図2 A社はRADIUSサーバーを設定し直し,ユーザーの再認証を12時間間隔に変更した
これで不必要なWEPキーの作成回数が減り,アクセス・ポイントの負荷を軽減できた。
 2回更新される原因はすぐに思い付いた。APで設定した5分ごとのWEPキーの更新に加え,RADIUSサーバーの再認証によるWEPキーの更新が5分間隔で起こっていたのだ。RADIUSサーバーでは,ユーザー認証の有効期間を5分に設定したため,5分ごとにクライアントの再認証が必要となり,再認証後に新たなWEPキーが作成・配布されるのである(図2[拡大表示])。

ベンダーによって動作が異なる

 調査したところ,IEEE802.1x対応のAPとRADIUSサーバーの組み合わせは,製品ベンダーによって挙動が異なることが分かった。具体的には(1)APが持つWEPキーの自動更新機能を優先してRADIUSサーバーの再認証を無効にする,(2)RADIUSサーバーの再認証を優先してAPによるWEPキーの自動更新機能を無効にする,(3)APとRADIUSサーバーの両方の機能を有効にする――の3パターンである。A社の場合は(3)のパターンだった。

 セキュリティ上で重要なのは,一定の間隔でユーザーごとにWEPキーを自動更新することである。そのトリガーは重要ではなく,APであろうとRADIUSサーバーであろうとどちらでも良い。そこでA社の担当者は,RADIUSサーバーの認証の有効期間を設定可能な最大値である12時間にセットした。これでRADIUSサーバーをトリガーとするWEPキーの更新は12時間に1回しか実行されなくなり,APの負荷軽減に成功した。

Windowsの起動に時間がかかる
自動接続を止めて解決

Windowsの起動時,RADIUSでのユーザー認証が完了するまで他のアプリはネットワークに接続できない。この点に注意しないとWindowsの起動完了まで思わぬ時間がかかる。

 製造業のB社は社内ネットワークを有線LANから無線LANへ移行中だ。無線LANはクライアント・パソコンが2000台,APが150台というかなりの規模である。

 B社は無線LANでIEEE802.1xのEAPを使ったユーザー認証を行うことにした。EAPのユーザー認証にはIDとパスワードを使う方法のほか,ディジタル証明書を使う認証など,いくつかの種類がある。B社のネットワーク管理者は,IDとパスワードの方法だと,それらを記入した付箋紙をディスプレイに貼り付ける社員が出てくると予想した。

 そこで,より強固なユーザー認証が可能なディジタル証明書を使う方式を選択。管理者は各クライアント・パソコンにディジタル証明書をインストールし,証明書がなければネットワークに接続できない環境を構築した。

出典:2004年1月26日号 142ページ
記事は執筆時の情報に基づいており、現在では異なる場合があります。