2007年12月19日
著:クロスファンクショングループ ITエンジニアリング室 プラットフォーム推進部 杵島 正和 07-1219
前回は無線環境のみで802.1xのNAPの強制を試してみたが、無線/有線の混在環境での検証を試す前に、有線環境だけで802.1xのNAPの強制を試してみることにする。
ネットワーク構成を少々複雑に
Vol.6までは、2つのVLANを用意して、VLANが切り替わるかどうかを確認するだけであった。だがしかし、現実に導入する場合、そのような単純なネットワークは構成できないため、改めて有線のネットワークだけで少々複雑なネットワークを構成してみることにする。今回はアラクサラネットワークスのAX2430S(802.1xに対応)とWindows VistaクライアントPCを用意した。
設定概要
検証構成図
左記のような検証環境を用意した。スイッチで802.1x用のRADIUSとしてNPSを指定し、クライアントの接続時に条件に応じてVLANを変更するように設定する。 NPS側ではウィザードを使い必要なポリシーを作成させ微調整を行う。今回の環境では、まずクライアントは認証用のVLANに接続する。このタイミングで802.1xによる許可されたコンピュータであるかのチェックが行われ、認証を通れば次にネットワークポリシーサーバで正常性の確認が行われる。接続が認められたクライアントでありセキュリティポリシーに合致すれば、クライアントVLANに接続できる。正常性の確認で問題が見つかるとクライアントは検疫VLANに接続される。スイッチにはアクセス制御リストが設定されており、検疫VLANからサーバVLANへのアクセスはHTTPとDHCPしか通らないように設定をしている。なお、コンピュータ認証を通らないクライアントは、一切ネットワークに接続できない(認証用VLANにとどまる)。 今回使用したアラクサラネットワークスのスイッチでは、802.1x非対応のハブなどに接続されたクライアントであっても端末ごとの認証が可能になっている。Windows Server 2008でのNAPをお試しで導入したいが、ネットワークの構成は大きく変更したくない場合などは効果的な導入が可能な製品である。
動作確認
スイッチの設定は、機種やメーカーが変わろうとNAPを動作させるために必要な部分は多くなく、手順さえ理解してしまえば簡単といっても差し支えないだろう。 動作確認の方法は前回と同じ。スイッチのコンソール上で確認する限りWindows VistaでWindowsファイアウォールを無効にするとすぐに検疫用のVLANに隔離される。その後修復が行われると(自動修復もしくは手動)瞬時に正常なVLANに接続される。特に何の問題もない。
クライアントへの情報提供
ユーザーへの情報提供用のURLの入力画面
さて、NAPの強制による正常性チェックで不幸にも検疫されてしまったクライアントを持つユーザーをどのように救済したらよいだろうか。ちゃんとNAPの機能としてクライアントへの情報提供の手段は用意されている。ネットワークポリシーサーバのコンソールを起動し、「ネットワークポリシー」を開いて「NAP 802.1X(ワイヤード)非準拠」のポリシー内でユーザーへの情報提供用のURLの設定が可能である。
検疫されたことをユーザーに通知するウィンドウ。
上記で設定したURLにアクセスするためには検疫用のVLANからそのサーバへ接続できる必要がある。今回は検疫用のVLANに名前解決のロジックを用意していないので、IPアドレスにて設定している。この設定をするとクライアントが検疫された場合に表示できるポップアップに左記のように「詳細情報」のボタンが加わる。
「詳細情報」ボタンをクリックして表示されたウィンドウ。
ユーザーが詳細情報ボタンをクリックするとポップアップウィンドウが表示され、設定していたWebサーバ上の情報が表示される。中央の「ネットワークに接続できない方へ」をクリックすると、ユーザーへの案内が表示される。今回は、Windows Server 2008に標準で搭載されているWindows SharePoint Serviceを使用してみた。 あとはユーザーが表示された情報を見ながらクライアントの状態を修復すればよい。もちろん、自動修復が有効ならばこのような画面を確認する必要はないと思うが、特定の作業をユーザーに行わせたい場合には有効である。 次回こそは有線・無線の混在などを試してみたいと思っている。
(PDF/3.3MB)
