図3 IEEE802.1X認証を使うとハンドオーバー時に通信が一瞬途切れる<br>802.1X認証は,端末とAP 間で認証するため,AP が切り替わるハンドオーバーが発生すると再認証が必要になる。無線IP電話では音声が途切れるといった現象が起こる。
図3 IEEE802.1X認証を使うとハンドオーバー時に通信が一瞬途切れる<br>802.1X認証は,端末とAP 間で認証するため,AP が切り替わるハンドオーバーが発生すると再認証が必要になる。無線IP電話では音声が途切れるといった現象が起こる。
[画像のクリックで拡大表示]
図4 802.1X認証とWindowネットの認証の併用で問題が発生することがある&lt;br&gt;パソコンは802.1X認証が済まないと社内ネットワークにつながらないので,パソコン起動時にWindowsネットワークの認証を受けられず,利用できなくなるケースがある。そこで,サプリカントの中には,Windowsログインで使うID/パスワードで先に802.1X認証を処理し,その後Windowsネットワークへのログインを処理できるものがある。
図4 802.1X認証とWindowネットの認証の併用で問題が発生することがある<br>パソコンは802.1X認証が済まないと社内ネットワークにつながらないので,パソコン起動時にWindowsネットワークの認証を受けられず,利用できなくなるケースがある。そこで,サプリカントの中には,Windowsログインで使うID/パスワードで先に802.1X認証を処理し,その後Windowsネットワークへのログインを処理できるものがある。
[画像のクリックで拡大表示]

IP電話で1X認証を使うと音が途切れる

 ここでちょっと疑問が出てきた。無線IP電話も802.1X認証に対応しているのだろうか。そこで,無線IP電話対応をうたったAP「MWINS(エムウインズ) BR2100」を開発した沖電気工業IPシステムカンパニーIPシステム開発本部 ハードウェア開発部課長の近藤浩司さんに話を聞いた。無線IP電話でもユーザー認証は可能なんですか?

 「無線IP電話機能を持つNTTドコモの携帯電話機FOMA(フォーマ) N900iLは,実は802.1X認証に対応しています。電子証明書を使うEAP-TLSも可能ですよ」(近藤さん)。へぇ,そうだったんだ。

 「ただし,無線IP電話ではIEEE802.1X認証が問題になるケースがあるんです」と近藤さん。「APをまたがるように移動しながら無線IP電話を使うと,新しく通信を始めるAPとの間で再度認証を行わなければならないので,音声が途切れてしまうんです」(図3[拡大表示])。

 通信しながらAPのエリア間を移動すると,ハンドオーバー*が発生する。IEEE802.1X認証を利用している端末は,ハンドオーバーすると新しく通信を始める認証装置(AP)との間で再度1X認証を行う必要が出てくる。この再認証に時間がかかり,音が途切れてしまうというわけだ。

 そこで,IEEE802.11iでは,ハンドオーバーの時間を短くするための二つのオプション規格を定めている。ハンドオーバーする前に周辺のAPと802.1X認証を済ませてしまう「事前認証」pre-authentication(プレオーセンティケーション)と,認証手順で生成された情報をAP間で共有することで手順の一部を省く「PMKキャッシュ*」である。沖電気がAPで無線IP電話対応をうたったのは,802.1X認証に対応するだけでなく,音切れを最小限に抑えるためにPMK キャッシュをサポートしたからだという*

Windowsネットとの併用で支障あり

 「実は,802.1X認証には,無線IP電話のハンドオーバー以上の問題があったんです」と打ち明けてくれたのは,次に訪ねたソリトンシステムズ 法人営業本部Net'Attest(ネットアテスト)営業推進 シニアコンサルタントマネージャの根本浩一朗さん。ソリトンシステムズは,IEEE802.1X用の認証アプライアンス・サーバー「Net'Attest EPS」で実績のあるベンダー兼システム・インテグレータだ。「802.1X認証をWindowsのActive Directory(アクティブディレクトリ)*と併用すると,Windowsネットがうまく使えなくなるという問題があったんです」(根本さん)。

 そもそも802.1X認証は,ネットワークへの接続の可否を制御するもの。1X認証が完了するまで,社内ネットワークにはアクセスできない。その一方で,Active DirectoryなどのWindowsネットワークを利用している環境だと,パソコンを立ち上げると,まず社内にあるWindowsサーバーに対してWindowsネットへのログインを試みる。つまり,Windowsネットへのログイン処理に先立って802.1X認証が完了していないと,Windowsネットにログインできない。

 LANにつながらないままログインしても,パソコン自体へのログインとして処理されるので,後からWindowsネットを利用しようとしてもうまく機能しない場合が出てくるのだ(図4の上[拡大表示])。

 「この問題は,特にWindows XPの標準サプリカントを使うケースで発生しました」(根本さん)という。

1X認証とWindowsログインを連携

 では,Windowsネットと802.1X認証は併用できないんですか?

 「いえ,そんなことはありません。サード・ベンダーのサプリカントを使えば,Windowsのログイン処理と802.1X認証を連携できますよ」(ソリトンシステムズの根本さん)。

 例えば,ソリトンシステムズが販売するサプリカント・ソフト「1XGate(ワンエックスゲート)」では,パソコン起動時,WindowsへのログインでユーザーがIDとパスワードを入力した時点で一時処理を中断し,802.1X認証を先に動かす。802.1X認証が無事完了し,社内ネットに接続すると,中断しておいたWindowsネットへのログインを再開する(図4の下)。こうして問題を解消しているのである。

 サード・ベンダーのサプリカントを利用するメリットはほかにもある。マイクロソフトがサプリカントを用意しているのはWindows XPと同2000のSP4だけ。ほかのバージョンのWindowsには用意していない。パソコンのOSがWindows XP/2000に統一されていればいいが,Windows98などが混在している環境で802.1X認証を利用するとなると,どうしてもサード・ベンダーのサプリカントに頼らざるを得ないのだ。

 ただし,サード・ベンダーのサプリカントには一つ問題がある。それはコストだ。ソリトンシステムズの1XGateの場合,同社の認証アプライアンス・サーバーと組み合わせたときの値引き価格でも,1ユーザー・ライセンス当たり最大で1800円かかるという。