IEEE 802.1Xは無線LANの認証方式として最も一般的なもの。802.1Xを導入するとき、Active Directoryと連携させるケースは少なくない。ただし単純に併用すると、「ログオンできない」「ポリシーが適用されない」などのトラブルが起こることがある。
モビリティーの向上など業務効率の改善を狙って、無線LANを導入する企業ユーザーが増えている。このとき、セキュリティ確保のために「IEEE 802.1X」(以下、802.1X)による認証を導入するケースが少なくない。一方、有線LANの環境でリソースを一括管理するときは、「Active Directory」(以下、AD)の導入が一般的になりつつある。こうした流れで、802.1XとADを併用するケースは多くなる。
ただし、両者をスムーズに連携させるためには注意が必要である。今回は、801.XとActive Directoryとの連携問題に悩まされた企業ユーザーのトラブル事例を二つ紹介する。
無線LANからログオンできない
A社では無線LANの採用と併せて802.1X認証を導入。高いセキュリティを確保するために、EAP-TLS(Extensible Authentication Protocol Transport Layer Security)方式を採用した。EAP-TLSは、認証の対象となるクライアント端末(サプリカント)と、認証を実施するRADIUS(Remote Authentication Dial In User Service)サーバーが互いに自身の証明書を交換する方式である。
無線LANの導入後、A社ではユーザーやサーバーなどのリソースを一元管理する目的で、ADのドメインコントローラーを追加導入した。すると有線LANのクライアント端末からは問題なくWindowsドメインにログオンできるが、無線LANのクライアント端末からはログオンできないことが判明した(図1)。
原因を調査したところ、次のようなことが分かった。ADの導入前、無線LANのクライアント端末は802.1X認証がOKになった段階で、DHCPによるIPアドレスの割り当てを受け、通信パスを確立していた。
