真鍋 浩 日本IBM ネットワーク・サービス事業部 技術推進

写真1 クライアント・パソコン上でのIEEE802.1xの設定画面
写真は米シスコ・システムズの「Aironet」の設定例。 「Use Windows User Name and Password」を選べば,WindowsドメインのユーザーIDとパスワードをIEEE802.1x認証に流用できる。
図2 B社は1回の入力操作でIEEE802.1xの認証とWindowsドメインへのログインを同時にできるようにした
IEEE802.1xの認証サーバー上で,外部DBとしてWindowsのドメイン・コントローラのユーザー管理用DBを指定。クライアント側でも,IEEE802.1xの設定で「WindowsのユーザーIDとパスワードを使用する」を有効にした。これにより,ユーザーID/パスワードの入力操作は1回で済むようになった。

各クライアントのソフトを設定変更

 そこでB社は,無線LANの設定を見直すことにした。

 B社が採用した無線LANのアクセス・ポイントは,IEEE802.1xのユーザー認証にLEAPを採用する製品だった。LEAP対応の無線LANカードを使う場合,Windowsドメインにログインする際のユーザーIDとパスワードを,LEAPの認証にも流用できる。

 設定は簡単だった。クライアントにインストールした無線LANカードのユーティリティ・ソフトを開き,そこで,「Use Windows User Name and Password」を選ぶだけ(写真1[拡大表示],図2[拡大表示])。こうすることで,クライアント・パソコンでは,WindowsドメインへのログインとIEEE802.1xの認証のためのユーザーIDの入力を一つの画面で済ませられるようになった。

 この設定は各クライアントごとに施す必要がある。B社は,エンドユーザー向けに配布する社内ネットワーク使用マニュアルの中に,「Windowsドメインへの入力と無線LANの認証を1回で済ませる設定方法」を新たに追加記載することにした。

認証サーバーと外部DBを連携

 ただ,クライアントの設定だけでは済まなかった。というのも,B社ではLEAPの認証で使用していたユーザーIDとパスワードが,Windowsドメインの認証で使用していたものと異なっていたからだ。このため,IEEE802.1x用の認証サーバーで,Windowsドメインで使用しているユーザーIDとパスワードへすべて一から変更し直さなければならなかった。

 これはシステム担当者にとって大きな手間。しかも,無線LANのユーザーを追加するたびに,IEEE802.1x用のデータベースにユーザーの追加や削除などを行わなければならない。

 そこでB社は,既存のWindowsのドメイン・コントローラが持っているユーザーDB(データベース)のユーザー登録情報を使って,認証サーバーでLEAPの認証ができるように設定を工夫した。

 B社が採用した認証サーバーは,ユーザー登録情報として,外部のDBのデータを参照する機能を装備していた。そこで,認証サーバー上の設定で「外部DBとしてWindowsドメイン・コントローラを使用する」という設定を追加。これにより,システム部門に大きな負担をかけることなく,エンドユーザーの操作性を高められた。