めずらしく技術ネタのメモ
ちょっと必要があって、市販の WLAN AP で802.1X認証を組み合わせて実験中。
AP: IO DATA WN-APG/A
http://www.iodata.jp/prod/network/wnlan/2004/wn-apga/index.htm
認証サーバ: Free Radius
http://www.freeradius.org/
認証方式: PEAP (MSCHAPv2)
CAたてるのが面倒だったので、PEAP を使ってパスワードベースの認証を利用。クライアントはワイアレス内蔵のWindows Xp、サプリカントはMSの標準のものを使用。認証設定で802.1X認証をONにし、保護されたパスワード(PEAP)を選択、とりあえずサーバ証明書確認はoffにして、方式を MSCHAPに設定したら、あっさり繋がった。
ワイアレスをONにしてしばらくすると、タスクバーからバルーンが出て、それをクリックするとIDとパスワードを聞いてくるので入力。NT domain 欄は空白。すぐに認証が始まり、接続完了。
AP側は、単に 802.1X認証でWEP 128bit を選択するだけ。実際、認証部分はAPはパススルーし、RADIUSサーバとの間で行われる。IO DATAの製品を使用したが、WPAや802.1Xについての説明は、CDで添付されたマニュアルには皆無。まぁ、RADIUSくらい構築できないやつはこんなモードを使うな・・・ってことか。
FreeRadiusは実際よくできていてインストールや設定は簡単。対応する認証方式も非常に多い。手軽にシングルサインオン環境を作るにはいいかもしれない。CISCO LEAPもサポートしているので、脆弱な古いCISCOから新型に切り替えていくようなところでも利用できるかも。ちなみに、PROXY機能もあり、認証をドメインごとに他のRADIUSに振り分けることもできるが、EAP/TLSなどのトンネル系の認証は、かなりトリッキーなことをして実装されているので、うまくいかない可能性もあり。実際、PEAP認証を、別の古いCISCO ACSに振ろうとしたがうまくいかなかった。リクエストをACS側が Bad Request として rejectしてしまうためで、原因は不明。
とりあえず、備忘録メモとして・・・
コメントする