はじめに
今回はIEEE802.1xを使った認証についてお勉強したいと思います。IEEE802.1x は認証されていない不正なユーザがネットワークにアクセスできないようにす る仕組みです。スイッチのポート単位で、アクセスさせる・させないを制御し ます。
Understanding IEEE 802.1x Port-Based Authentication
IEEE802.1xはクライアント-サーバベースのアクセス制御と認証プロトコルを
組み合わせて、認証されていないユーザがスイッチの空いているポートに接続
して無断でLANを使用できないようにする仕組みです。
クライアントが認証されるまで、IEEE802.1xはExtensible Authentication Protocol over LAN (EAPOL)、
CDP、STPのフレームのみ許可します。認証が成功すると通常のトラフィックが
ポートを通過できます。
Device Roles
IEEE 802.1xでは以下のデバイスが登場します。
-Authentication Server(RADIUS)
-Authenticator(Switch)
-Supplicant(Client)
Authentication Serverの実体としてはRADIUSサーバとなります。Authentication Server
はクライアントを実際に認証し、クライアントのIDとパスワードを確認します。
これらの情報を確認して、スイッチにそのクライアントをアクセスさせるか否
かを通知します。
このAuthentication ServerはEAPを備えたRADIUSのみサポートされています。
Cisco Secure ACSを使用する場合はバージョン3.0以降で使用可能です。
Authenticatorの実体はSwitchです。Switchはクライアントの認証ステータス
に基づいて、物理ポートに対するアクセスを制御します。また、スイッチはク
ライアントと認証サーバとの間のProxyとして動作し、クライアントにIDとパ
スワードを要求します。クライアントからIDとパスワードを受け取るとそれを
認証サーバに送ります。
このスイッチにはRADIUSクライアントが実装されています。RADIUSクライアン
トはクライアントからのEAPフレームのカプセル化やカプセル化解除、および
認証サーバとのやりとりの役割を果たします。
Supplicantの実体はClientです。正確にはIEEE 802.1xのクライアントソフト を実行しているPCとなります。Windows XPにはこのクライアントソフトが付属 しています。ローカルエリアのプロパティを見ると「認証」というタブがあり そのタブをクリックするとIEEE 802.1x認証を有効にする、というチェックボッ クスがあります。
Authentication Process
IEEE 802.1xが有効になっていて、クライアントPCがIEEE 802.1xに対応するク ライアントソフトをサポートしている場合、以下のイベントが発生します。
-クライアントのIDが正しくてIEEE 802.1x認証が成功した場合スイッチはクライアントのアクセスを許可します。
-EAPOLメッセージの交換を待っている間にIEEE 802.1x認証がタイムアウトして、かつMAC認証のバイパスが有効になている場合、スイッチはクライアントPCのMACアドレスを使ってネットワークへのアクセス権を認可することができます。
このMACアドレスが有効で認可に成功すると、スイッチはネットワークへのア
クセスを許可します。クライアントのMACが正しくない場合、認可が失敗し、
スイッチは設定されていればクライアントをRestricted VLANと呼ばれる制限
されたVLANへのアクセスを許可します。
#12.2(25)SEE以降げGuest VLANの仕様が変わっています。これについては次回
以降に説明します。
-スイッチがIEEE802.1x対応のクライアントから不正なIDを受け取った場合は、
Restricted VLANが設定されていればクライアントをRestricted VLANに接続し
ます。
-RADIUSサーバが利用できない状態になっている場合(例えばダウンしている
場合など)でスイッチにアクセス不能認証バイパス(inaccesible authentication bypass)
が設定されている場合、スイッチはRADIUS設定、またはユーザ指定のアクセス
VLANにあるポートをcritical-authentication stateという状態にしてクライ
アントのアクセスを許可します。
アクセス不能認証バイパスは、クリティカル認証またはAAA失敗ポリシーとも
呼ばれます。詳しくは次回以降で説明します。
認証のフローチャートについてはこちらを参照してください。
『Configuring IEEE 802.1x Port-Based Authentication 』
スイッチは以下の条件のどれかが起こるとクライアントを再認証します。
-定期的な再認証が有効になっていて、再認証タイマーがexpireしたとき再認証タイマーはスイッチで指定するか、RADIUSサーバ側の値を利用できます。
RADIUSを利用したIEEE 802.1x認証を設定すると、スイッチは
・Session-Timeout RADIUS attribute (Attribute[27])
・Termination-Action RADIUS attribute (Attribute[29])
という2つのRADIUSアトリビュートに基づいてタイマーを使用します。
Session-Timeout RADIUS attributeは再認証タイマー値として利用されます。
Termination-Action RADIUS attributeは再認証中にアクションを定義します。
アクションにはInitializeかReAuthenticateの2つがあります。Initializeア
クションがセットされると、IEEE 802.1xセッションを終了させ再認証中に接
続が切れます。
ReAuthenticateアクションがセットされると、IEEE 802.1xセッションは再認
証中に影響を受けません。つまり接続が切れることは無くなります。
-dot1x re-authenticate interface EXECコマンドを使って手動で任意のタイ
ミングで再認証をさせることができます。
次回は認証時のメッセージ交換やポートの状態などについてみていきます。
By 『Overseas and Beyond』 Koichi
