IEEE802.1X の概要 IEEE802.1Xは Institute of Electrical and Electronics Engineers(通称 アイトリプルイー)が定めた”Port-Based Network Access Control”という名称の規格で、LANに接続したユーザを認証することによって、ネットワークへの接続を許可・不許可するという目的で作成されたものです. 802.1Xの場合、クライアント側のPC、ネットワークスイッチや無線LANのアクセスポイントなどのネットワーク装置、RADIUSサーバなどの認証システムが絡んでおり、さらに認証のためにPKI(公開鍵基盤システム)が絡んでくるため、802.1Xの仕組みをきちんと理解していないと、802.1X認証システムを構築するのは困難です.そこで今回は、802.1Xのおさらいという意味も含めて、802.1Xの概要を説明したいと思います. まず、802.1Xの基本であるサプリカント、オーセンティケータ、認証サーバの関係を把握しておきましょう.サプリカントは無線LANやネットワークスイッチに接続し、認証を受けてネットワークを利用する側のクライアントソフトウェアの事です.通常はWindowsやMac OS X などのOSの中に最初から組み込まれている場合が殆どですが、ハードウェアのベンダ側で専用の接続ソフトウェアを用意している場合もあります.オーセンティケータはサプリカントを接続させる側のネットワーク装置の事で、認証スイッチや無線LANのアクセスポイントが相当します.認証サーバは個々のユーザ認証して通信を許可するかどうか判定するサーバで、一般的にはRADIUSサーバが用いられる. 次の図に示すように、サプリカントがオーセンティケータを介して認証サーバと交信することになる.オーセンティケータはサプリカントと認証サーバの間を取り持ち、サプリカントとオーセンティケータの間はイーサネットフレーム(MACフレーム)内にEAPパケットと呼ばれる認証情報をやりとりするための一連のデータを埋め込んで伝送する.オーセンティケータと認証サーバの間はUDPのRADIUSパケット内にEAPパケットを埋め込んで伝送している. EAPは Extensible Authentication Protocol の略で、従来のPPPプロトコルの機能拡張で、PPPプロトコル上で各種の認証方式が使えるようにしたものである. EAP認証の流れを簡単に示す.まず、サプリカントがオーセンティケータにつながると、サプリカントと認証サーバとの間で認証方式のネゴシエーションを行う.その後、EAP-TLS, EAP-PEAP, EAP-TTLSなどの認証プロトコルに従ってサプリカントのユーザ認証を行い、その結果によって認証サーバが許可か不許可の通知をオーセンティケータに送る.オーセンティケータは許可された場合はサプリカントが通信可能となるようにゲートを開ける.この際に、認証VLANなどではユーザが所属するVLAN番号が通知され、オーセンティケータはサプリカントがつながっているポートのVLANを変更する.無線LANの場合には、暗号通信用のキーを配布するメッセージ(キー・フレーム)がオーセンティケータからサプリカントに送られる.
Leopard Server のRADIUS Leopard Server で新たにRADIUSサーバが標準でインストールされるようになりましたが、このRADIUSサーバがどのようにLeopard Serverにインプリメントされているか、ちょっと覗いてみました. Leopard Server のFreeRADIUSでは、GUIベースで管理できる項目は極わずかで、実質的にAirMacベースステーションと組み合わせて使うという前提でインプリメントされているようです.勿論、Free RADIUSですので、自分で各種設定ファイルを編集すれば普通のRADIUSサーバとして使用可能です. Leopard Serverで使われているRADIUSサーバは “Free RADIUS” で、オープンソースベースのものとしては一般的に良く用いられているものです.インストールされているFree RADIUSのバージョンは OSXServer 10.5.1 (Build 9B18)で最新版のVersion 1.1.7のようです. sh-3.2# /usr/sbin/radiusd -v radiusd: FreeRADIUS Version 1.1.4, with security changes through 1.1.7, for host apple.com, built on Sep 23 2007 at 22:52:02 Copyright (C) 2000-2007 The FreeRADIUS server project. Free RADIUS 関係の設定ファイルは /etc/raddb […]
LeopardサーバにインストールされたRADIUSサーバとAirMac(AirPort)ベースステーションを組み合わせると、比較的簡単に無線LANに802.1x 認証機能を持たせることができます.
先の記事、
Mac OS X Tips #2 Leopardのホームディレクトリ設定 でLeopardにおけるホームディレクトリのロケーションを変更する方法を紹介しましたが、もっと簡単な方法でホームディレクトリのロケーションを変更することが可能であることがわかりました.
Mac OS X Server 10.5(Leopard Server)で新たにRADIUSサーバが組み込まれました.
Leopardのバグフィクス第1弾が早速出そうですね.11/07付けで Leopard 10.5.1(Build 9B13)がデベロッパにシードされました.近いうちに “Software Update” を通じて一般にも配布されるでしょう.これでインストール時のトラブルが解消されると良いのですが.
Leopardでマシンスペックが低すぎてインストールできない方々の為に、インストール制限を回避する方法を公開します.
外付けハードディスクからOSをインストールする Leopardが発売されてから2週間近く経ちましたが、結構多くのトラブルが発生しているようですね.Leopardが正式に発売されるまでのデベロッパーシードの状況を見てきた人達にとっては、この結果はある程度予測がついていたのではないでしょうか.もっと時間を掛けて完成させてからリリースするべきですね.少なくとも最終的なリリースバージョン(Golden Master)で最後の動作確認がとれ、OSがリリースされるまでに最終的な手直しができるだけの時間的な余裕がないと困りますね. (リリース版では”Front Row” のアイコンがいつの間にか赤い椅子に変わっていましたね.それ以前は”Apple Remote”のボタン部分の絵柄のアイコンだったのですが.雑誌の紹介記事では古いアイコンですね) さて本題の「外付けHDからOSをインストールする」という件ですが、Mac OS X をインストールするマシンが1台だけであれば購入したDVDパッケージから直接インストールすれば良いのですが、DVDからのインストールはDVDドライブ自体の読み込みスピードが遅いのでイライラしますね.OSとデベロッパツール関係をインストールするだけで1時間近く掛かってしまうのではないでしょうか. そこで今回は、DVDからインストールする代わりに起動可能な外付けのハードディスクにインストールシステムを作製して、インストール時間を節約する方法を紹介します. 用意する物: ・Mac OS X のインストールDVD ・外付けハードディスク (Intel Mac の場合は大容量のUSBメモリでもOKであるが、 最低でも8GBは必要になる) ・DVDが読み込み可能なMac ( なるべく最近の Mac OS X が使えるマシンの方が良い) Step 1. 外付けハードディスク(USBメモリ)をフォーマットする 既にデータ用に使用しているハードディスクを用いても良いが、下記の条件を満たしていること. 【条件】 Intel Mac の場合: 起動ディスクとして使えるのはGUID形式で初期化されている必要がある. Firewire(IEEE1394)、USBのどちらのインタフェースでも起動ドライブ として使用可能 Power Mac の場合: Apple パーティション形式で初期化されていること 必ずしもパーティションを区切る必要はないが、なるべく他の用途でも使えるように、 インストールシステム領域とそれ以外の領域に分けておいた方が良い. Step 2. DVDのシステムをまるごとハードディスクにコピー(リストア)する ソース側(コピー元)にDVDを、ターゲット側に外付けドライブの パーティションを指定する. Step 3. ハードディスクにDVDの内容がコピーされると起動可能ドライブとして 認識される. ”Startup Disk” […]
External アカウントの設定 モバイルアカウントの場合、ユーザのアカウントとホームディレクトリの格納先は対象となるコンピュータのスタートアップボリュームに限られてしまうため、そのコンピュータの持ち主以外の人がモバイルアカウントを設定するのは現実的ではありません. そこで今回のLeopardから新たに、ポータブルホームディレクトリを外付けのハードディスクに設定するだけで、様々なMac(OSX10.5 Leopardが必要)の下でモバイルアカウントと同じようにログインできる仕組みが加わりました.この方法では利用するコンピュータそのものには全く手が加えられないので、ユーザも気兼ねなく安心して外部のコンピュータを使うことができます. External アカウントの設定方法は基本的にモバイルアカウントの場合と同じです.ログインしたユーザがホームディレクトリの格納先としてシステム起動ボリューム以外を選ぶだけです.一般的には外付けハードディスクなどの外部記憶装置ということになりますが、内蔵ハードディスクの別パーティションでも構いません.もっとも内蔵ハードディスクの場合はコンピュータの持ち主以外は設定できないでしょうし、持ち運びも設定の変更もできないので現実的ではないでしょう. External アカウントの場合、ホームディレクトリは対象ボリュームの直下に “Users” というディレクトリが作成され、その中にユーザのホームディレクトリが作成されます.また、ユーザのアカウント情報は同じく対象ボリュームの直下に “private” ディレクトリが作成され、その中にアカウントの情報が格納されているようです.但しこの “private” ディレクトリはFinderからは見えないようになっていますので、”Terminal” 等で中身を確かめて下さい.現時点ではこの”private” ディレクトリの詳細は不明です. Leopardではログインダイアログが表示されている状態で、Externalアカウントが設定されている外付けハードディスクを接続すると、その外付けハードディスクに設定されているExternalアカウントの項目が自動的にダイアログ中に挿入されます.外付けハードディスクを取り出すとダイアログからExternalアカウントの項目が自動的に消えます.コンピュータ側で特別な設定をする必要はありませんので、どのコンピュータでもユーザが自分の環境で作業できることになりますね. セキュリティー面でやや不安がありますが、上手く使えばとても魅力的かつ有効な機能ですね.大学などでポータブルホームディレクトリの機能を上手く使いこなせるようになると、今まで膨大な費用を要していたコンピュータ設備への投資が抑えられそうですね. [mygallery display=”galleria” ]
ポータブルホームディレクトリを設定する この記事では実際にポータブルホームディレクトリを利用できるように設定する方法を実例を示しながら紹介します.ここでは前提としてMac OS X Server のマネージメントの経験があり、Workgroup Manager を使ってユーザアカウントの作成や更新作業が一通りできるものとして話を進めます. ポータブルホームディレクトリを使えるようにするには、まず通常のネットワークアカウントを作成します.例として”mobiler”というアカウントを作成します.ホームディレクトリの場所はネットワーク上の任意のサーバで構いませんが、ここでは “server2.home.yoko” というサーバがユーザのホームディレクトリを供給しているサーバです. 通常のネットワークアカウントの作成が済んだら、Workgroup Manager のPreferences pane に切り替え、その中からMobility を選択します.設定する箇所はたくさんありますが、とりあえず写真の通りに設定します. “Options”の指定でホームディレクトリをどこに置くか指定する箇所がありますので、”user chooses” を選び”any volume” を選択します.この指定をすることで、ユーザが最初のログイン時に自分の好きな場所にホームディレクトリを置くことが可能です. [mygallery gid=”group1″ display=”lightbox” bgs=”width:680px;” ] 前回の記事で、アカウントの種類として、モバイルアカウントとExternalアカウントがあると述べましたが、実はこのホームディレクトリの置き場所によってモバイルアカウントとして振る舞われるのか、Externalアカウントとして振る舞われるのかが決まります. コンピュータの起動ボリュームに作成した場合 → モバイルアカウント それ以外のボリュームに作成 → Externalアカウント ということになります.この両者の違いはアカウントの管理の方法とホームディレクトリの場所だけで、本質的な違いは無いようです. Workgroup Manager の設定を済ませ、クライアントコンピュータ上で”mobiler” アカウントでログインすると、まず最初にポータブルホームディレクトリをどこに置くか尋ねられます.ここではモバイルアカウントとして設定するので、起動ボリュームである “Leopard”を選択します.サーバ上に置かれているホームディレクトリが起動ボリュームの”Users”フォルダにコピーされ、ログイン完了です. ログオフ時には、変更されたデータがサーバに書き戻されます.ログインダイアログに “mobiler” が加わっていますね. クライアントコンピュータがネットワークにつながっていない場合は、オフラインでログイン可能で後でネットワークにつなげた時にサーバとの間で同期が取られます. [mygallery gid=”group2″ display=”lightbox” bgs=”width:680px;”] モバイルアカウントの設定は WorkGroup Manager で管理者が予め設定する以外にも、ユーザ自身でもサーバとの同期の方法や対象ディレクトリ(フォルダ)を設定可能です.System PreferencesのAccounts でこれらの設定を行うことができます.モバイルアカウントユーザのホームディレクトリはシステムの標準の場所である “/Users” […]
