WindowsはどうやってWEB認証が必要なときに通知を出せるのか?

WindowsでWeb認証(キャプティブポータル)用のAPに接続すると、ブラウザを開く前に下記のような通知が出て、クリックするとブラウザを開くようになっている。

キャプティブ

WindowsはどのようにしてWeb認証が必要だと判断しているのだろうか?それは、マイクロソフトがWeb認証が必要かどうかテストするためのサイトを用意しており、そこにアクセスできるかどうかを試しているのだ。

具体的には、http://www.msftncsi.com/ncsi.txtにアクセスを試行し、想定する文字列が返されない場合にWEB認証が必要だと判断しているらしい。詳しくはMicrosoftのサイトに解説があるので参考にしてほしい。

Tunnel-private-Group-Id

Tunnel-private-Group-Idとは、RADIUSの属性値のひとつ。802.1Xと組み合わせて、オーセンティケータ(APやスイッチ)に対し、認証後に所属するVLANIDを伝達することに使われることが多い。

なお、IASやNPSの設定では「Tunnel-private-Group-Id」ではなく「Tunnel-Pvt-Group-ID」と表示されている。これは単に短縮形で表示しているだけである。実際のRADIUSの通信上は「Tunnel-private-Group-Id」と展開されるので心配は不要。

NPSの設定画面(Tunnel-Pvt-Group-ID)
NPS

実際のRADIUS通信(Tunnel-private-Group-Id)
キャプチャ

なお、RADIUSサーバがTunnel-private-Group-Idを伝えても、それをどう処理するかはAPやWLCの仕様や設定による。Tunnel-private-Group-IdをそのままVLANIDとして割り当てる機器もある。IAPでは、Tunnel-private-Group-Idで220を受け取ったときにVLAN20を割り当てる、と言う柔軟な設定も可能である。