IEEE802.1Xは,パソコンを認証してから,LANに接続するための技術である。当初は,無線LANのアクセス・ポイントが通信するパソコンを認証するという用途で注目を集めたので,「無線LAN向けの技術」と思っている人がいるかも知れないが,それは誤解。IEEE802.1Xは有線のイーサネットでも使える技術だ。実際,「検疫ネットワーク」と呼ばれる技術の中核として802.1X対応の認証LANスイッチが使われ始めている。
一般的なLANスイッチはケーブルをポートに接続するとすぐLANにつながる。しかし,802.1Xに対応したLANスイッチは,ケーブルを接続してもすぐLANにつながない。接続されたパソコンを認証し,正しい利用者であると確認してからLANにつなぐ。認証によってLANスイッチの接続ポートを開けたり閉めたりする。この動作は,無線LANのアクセス・ポイントでも同じである。
IEEE802.1Xを利用するために必要な要素は三つある(図)。
一つめの要素は,IEEE802.1Xに対応したLANスイッチや無線LANアクセス・ポイントである。これらは802.1X用語で「認証装置」や「オーセンティケータ」と呼ばれる。パソコンと認証のやりとりを行い,その結果に応じて接続ポートを開閉する機能を持っている。
二つめは,認証を受けるパソコンにインストールしておく認証クライアント・ソフトだ。こちらは「サプリカント」と呼ばれる。Windows 2000(SP4以降)やWindowsXP,Mac OS Xなどはサプリカント機能を標準で搭載している。サプリカントの役割は認証に必要な情報を決められた手順にしたがってやりとりすること。認証が成功すると,ネットワークへ接続される。
三つめは,認証情報からLANへの接続を許可するかどうかを判断する「認証サーバー」である。認証装置はサプリカントから受け取った認証情報を認証サーバーに転送し,判断を仰ぐのである。この認証サーバーの正体は,802.1Xを含めたいろいろな技術と連携して認証すべきユーザーを集中管理するのに使われているRADIUS(remote authentication dial-in user service)サーバーである。
続いて,IEEE802.1Xの認証手順を見ていこう。
パソコンが認証装置につながるところからIEEE802.1Xの処理が始まる。まず,パソコンのサプリカントが認証の開始を要求するメッセージの入ったMACフレームを送る。ここで使われる認証方式は,EAP(extensible authentication protocol)という枠組みに則ったものになる。EAP-TLS(EAP - transport layer security)やPEAP(protected EAP)などが該当する。EAPのメッセージを受け取った認証装置は,これから使う認証方式を通知するEAPメッセージを返信する。
次からが実際の認証になる。サプリカントから送られたEAPメッセージは,認証装置を経由して認証サーバーに送られる。この間,認証装置はEAPメッセージの中継装置として働く。サプリカントと認証装置は,EAPメッセージをMACフレームに直接乗せて1対1でやりとりする。一方,認証装置と認証サーバーの間はIPを使って通信する。つまり,認証装置はサプリカントから受け取ったMACフレームからEAPメッセージを取り出し,IPパケットに乗せ換えているのである。認証装置は,やりとりされている情報の内容には関知しない。認証自体はサプリカントと認証サーバーの間で直接実行される。
認証のプロセスが終わると後処理に入る。まず,認証サーバーが認証装置に対して結果を通知するEAPメッセージを送る。認証に成功したケースでは,必要に応じて,暗号化に使う暗号鍵の材料やパソコンが所属するVLAN(virtual LAN)の情報などもいっしょに送られてくる。
認証サーバーから認証成功メッセージを受け取った認証装置は,サプリカントに認証成功のメッセージを送ってパソコンをLANに接続する。認証に失敗した場合は,そのパソコンをLANに接続しない。こうして,認証によりLANの利用を制限するわけだ。
| ||
|
