pusuke0418’s diary

すごく暇なSEのぶろぐ

ネットワーク認証のWeb認証

ネットワーク認証で用いられるWeb認証について概説です。ここでは、スイッチや無線AP/コントローラのようなネットワーク機器で行う認証についてです。

通常、ネットワークの認証は、802.1X, MACアドレス認証, Web認証に大別されます。多くのネットワーク機器の実装もそのようになっています。ただし、「Web認証」というプロトコルのような何かが存在するのではなく、あくまでWeb画面を使った認証、ということで、クレデンシャルの確認には通常RADIUSを利用してPAP/CHAPが、機器によってはLDAP等も利用されます(これはMACアドレス認証も同様です)

Web認証の特徴は、勿論ブラウザを使った方式であるということは前提でありますが、ユーザ名/パスワードでログインすることと、他2つの認証方式とは異なり、レイヤ3の通信で行われる認証であることかと思います。
利用シーンとしては、ホテルや企業、大学等でゲストへのネットワーク接続で提供される場合が多いです。

ブラウザを使った方式。
Webページとしてログイン画面を表示できるので、ロゴやメッセージも表示することができます。例えば、「リスクを承知してつかってね」メッセージとあわせ了承チェックボックスを表示したりも。
ブラウザを使うからといって、ブラウザを閉じたらネットワーク接続も終わるかというと、通常そうではないです。ネットワーク機器側ではMACアドレスIPアドレス等で接続状態が管理されているケースがほぼです。ただし、Webページで認証ログイン後ページにログアウトボタンが表示されるものもあります。それを押すと、ネットワーク機器に通知され切断(ログオフ)されます。

ユーザ認証であること。
証明書の発行とその端末へのインストールや、MACアドレスという固有情報の収集が不要です。ユーザIDの発行のみで利用が可能です。
期間を限定したユーザや、誰が発行したかの証跡を取ることができる機能を持ったRadiusシステムも市場で販売されています。

レイヤ3の通信で行われる認証。
これは、認証を行うために、既に通信ができていなければならないという矛盾した状態を発生させます。ただし、通常はDHCPによるIPアドレスの取得、DNSによる名前解決程度で済む場合が多いです。
多くの場合、ユーザがブラウザを開いてどこかのページを見ようとすると、名前解決を行い、見ようとしたページへのIPアドレスによる通信が発生した段階で、ネットワーク機器は本来の宛先を奪い取るまたはリダイレクトするなどして、Web認証画面をクライアントに表示します。

ゲストの利用が主。
毎度ブラウザを開いて認証しないとネットワークに接続できないということは、企業等組織内のユーザに導入するには、ユーザビリティが下がる行為です。一方で、外部のユーザからは、面倒でも「それを使えばインターネットが利用できる」ということになります。
ゲスト利用はよく無線LANで利用されていて、インターネット接続のみのポリシーがかけられています。ユーザIDの発行のみで利用でき、Web画面に情報も記載できるため、ゲスト用としてよく利用されます。

補足1。無線LANシステムでは、Web認証は追加の認証方式であり、接続時の認証・暗号化方式とは関係ありません。オープンなネットワークでは通信内容のセキュリティに注意します。

補足2。ゲストの利用が主と書きましたが、端末資産管理や検疫システムで、Web認証と連携するものをしばしば見かけます。その場合チェック済端末からはアプリケーションが自動でPOSTをかけ、ユーザは感知していないことが想定されます。