The Cable GuyIEEE 802.1X ワイヤード認証
Joseph Davies
この記事は、Windows Server 2008 のプレリリース版に基づいています。記載されている内容は変更されることがあります。
ネットワーク管理者は、IEEE 802.11 ワイヤレス ネットワークにおける IEEE 802.1X 認証の普及に伴い、この標準をワイヤード ネットワーク接続にも使用することを考えるようになりました。ワイヤレス クライアントでは、検証対象となる一連の資格情報を送信しないとイントラネットにワイヤレス フレームを転送できません。これと同様に、
IEEE 802.1X ワイヤード クライアントでも、スイッチ ポートを使用するには認証が必要です。IEEE 802.1X 認証を使用すると、イントラネットに新たなセキュリティの防壁が設けられます。これにより、正常に認証されないゲスト コンピュータ、悪意のあるコンピュータ、または管理されていないコンピュータがイントラネットに接続することを回避できます。
IEEE 802.1X 認証は、ワイヤード スイッチで既にサポートされている可能性が高いので、必要な作業は、この認証を有効にして構成するだけです。通常、802.1X 対応のスイッチでは、ワイヤード接続の認証と承認にリモート認証ダイヤルイン ユーザー サービス (RADIUS) プロトコルを使用して、Windows Server® 2008 ベースのネットワーク ポリシー サーバー (NPS)、Windows Server 2003 インターネット認証サービス (IAS) サーバーなどの RADIUS サーバーに接続要求情報を送信します。
RADIUS のスイッチを構成したら、802.1X 認証を要求する前に、ワイヤード コンピュータで 802.1X 認証を有効にして構成する必要があります。ワイヤード ネットワーク接続での IEEE 802.1X 認証は、Microsoft® Windows® XP 以降の Windows 製品でサポートされています。ただし、Windows XP と Windows Server 2003 では、各ワイヤード クライアントで 802.1X 認証の設定を手動で構成する必要がありました (この操作は、[ネットワーク接続] フォルダからアクセスできるネットワーク接続のプロパティ ダイアログ ボックスの [認証] タブで行います)。残念なことに、これらの以前のオペレーティング システムでは、ワイヤード クライアントの 802.1X 認証の設定を一元的に構成したり、スクリプトで管理したりすることはできません。
しかし、さいわいにも、Windows Vista® と Windows Server 2008 では、グループ ポリシーによるワイヤード クライアントの設定がサポートされ、Netsh ツールでスクリプトの使用がサポートされているので、ワイヤード クライアントの 802.1X 認証の設定が容易に展開できるようになりました。
グループ ポリシーによるワイヤード ネットワークの設定
ワイヤード自動構成サービスを使用する
Windows XP と Windows Server 2003 では、ワイヤード接続での 802.1X 認証の動作は Wireless Zero Configuration サービスで制御されます。これらのオペレーティング システムでは、Wireless Zero Configuration サービスが既定で有効になっており、ワイヤード ネットワーク接続はパッシブ リッスン モードで、スイッチが認証を開始するのを待機していました。
Windows Vista と Windows Server 2008 でも、ワイヤード接続での 802.1X 認証の動作は ワイヤード自動構成サービスで制御されますが、このサービスは既定で無効になっています。つまり、ワイヤード自動構成サービスを開始するまで、ネットワーク接続のプロパティ ダイアログ ボックスには [認証] タブが表示されません。
Windows Vista または Windows Server 2008 を実行しているワイヤード クライアントでは、サービス スナップインを使用してワイヤード自動構成サービスを開始し、サービスが自動的に開始するように構成できます。ワイヤード自動構成サービスが開始されると、ワイヤード ネットワーク接続がアクティブなリッスン モードで動作します。このモードでは、ネットワーク接続により、スイッチでの認証が開始されます。
Active Directory ドメインの設定を変更する場合は、グループ ポリシーを使用してワイヤード自動構成サービスが自動的に開始されるように構成できます。グループ ポリシー管理エディタ スナップインを使用して、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[システム サービス] を順に展開し、ワイヤード自動構成の設定を自動スタートアップ モードとして構成します。
Windows Server 2008 と Windows Server 2003 の Active Directory® ドメイン サービスでは、ワイヤード ネットワーク設定の構成の一元管理と自動化を実現するために、グループ ポリシーでワイヤード ポリシーの設定をサポートしています。この設定により、ドメイン ベースのグループ ポリシー オブジェクトの [コンピュータの構成] グループ ポリシーの一環として、ワイヤード ネットワークの設定を構成できます。
このワイヤード ポリシーの設定を使用すると、Windows Server 2008 または Windows Vista を実行しているワイヤード クライアントの認証方法や他の 802.1X 認証の設定を指定できます。これらのオペレーティング システムでは、ドメインへの参加時と起動時、また起動後は定期的に、ワイヤード グループ ポリシーの設定が自動的にダウンロードされて適用されます。ただし、Windows Server 2003 の Active Directory ドメインでは、これらの新しいポリシーをサポートするように拡張する必要があることに注意してください。Windows Server 2003 の Active Directory ドメインの拡張方法については、technet.microsoft.com/bb727029 を参照してください。
ワイヤード ポリシーは、グループ ポリシー管理エディタ スナップインの [コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ワイヤード (有線) ネットワーク (IEEE 802.3) ポリシー] ノードを順に展開して構成できます。既定では、ワイヤード (有線) ネットワーク (IEEE 802.3) ポリシーは存在しません。新しいポリシーを作成するには、コンソール ツリーで [ワイヤード (有線) ネットワーク (IEEE 802.3) ポリシー] を右クリックし、[新しい Windows Vista ポリシーの作成] をクリックします。
Windows Vista ワイヤード ポリシーのプロパティ ダイアログ ボックスには、[全般] タブと [セキュリティ] タブがあります。図 1 は、既定の [全般] タブを示しています。[全般] タブでは、ポリシーの名前と説明を設定し、ワイヤード接続での 802.1X 認証の動作を制御するワイヤード自動構成サービスを使用するかどうかを指定できます。詳細については、このコラムの補足記事「ワイヤード自動構成サービスを使用する」を参照してください。
図 1** Windows Vista ワイヤード ポリシーの既定の [全般] タブ **
図 2 は、Windows Vista ワイヤード ポリシーの既定の [セキュリティ] タブを示しています。[セキュリティ] タブでは、複数の操作を行えます。802.1X 認証の有効/無効を切り替えたり、拡張認証プロトコル (EAP) 認証方法を選択して設定したり、認証モード (ユーザーの再認証、コンピュータのみ、ユーザー認証、またはゲスト認証) を選択したり、認証が中止されるまでの試行回数を設定したり、次回接続用にユーザー情報をキャッシュするかどうかを設定したりすることができます。キャッシュが無効になっていると、ユーザーがログオフしたときに、ユーザー資格情報データがレジストリから削除されます。そのため、ユーザーは次回ログオン時に資格情報 (ユーザー名やパスワードなど) を入力する必要があります。
図 2** Windows Vista ワイヤード ポリシーの既定の [セキュリティ] タブ **
[セキュリティ] タブの [詳細設定] ボタンをクリックすると、802.1X 認証とシングル サインオンの詳細設定を構成できます。図 3 は、Windows Vista ワイヤード ポリシーの既定の [セキュリティの詳細設定] ダイアログ ボックスを示しています。[セキュリティの詳細設定] ダイアログ ボックスでは、図 4 に示す 802.1X 認証の設定を構成できます。
Figure 4 [セキュリティの詳細設定] ダイアログ ボックスの 802.1X 認証の設定
設定 | 説明 |
EAPOL 開始メッセージの最大数 | 最初の EAP over LAN (EAPOL) 開始メッセージに対する応答がない場合に続けて送信される EAPOL 開始メッセージの数。 |
保持期間 | 先に送信された EAPOL 開始メッセージに対する応答がない場合に EAPOL 開始メッセージを再送信する間隔。 |
開始期間 | 認証クライアントが、認証システムから認証エラーを受信した後に 802.1X 認証処理を実行しない期間。 |
認証期間 | 認証クライアントが、エンド ツー エンドの 802.1X 認証が開始された後に 802.1X 要求の再送信を待機する期間。 |
EAPOL 開始メッセージ | ワイヤード クライアントが EAPOL 開始メッセージを送信するかどうかを指定し、送信する場合はその方法を指定します。 |
図 3** Windows Vista ワイヤード ポリシーの既定の [セキュリティの詳細設定] ダイアログ ボックス **
Windows Server 2008 を実行しているワイヤード クライアントでは、ワイヤード接続でシングル サインオンがサポートされます。この機能は、間もなくリリースされる Windows Vista Service Pack 1 でもサポートされる予定です。詳細については、technetmagazine.com/issues/2007/11/CableGuy を参照してください。
シングル サインオンの設定には、ユーザー ログオン プロセスの前または後にユーザー レベルの 802.1X 認証を実行する設定と、ユーザー ログオン プロセスを開始するまでのユーザー レベルの 802.1X 認証の待機時間を指定する設定があります。Windows ログオン画面で、統合された入力フィールド以外に、ユーザー レベルの認証用のダイアログ ボックスを表示するかどうかを指定できます。たとえば、ある EAP の種類で、認証中に RADIUS サーバーから送信された証明書をユーザーが確認する必要がある場合、その EAP の種類ではダイアログ ボックスを表示できます。
また、ユーザー レベルの認証の実行後に、システムで、ワイヤード アダプタの TCP/IP 構成の動的ホスト構成プロトコル (DHCP) 更新が行われるように指定することもできます。コンピュータ レベル認証およびユーザー レベル認証のワイヤード クライアントに対して個別の仮想 LAN (VLAN) があり、それらが異なる IPv4 サブネットまたは IPv6 サブネットの場合は、このオプションを選択します。
Netsh ツールでのスクリプト サポート
Windows Server 2008 と Windows Vista では、Netsh ツールの netsh lan コンテキストでコマンドを使用して、ワイヤード設定を構成したり、ワイヤード プロファイルをエクスポートまたはインポートしたりすることがサポートされます (ワイヤード プロファイルとは、名前付きの XML 形式の一連のワイヤード設定です)。ワイヤード設定をコマンド ラインから構成できることにより、グループ ポリシーを使用しなくても、ワイヤード設定を構成する自動スクリプトを作成することで、ワイヤード ネットワークをより簡単に展開できます。[ワイヤード (有線) ネットワーク (IEEE 802.3) ポリシー] グループ ポリシー設定は、Active Directory ドメインにのみ適用されます。グループ ポリシー インフラストラクチャがない環境では、ワイヤード プロファイルを使用してワイヤード接続を自動的に構成するスクリプトを手動または自動 (たとえば、ログオン スクリプトの一部として) で実行できます。
Windows Vista または Windows Server 2008 を実行しているワイヤード クライアントをコマンドラインから構成するには、適切なパラメータを指定して netsh lan コマンドを実行します。たとえば、次のコマンドを実行すると、Local Area Connection という名前のネットワーク接続でのシングル サインオンが有効になり、ユーザー ログオンの前にユーザー認証を実行するようにシングル サインオンが構成されます。
netsh lan set profileparameter interface="Local Area Connection" ssomode=prelogon
netsh lan コマンド構文の詳細については、technet.microsoft.com/aa905084 を参照してください。
XML 形式のワイヤード プロファイルは、Netsh ツールを使用して、Windows Server 2008 または Windows Vista ワイヤード クライアントからエクスポートし、Windows Server 2008 または Windows Vista ワイヤード クライアントにインポートできます。ワイヤード プロファイルをエクスポートするには、netsh lan export profile というコマンドを使用します。また、ワイヤード プロファイルをインポートする場合は、netsh lan add profile というコマンドを使用します。ワイヤード プロファイルの実用的な例については、msdn2.microsoft.com/aa816372 を参照してください。
コマンド ラインと XML 形式のプロファイルのサポートにより、802.1X 認証が採用されている組織のワイヤード ネットワークにワイヤード クライアントをブートストラップできます。ドメインのメンバでないワイヤード クライアント コンピュータは、コンピュータの資格情報を使用してワイヤード ネットワークに接続することはできません。また、コンピュータは、一度ワイヤード ネットワークに正常に接続しないと、ドメインに参加できません。ただし、コマンド ラインと XML 形式のプロファイルのサポートにより、ワイヤード コンピュータは、ユーザーの資格情報を使用して組織のワイヤード ネットワークに接続し、ドメインに参加することができます。詳細については、technet.microsoft.com/bb727031 を参照してください。
Joseph Davies は、マイクロソフトのテクニカル ライターとして Windows ネットワークのトピックに関する講義および執筆を 1992 年から行っています。Microsoft Press から 5 冊の書籍を上梓しており、月間の TechNet Cable Guy コラムの執筆者でもあります。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.