIPアドレスを入力して認証ポータルの画面を表示させる。この時、構成によっては、ユーザーがIPアドレスを入力しなくても、ホームページを表示させようとするとゲートウェイ側から自動的に認証ポータルを送り込んでくる方式もある。後は、その画面の指示に従ってIDとパスワードを入力すればいい。
この方式では、IDとパスワードを入力する前の段階、すなわち認証を経ていない状態では、ユーザーは無線LANには接続していても社内のネットワークを自由に利用することができないようになっている。できることは、DHCPでアドレスを取得したり認証ポータルを表示させるなどの必要最低限のことに限られるようになっているのだ。
ユーザーがWebブラウザ上から投入したIDとパスワードが正規のものであると確認されると、ブラウザの画面が遷移して認証成功などの情報が表示され、ネットワークの利用が可能になる。Webサイトを閲覧したり、メールを送受信したり、イントラネットのサーバにアクセスするなどの通信が許可されるわけである。
ネットワークの利用を止める時には、やはりWebブラウザから所定のIPアドレスを入力してログオフの画面を表示させる。ログオフのボタンをクリックすれば、その時点でユーザーはネットワークの利用ができなくなる。再度利用するには、改めてIDとパスワードの入力が必要だ。
以上がユーザーから見た場合のオペレーションである。では、情報システム部門の担当者がこのWeb認証の環境を実現するには、どのような機器が必要になるのだろうか。
Web認証の機能は、一般的な無線LANアクセスポイントには搭載されていない。このため、別途機器を設置して実現させることになる。そこで、認証ゲートウェイという装置を設置することになる。最近では、無線LANスイッチ(無線LANコントローラ)にこのWeb認証のゲートウェイ機能が搭載されていることもある。
図2は、認証ゲートウェイを設置した場合の無線LANの構成だ。認証ゲートウェイは、端末からのHTTP/HTTPSのセッションを検出すると、そこに認証ポータルの画面を送り込んで表示させる。また、認証が成功した端末のMACアドレスを持つパケットのみを上位ネットワークに透過させるという、「関所」の役割を果たす。またそれだけではなく、認証が成功した端末にVLANやアクセスコントロールリスト(ACL)を割り当てることもできる。さらには、より詳細なセキュリティのロールを割り当てるファイアウォール機能を持った高度な認証ゲートウェイもある。
こうした高度な機能を使えば、例えば大学において、教職員には大学の業務用のサーバへのアクセスを認めるが学生にはインターネットしか利用させない、といったポリシーの適用が可能になる。
Copyright © ITmedia, Inc. All Rights Reserved.