無線LAN環境で、AD認証させるにはどのようなシステム構成が必要なのか?
厳密には、
- radiusがいるのか?
- radiusがいらないのか?
を調べました。
レジュメ
環境・前提条件
無線LANを使用端末するのは
- Windowsパソコン
を想定し、無線LAN APとしては
- Meraki
で確かめました。
結論、IEEE802.1x認証ではradiusが必要
Wikiのページが非常にわかりやすいが、
802.1xという認証規格は、EAPという認証プロトコルが必要になる。
EAPという認証プロトコルは、RADIUSフレームを使用している。
なので、802.1x認証ではRadiusサーバーが必要になります。
Radiusサーバー無しでは、802.1x認証はできません。
802.1x認証のRadiusサーバのさらに向うでAD認証連携は可能
上記のような認証システムを構築すれば、802.1x認証でAD連携させることが可能です。
代表的な例として、Radiusサーバーを
- WindowsサーバーのNPS(ネットワークポリシーサーバー)
で構築する例が良くありますね。
WPAエンタープライズもWPA2エンタープライズも802.1Xと同じくradiusが必要
無線LANのセキュリティの設定で
- WAPエンタープライズとか
- WPA2エンタープライズとか
見かけますが、これらを駆使しradius不要でAD認証できないものでしょうか?
答えは、「残念ながら出来ません」。
802.1xとWAPエンタープライズ・WAP2エンタープライズは、暗号化の種類が違うくらいで、WAPエンタープライズ・WAP2エンタープライズも実質は802.1x認証と同様EAPを使用しています(EAPなのでradiusフレームが必要)。
802.1xではサーバー証明書だけではなくクライアント証明書も必要なの?
クライアントに証明書が必要だと、セキュリティ面では良いですが管理・運用が大変ですよね、、、
クライアントに証明書が必要なのは、EAPの中でも
- EAP-TLS
という手法を使った場合になります。EAP-TLSは標準規格になるので良いのですが、管理・運用が大変。
一方、Windowsパソコンがメインターゲットで無線LANを導入する場合は
- PEAP
という手法を使えば、クライアントには証明書が不要で、サーバー証明書だけ必要になるので、管理・運用がEAP-TLSより楽であり、現実的で導入事例も多いのではないでしょうか。
ただし、PEAPはマイクロソフト社が開発した規格になるので、若干MSよりです。よってメインターゲットがWindowsの場合にお勧めになります。
ではやはりRadius無しでAD認証もしくはLDAP認証する方法はないの?
では、やはり無線LANではRadius不要でAD認証は出来ないのでしょうか?
答えは、「いいえ、出来ます」。ただしWeb認証になってしまうわけです。
Windowsクライアントから802.1xのように無線LANの設定をしておけばネットワークにつながるのではなく、
つなげるたびにブラウザを立ち上げweb認証画面での認証が必要になるわけです。
このようなパソコン操作でもよければ、Radius不要で直接AD認証出来るわけですね。
802.1xはADを使用するWindowパソコンではシングルサインオンで無線LANに接続できますが、Web認証の場合はシングルサインオンではないというデメリットがあります。(Web認証は若干、Free WiFi的な使い方に思えますね)
無線LANのWeb認証用語。キャプティブポータルとスプラッシュページ
無線LAN接続をWeb認証とした場合、
- キャプティブポータルという用語と
- スプラッシュページという用語
を見かけます。この二つの用語の意味合いはなんでしょうか?
キャプティブポータル
HTTPクライアントがインターネットを利用する前に、ネットワーク上の特定のWEBの参照を強制する技術のこと。
スプラッシュページ
フル画面表示されたFlashや動画などをトップページに表示したページの事。通常のトップページの前のページ。
ということで、Merakiで出てくる「スプラッシュページ」という用語は、どちらかというとWeb制作用語なんですね。