PEAPとは、Protected Extensible Authentication Protocolの略である。「保護された、拡張認証プロトコル」である。暗号化して保護した状態で、認証情報をやり取りする。

特徴
・クライアント側に必要なのは、CA証明書のみ。クライアント証明書は不要
 →(証明書配布管理の手間が少ない)
・ユーザ名とパスワードで認証する。

名称未設定 11

















必要なものは、
・AP・無線LANコントローラ
・RADIUSサーバ
・認証局
である。WindowsServerで構築する場合、ADでユーザを管理し、認証局・RADIUSサーバでもADのユーザ情報を利用している。
PEAP概念















図は簡略化している。①~④のシーケンスは実際にはもう少し複雑である。

①~④では、RADIUSサーバのサーバ証明書をサプリカントに送り、サプリカントではCA証明書の公開鍵を使ってRADIUSサーバの真正性も確認している。つまり、ユーザは「このAPに安心してつないでよいのか?悪意のあるAPではないか?」を確認することができるのだ。

ポイントは、APやWLC(オーセンティケータ)は、EAPOLとRADIUSの相互変換を行っているだけで、内容の判断は行っていない点である。したがって、オーセンティケータは認証のためのユーザデータベースは持っていないし、証明書も必要ない。