サプリカントはグループ・ポリシーで設定する
△ 図をクリックすると拡大されます |
図1●Windows XP(SP2)上で無線LANのセキュリティ設定を行う |
△ 図をクリックすると拡大されます |
図2●グループ・ポリシー・オブジェクト・エディタによる無線LANのセキュリティ設定 |
Windows XPでIEEE 802.1x認証を行うには,次のような設定をすることになる。
まず,[ワイヤレスネットワーク接続のプロパティ]画面を開き,[ワイヤレスネットワーク]タブに切り替え,[プロパティ]ボタンをクリックする(図1-1)。現れた画面を[認証]タブに切り替えて,[EAPの種類]の項目でプルダウンによって,[スマートカードまたはその他の証明書]か[保護されたEAP(PEAP)]を選択する。前者がTLSで,後者がPEAPである(図1-2)。
[スマートカードまたはその他の証明書]を選択した場合は,証明書のプロパティ画面が現れる(図1-3)。ここで証明書の詳細であるクライアント証明書およびサーバー証明書を選択する。
[保護されたEAP(PEAP)]を選択した場合は,いったん[保護されたEAP(PEAP)のプロパティ]画面が表示される(図1-4)。ここでクライアント証明書を使用する場合は[認証方法を選択する]の項目で,[スマートカードまたはその他の証明書]を選択し[構成]ボタンをクリックすると,TLSと同じ証明書のプロパティ画面が現れる(図1-3)。また,クライアント証明書を使用しないPEAPの場合,認証にWindowsのユーザー名とパスワードを使うかどうかを選択する(図1-5)。
これらの設定は,Windows Server 2003 Service Pack 1でも,グループ・ポリシー・オブジェクト・エディタから可能である(図2-1~図2-8)。
RADIUSとユーザー・アカウントを設定する
△ 図をクリックすると拡大されます |
図3●インターネット認証サービスのインストール |
△ 図をクリックすると拡大されます |
図4●RADIUSクライアントの設定画面 |
△ 図をクリックすると拡大されます |
図5●リモート・アクセス・ポリシーのインストール手順 |
最初にコンポーネントをDCにインストールする。無線LANのAPとDCが直接通信することに,セキュリティの観点から慎重になる場合,別のIASサーバーをプロキシとして用意し,そのIASを経由させることも可能だ。
インストールは非常に簡単だ。[プログラムの追加と削除]から[Windowsコンポーネント]を選択,[ネットワークサービス]−[インターネット認証サービス]を選択実行する。
その後,Active DirectoryへのIASの登録が必要となる。この操作はスタート・メニューで[管理ツール]−[インターネット認証サービス]を選択して,現れるコンソール画面で設定する(図3)。
インストール後はRADIUSクライアントの登録を行い,アクセス許可を与える。インターネット認証サービスのコンソール画面で,[RADIUSクライアント]のアイコンを右クリックして現れたメニューから[新しいRADIUSクライアント]を選択する(図4-1)。登録画面が現れたら,任意のフレンドリ名とRADIUSクライアント(無線LANのAP)のIPアドレスを指定し,別の画面でクライアント・ベンダーにRADIUS Standardを選択,共有シークレットを設定する(図4-2~4-3)。
続いてアカウントへのアクセス許可の設定も必要となる(図5-1~図5-8)。インターネット認証サービスのコンソール画面から[リモートアクセスポリシー]のアイコンを右クリックし,現れたメニューから[新しいリモートアクセスポリシー]を実行して,ウィザードを呼び出し,ポリシー名を定義したり,許可するグループ,認証方式を選択すれば,ウィザードは完了する。
Windows標準機能で証明書を発行させる
△ 図をクリックすると拡大されます |
図6●認証機関(CA)のインストール |
△ 図をクリックすると拡大されます |
図7●証明書テンプレートの作成方法 |
Windowsの証明機関(CA)はエンタープライズおよびスタンドアロンの2種類から選択できる。ドメイン環境で証明書を使用する場合は,エンタープライズCAを選ぶとよいだろう。なお,エンタープライズCAを使用する場合,CAをDCにインストールしなくてはならないので注意が必要だ。
また,よりセキュリティを強化するためには,実際に証明書を発行する下位CAと,証明書を管理するルートCAを分ける必要がある。今回はエンタープライズのルートCAのみを構築しているので,必要に応じて手順を追加してほしい。
CAをインストールするには[プログラムの追加と削除]から[証明書サービス]を選択し,すべての項目をインストールする。インストールには,Internet Information Services(IIS)とそのWWWサービスが必要になる。
インストールされていない場合は,2つを同時に追加する。続いてエンタープライズのルートCAを選択し,識別情報,証明書のデータベースを保存する領域を指定する(図6-1~図6-3)。
次のステップは,証明書をクライアントへ配布することだ。証明書ファイルのコピーとインポートが必要となる。DCが,Windows Server 2003, Enterprise Editionで構成されているなら,自動配布を行うと便利である。自動配布を行うには,証明書テンプレートを作成し,それをグループ・ポリシーで配布する。
証明書テンプレートの作成方法は次の通りだ。まずスタート・メニューの[管理ツール]から[証明機関]を起動し,証明書テンプレートを右クリックし[管理]項目を選択する(図7-1)。[証明書テンプレート]画面が表示されるので,自動配布したい証明書テンプレートを選択し,右クリック・メニューから[テンプレートの複製]を実行する(図7-2)。複製実行後に表示されるプロパティ画面からテンプレート名を設定し,[Active Directoryの証明書を発行する]のチェックを行う(図7-3)。続いて[Domain Users]などの必要なグループへ[自動登録]の許可を与える(図7-4)。
グループ・ポリシーの設定は次の通りだ。まず,[Active Directoryユーザーとコンピュータ]からグループ・ポリシー・オブジェクトを作成する。続いて[ユーザーの構成]−[Windowsの設定]−[セキュリティの設定]−[公開キーのポリシー]を開き,右側のペインから[自動登録の設定]をダブル・クリックする(図7-5)。表示される画面から[証明書を自動的に登録する][有効期限が切れた証明書を更新,保留中の証明書を更新,および破棄された証明書を削除する][証明書テンプレートを使用する証明書を更新する]をチェックする(図7-6)。
手動で証明書を発行する場合は,証明書サービスのインストールされたマシンから「http://localhost/certsrv/」にアクセスし,証明書を要求する。