802.1x認証
802.1x認証 > 802.1x認証経験を作ろう! > お知らせ
ブログ「はじめての802.1x認証」 http://8021x.seesaa.net/
Googleで、再び上昇中!2008年3月25日時点3位(過去最高位1位)、
Yahoo JAPANでは、2008年3月25日時点、再び最高位1位を記録しています。
ルート証明書・CAサーバー・IASサーバー証明書・コンピューター証明書・ユーザー証明書
■802.1x認証クイズ
「あなたは、ルート証明書のインストールを食い止めることができますか?」
では、次は、
ルート証明書の問題です。
アタックチャンス!
Q1.新入社員の人が次のサーバーを、次の案件検証のために、
インストールしようとしています。
許可が出たので、社内LANに接続しても良いと連絡がありました。
OS : Windows 2003 Server Standard Edition
CA : Enterprise CA
あっ!ワークグループから
ドメインに参加しようとしています。
このまま、社内ドメインに参加させると
ルート証明書が、クライアントPCに自動で配布されてしまいます。
自動でインストールされるのを
「先輩として」防がねばなりません。
さあ、どうしますか?
急がねば、社内PC全てに
ルート証明書が配布されてしまいます。
社内環境は、
すべてWindow 2003 ServerによるDCサーバーで、
ADドメインが、既に構築済みと仮定します。
答えは、「バンビーノ」最終回と同じ
来週の水曜日。
※この問題は、2007年6月13日に作成されました。
もとい、答えは、明日です。
■解答です。
そのまま答えを書いてもいいんですが・・。
ちょっとは、自分で調べたり、
マシンを触って欲しいと思うので、
参考URLを記しておくことに
しようかと思いつついつ・・・。
●解答
グループポリシーがありますね。
特にドメイン全体に影響するのが、
ドメインセキュリティポリシーです。
この中に、「コンピューターの構成」
「ユーザーの構成」というのがあります。
「証明書の自動登録」は
デフォルトでオンです。
これを無効にします。
・コンピューターの構成
・ユーザーの構成
両方、無効にしないと意味がありません。
では、親切心で、これにも関係する
必須URL(必須ドキュメント)を教えます。
★
http://www.microsoft.com/windows/products/windowsxp/default.mspx
Enterprise Deployment of IEEE 802.11 Using Windows XP and Windows 2000 Internet Authentication Service で検索すると、
表示されます。
ここでダウンロードできる
「Wired_depl.doc」というワードファイルの
P20に、手順があります。
英語ですが、簡単でしょう。
802.1xをしたり顔で語っているのに、
これ読んだことのない人は、
ウサンクサイ奴と思って間違いないかも(^^)。
EAP-TLS認証・PEAP認証
日経NETWORK2007/6
日経NETWORKは、過去の雑誌内容が、1枚のDVDでまとめられて販売されています。特集記事や連載は、創刊当時のものでも、今も通用する内容が多いので、読む価値があります。
自費で購入しても、元がとれるほど、濃い内容です。それが無理なら、会社費用で購入してもらいましょう。誰のためでもなく、あなた自身のためになります。
私は、創刊号よりずっと定期購読していますが、元は十分採れています。
数ある月刊誌の中で、定期購読「し続ける」価値があった雑誌は、これくらいだったとも言えます。
証明書の自動配布と手動配布
■証明書の自動配布と手動配布1
・コンピューター証明書
・ユーザー証明書
・サーバー証明書
他にも色々と証明書の種類があります。
802.1x認証の環境を導入しようとすると、
・証明書を
・サーバーやクライアントPCに
・配布する
必要があります。
配布方法には、2種類あります。
1.自動
2.手動
当然、誰もが、自動を望みますよね。
手動だったら、「導入、やーめた」ってなるのが、
オチですもんね。(^^)
ここでは、例として
Windows 2003 ServerによるActive Directory環境を
想定して、話を進めます。
※その方が、話が、はやいですから。
802.1x認証による認証LANを導入したい、という
場合に、まっさきに候補にあがるのは、
EAP-TLS です。
EAP-TLSを使い、
マシン認証&ユーザー認証を行うのが、
「理想」
として、取り上げられていることが多いです、
が、実際は、どうなのでしょう?
では、順を追って、考えてみましょう。
■証明書の自動配布と手動配布2
ここ数年、802.1x認証が語られる時、
必ず繰り返されていたのが、
EAP-TLSを使うのが、一番セキュリティ的に
安心である。
こういう文面だったように
思います。
この手の内容を書いているのが、
実務から離れている人であるケースは
多かったと思います。
少なくとも、実導入・運用といった
仕事に関わる人ではなかったですよね。
なので、こういった人の書いた記事は
802.1xの仕組みや、簡単な構成図を
書くことはできても、
・Windowsマシンへの証明書の展開
・証明書の更新
・802.1x認証可能なスイッチ
その安定度(^^)
などには、一言も触れてませんでした。
Windowsマシンでは、マシン認証が事実上必須である。
ゆえ、必然的に、
マシン証明書(コンピューター証明書)を
各PCに入れないといけない。
その上で更にユーザー証明書を入れる・・・?!。
聞いただけで、非常に面倒くさい作業です。
また、運用となると、
常にPCに対するOS再インストールが
発生します。
この時、
コンピューター証明書+ユーザー証明書を
どのようにインストールするのか?
既に社内に802.1x環境が導入されていたら?
冒頭で述べたように、
雑誌などで802.1x認証を、
したり顔で解説していた人達は、
こういう現実を知らない人ばかりだったのでは?
と思います。
合わせて、ユーザー証明書を
グループポリシーで自動的に、
クライアントPCに登録可能なのは、
Windows 2003 Enterprise Editionのみでした。
必然的に、
「だったら、マシン証明書だけでいいやん」
という方向に進みます。
そんなわけで、無線・有線ともに、「コンピューター証明書だけ」で
802.1x認証を運用しているところが多いわけです。
■問題:証明書配布に使用されるプロトコルは?
ここ最近、毎日
問題シリーズである。
さすがに、
毎日ブログするのは
面倒になってきた。
3日に1回にするか・・・・。
■問題
おなじみのWindows Serverによる
CAサーバーを構築した。
ここではコンピューター証明書が
自動配布されるとする。
どんなプロトコルで、
証明書が配布されるでしょうか??
これも、
即答できる人は、
何らかの構築経験はあるのだろうと
思います。
まさか、手動配布なんて
行ってないと思いますので・・・。
さあ、あなたの答えは?
■解答:証明書配布に使用されるプロトコルは?
3日休む予定だったが、
まあ、気にせず、書くとしよう
ところで、見当がついた人は
あまりいないのでは?と思います。
一度でも証明書を見たことがあれば、
「えっ?」と思わず口にすると
思うのですが。
■解答
LDAP。
そう、パケットをキャプチャーすると
わかります。
もちろん、グループポリシーで
証明書の自動登録を有効化していることは
言うまでもありません。
Wiresharkでキャプチャーすると、
LDAPでSearchしているのが
すぐにわかるでしょう。
で、ADデータベースの
「あるコンテナ」をしきりに検索しているのです。
★ちなみに、「あるコンテナとは?」で
次回の問題にします(^^)/。
該当する「証明書」の情報
例:有効期限、サブジェクト名、シリアル値etc
などが、次々と
LDAP検索の結果としてクライアントに
送信されているのが、見えるはずです。
ということで、
Windowsドメインのログオンを
キャプチャーしていると、
DNS、LDAP、SMBが非常によく
使われているのが理解できると思います。
一度のぞいてみましょう。
802.1xやるときは、
Windowsドメインの認証シーケンスを
追うのは、必須ですよ。
参考
