pusuke0418’s diary

異常にマルチタスクな社内SEのブログ

わたしのネットワークエンジニアリング情報収集のブログとかフィードとか

※接続先の安全性等に責任を持つものではありません

  • ネットワークテクニカル?

etherealmind.com
blog.ipspace.net
http://packetpushers.net/packetpushers.net
networkingnerd.net
networkinferno.net
PacketLife.net

  • ネットワークニュース

www.networkcomputing.com

  • 海底ケーブルネタ?とか

www.telegeography.com

  • インフラエンジニアリング含む

High Scalability -
The Netflix Tech Blog
さくらインターネット研究所
blog.father.gedow.net
www.nextplatform.com

  • セキュリティとか

yousukezanさんのまとめ - NAVERまとめ
ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
Threatpost | The first stop for security news
piyolog

  • どろーん

www.droneflyers.com

PEAP MSCHAPv2導入前の考慮点や検討点

PEAPでは、サーバーの認証には証明書が、ユーザの認証には主にユーザID/パスワードが用いられる。
ユーザID/パスワードは、Windows端末+Active Directory環境であれば、コンピュータのクレデンシャルも利用できるため、端末認証としても利用できる。
ネットワーク認証でPEAPを使う場合、メリットとして下記が挙げられます。

  • TLSが利用できるのでセキュリティが高そう
  • 個別のアカウントを利用した認証が利用できる
  • すでに組織で利用しているActive DirectoryLDAP(パスワード属性に注意)のクレデンシャルが利用しやすい→やっぱりこのあたりが便利

注意点(クレデンシャルまわり)

  • Windows端末+Active Directory環境であれば端末認証も可能だが、タブレットなどで持ち込み端末を防ぎたければ別の仕組みが必要
  • LDAPの情報を利用する場合では、パスワード属性は平文または(確か)lmハッシュパスワード属性が必要。LDAPあるよ→即ちPEAP利用できるとはならない

注意点(Windowsとか)

  • Windows端末+Active Directory環境であれば端末認証できるやん。といいつ、「Windows端末の設定パターン+どのタイミング/条件でその認証が走るか?」を確認して検討しないと悲劇が起こる
  • Active Directoryのユーザ/パスワード使える。が、使おうとするRadiusサーバは、「EAP-MS-CHAP v2 のパスワード変更機能」に対応しているかどうか(そもそもそれが必要かどうか)
  • 会議室とか席から離れたときの無線接続とか主に使いましょう、であれば良いが。「今ある環境の接続、有線とかもすべてPEAPにしよう!」とかしているならば、ログオン前通信を検討して検証する。このあたり、

Windows 7 標準サプリカントによる無線のログオン前認証(PEAP) | Soliton Lounge(ソリトンラウンジ)とか。でも検証は絶対必要。環境によってWindows起動時のつくりこみは違うはず。