ネットワークスペシャリスト 2014年 午前2 問18
問題文
利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線LAN環境がある。PCが無線LANに接続されるときの利用者認証とアクセス制御に、IEEE802.1XとRADIUSを利用する場合の実装方法はどれか。
選択肢
ア:PCにはIEEE802.1Xのサプリカントを実装し、かつ、RADIUSクライアントの機能をもたせる。
イ:アクセスポイントにはIEEE802.1Xのオーセンティケータを実装し、かつ、RADIUSクライアントの機能をもたせる。(正解)
ウ:アクセスポイントにはIEEE802.1Xのサプリカントを実装し、かつ、RADIUSサーバの機能をもたせる。
エ:サーバにはIEEE802.1Xのオーセンティケータを実装し、かつ、RADIUSサーバの機能をもたせる。
IEEE802.1X+RADIUS を用いた無線LANの利用者認証とアクセス制御【午前2 解説】
正解の理由
イが正解です。IEEE802.1Xのフレームワークでは、認証プロセスにおいて「サプリカント(supplicant)」が端末側、「オーセンティケータ(authenticator)」がネットワーク接続点(スイッチやアクセスポイント)側、「認証サーバ」が集中管理側に配置されます。アクセスポイントは認証サーバ(RADIUS)へEAPメッセージを転送するため、RADIUSクライアント機能を持ちます。したがって、アクセスポイントにオーセンティケータとRADIUSクライアントを実装する構成が適切です。
解法ステップ
- IEEE802.1Xの三者モデルを確認する:サプリカント(端末)、オーセンティケータ(接点)、認証サーバ。
- 各選択肢がどの役割をどの機器に割り当てているかを当てはめる。
- RADIUSの役割を確認:認証サーバとやり取りするのはRADIUSサーバとRADIUSクライアント。オーセンティケータはRADIUSクライアントとして振る舞う。
- 選択肢を照合して矛盾がないものを選ぶ(イが一致)。
選択肢別の誤答解説
- ア: PCにサプリカントを実装する点は正しいが、PCがRADIUSクライアントの機能を持つのは誤り。PCは認証情報をAPへEAPで送る役割で、RADIUSプロトコルはAPが用いる。
- イ: 正解。APがオーセンティケータとしてEAPを処理し、RADIUSクライアントとして認証サーバへ問い合わせる構成は標準的。
- ウ: APにサプリカントを置くのは役割が逆で不適切。さらにAPがRADIUSサーバになる構成は一般的でない(スケーラビリティや管理の観点から)。
- エ: サーバにオーセンティケータを置くのは役割の取り違え。オーセンティケータはネットワーク接続点である必要があり、サーバは認証サーバ(RADIUS)機能を持つのが正しい。
よくある誤解
- 誤解1:PC(端末)がRADIUSサーバへ直接接続して認証すると思う。→ 実際は端末はサプリカントで、認証要求はオーセンティケータ経由でRADIUSサーバへ送られます。
- 誤解2:アクセスポイントにRADIUSサーバ機能があると思う。→ 多くの現場ではRADIUSサーバは集中管理用の専用サーバで、APはクライアントとして振る舞います。
- 誤解3:オーセンティケータとRADIUSクライアントが同義だと誤認する。→ オーセンティケータは802.1Xの機能的役割、RADIUSクライアントはRADIUSプロトコルを用いる際の実装機能で、APは両方を兼ねることが多いが概念は区別されます。
補足コラム
- 実運用ではAP(オーセンティケータ)がWLANコントローラやスイッチと連携し、RADIUSサーバはActive DirectoryやLDAPと連携してユーザ情報を管理します。
- EAP(Extensible Authentication Protocol)は802.1X上で動き、EAP-TLSやPEAPなどの方式で証明書やユーザ認証を行います。APはEAPパケットをRADIUSのEAP-Message属性に載せてRADIUSサーバへ中継します。
- セキュリティ面ではRADIUSとAP間の通信にIPsecやTLSを用いることは一般的ではありませんが、RADIUSでは共有秘密鍵を使った通信が前提となります。最新環境ではRADIUS over TLS(RadSec)などもあります。
FAQ
Q1: なぜPCはRADIUSクライアントにならないのですか?
A1: PCは認証要求を作るサプリカントであり、802.1Xのフレーム(EAPOL)でオーセンティケータに送ります。RADIUSはIPレイヤのプロトコルであり、オーセンティケータがRADIUSクライアントとして認証サーバとやり取りします。
A1: PCは認証要求を作るサプリカントであり、802.1Xのフレーム(EAPOL)でオーセンティケータに送ります。RADIUSはIPレイヤのプロトコルであり、オーセンティケータがRADIUSクライアントとして認証サーバとやり取りします。
Q2: APがRADIUSサーバになることは絶対にないですか?
A2: 小規模環境ではAPに簡易的なRADIUS機能が組み込まれることもありますが、運用・管理・スケーラビリティの観点からは通常、認証サーバは専用の集中サーバを使います。
A2: 小規模環境ではAPに簡易的なRADIUS機能が組み込まれることもありますが、運用・管理・スケーラビリティの観点からは通常、認証サーバは専用の集中サーバを使います。
Q3: EAPとRADIUSの関係は?
A3: EAPは認証方法のフレームワークで、802.1XではEAPパケットをオーセンティケータがRADIUSの属性としてRADIUSサーバへ中継します。
A3: EAPは認証方法のフレームワークで、802.1XではEAPパケットをオーセンティケータがRADIUSの属性としてRADIUSサーバへ中継します。
関連キーワード: IEEE802.1X、RADIUS、EAP、無線LAN、サプリカント、オーセンティケータ、認証サーバ、WPA-Enterprise

\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

