MAC RADIUS 認証用 PEAP の設定
Extensible Authentication Protocol(EAP)は、パスワードベースの認証方法や、より安全な証明書ベースの認証方法など、複数の認証方法をサポートする拡張可能なプロトコルです。EAP は、オーセンティケータ(スイッチング デバイス)と認証サーバー間のネゴシエーションを促進して、サプリカントに使用する認証方法を決定します。MAC RADIUS 認証に使用されるデフォルトの認証方法は EAP-MD5 です。この認証方法では、サーバーがクライアントにランダムなチャレンジ値を送信し、MD5 でチャレンジとそのパスワードをハッシュしてクライアントがその身元を証明します。EAP-MD5 はクライアント認証のみを提供し、サーバー認証には提供しないため、なりすまし攻撃に対して脆弱になる可能性があります。
保護された EAP または単純な PEAP とも呼ばれる保護された拡張認証プロトコルを構成して、EAP-MD5 のセキュリティの脆弱性に対処できます。PEAPは、暗号化および認証されたTLS(トランスポート層セキュリティ)トンネル内でEAPパケットをカプセル化するプロトコルです。PEAP は、トンネルを設定し、エンドポイントの認証に直接関与しないため、外部認証プロトコルと呼ばれます。トンネル内でクライアントの MAC アドレスを認証するために使用される内部認証プロトコルは、Microsoft Challenge Handshake Authentication Protocol バージョン 2(MS-CHAPv2)です。トンネル内で暗号化された情報交換により、ユーザー認証情報が傍受から安全に保護されます。
MS-CHAPv2 と併用する PEAP の利点の 1 つは、セキュア トンネルの確立にサーバー側の証明書のみが必要であり、サーバー側の公開キー証明書を使用してサーバーを認証することです。これにより、認証を必要とするすべてのクライアントに対するデジタル証明書の導入に伴うオーバーヘッドが不要になります。
MAC RADIUS認証を使用してスイッチ上でクライアントが認証されると、後続のクライアントは、最初のクライアントによって確立されたのと同じ外部トンネルを使用してサーバーと通信できます。これは、SSLが提供するセッション再開機能を使用して実現されます。セッションの再開により、後続のクライアントが新しいTLSトンネルの確立を待つ際に発生する遅延を低減します。
MAC RADIUS 認証用に PEAP 認証プロトコルを構成する前に、認証サーバーが内側の認証プロトコルとして MS-CHAPv2 とともに PEAP を使用するようにも構成されていることを確認してください。認証サーバーの構成については、サーバーのマニュアルを参照してください。
認証プロトコルは、 オプションを interface all 使用してグローバルに設定することも、個々のインターフェイス名を使用してローカルに設定することもできます。認証プロトコルが個々のインターフェイスとすべてのインターフェイスの両方に設定されている場合、そのインターフェイスのローカル設定がグローバル設定を上書きします。
MAC RADIUS 認証用の PEAP 認証プロトコルを構成するには、以下の手順にしたがっています。