IEEE802.1Xとは（その2）

　前の「IEEE802.1Xとは（その1）」の続きです。ここでは、IEEE802.1Xの補足説明とメリットについて説明していきます。

　RADIUSは、「Remote Authentication Dial In User Service」の略で「ラディウス」と読みます。もともとはRAS（Remote Access Server）のユーザー認証のために開発されていたプロトコルです。

　RADIUSは、認証（Authentication）、承認（Authorization）、アカウンティング（Accounting）の3つの機能を提供します。この3つの機能は、頭文字をとってAAAモデル（トリプルエー）と呼ばれています。

Ciscoルータを設定する際には、「aaa」コマンドで設定してゆきます。

　RADIUS、UDPで実装されるので、TCPにおけるセッションの確立などの手続きが省略されます。ポート番号は、認証用に1812（古い実装：1645）、アカウンティング用に1813（古い実装：1646）を使用します。クライアントが要求し、サーバが、それに応答します。

　IEEE802.1Xを導入することによって、スイッチや無線LANアクセスポイントの後ろに配置するRADIUSサーバで、ユーザー認証に関する処理を任せることができます。

　スイッチや無線LANアクセスポイントは、RADIUSサーバからの指示で、接続／切断を行うことが可能になり、より強固なユーザー認証を行うことが可能になります。

●セキュリティレベルの高い認証方式が利用可能

　PPPのように、あらかじめ双方で、どの認証プロトコルを使うかを決めずに済みます。RADIUSでは、リンクの確立段階で認証方式を決定しないEAP認証方式を使用します。

この仕組みにより、任意の認証プロトコルが使えるようになっています

　次のような、より強固なユーザー認証方式が利用できます。EAP-TLS認証では、電子証明書を利用した認証を行うことが可能になります。

認証方式	認証方法		特徴
認証方式	認証方式	クライアント	特徴
MD5	なし	パスワード	サーバ認証がありません。認証システムの運用が楽ですが、固定パスワード運用のため脆弱性に心配が残ります。CHAP同様に辞書攻撃に弱い。
Lightweight EAP	パスワード	パスワード	Cisco Systems社の独自仕様。処理負荷が軽く双方向認証が可能ですが、こちらも辞書攻撃に弱い。
Tunneled TLS	電子証明書	パスワード	Funk社独自仕様。
PEAP	電子証明書	パスワード	Transport Layer Security (TLS) を使用して、ワイヤレスコンピュータなどのPEAPクライアントと、RADIUS サーバ間でチャネルを確立し、暗号通信を行う。
TLS	電子証明書	電子証明書	電子証明書を利用したPKI認証を採用しています。堅牢な認証を行うことが可能であるが、電子証明書の運用やサーバ側の負荷が大きい。

●ユーザーアカウントに基づいた制御が可能

　ユーザーのアカウント情報を基づいて、きめ細かいシステム制御が可能です。例えば、ユーザーごとに接続するVLAN情報をオーセンティケータに転送して、ユーザーにVLANを割り当てることができます。

●ユーザー認証の集中管理が行える

　RADIUSサーバを導入することで、ユーザー認証の集中管理が可能になります。無線LANアクセスポイントで認証を行う場合、多数アクセスポイントがあると運用管理のオーバーヘッドが高くなってしまいます。

　また、認証処理は、負荷がかかるため、RADIUSサーバに認証を任せることで、アクセスポイントの負荷を軽減させ本来の機能に専念させることができます。

●既存のアカウント情報を利用できる

　Active Directoryドメインなどのディレクトリサーバと連携が可能で、既存のアカウント情報をそのまま利用することができ、運用効率を高めることができます。

　RADIUSサーバを導入して、ユーザー認証を集中管理するということは、障害が発生した場合、その影響が広範囲に及ぶということを意味します。

　シングル・ポイント・オブ・フェイラーを最小にするために、場合によってはRADIUSサーバの冗長化が必要になります。

　次の「IEEE802.1X（Windows XP・Vistaの設定）」では、Windows XPやWindows VistaにおけるIEEE802.1Xの設定方法について紹介していきます。