フクの非日常

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

RADIUS認証

一昔前、PHSが一度衰退する以前の話。
携帯、PHSが両方普及していて、安価なPHSはデータ通信に利用されていた。
接続方式はダイヤルアップ。認証はRADIUSを用いていた。
社内ネットワークにはダイヤルアップサーバがあり、
PHSはそこにダイヤルインしてネットワークに繋がっていた。

それから、携帯の料金引き下げに伴い、PHSは一度、死んだ。
PHSの役割は携帯や、データカードに置き換わり、PHSは使われなくなった。
『PHS同士の通話は定額』となり復活したのは最近のことである。

さて、PHSの隆盛があったその間にRADIUS認証はダイヤルアップ以外にも
活躍の場を得ているのだった。ダイヤルアップ接続のときは当然
接続要求してきたPCを認証した上でネットワークへ接続させていた。
ネットワークのセキュリティ意識の高まりにつれて、LAN上のPCも同様に
ネットワークでの認証を得なければLANを使用できなくするというものだ。
認証と利用の記録がRADIUSの役割となる。

実は、RADIUS認証や、IEEE802.1Xは昔調べたことがあったのだが、
さっぱり覚えていなかった。もったいない。
とはいえ、忘却は人間の正常な仕組みなのである。
必要になったときに資料を読んで理解できればよかろう。
(試験の間は用語を覚えておく必要はあるのだが。)

IEEE802.1XはLAN接続時の認証規格である。
PC上にサプリカント(認証用ソフト)から、LANスイッチへ接続し、
LANスイッチからRADIUSサーバへ認証を取りに行く。
認証OKならば、LANスイッチはPCをネットワークに接続許可を出す。

ここでLANスイッチというのがネットワークの入り口になる。
注意すべき点は、PCはネットワークの外にいて、RADIUSサーバは内側にいる。
PCとは、データリンク層つまり、MACフレームで通信を行い、
RADIUSサーバーとはIPフレームで通信を行う。
L2スイッチはパケットの乗せ換えを行うのである。

L2スイッチとRADIUSサーバーの間の認証も種類がある。
EAP-TLSのようにデジタル証明書を使った接続を行うならば、
認証局からあらかじめ証明書の発行を受けなければいけない。
証明書をPC(ないし、外部キー)とサーバーの両方で準備しておき、
PCからの接続時に証明書を使うことで、ID/パスワード不要の
ネットワーク接続認証が可能になる。
ID/パスワードの情報漏えい、なりすましに対する有効な手段だが、
一台一台のPCに証明書を発行するのはそれなりに手間である。
利用するかどうかは、ネットワークの重要度次第であろうか。

コメント


管理者にだけ表示を許可する
 

 

トラックバック

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。