PEAP MSCHAPv2導入前の考慮点や検討点
PEAPでは、サーバーの認証には証明書が、ユーザの認証には主にユーザID/パスワードが用いられる。
ユーザID/パスワードは、Windows端末+Active Directory環境であれば、コンピュータのクレデンシャルも利用できるため、端末認証としても利用できる。
ネットワーク認証でPEAPを使う場合、メリットとして下記が挙げられます。
- TLSが利用できるのでセキュリティが高そう
- 個別のアカウントを利用した認証が利用できる
- すでに組織で利用しているActive DirectoryやLDAP(パスワード属性に注意)のクレデンシャルが利用しやすい→やっぱりこのあたりが便利
注意点(クレデンシャルまわり)
- Windows端末+Active Directory環境であれば端末認証も可能だが、タブレットなどで持ち込み端末を防ぎたければ別の仕組みが必要
- LDAPの情報を利用する場合では、パスワード属性は平文または(確か)lmハッシュパスワード属性が必要。LDAPあるよ→即ちPEAP利用できるとはならない
注意点(Windowsとか)
- Windows端末+Active Directory環境であれば端末認証できるやん。といいつ、「Windows端末の設定パターン+どのタイミング/条件でその認証が走るか?」を確認して検討しないと悲劇が起こる
- Active Directoryのユーザ/パスワード使える。が、使おうとするRadiusサーバは、「EAP-MS-CHAP v2 のパスワード変更機能」に対応しているかどうか(そもそもそれが必要かどうか)
- 会議室とか席から離れたときの無線接続とか主に使いましょう、であれば良いが。「今ある環境の接続、有線とかもすべてPEAPにしよう!」とかしているならば、ログオン前通信を検討して検証する。このあたり、
Windows 7 標準サプリカントによる無線のログオン前認証(PEAP) | Soliton Lounge(ソリトンラウンジ)とか。でも検証は絶対必要。環境によってWindows起動時のつくりこみは違うはず。
シンプルなWebスクレイピングとして
htmlから目的の部分がはっきりしていて、それが一意に決まって、後に特に処理も必要無いのであれば、Linuxでシェルスクリプトがやぱり楽なのではないかという。
例えば、都営地下鉄から浅草線の運行情報を取りたい場合、
wget -O - http://www.kotsu.metro.tokyo.jp/subway/schedule/ | grep -A 1 "class=\"asakusa\"" | sed -e 's/<[^>]*>//g' | sed -e 's/://g'
もとのhtmlには、
<th class="asakusa">浅草線:</th> <td>現在、15分以上の遅延はありません。</td>
という部分があって、2行(もしかして遅延したときは変わるのかな?)。路線を表す部分は一意。それらの部分を取り出し→タグ削除→コロン削除。
結果は、
浅草線 現在、15分以上の遅延はありません。