IEEE802.1X認証方式 : EAP-TLS, EAP-PEAP, EAP-TTLS IEEE802.1Xの基本的な仕組みを押さえた上で、今度はサプリカントと認証サーバとの間で行われる認証方式について簡単に説明しておきます.IEEE802.1X認証方式として、EAP-TLS, EAP-PEAP, EAP-TTLS などがあり、これ以外にも EAP-MD5, EAP-LEAPなど様々な方式がある.EAP-MD5, EAP-LEAPはセキュリティー的な問題から現在では使われなくなって来ている. ・EAP-TLS サプリカントと認証サーバが相互に認証局(CA)によって発行された証明書を 交換・検証し合うことで認証を行う方式 セキュリティー的にはこの方式が一番堅固であるが、クライアント側にも証明書を インストールしなければならないので、管理・運用面で膨大な手間が掛かる. ・EAP-PEAP サーバ側だけに証明書を持たせた方式で、SSL暗号方式で暗号化された通信路内で、 ユーザをユーザIDとパスワードで認証する方式. ユーザ認証の方法としては、MSCHAPv2というチャレンジレスポンス方式が用いられる. ・EAP-TTLS 正式名称は EAP Tunneled TLS Authentication Protocolで、EAP-PEAPとほぼ同じ 仕組みである.
IEEE802.1X の概要 IEEE802.1Xは Institute of Electrical and Electronics Engineers(通称 アイトリプルイー)が定めた”Port-Based Network Access Control”という名称の規格で、LANに接続したユーザを認証することによって、ネットワークへの接続を許可・不許可するという目的で作成されたものです. 802.1Xの場合、クライアント側のPC、ネットワークスイッチや無線LANのアクセスポイントなどのネットワーク装置、RADIUSサーバなどの認証システムが絡んでおり、さらに認証のためにPKI(公開鍵基盤システム)が絡んでくるため、802.1Xの仕組みをきちんと理解していないと、802.1X認証システムを構築するのは困難です.そこで今回は、802.1Xのおさらいという意味も含めて、802.1Xの概要を説明したいと思います. まず、802.1Xの基本であるサプリカント、オーセンティケータ、認証サーバの関係を把握しておきましょう.サプリカントは無線LANやネットワークスイッチに接続し、認証を受けてネットワークを利用する側のクライアントソフトウェアの事です.通常はWindowsやMac OS X などのOSの中に最初から組み込まれている場合が殆どですが、ハードウェアのベンダ側で専用の接続ソフトウェアを用意している場合もあります.オーセンティケータはサプリカントを接続させる側のネットワーク装置の事で、認証スイッチや無線LANのアクセスポイントが相当します.認証サーバは個々のユーザ認証して通信を許可するかどうか判定するサーバで、一般的にはRADIUSサーバが用いられる. 次の図に示すように、サプリカントがオーセンティケータを介して認証サーバと交信することになる.オーセンティケータはサプリカントと認証サーバの間を取り持ち、サプリカントとオーセンティケータの間はイーサネットフレーム(MACフレーム)内にEAPパケットと呼ばれる認証情報をやりとりするための一連のデータを埋め込んで伝送する.オーセンティケータと認証サーバの間はUDPのRADIUSパケット内にEAPパケットを埋め込んで伝送している. EAPは Extensible Authentication Protocol の略で、従来のPPPプロトコルの機能拡張で、PPPプロトコル上で各種の認証方式が使えるようにしたものである. EAP認証の流れを簡単に示す.まず、サプリカントがオーセンティケータにつながると、サプリカントと認証サーバとの間で認証方式のネゴシエーションを行う.その後、EAP-TLS, EAP-PEAP, EAP-TTLSなどの認証プロトコルに従ってサプリカントのユーザ認証を行い、その結果によって認証サーバが許可か不許可の通知をオーセンティケータに送る.オーセンティケータは許可された場合はサプリカントが通信可能となるようにゲートを開ける.この際に、認証VLANなどではユーザが所属するVLAN番号が通知され、オーセンティケータはサプリカントがつながっているポートのVLANを変更する.無線LANの場合には、暗号通信用のキーを配布するメッセージ(キー・フレーム)がオーセンティケータからサプリカントに送られる.
Leopard Server のRADIUS Leopard Server で新たにRADIUSサーバが標準でインストールされるようになりましたが、このRADIUSサーバがどのようにLeopard Serverにインプリメントされているか、ちょっと覗いてみました. Leopard Server のFreeRADIUSでは、GUIベースで管理できる項目は極わずかで、実質的にAirMacベースステーションと組み合わせて使うという前提でインプリメントされているようです.勿論、Free RADIUSですので、自分で各種設定ファイルを編集すれば普通のRADIUSサーバとして使用可能です. Leopard Serverで使われているRADIUSサーバは “Free RADIUS” で、オープンソースベースのものとしては一般的に良く用いられているものです.インストールされているFree RADIUSのバージョンは OSXServer 10.5.1 (Build 9B18)で最新版のVersion 1.1.7のようです. sh-3.2# /usr/sbin/radiusd -v radiusd: FreeRADIUS Version 1.1.4, with security changes through 1.1.7, for host apple.com, built on Sep 23 2007 at 22:52:02 Copyright (C) 2000-2007 The FreeRADIUS server project. Free RADIUS 関係の設定ファイルは /etc/raddb […]
LeopardサーバにインストールされたRADIUSサーバとAirMac(AirPort)ベースステーションを組み合わせると、比較的簡単に無線LANに802.1x 認証機能を持たせることができます.
Mac OS X Server 10.5(Leopard Server)で新たにRADIUSサーバが組み込まれました.
