- ベストアンサー
ユーザ認証について質問があります
お恥ずかしい質問ですが… 社内のファイルサーバへ、ユーザ毎のアクセス制御を行いたいと考えています。 Windows Server 2003(もしくは2000Server)でActive Directoryを構成しドメイン認証をするのと、レイヤ2スイッチに接続している端末をIEEE802.1xとRADIUSサーバの連携でユーザ認証するのと、どこが違うのでしょうか?その仕組みの差がよく分かりません。 どなたか教えてください!
- soundsound
- お礼率100% (2/2)
- ネットワーク
- 回答数2
- ありがとう数4
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
こんばんは AD システムは、あくまでそのネットワークへの参加について、PC を認証をする方法です。 認証していないPC はドメインに参加できず、共有フォルダやメールサーバ等のネットワークリソースに、アクセスできない仕組みを提供します。 一方、IEEE802.1X は”認証VLAN”や”検疫システム”と呼ばれています。 こちらは、ネットワークへの参加を、更に強固にしたもので、スイッチそのものへの接続認証を行います。 仕組みは、、、 1)PC が起動したり、スイッチに接続したPC を一旦、仮のネットワークに収容します。 2)仮のネットワーク内にあるRadius が、そのPC に認証を促します。 3)許可されたPC にだけ、正式なIP アドレスが付与され、許可されなかったPC はスイッチのPort でブロックされてしまいます。 先のAD の場合、ドメイン内の共有リソースにはアクセスできないだけで、許可されないPC でもスイッチに接続できる為、セキュリティ的によろしくありません。 後者のIEEE802.1X ではその点を強化し、許可しないPC はPort にすら接続できないようにするための仕組みです。 後者のサービスを利用する為には、Radius とIEEE802.1X 対応のスイッチが必要になります。
- 参考URL:
- http://www.ntt.com/authvlan/
その他の回答 (1)
- Toshi0230
- ベストアンサー率51% (836/1635)
IEEE802.1x + RADIUS の認証の仕組みはよく知りませんが、推測を交えて言えば、認証のタイミングと認証が行われるトリガーが異なるはずです。 ADのドメイン認証であれば、そのドメイン内のリソース(ファイルサーバ、WWWサーバ(IIS)、etc.)へのアクセス時にも認証が行われますが、IEEE802.1x + RADIUS は接続時のみの認証だったかと。IEEE802.1xってLANにつなげる機器を認証する仕組みだったと記憶してますんで。 だから、整理すると、 ・PCをLANにつなげて良いかどうかを認証する:IEEE802.1x ・そのネットワーク上のリソース(ファイルサーバ、プリンタ)を使って良いかどうかを認証する:AD ってかんじでしょうか(乱暴ですが) 通常、ファイルサーバへのアクセス制御を試みるんであれば、ADを使うと思いますよ。
お礼
Toshi0230さん、ありがとうございました!! やっぱりそうですよね!ファイルサーバへのアクセス制御はADですよね。 IEEE802.1xはネットワークそのものへ繋げて良いか、ということだったんだぁ。 早速取り組んでみます。 ありがとうございました!
関連するQ&A
- Radiusサーバとクライアントとプロキシの違いを教えてください
いつも参考にさせていただいています。 今回あるシステムでRadius認証を使うことになり、 ネットワークの認証システムについて勉強していますが すっかり混乱してしまっています。 どうかご助言いただけないでしょうか。 ■今の認識は Radiusサーバ⇒アクティブディレクトリにアクセスできる人を登録する Radiusクライアント⇒ルータとかスイッチしかなれないもの? Radiusプロキシ⇒RadiusサーバとRadiusクライアント同時にできるもの →認識について間違い・補足などいただけないでしょうか ■やりたいことは 端末A→HTTP(ブラウザ)→別ネットワークの端末B内にあるシステム この流れで、 端末Aから端末Bの間にRadius認証を入れて、 端末Bにアクセスするユーザを限定したいのです。 ここで用語に混乱してしまいどういう設定をしたらいいかわからなくなってしまいました。 ■環境 Radiusサーバ: windows server 2003 または2008 アクティブディレクトリ設定済み Radiusクライアント: 何を用意すればいいのかわかりません。。。 L2スイッチはあるのですが、これに変更を加えると今までのネットワークに 影響はないでしょうか?(アクティブディレクトリに設定したユーザ以外認証されなくなるなど) どうかご教授お願いいたします。 他に必要な情報などあればご指摘願います。
- ベストアンサー
- ネットワーク
- IEEE802.1xの認証設定
現在無線LANのIEEE802.1xの認証設定を下記環境で行おうとしています。 RADIUSサーバ:Windows2000Server IAS EAP:TLS方式 アクセスポイント:BUFFALO WLM2-G54 無線端末:PDA 東芝e750 ActiveDirectory構成にはしたくないのですが、 上記のEAP-TSL方式の場合はWindows2000ServerはActiveDirectoryを設定し、かつ、エンタープライズCAを設定しなくてはいけないのでしょうか? EAPをMS-PEAP方式にした場合は、ActiveDirectory構成ではなくてもいいのでしょうか? 無線LANの認証の設定は初めてなので、何がなんだかさっぱりな状態です。 宜しくお願いいたします。
- ベストアンサー
- ネットワーク
- PHPでの認証方法
お世話になります。 現在PHP言語でのActive Directoryへの認証を考えています。 KADM5関数やLDAP関数等を使用するらしい事は分かったのですけれども、使い方がよく分からなくて困っています。 例えば、 サーバー名が「server01」 ドメインが「d01」 ユーザーアカウント「user01」 パスワードが「abc」 の認証を、直接WEBページのフォームからユーザーIDと パスワードを入れて、認証が出来ます基本的な例文などがございましたら、教えていただけましたらと思っています。 また、できましたら、パスワードの期限がきました時の変更などもweb上で、できましたらと思っています。 よろしくお願いいたします。
- 締切済み
- PHP
- RADIUS認証に関しましての質問です。
RADIUS認証が利用されている場合には、 BBルータを経由させずに無線での広帯域接続を叶えさせているのでしょうか。 オーセンティケータとサプリカントとの連携の仕組みが分からない段階での質問ですから、質問文の中に謬見が含まれているのかも知れませんが、諒察の上での御指導を御願い致します。
- ベストアンサー
- その他([技術者向] コンピューター)
- ファイルサーバーの認証方法の質問です
ファイルサーバーの認証方法の質問です Terastationの共有フォルダを イントラネット内のWindowsServer2008R2と組み合わせて、 ActiveDirectory連携認証方式で、認証を行い、 アクセス制御を行っています。 ドメイン名 xxx.local イントラネット内のワークグループとして使用しているパソコンから、 ファイル共有する場合、毎回ActiveDirectoryのユーザー名とパスワードを入力しますが、 そのユーザー名に xxx.local\yyyyy ←yyyyはアカウント名 としています。 このユーザー名の「xxx.local」部分は省略できないでしょうか? よろしくお願いします
- ベストアンサー
- ネットワーク
- 802.1xのコンピュータ認証とユーザ認証の違い
802.1xの上記2つの認証方式の違いがよくわかりません。 ≪コンピュータ認証≫ ・PCがドメインに参加している必要がある ・ドメインアカウントでWindowsにログオンしなければネットワークに接続できない ・PC起動時(OSが起動してきたタイミング)にコンピュータ名で認証実行 ・RADIUSではなくADを使用して認証 ・不特定多数の人がPCを使用する場合に向いている(共用PCなど) ≪ユーザ認証≫ ・PCはワークグループでもよい ・ドメインアカウントではWindowsにログオンできない ・ローカルアカウントでWindowsにログオンしても、ネットワークに接続する際にドメインアカウントで認証すれば、ネットワークに接続できる ・Windowsのスタート時(ログオン後デスクトップが起動したタイミング)に認証するための資格情報入力を求められる ・ADではなくRADIUSを使用して認証 ・PCを使用する人が特定されている場合に向いている(個人PCなど) 上記のような認識で大丈夫でしょうか? 職場に802.1xのセグメント(持ち込みPC用)と、ケーブルを差せば繋がるといったセグメント(固定設置PC用)とありまして、 固定設置PC用のセグメントにいたPCを、持ち込みPC用のセグメントでも使用できるようにする際に、 コンピュータ認証かユーザ認証のどちらを使用すればいいのかが わからなくて・・・
- ベストアンサー
- その他(ITシステム運用・管理)
- Active Directoryコネクターのインストールに失敗する
もともとNT4.0で構成されていた社内LANをActive Directoryで構成し直しました。ところが、このアップグレードした社内LAN(ドメインA。ドメインコントローラはWindows Server 2003R2、NT4.0混在)のユーザーが、NT4.0で構成されたドメインBにあるExchange Server 5.5にアクセスできなくなり、メールが使えなくなってしまいました。 もともとドメインAとドメインBは信頼関係を結んでいます。 そこで調べてみたところ、Active DirectoryコネクターをインストールすればExchange Server5.5のディレクトリをActive Directoryで読めるようになる、ということだったので、早速やってみました。 具体的には、ドメインAのドメインコントローラ(Windows Server 2003R2)にActive Directoryコネクターをインストールしました。 ところが、これで解決かと思いきや今度は次のメッセージが表示されてインストールできませんでした。 「内部コンポーネントが失敗しました。ID番号:c103798a Microsoft Active Directory Connectorセットアップ」 ID番号まで出ているので、マイクロソフトのサイトでも色々と検索して調べてみたのですが結局理由がよく判りません。怪しそうな原因としては、Active Directoryコネクターをインストールするための条件に、 「Exchange Server 5.5 SP3以上がインストールされたExchangeサイトに少なくとも一つ以上のサーバーがあることが必要です。」 と書かれていたのですが、ここで言っている「サーバー」が何を指すのかが不明です。もしかしてこの「サーバー」というのが「Active Directory内のサーバー」という意味であれば、ドメインBもActive Directoryになっていなければならない、ということになるので、これはもうドメインBをActive Directoryにアップグレードするしかない、ということになります。 そういうことなのでしょうか? ただこれもあくまで推測なので判りません。 このままメールが止まってしまうと業務上も致命的なので、時間的な猶予も考えると最小限の変更でまずは現状の状況から稼働できるようにしたいと思っています。ドメインBをNT4.0構成のまま、そしてドメインBにあるExchange Serverは5.5のまま、何とかドメインAのユーザー達が接続できるようにしたいのですが・・・。。 大変困っています。どなたか教えていただけないでしょうか。 よろしくお願い致します。
- 締切済み
- Windows系OS
- ADのドメイン参加の認証について
教えてください。 ADサーバへのドメイン参加の認証にはIPアドレスを使わないのでしょうか? 関係のない端末についてはADサーバの前に設置されているL3スイッチのアクセスリストで 制御をおこないたいため、必要のないIPについてはdenyにしたのですがドメイン参加ができて しまいました。 このことから認証にはIPアドレスは関係ないのかなと思ったのですが、これという回答を 見つけることができず悩んでいます。 <作っている環境> ADサーバ | | L3スイッチ | | | | A端末 B端末 ADサーバ 192.168.10.1 A端末 192.168.20.1 B端末 192.168.30.1 L3スイッチ SVIでVLAN間ルーティングしている Fa0/1 VLAN10 192.168.10.254 Fa0/2 VLAN20 192.168.20.254 Fa0/3 VLAN30 192.168.30.254 アクセスリスト access-list 110 permit ip host 192.168.10.1 host 192.168.20.1 access-list 120 permit ip host 192.168.20.1 host 192.168.10.1 Fa0/1 ip access-group 110 in Fa0/2 ip access-group 120 in で設定しています。 この設定で A端末はログオン成功 B端末はログオン失敗 にしたいのです。
- ベストアンサー
- ネットワーク
- IIS でのユーザー認証について あれっ?
LANで内部に Webページを公開したいと思います。 IIS でユーザー認証をさせたいので、 「インターネットサービスマネージャ」を使って、 しかるべき設定を行い、そのページに対し、特定ユーザー のみアクセス権を与えました。 その後、対象となるページを読み込むと、ユーザー認証の ダイアログが出てきて、ユーザー名、パスワードの入力が 求められます。 ここまではいいのです!! さらに、その下に、ドメイン名の入力を求められます。 これは何とかならんか(省略できないか)、と私に詰め 寄られて、困っています。 ユーザー名と、パスワード入力でシンプルに収めること はできないのでしょうか。 他所のサーバーでそのようなダイアログを見たことがある のですが・・・
- 締切済み
- その他(インターネット接続・通信)
- RADIUSサーバでのMACアドレス認証について
RedHat Linux 9でRADIUSサーバを構築しようと 考えています。 認証には従来のユーザ認証(ID/PW)ではなく、 MACアドレス認証をしたいと考えているのですが ネットにも情報が少なく設定の方法が分かりません。 分かる方教えてください。 またRedHat Linux 9に相性の良いRadiusがあれば 教えていただきたいです。 宜しくお願いします!!
- 締切済み
- Linux系OS
お礼
kuma-kuさん、ありがとうございました!! AD、IEEE802.1x、RADIUSの関係がよく分かり、イメージがすぐに浮かびました。 ADだけで良いと思っていましたが、認証VLANを採用すれば更にセキュアなネットワークが構築できる訳ですね! ホント助かりました!