- ベストアンサー
ユーザ認証について質問があります
お恥ずかしい質問ですが… 社内のファイルサーバへ、ユーザ毎のアクセス制御を行いたいと考えています。 Windows Server 2003(もしくは2000Server)でActive Directoryを構成しドメイン認証をするのと、レイヤ2スイッチに接続している端末をIEEE802.1xとRADIUSサーバの連携でユーザ認証するのと、どこが違うのでしょうか?その仕組みの差がよく分かりません。 どなたか教えてください!
- soundsound
- お礼率100% (2/2)
- ネットワーク
- 回答数2
- ありがとう数4
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
こんばんは AD システムは、あくまでそのネットワークへの参加について、PC を認証をする方法です。 認証していないPC はドメインに参加できず、共有フォルダやメールサーバ等のネットワークリソースに、アクセスできない仕組みを提供します。 一方、IEEE802.1X は”認証VLAN”や”検疫システム”と呼ばれています。 こちらは、ネットワークへの参加を、更に強固にしたもので、スイッチそのものへの接続認証を行います。 仕組みは、、、 1)PC が起動したり、スイッチに接続したPC を一旦、仮のネットワークに収容します。 2)仮のネットワーク内にあるRadius が、そのPC に認証を促します。 3)許可されたPC にだけ、正式なIP アドレスが付与され、許可されなかったPC はスイッチのPort でブロックされてしまいます。 先のAD の場合、ドメイン内の共有リソースにはアクセスできないだけで、許可されないPC でもスイッチに接続できる為、セキュリティ的によろしくありません。 後者のIEEE802.1X ではその点を強化し、許可しないPC はPort にすら接続できないようにするための仕組みです。 後者のサービスを利用する為には、Radius とIEEE802.1X 対応のスイッチが必要になります。
- 参考URL:
- http://www.ntt.com/authvlan/
その他の回答 (1)
- Toshi0230
- ベストアンサー率51% (836/1635)
IEEE802.1x + RADIUS の認証の仕組みはよく知りませんが、推測を交えて言えば、認証のタイミングと認証が行われるトリガーが異なるはずです。 ADのドメイン認証であれば、そのドメイン内のリソース(ファイルサーバ、WWWサーバ(IIS)、etc.)へのアクセス時にも認証が行われますが、IEEE802.1x + RADIUS は接続時のみの認証だったかと。IEEE802.1xってLANにつなげる機器を認証する仕組みだったと記憶してますんで。 だから、整理すると、 ・PCをLANにつなげて良いかどうかを認証する:IEEE802.1x ・そのネットワーク上のリソース(ファイルサーバ、プリンタ)を使って良いかどうかを認証する:AD ってかんじでしょうか(乱暴ですが) 通常、ファイルサーバへのアクセス制御を試みるんであれば、ADを使うと思いますよ。
お礼
Toshi0230さん、ありがとうございました!! やっぱりそうですよね!ファイルサーバへのアクセス制御はADですよね。 IEEE802.1xはネットワークそのものへ繋げて良いか、ということだったんだぁ。 早速取り組んでみます。 ありがとうございました!
お礼
kuma-kuさん、ありがとうございました!! AD、IEEE802.1x、RADIUSの関係がよく分かり、イメージがすぐに浮かびました。 ADだけで良いと思っていましたが、認証VLANを採用すれば更にセキュアなネットワークが構築できる訳ですね! ホント助かりました!