2007年12月12日
著:クロスファンクショングループ ITエンジニアリング室 プラットフォーム推進部 杵島 正和 06-1212
12月も中旬をすぎ2007年も終わりが近づき、周辺は忘年会シーズンであるが、検証作業に没頭しておりそれどころではない。そうこうしているうちにWindows Server 2008 RC1もリリースされて年明け後に予定されているRTMが待ち遠しい今日この頃である。
無線LANでNAP
Vol.5では、有線LANの環境で基本的な動作を確認した。だがしかし、企業のネットワークは有線LANだけではない。CTCでも導入されているが、最近では無線LANを導入されているケースも多い。というわけで、無線LANの環境を用意し、NAPの強制をテストしてみることにした。今回使用したのは、アルバネットワークスのAruba 800 Modular Mobility ControllerとAccess Pointを用意し(802.1xに対応)あわせてクライアントとして無線インターフェースを備えたPCを使用した。
動作確認
スイッチ側の設定は、NAPを動作させるために必要となる部分はあまり多くなく、手順さえ理解してしまえば簡単という印象は前回同様変わらない。 動作確認の方法は前回と同じ。スイッチのコンソール上で確認する限り、Windows VistaでWindowsファイアウォールを無効にするとすぐに検疫用のVLANに隔離される。その後修復が行われると(自動修復もしくは手動)瞬時に正常なVLANに接続されたように見えた。しかし、IPアドレスは変更されていない。セキュアゾーンのIPアドレスを持ったままで検疫ゾーンのIPアドレスを取得していない。対応策としてDHCPクライアントサービスを再起動もしくはネットワークインタフェースの無効/有効で検疫ゾーンのIPアドレスを取得はする。が、しかし今度はWindowsファイアウォールを有効にして修復してもセキュアゾーンのIPアドレスを取得しない。いろいろ切り分けを行ったが改善しないため、マイクロソフト社に問い合わせてみたところ、下記の不具合に該当することがわかった。 [KB932063]ワイヤレス ネットワーク環境で作業するとき、いくつかの問題が Windows Vista-based コンピュータで発生します。
http://support.microsoft.com/kb/932063/ja 修正モジュールを手に入れ適用したところ問題は解決し、VLANの変更に応じて対応したIPアドレスを取得するようになった。無事に動作確認が終わりやれやれである。
設定概要
図1:検証構成図
図1のような検証環境を用意した。 スイッチ側で802.1x用のRADIUSとしてNPSを指定し、クライアントの接続時に条件に応じてVLANを変更するように設定する。 NPS側ではウィザードを使い、必要なポリシーを作成させ微調整を行う。 今回使用したArubaのスイッチでは特定のアトリビュートを使用し、検疫のステータスに応じたRoleを受け渡すため、マニュアルを参考に適切なアトリビュートをリモートアクセスポリシーに定義する。 Roleとは簡単に言うと、ACL等によるアクセスポリシーとしてイメージしてもらえればよく、NPS側の検疫ステータスによって渡されたアトリビュートの値を元に適用するRoleが切り替わり、結果としてクライアントが所属するVLANも変更される。また、ARUBAのACLではIPアドレスやプロトコルによる制限に加え、接続可能な時間帯の指定やQoSなどきめ細かい制御が可能である。その上ステートフルに対応しているため一般的なACLであるような上り下りごとに制御を設定する必要もない。かなり使い勝手がよい製品である。
グループポリシーについて
図2:Windows Server 2008のGPO
Windows Server 2003でも無線LAN用のグループポリシー(GPO)はあった。Windows Server 2008になると、GPOのなかで「ワイヤード(有線)ネットワーク」と「ワイヤレスネットワーク」の接続形態に応じたGPOが設定できるようになった(図2)。したがって、これまで有線で802.1xの設定などを行う場合苦労していたが、GPOで設定できるようになったのは非常にうれしいことである。なお「ワイヤード(有線)ネットワーク」のポリシーはWindows Vistaにのみ対応しており、残念ながらWindows XPには適応できない。
図3:EAPの設定画面
また、802.1xによるNAPの強制を行う場合EAPの設定で必ず「検疫のチェックを有効にする」のチェックを入れる必要がある(図3)。これを設定しないとWindows Vistaで「Network Access Protectionサービス」が起動していても、NPSで非対応クライアントの扱いを受けてしまうので注意が必要だ。 さて、次回は有線-無線の混在環境やさらにネットワーク構成を変化させるなどして挙動の変化などを追っていきたいと思う。
(PDF/3.3MB)
