事務所ネットワークを更新しました(無線LAN編:その3)

 こんにちは。少々時間が開いてしまいましたが、事務所ネットワーク更新に関する記事の続きを書いて行きます。

 前回の記事の最後に「IEEE802.1X認証に関して書きます」と書きましたので、今回はこの点を掘り下げます。

 ユーザ個別認証を実現するためのRADIUSプロトコル

 今までも無線LAN接続は実施していましたが、PSK(事前共有鍵)を使っての接続でした。PSKの問題点については前回触れました。IEEE802.1X認証を導入することで、ユーザ毎にIDとパスワードを発行します。
 IEEE802.1X認証を行う場合、対応した無線アクセスポイント(以下AP)とRADIUSサーバが必要になります。家庭用に市販されているAPはほぼ全て対応していませんので、業務用APを選択することになります。

 最近はAPに簡易RADIUSサーバ機能を内蔵している機種もあります。AP数台の小規模なネットワークである場合や、試験的に運用してみようという場合はそちらを利用すると良いと思います。YAMAHAやアライドテレシスなどのメーカーから発売されています。
 もし、ルータやファイアウォールで同じ会社の機器を使っているのであれば、揃えておくと独自管理機能が使えることもあります。

 認証方法にも幾つかの種類があります 

 実際の認証にはWPA2エンタープライズ方式を使用します。YAMAHA WLX202の場合を例に取りますが、内蔵RADIUSサーバを利用する場合は、EAP-PEAPを使うことになります。
(EAP-PEAP方式しか内蔵サーバは使えません)
 他の方式を使いたいということであれば、外部RADIUSサーバを使うことになります。アプライアンス機を用意するか、Linux上にFreeRADIUSを自力でインストール・設定してやらないといけません。(このあたりは追って書いてみようと思います)

 さて、認証の種類にはEAP-PEAP以外にもあります。EAP-PEAPと似たような方法にEAP-TTLSがあります。サーバ認証には証明書を用い、ユーザの認証にはIDとパスワードを用います。
 他にEAP-TLSという方式があります。サーバ認証に証明書を使うことは共通です。クライアント認証にも証明書を使います。

 クライアント認証とユーザ認証の違いが両者の違い

 ここでポイントなのは、EAP-TLSは「クライアント」を認証するのであり、EAP-PEAPなどは「ユーザ」を認証します。前者はクライアント証明書のインストールされていない端末では使えません。後者は(MACアドレスフィルタリングを設定していなければ)端末を問わないことになります。ただし、IDとパスワードを入力しないと接続出来ません。

 明らかに職場内でしか使わない場合は、前者にアドバンテージがあります。しかし、個人所有端末の利用を許可している場合は、職場外での不正使用を考慮して、後者の方が良いと考えられます。

 FreeRADIUSではいずれの場合も対応可能です。端末と端末の利用範囲を職場内に限定可能であれば、FreeRADIUSをインストールしたサーバを用意して、EAP-TLSで動かすことをおすすめします。
 余談になりますが、メールサーバを自前運用している・職場内でグループウェアサーバを運用しているなど、他でもユーザ認証を利用している場合は、OpenLDAPと連携させることをおすすめします。(このあたりに関しても追って書いてみたいと思います。)

  • このエントリーをはてなブックマークに追加

コメントをどうぞ