IEEE(アイトリプルイー)802.1Xは,パソコンを認証してから,LANに接続するための技術である。当初は,無線LANのアクセス・ポイントが通信するパソコンを認証するという用途で注目を集めたので,「無線LAN向けの技術」と思っている人がいるかも知れない。
だが,それは誤解だ。IEEE802.1Xは有線,無線を問わずに使える(写真1-1)。実際「検疫ネットワーク*1」と呼ばれる技術の中核として802.1X対応の認証LANスイッチが使われ始めている。
|
|
| 写真1-1●低価格な無線LANアクセスポイントやLANスイッチでIEEE802.1X対応製品がある 市場価格が1万円を切るコレガ「CG-WLAPGMN」 11a/11g両対応でPoEで給電できるアイコム「AP-50」 802.1X対応で定価10万円台のアライドテレシス「8324XL」 |
ポート単位で接続をオンオフ
一般的なLANスイッチはケーブルをポートに接続するとすぐLANにつながる。しかし,802.1Xに対応したLANスイッチは,ケーブルを接続してもすぐLANにつながない。接続されたパソコンを認証し,正しい利用者であると確認してからLANにつなぐ。認証によってLANスイッチの接続ポートを開けたり閉めたりするわけだ。
この動作は,無線LANのアクセス・ポイントでも基本的には同じ。無線LANでは,パソコンがアクセス・ポイントを発見すると,まず電波を使って相互に通信できる状態にする。これを「アソシエーション」と呼ぶ。802.1X対応のアクセス・ポイントは,アソシエーションが作られた段階で認証を行い,パソコンに対してLANへの接続を許可するかどうかを決める。
同じアクセス・ポイントに接続していても,それぞれのパソコンは独立したアソシエーションを作っている。LANスイッチに例えると,別々の接続ポートにつなぎ込んでいるイメージだ。このため,802.1X対応のアクセス・ポイントはパソコンを別々に管理し,LANに接続するかどうかを決められる。
「サプリカント」と呼ぶソフトで認証
ここまで理解したところで,あらためてIEEE802.1Xを利用するために必要な機器やソフトを見てみよう(図1-1)。
|
|
| 図1-1●IEEE802.1Xを構成する三つの主役 IEEE802.1Xはパソコンを認証してからLANに接続するための技術である。この技術は「サプリカント」,「認証装置」,「認証サーバー」の三つが連携して機能する。利用する認証手法によってはCA(認証局)が必要になる。 [画像のクリックで拡大表示] |
中心にあるのはもちろん802.1Xに対応したLANスイッチや無線LANアクセス・ポイントである。これらは802.1X用語で「認証装置」や「オーセンティケータ」と呼ばれる。パソコンと認証のやりとりを行い,その結果に応じて接続ポートを開閉する機能を持っている。
認証を受けるパソコンには,「サプリカント*2」と呼ばれる認証クライアント・ソフトが必要になる。Windows 2000(SP4以降)やWindowsXP,Mac OS Xなどはサプリカント機能を標準で搭載している*3。
サプリカントの役割は認証に必要な情報を決められた手順にしたがってやりとりすること。認証が成功すると,ネットワークへ接続される。
ユーザー情報はサーバーが保管する
認証装置はサプリカントから受け取った認証情報を「認証サーバー」に転送する。接続を許可するかどうかを判断してもらうためだ。
認証サーバーの正体はRADIUS(ラディウス)*4サーバーである。RADIUSは,802.1Xを含めたいろいろな技術と連携して認証すべきユーザーを集中管理するのに使われている。
802.1X認証を利用したネットワークを構築するときには,以上の三つに加え,認証局(CA)*5が必要になる場合がある。認証局自体は802.1Xの認証プロセスとは直接関係しない。しかし,認証の信頼性を十分にするために,認証局が発行するディジタル証明書*6を利用することがあるからだ。
ポイント
●―IEEE802.1Xは,LANスイッチや無線LANアクセス・ポイントに接続するユーザーを認証する技術
●―サプリカント,認証装置,認証サーバーの三つが連携して,認証作業を行う
