- PR -

W2003AD+WinXP環境におけるEAP-TLSによる802.1x認証について

投稿者	投稿内容
へちま会議室デビュー日: 2008/03/06 投稿数: 2	投稿日時: 2008-03-06 15:36 W2003(R2)AD、CA、IAS+WinXP(SP2)を使用した802.1x認証基盤を構築したいと考えております。・コスト面の理由でサプリカントはWinsowsXP SP2標準の物を使用する予定です・ユーザがログオンしていない状態でもリモートで接続や管理を行いたいため　コンピュータ認証は必須と考えております。(EAP-PEAPは除外、EAP-TLSを使用) ・エンタープライズCA＋GPOを使用した証明書の自動配付機能を利用したいです。下記のガイドラインの内容で、不明な点がございますので教授いただけないでしょうか。 http://www.microsoft.com/japan/windowsserver2003/techinfo/planning/walkthroughs/wirelesssystem.mspx P.64「EAP-TLS方式のコンピュータの認証プロパティ」 ①ユーザーの認証付　ユーザーがログオンする前に、コンピュータの資格情報を利用します。　ログオン後も、コンピュータの資格情報により、接続が維持されますが、　アクセスポイントが切り替わる場合は、ユーザーの資格情報を利用します ②ユーザーの再認証付　ユーザーがログオンする前に、コンピュータの資格情報を利用します。　ログオン後は、ユーザーの資格情報による再認証されます ③コンピュータのみ　コンピュータの資格情報のみが利用され、ユーザーの資格情報は利用できなくなりますコンピュータ認証を利用する場合は③のみでよいと思うので問題ないのですが。 →ユーザ認証も行いたい場合。①のアクセスポイントが切り替わる場合のみユーザ資格を　利用するというのは、何のためなのでしょうか？コンピュータ認証のみを使用した場合は　ローミングの可否、切り替え時間に影響するのでしょうか。 ②についてはコンピュータ認証後、ユーザ再認証を行い失敗した場合ですが、 →その時点でネットワークから切断されてしまうのでしょうか？　(コンピュータ証明書で継続して通信可能になるとユーザ証明書の意味がないと思うので) →ユーザがログオフしたら、再度コンピュータ認証は行われ、再び通信可能になるのでしょうか。コンピュータ証明書をGPOで自動配布するためには、最初のドメイン参加時なりGPO取得時のみ有線LANで接続して作業を行わなくてはならないということで理解ができます。ユーザ証明書の自動発行処理(P.79)を行う場合も、有線LANで接続してユーザでログインして作業を行わなければならないという認識でよろしいでしょうか。それとも、ユーザ証明書のWebからの自動発行処理のための、CAのWebサイトへのアクセスのみコンピュータ認証の権限で例外的に許可されるのでしょうか。 →ユーザ側に無線LAN環境しかない場合には、ユーザ証明書のの配布作業は管理者が　手動発行して媒体で送るなりするしかないのでしょうか。ユーザ側に無線LAN環境しか　ない場合でも、ユーザ証明書をWebからの自動発行やGPO自動配布する方法はないのでしょうか。申し訳ございませんが、お知恵貸しをお願いできないでしょうか。 _________________

投稿者

投稿内容

へちま: 会議室デビュー日: 2008/03/06; 投稿数: 2

投稿日時: 2008-03-06 15:36

W2003(R2)AD、CA、IAS+WinXP(SP2)を使用した802.1x認証基盤を構築したいと考えております。

・コスト面の理由でサプリカントはWinsowsXP SP2標準の物を使用する予定です
・ユーザがログオンしていない状態でもリモートで接続や管理を行いたいため
　コンピュータ認証は必須と考えております。(EAP-PEAPは除外、EAP-TLSを使用)
・エンタープライズCA＋GPOを使用した証明書の自動配付機能を利用したいです。

下記のガイドラインの内容で、不明な点がございますので教授いただけないでしょうか。
http://www.microsoft.com/japan/windowsserver2003/techinfo/planning/walkthroughs/wirelesssystem.mspx

P.64「EAP-TLS方式のコンピュータの認証プロパティ」
①ユーザーの認証付
　ユーザーがログオンする前に、コンピュータの資格情報を利用します。
　ログオン後も、コンピュータの資格情報により、接続が維持されますが、
　アクセスポイントが切り替わる場合は、ユーザーの資格情報を利用します
②ユーザーの再認証付
　ユーザーがログオンする前に、コンピュータの資格情報を利用します。
　ログオン後は、ユーザーの資格情報による再認証されます
③コンピュータのみ
　コンピュータの資格情報のみが利用され、ユーザーの資格情報は利用できなくなります

コンピュータ認証を利用する場合は③のみでよいと思うので問題ないのですが。
→ユーザ認証も行いたい場合。①のアクセスポイントが切り替わる場合のみユーザ資格を
　利用するというのは、何のためなのでしょうか？コンピュータ認証のみを使用した場合は
　ローミングの可否、切り替え時間に影響するのでしょうか。

②についてはコンピュータ認証後、ユーザ再認証を行い失敗した場合ですが、
→その時点でネットワークから切断されてしまうのでしょうか？
　(コンピュータ証明書で継続して通信可能になるとユーザ証明書の意味がないと思うので)
→ユーザがログオフしたら、再度コンピュータ認証は行われ、再び通信可能になるのでしょうか。

コンピュータ証明書をGPOで自動配布するためには、最初のドメイン参加時なりGPO取得時のみ
有線LANで接続して作業を行わなくてはならないということで理解ができます。

ユーザ証明書の自動発行処理(P.79)を行う場合も、有線LANで接続してユーザでログインして
作業を行わなければならないという認識でよろしいでしょうか。
それとも、ユーザ証明書のWebからの自動発行処理のための、CAのWebサイトへのアクセスのみ
コンピュータ認証の権限で例外的に許可されるのでしょうか。
→ユーザ側に無線LAN環境しかない場合には、ユーザ証明書のの配布作業は管理者が
　手動発行して媒体で送るなりするしかないのでしょうか。ユーザ側に無線LAN環境しか
　ない場合でも、ユーザ証明書をWebからの自動発行やGPO自動配布する方法はないのでしょうか。

申し訳ございませんが、お知恵貸しをお願いできないでしょうか。
_________________

＠IT SpecialPR

W2003AD+WinXP環境におけるEAP-TLSによる802.1x認証について

スキルアップ／キャリアアップ（JOB@IT）