無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ: 6.各種サーバの設定

d 

 

認証サーバを構築せずに、APにユーザ情報を登録して認証をすることができます。高いお金をかけて認証サーバを立てる必要性はなんですか?

 

人数が少ないときは、認証サーバを立てなくてもいいでしょう。むしろ、認証サーバの費用や運用負荷(サーバの障害対応、パッチあてなど)が増えてしまいます。

認証サーバの目的は大きく2つ
①ユーザの一元管理
②高度な機能

まず①に関して
 APにユーザを登録することができるが、APが複数台になると大変である。例えば、MACアドレス認証をする場合に、100台のAPがあれば、全てのAPにMACアドレスを登録する。しかも、MACアドレスが変わるたびに100台の設定変更が必要になる。
 その点、認証サーバをたてれば、その1台だけの管理をすればよい。
 理想は、無線LAN専用に認証サーバを立てるのではなく、既存の認証サーバにてユーザを一元管理するのがよいだろう。
 
②に関して
 高度な認証が可能になる。例えば、証明書を使ったIEEE802.1X認証ができるなど。

(1)認証の内容
 認証の内容としては、ユーザID/パスワードが一般的である。
 それ以外には、MACアドレスでの認証も可能であるし、クライアント証明書での認証も可能である。

(2)認証プロトコル
 ①Radius
 ②Active Directory
 ③LDAP

(3)認証サーバの例
 ①Radius
 Windows2000や2003のIAS(Internet Authentication Service)、Window2008ではNPS(Network Policy Server)、LinuxでのFreeRADIUSがある。アプライアンス製品では、CiscoACS、安価なNetAttestなど
 ②Active Directory
 WindowsのAD
 ③LDAP
 OpenLDAPなど

f 

Active Directoryってすごく難しいイメージがあります。
ちょっと私には厳しかな?



確かに、いろいろなことができるので設定は多岐にわたる。
ただ、単純に認証サーバとして立てるだけであれば、とてもシンプル。
まずは、基本的なインストールと設定を理解し、それ以降の複雑な内容は実際の組織の運用に合わせて理解すればいいでしょう。
では、以下に手順を示しますが、基本的には入れるだけ。

Windows2003を使ってADをインストールする。

1)「スタート」「ファイル名を指定して実行」「dcpromo」
2)基本的には「次へ」で進む。
3)新規にADを立てるので「新しいドメインのドメインコントローラ」を選択、「次へ」
ad1








4)「新しいフォレストのドメイン」「次へ」
5)新しいドメイン名としてドメイン名を入れる。ここでは「viva-musen.net」「次へ」
ad2 









6)基本的には全て「次へ」
7)DNS登録の診断
★重要★DNSはADインストール時に同時に行う。別で実施するとかなり大変。 
「このコンピュータに~」を選択
ad3










8)アクセス許可はそのままでいいでしょう。「次へ」
9)ディレクリサービス復元のパスワードは、何か設定して「次へ」
10)基本的に「次へ」で進み以下の「概要」が出たら最終確認画面。「次へ」でインストール開始。
ad4








11) インストールには数分~10分程度かかる。以下のメッセージが出れば完了。
簡単だったと思う。
ad5

「スタート」「すべてのプログラム」「管理ツール」「Active Directory ユーザとコンピュータ」を選択。「Active Directory ユーザとコンピュータ」の画面が起動する。
登録したドメイン(今回の場合はviva-musen.net)が表示されることを確認する。

user1









ドメイン名を右クリックで「新規作成」「ユーザー」ユーザ名を入力する。
大事なのは「ユーザ ログオン名」これが認証するユーザIDになる。
user3













パスワードを入れる。
user2 










デフォルトで、一番上の「ユーザは次回ログオン時にパスワード変更が必要」にチェックが入っていると思う。今回はその必要がないので、チェックを外す。基本的に全部のチェックをはずしておいていい。利用状況に応じてチェックを入れる。

次へ」「完了」でユーザ作成完了。作るだけなら簡単である。

最新のWindowsSever2012でも、もちろんADとRADIUSが構築できる。
作業手順は2003と大きく異なるが、基本的な考え方は同じである。

WindowsServer2012をActiveDirectoryサーバとして立ち上げる方法は次のとおり。
dcpromoコマンドは使えないので、サーバマネージャから操作する。

1)サーバマネージャを立ち上げて、「役割と機能の追加」をクリック
ad000






















2)「開始する前に」の注意事項を読んで、次へ。
3)「インストール種類の選択」では、「役割ベースまたは機能ベースのインストール」を選択して次へ。
4)「対象サーバ」では、「サーバプールからサーバを選択」を選択し、インストールするサーバを選ぶ(最初は、1台しかないはず)
ad001











5)「サーバの役割の選択」で「ActiveDirectoryドメインサービス」にチェック。チェックした瞬間にポップアップが出るので「機能の追加」をクリックする。次へ。
ad002









6)「機能の選択」では何もチェックせず次へ。
7)「ActiveDirectoryドメインサービス」の注意事項を確認して、次へ
8)「インストールオプションの確認」を確認してインストール。「必要に応じて対象サーバを自動的に再起動」をチェックしておいてもOK。
9)インストールが終わると、「このサーバをドメインコントローラに昇格する」のリンクが表示されるので、ここをクリック。
ad003












10)「配置構成」で、「新しいフォレストを追加する」を選択し、ドメイン名を入力し、次へ。
ad004








11)「ドメインコントローラオプション」で、AD復元用のパスワードを入力して次へ。機能レベルはそのままでOK。DNSにチェックがあることを確認すること。
12)「DNSオプション」はそのまま次へ。
13)「追加オプション」は、入力したドメイン名の最初の部分が表示されていることを確認して、次へ。
ad005




14)「パス」はそのまま次へ。
15)「オプションの確認」は、内容を確認して次へ。
16)「前提条件のチェック」でチェックを行い(数分程度)、結果を確認したらインストール。
ad006























17)数分~十数分程度でドメインコントローラへの昇格が完了します。


 PEAPを使うときにはRADIUSサーバに,EAP-TLSを使うときにはRADIUSサーバとクライアントにそれぞれ電子証明書が必要になる。 電子証明書の発行の流れを理解しておこう。

証明書発行の流れ




















(1)秘密鍵・公開鍵ペアの作成
 秘密鍵と公開鍵のペアを作る。秘密鍵の取扱いには注意が必要である。秘密鍵を入手した第三者は,なりすましができるからだ。

(2)CSRの作成
 CSR(証明書署名要求)とは,CAに対して「証明書に署名してください」というお願いをするための情報である。市役所で住民票をもらうために書く申請用紙だと思えばよいだろう。
 CSRには,国名,組織名(会社名),サーバ名,公開鍵などの情報が含まれる。

(3)CSRの送付
 できあがったCSRを,CA(認証局)に送付する。

(4)CAによる署名
 CAでは,本人性の確認行う。証明書を作成して,CAの公開鍵を使って署名する。市役所の公印みたいなものだと思えばよい。

(5)証明書の返送
 CAは,できあがった証明書を要求者に送り返す。

(6)サーバへのインポート
 できあがった証明書と,秘密鍵をセットにしてサーバにインポートする。RADIUSサーバの場合,設定ファイルを置くディレクトリにファイルとして保管する。



このページのトップヘ