MAC RADIUS認証のためのPEAPの設定

拡張認証プロトコル (EAP) は、パスワードベースの認証方法やより安全な証明書ベースの認証方法など、複数の認証方法をサポートする拡張可能なプロトコルです。EAP は、オーセンティケータ(スイッチング デバイス)と認証サーバー間のネゴシエーションを容易にし、サプリカントに使用する認証方法を決定します。MAC RADIUS認証に使用されるデフォルトの認証方法はEAP-MD5です。サーバーはクライアントにランダムなチャレンジ値を送信し、クライアントはチャレンジとパスワードをMD5でハッシュしてIDを証明します。EAP-MD5 はクライアント認証のみを提供し、サーバー認証は提供しないため、スプーフィング攻撃に対して脆弱になる可能性があります。

保護された拡張認証プロトコル (保護された EAP または単に PEAP とも呼ばれます) を構成して、EAP-MD5 のセキュリティの脆弱性に対処できます。PEAP は、暗号化および認証されたトランスポート層セキュリティ(TLS)トンネル内で EAP パケットをカプセル化するプロトコルです。PEAP はトンネルを設定し、エンドポイントの認証に直接関与しないため、外部認証プロトコルと呼ばれます。トンネル内のクライアントの MAC アドレスを認証するために使用される内部認証プロトコルは、Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAPv2) です。トンネル内での暗号化された情報交換により、ユーザーの認証情報が盗聴から保護されます。

PEAP を MS-CHAPv2 と併用する場合の利点の 1 つは、セキュア トンネルの確立に必要なのがサーバー側の証明書のみであり、サーバー側の公開キー証明書を使用してサーバーを認証することです。これにより、認証を必要とするすべてのクライアントにデジタル証明書を展開することに伴うオーバーヘッドがなくなります。

クライアントが MAC RADIUS 認証を使用してスイッチ上で認証されると、後続のクライアントは、最初のクライアントによって確立されたのと同じ外部トンネルを使用して、サーバーと通信できます。これは、SSL によって提供されるセッション再開機能を使用して実現されます。セッションの再開により、後続のクライアントが新しい TLS トンネルの確立を待つときに発生する可能性のある待機時間が短縮されます。

MAC RADIUS 認証用に PEAP 認証プロトコルを構成する前に、内部認証プロトコルとして MS-CHAPv2 を使用する PEAP を使用するように認証サーバーも構成されていることを確認します。認証サーバーの構成については、サーバーのドキュメントを参照してください。

注:

認証プロトコルは、 オプションを使用してグローバルに設定することも、個々のインターフェイス名を使用して ローカルに設定することもできます。interface all 認証プロトコルが個々のインターフェイスとすべてのインターフェイスの両方に設定されている場合、そのインターフェイスのローカル設定がグローバル設定よりも優先されます。

MAC RADIUS認証用のPEAP認証プロトコルを設定するには、次の手順に従います。