全1298文字
PR

重視するポイントで使い分け

 IEEE 802.1X認証ではEAPというプロトコルで認証を実施する。EAPでは、EAP-TLSとPEAPの主に2つの方式がよく使われている(表1)。

表1●EAPの主な認証方式
EAPには、「EAP-TLS」「PEAP」という主に2種類の認証方式がある。サーバーの認証にサーバー証明書を使う点は共通しているが、クライアントの認証方法が異なる。
表1●EAPの主な認証方式
[画像のクリックで拡大表示]

 EAP-TLSでは、まず認証局(CA)がルート証明書をクライアントとサーバーに配布し、クライアントにクライアント証明書、認証サーバーにサーバー証明書を発行する(図2)。クライアントではルート証明書を使ってサーバー証明書が正しいかどうかを検証する。同様にサーバーではクライアントを認証する。

図2●EAP-TLSの認証手順
図2●EAP-TLSの認証手順
EAP-TLSでは、サーバー証明書とクライアント証明書を利用する。クライアントがサーバー証明書で正しいサーバーかどうかを確認し、サーバーがクライアント証明書で正しいクライアントかどうかを確認する。
[画像のクリックで拡大表示]

 サーバーとクライアントの両方の認証に電子証明書を利用するため安全性が高い。その半面、クライアントとサーバーの両方に証明書が必要で運用負荷が高い。

 一方、PEAPではサーバー証明書を使ってサーバーを認証し、その後IDとパスワードでユーザーを認証する(図3)。ユーザー認証は、暗号化した通信路(暗号化トンネル)を介して実施する。

図3●PEAPの認証手順
図3●PEAPの認証手順
PEAPでは、クライアントがサーバー証明書とルート証明書を使って正しいサーバーかどうかを確認し、その後でIDとパスワードを使ってユーザー認証を実施する。ADと連携するとADのアカウントをユーザー認証に利用できる。
[画像のクリックで拡大表示]

 このユーザー認証では、Active DirectoryのIDとパスワードを流用できる。ユーザーがWindowsにログインしていれば、IDとパスワードを入力せずに無線LANに接続できる。

 運用の負荷を考えるとPEAPが有利だが、PEAPではクライアントにスマホなどを利用する際にセキュリティー面で懸念がある。安全性と利便性のどちらを重視するかが選択のポイントになる。

▼EAP
Extensible Authentication Protocolの略。
▼TLS
Transport Layer Securityの略。
▼PEAP
Protected EAPの略。
▼2つの方式
他の方式としては携帯電話のSIMカードを利用するEAP-SIMなどがある。
▼CA
Certifi cate Authorityの略。
▼セキュリティー面で懸念
スマートフォンやタブレットでPEAPによる認証を行う場合、そうした端末がルート証明書を持っていなくても、サーバー認証を省略して認証サーバーに接続できる仕様になっていることがある。
▼安全性
PEAPにMACアドレス認証を組み合わせて安全性を高めるといった方法もある。