2007年12月26日
著:クロスファンクショングループ ITエンジニアリング室 プラットフォーム推進部 杵島 正和 08-1226
今回は、有線/無線の混在環境を想定し、いろいろ試してみることにする。
手前味噌ながら、弊社のテクニカルソリューションセンターは様々なベンダーの機器を揃えられるのが売りだが、本当に何でも揃うのがうれしい。
ネットワーク構成をより複雑に
今回はシスコシステムズ社のWS-C3750-24TS(802.1xに対応)と前々回使用したアルバネットワークス社のAruba 800 Modular Mobility ControllerとAccess Point(802.1xに対応)とWindows VistaクライアントPCを用意した。
設定概要
検証構成図
左記のような検証環境を用意した。 これまで同様、802.1x用の設定としてスイッチ側でRADIUSにNPSを指定し、クライアントの接続時に条件に応じてVLANを変更するように構築した。 NPS側ではウィザードを使い、必要なポリシーを作成し微調整を行う。前回は検疫されたクライアントとNAP非対応のクライアントを同じVLAN上に所属させていたが、今回の環境では検疫されたクライアントとNAP非対応のVLANを別に設け、それぞれのVLANでアクセス制御リストを定義した。クライアントの動作は前回と大きく変わらないため割愛する。
動作確認
スイッチの設定は、メーカーや機種が変わろうとNAPを動作させるために必要な部分は多くなく、手順さえ理解してしまえば簡単といっても差し支えないだろう。動作確認の方法は前回と同じ。スイッチのコンソール上で確認する限り、Windows VistaでWindowsファイアウォールを無効にするとすぐに検疫用のVLANに隔離される。その後修復が行われると(自動修復もしくは手動)、瞬時に正常なVLANに接続される。特に何の問題もない。 今回使用したシスコシステムズ社のスイッチでは、VLAN情報と一緒にRADIUSのアトリビュートとしてアクセス制御リストを受け取る機能がある。これによってネットワークポリシーの適合状況によってアクセス制御リストを変えることができる。つまりネットワーク全体のアクセス制御はスイッチ側で行い、クライアントの状態に応じて適応したクライアントごとにアクセス制御リストを変更できるといった柔軟性が高い運用が可能になるかもしれない。
有線/無線の共存
結果としては大きな問題はなかった。ただしネットワークポリシーの設定には注意が必要である。ウィザードを利用してポリシーを作成すると、ネットワークポリシーは3種類が作成される。有線用と無線用でそれぞれ作成され、計6種類のポリシーが列挙されることになる。ネットワークポリシーは「処理順序」で設定された番号順に適用されるため、ネットワークポリシーの条件指定で明示的に「Ethernet」または「Wireless」を指定しないと、条件によっては思わぬポリシーが適用されてしまうことが起こってしまう。ネットワーク接続の形態でポリシー設定を変えるような設計を行う場合には、注意が必要なポイントである。
NAPエージェントのカスタマイズ
ユーザーインターフェースのカスタマイズ画面
さて、NAPエージェントが表示する内容はどこまでカスタマイズできるかを調べてみた。メッセージ本文は設定できないが、タイトルと説明は任意のものに変更することが可能である。グループポリシーの管理ツールから「コンピュータの構成」-「Windowsの設定」-「セキュリティの設定」-「Network Access Protection」-「ユーザーインタフェースの設定」のプロパティから設定する。たとえば左記のように「タイトル」で注意喚起のメッセージ、「説明」では連絡先などを入力するとよいかもしれない。
カスタマイズ後
カスタマイズ前後のポップアップ比較(上:カスタマイズ後、下:カスタマイズ前)
上記の設定によりクライアントが検疫された場合に表示されるポップアップが左記のように変わる。何も定されていない場合の画面と比べると、違いがよくわかるだろう。 今年の更新は今号が最後である。今年お付き合いいただいた方に御礼申し上げるとともに、来年も今年同様、どうかよろしくお願い申し上げます。それではよいお年を・・・。
(PDF/3.3MB)
