読者です 読者をやめる 読者になる 読者になる

pusuke0418’s diary

すごく暇なSEのぶろぐ

PEAP MSCHAPv2導入前の考慮点や検討点

PEAPでは、サーバーの認証には証明書が、ユーザの認証には主にユーザID/パスワードが用いられる。
ユーザID/パスワードは、Windows端末+Active Directory環境であれば、コンピュータのクレデンシャルも利用できるため、端末認証としても利用できる。
ネットワーク認証でPEAPを使う場合、メリットとして下記が挙げられます。

  • TLSが利用できるのでセキュリティが高そう
  • 個別のアカウントを利用した認証が利用できる
  • すでに組織で利用しているActive DirectoryLDAP(パスワード属性に注意)のクレデンシャルが利用しやすい→やっぱりこのあたりが便利

注意点(クレデンシャルまわり)

  • Windows端末+Active Directory環境であれば端末認証も可能だが、タブレットなどで持ち込み端末を防ぎたければ別の仕組みが必要
  • LDAPの情報を利用する場合では、パスワード属性は平文または(確か)lmハッシュパスワード属性が必要。LDAPあるよ→即ちPEAP利用できるとはならない

注意点(Windowsとか)

  • Windows端末+Active Directory環境であれば端末認証できるやん。といいつ、「Windows端末の設定パターン+どのタイミング/条件でその認証が走るか?」を確認して検討しないと悲劇が起こる
  • Active Directoryのユーザ/パスワード使える。が、使おうとするRadiusサーバは、「EAP-MS-CHAP v2 のパスワード変更機能」に対応しているかどうか(そもそもそれが必要かどうか)
  • 会議室とか席から離れたときの無線接続とか主に使いましょう、であれば良いが。「今ある環境の接続、有線とかもすべてPEAPにしよう!」とかしているならば、ログオン前通信を検討して検証する。このあたり、

Windows 7 標準サプリカントによる無線のログオン前認証(PEAP) | Soliton Lounge(ソリトンラウンジ)とか。でも検証は絶対必要。環境によってWindows起動時のつくりこみは違うはず。