PR
Q

無線LANを導入するに当たり,セキュリティを保つために接続できる端末を制限したいと思います。ただし,新しくサーバーを設置する予算はありません。既存のドメイン環境を使いながら,ユーザーに負担をかけずに実現するには,どのような方法が考えられるでしょうか?

A

今回のケースでは,マイクロソフトが提供するインターネット認証サービス(IAS)を使い,ドメイン・ユーザー・アカウントとクライアント端末のMACアドレスで認証する方法が適しているでしょう。

 IASはWindows 2000以降のサーバー向けWindowsに標準で備わっているRADIUSサーバー機能です。ユーザーの認証や管理にActive Directoryが利用できるため,特別な追加機能を導入せずに利用できます。これを使って,各無線LANクライアントのMACアドレスを使った認証を同時に実行すれば,見知らぬ端末がネットワークに接続することを防げます。MACアドレスを使用した接続認証は,ユーザーに気づかれずに実行できるため,ユーザーへの負担もありません。

MACアドレスでコンピュータを認証
 IASでMACアドレスを使って認証する場合,認証アルゴリズムはPAP(パスワード認証プロトコル)に設定する必要があります。PAPは,ネットワーク上を流れるユーザーIDとパスワードが暗号化されない認証アルゴリズムです。今回の場合は,ユーザー名をMACアドレスに設定すればよいでしょう。

 MAC認証する機器とIASの間ではRA-DIUSクライアントを認証するため,同じパスワードを設定する必要があります。この設定が正しくないと,RADIUSプロトコルで通信できませんので間違えないように設定します。

 これらの設定に加え,忘れがちな設定としてMACアドレス・アカウントのプロパティで,ダイヤルインの許可を設定するという作業があります。このダイヤルインの許可設定をしなければ,IASを使用して認証することはできません。通常は拒否設定になっているので設定を変更しダイヤルインを許可します。

 これでMACアドレスを使った認証に関するサーバーでの設定は完了です。IASを使った無線LANの構築方法についてはマイクロソフトがWebサイトで情報を提供しています(該当サイト)。

 無線LANを利用して認証するには,無線LANのアクセス・ポイント(AP)側にも設定が必要です。この設定方法は各機器で異なるため,ここでは触れません。一般には,APを設定する際にRADIUSサーバーとしてIASを指定すれば,RADIUSユーザー情報とActive Directoryのユーザー情報を同期させて,ユーザーはそれまでと同じアカウントとパスワードが使用できるようになります。

Windows XP高速ログオンを禁止
 MAC認証を使うに当たり,1点注意する必要があります。


△ 図をクリックすると拡大されます
図6●Windows XPのクライアントが存在する場合は,MAC認証が終了してからログオン処理をするようにグループ・ポリシーを設定する

△ 図をクリックすると拡大されます
図7●MAC認証を使った場合のWindowsインターネット認証サービス(IAS)のログ
 Windows XPでは,高速ログオン最適化機能がデフォルトで有効になっています。これは,一部のネットワーク機能について,初期化を待たずにキャッシュの情報を使ってログオン時間を短縮する機能です。Windows XPでこの機能が有効になっていると,MAC認証する前にログオン処理が終了されてしまい,結果的に認証がうまくいかないという障害が発生する場合があります。

 これを避けるには,グループ・ポリシーで高速ログオンを禁止します。グループ・ポリシー・エディタの[コンピュータの構成]-[管理用テンプレート]-[システム]-[ログオン]にある[コンピュータの起動およびログオンで常にネットワークを待つ]という項目を有効にすれば高速ログオンを禁止できます(図6)。

 MACアドレスによる端末の認証が正しくできているかどうかは,IASのログを参照して確認できます(図7)。IASのログはSQL Serverなどのデータベースで管理することもできます。IASのログに関する詳細はマイクロソフトのドキュメントを参照ください(該当サイト)。

 なお,DHCPを使っている場合は,予約アドレス機能でクライアントに付与するアドレス範囲を登録してリース期限を無期限に設定すれば,各端末に付与されるIPアドレスを常に同じものにできます。クライアントの増減があった際に予約アドレスの変更を適切に管理すれば,不正な端末が接続した際にはIPアドレスを受け取れなくなるため,セキュリティを強化できます。予約アドレス機能については,マイクロソフトのWebサイト(該当サイト)を参照ください。

櫻井 敬子