週末だというのに・・・
今度は無線LANなのだそうである。
これまで WPA-PSK (pre-shared key)で運用していたのだけれど、せっかくサーバがあるんだからRADIUSを入れてEAPにしたいんだとか。
調べてみる。
MSのサイトにこういう資料があるのを見つける:WirelessSystem_SteypByStep.doc
http://www.microsoft.com/japan/windowsserver2003/techinfo/planning/walkthroughs/wirelesssystem.mspx
まぁ、これを見てみると、一応Windows Server 2003でIISとIAS(Internet Authentication Service ?)をたててやると RADIUS 認証ができるらしい。
ということで、上記リンクからワードファイルをDLし、作業を始めてみる。
パスワード認証と証明書認証の2通りが選べるそうだけれど、パスワード認証で行くことに決め、さらさらと設定をこなす。
現場(?)には無線LANのAPとして、コレガの11a/b/g対応のもの、おなじくコレガの小型で b/g対応のものがあり、さらにはルーターがバッファロー製のもので無線LAN機能付きとなっている。ルーターは動作軽くするためとセキュリティが怖くて無線LAN機能を殺してあるんだとか。(なら有線タイプにすれば・・・)
1台は現用のまま残しておき、もう一台を使って設定していく。
ちなみに、バッファローの家庭用モデルはWPA-EAP の設定はできない。
また最近出ているゲートウェイの安価なPentium-Mラップトップでインテルのチップを乗せているものでは暗号化でAESが選択できなかった。
コレガのAPはWPA-EAP + AES/TKIP/自動切り替えができるというおりこうさんなので、実運用はコレガの2台を利用することにする。
ユーザの設定とかオプションを間違わなければ、上記の日本語の文書の手順を追って、1時間もあればRADIUS認証ができるようになるはず・・・なのであるが。もっとも、セキュリティポリシーの設定など、事前にちょっと検討しておいたほうが良いと思われる。
上記ドキュメント、何箇所かで「パスワード認証の方はこちらを」「証明書の方はこちらを」という分岐がある。
作業の流れの中で無線LANのAPの設定を行う場所があるのだけれど、その次のセクションでクライアントPCにとばす無線LANのポリシーを設定するところではまってしまった。
分岐とは書いてないのだけれど、前半部ではまず証明書利用の人以外は設定できない話を書いてあるし、さらに後半は・・・WEPの時代の話なので、WPAを使おうとすると、書いてあるとおりの設定は意味をなさない・・・のである。
また、これを設定してしまうと、どうも、アクセスできなくなるっぽい。
その関係で、ポリシーの方は設定を断念。そのうち暇をみて再設定してみよう。
RADIUSの設定も終わり、ユーザ登録などもおわり、前述のゲートウェイのPCでも無事に接続。
WinXPで無線LANを制御させると、マシン認証>ログオン>ユーザ認証といくので、無線LANでも無事にログオンできる。
しかし・・・である。
コレガのほうはというと XR とか SuperAGが載っているせいなのか、OSではなく、メーカー製のドライバで設定をしたいのである。(たぶん、OS純正だとこれらの切り替えができないはず)
この場合は・・・ユーザアプリのひとつとして起動されるようなので(もっとも、一度起動してログアウトすると接続しっぱなしになるが)最初のログオン認証はキャッシュでの認証となる。
このあたりがいやかな。
バッファローの方はWPA-EAPを選べなかったのだけれど、これは法人用の製品の中にはWPA-EAPをサポートしているものもあるので、RADIUS認証をするのなら、そちらを購入する必要がある様子。
クライアントPCの無線LANデバイスは、というと。
1. コレガの a/b/g対応PCカード
2. NECの Super a/g 対応内蔵無線LANカード
3. ゲートウェイの 3538JP とかいうモデルの内臓無線LANカード
はとりあえずサポート。あと、おそらく、設定さえすれば Corega の単体の無線LANアダプタ(=LANポートのみの機種とつなぎ、無線LANインタフェースとして動作する)も使えるはずである。
他に現場には
1. ASUSのマザボに内蔵した11b時代のカード
2. PDA用のCFタイプ無線LANカード
もあったのだけれど、両者ともWEPのみのため、その某所では無線LANからは切り捨て。
前者はともかく、後者なのであるが・・・
PDAでWPA対応してるのって、どうも、いま東芝から出ているpocket PC 2003SEの無線LAN内蔵タイプしかないらしい。
他にはいろいろな人がソフト的なハックでWPAに対応させたりもしているようだけれど起動時にフラッシュを毎回書き換えるとか・・・あまりやりたくないものが多いので。
PDAもなるべく軽いLANケーブルを使って有線接続することに。
Small Business Server 2003 特有なのか、なんらかのセキュリティアップデートのせいなのか、実は上記手順のうち、接続確認をイベントビューワで行うステップで、マニュアルのとおりにはならなかった。
インストールされているイベントビューワのスナップイン(?)のうち、IASが出すものに対応しているものがなかったようで、これが上記文書で示されるような場所に落ちてこない。
・・・運用レポートを見るとログオンして認証が起こるたびに、「重大なエラー」として記録されているようす。これは気になる人は気になりそうである。
まぁ何はともあれ、RADIUS認証も設定でき、あの面倒なWPAキーのコピーという作業はなくなった模様。
コメント