こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

ユーザ認証について質問があります

お恥ずかしい質問ですが…

社内のファイルサーバへ、ユーザ毎のアクセス制御を行いたいと考えています。
Windows Server 2003(もしくは2000Server)でActive Directoryを構成しドメイン認証をするのと、レイヤ2スイッチに接続している端末をIEEE802.1xとRADIUSサーバの連携でユーザ認証するのと、どこが違うのでしょうか?その仕組みの差がよく分かりません。

どなたか教えてください!

投稿日時 - 2005-02-13 12:10:56

QNo.1216331

困ってます

質問者が選んだベストアンサー

こんばんは
AD システムは、あくまでそのネットワークへの参加について、PC を認証をする方法です。
認証していないPC はドメインに参加できず、共有フォルダやメールサーバ等のネットワークリソースに、アクセスできない仕組みを提供します。

一方、IEEE802.1X は”認証VLAN”や”検疫システム”と呼ばれています。
こちらは、ネットワークへの参加を、更に強固にしたもので、スイッチそのものへの接続認証を行います。

仕組みは、、、
1)PC が起動したり、スイッチに接続したPC を一旦、仮のネットワークに収容します。
2)仮のネットワーク内にあるRadius が、そのPC に認証を促します。
3)許可されたPC にだけ、正式なIP アドレスが付与され、許可されなかったPC はスイッチのPort でブロックされてしまいます。

先のAD の場合、ドメイン内の共有リソースにはアクセスできないだけで、許可されないPC でもスイッチに接続できる為、セキュリティ的によろしくありません。
後者のIEEE802.1X ではその点を強化し、許可しないPC はPort にすら接続できないようにするための仕組みです。

後者のサービスを利用する為には、Radius とIEEE802.1X 対応のスイッチが必要になります。

参考URL:http://www.ntt.com/authvlan/

投稿日時 - 2005-02-13 20:28:52

お礼

kuma-kuさん、ありがとうございました!!
AD、IEEE802.1x、RADIUSの関係がよく分かり、イメージがすぐに浮かびました。
ADだけで良いと思っていましたが、認証VLANを採用すれば更にセキュアなネットワークが構築できる訳ですね!

ホント助かりました!

投稿日時 - 2005-02-13 23:54:38

ANo.2

このQ&Aは役に立ちましたか?

2人が「このQ&Aが役に立った」と投票しています

回答(2)

ANo.1

IEEE802.1x + RADIUS の認証の仕組みはよく知りませんが、推測を交えて言えば、認証のタイミングと認証が行われるトリガーが異なるはずです。

ADのドメイン認証であれば、そのドメイン内のリソース(ファイルサーバ、WWWサーバ(IIS)、etc.)へのアクセス時にも認証が行われますが、IEEE802.1x + RADIUS は接続時のみの認証だったかと。IEEE802.1xってLANにつなげる機器を認証する仕組みだったと記憶してますんで。

だから、整理すると、
・PCをLANにつなげて良いかどうかを認証する:IEEE802.1x
・そのネットワーク上のリソース(ファイルサーバ、プリンタ)を使って良いかどうかを認証する:AD
ってかんじでしょうか(乱暴ですが)

通常、ファイルサーバへのアクセス制御を試みるんであれば、ADを使うと思いますよ。

投稿日時 - 2005-02-13 15:25:17

お礼

Toshi0230さん、ありがとうございました!!
やっぱりそうですよね!ファイルサーバへのアクセス制御はADですよね。
IEEE802.1xはネットワークそのものへ繋げて良いか、ということだったんだぁ。
早速取り組んでみます。
ありがとうございました!

投稿日時 - 2005-02-14 00:03:57

あなたにオススメの質問