 |
|
|
|
|
|
|
|
|
|
|
 |
|
 |
機能概要 |
|
|
 |
IEEE 802.1X認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って、ユーザー単位で認証を行うしくみです。認証される機器には、EAPで通信する機能(サプリカント)が必要になります。 |
|
|
|
MACアドレスベース認証は、機器のMACアドレスに基づいて機器単位で認証を行うしくみです。スイッチが認証される機器のMACアドレスを検出し、認証を行うため、機器側に認証機能を用意する必要がありません。 |
|
|
|
また、認証したユーザーに応じて指定したVLANを割り振る機能(ダイナミックVLAN)も可能です。 |
|
|
|
ポート配下に複数の機器が接続している場合でも、個別に認証することができます。
(Multiple Authentication (Multiple Supplicant)) |
|
|
| ・ |
ポートごとにSingle/Multiple Authenticationの選択が可能。 |
| ・ |
Multiple Authentication機能使用時、配下に設置するスイッチはEAP透過機能が必要(対応製品またはHUB等のシェアードメディア)。 |
|
|
|
|
ポート配下に複数の機器が接続しており、EAPを使用できない機器( 例: プリンター) と、使用できる機器が混在する環境でも、以下に対応していれば認証することが可能です。 |
|
|
|
| ・ |
MACアドレスベース認証との併用機能: ポート配下の機器をIEEE 802.1X 認証、MAC認証いずれかで認証することが可能 |
| ・ |
サプリカントMAC: スイッチに登録したMACアドレスを認証済みにすることが可能 |
|
|
|
|
|
 |
 |
|
 |
|
|
機能概要 |
|
|
|
Web認証は、スイッチ-機器間のプロトコルとしてHTTP/HTTPSを使って、ユーザー単位で認証を行うしくみです。認証される機器には、Webブラウザーがあれば良く、MACアドレスベース認証と同様にサプリカントを必要としません。また、HTTPSによりセキュリティーもより強化できます。 |
|
|
|
スイッチがWebブラウザーに入力されたログイン情報をHTTP/HTTPSで機器から取得し、RADIUSサーバーに問い合わせることにより、ユーザー認証が行われます。 |
|
|
|
また、認証したユーザーに応じて指定したVLANを割り振る機能(ダイナミックVLAN)も可能です。 |
|
|
|
ポート配下に複数の機器が接続している場合でも、個別に認証することができます。
(Multiple Authentication (Multiple Supplicant)) |
|
|
| ・ |
ポートごとにSingle/Multiple Authenticationの選択が可能。 |
| ・ |
Multiple Authentication機能使用時、配下に設置するスイッチにEAP透過機能は不要です。 |
|
|
|
|
IEEE 802.1X認証、MAC認証と組み合わせにより、より柔軟で強固なセキュリティーとすることが可能となります。 |
|
|
|
|
 |
|
|
 |
|
|
概要 |
|
|
|
IEEE802.1X認証 / MACアドレスベース認証/ Web認証の3つの認証方式を1つのポート上で併用した場合の動作は以下となります。詳細については、コマンドリファレンスをご参照ください。 |
|
|
|
| [認証方式の併用時の動作] |
SBx8100
SBx908
x900
x610
x600 |
x510
x510DP
IX5
x310
x230 |
x210
x200
GS900M V2
FS900M
9048XL |
9424T |
| MAC認証を先に実施し、MAC認証が失敗した場合、802.1X認証かWeb認証のどちらか先に開始されたほうで認証を実施可能 |
MACベース認証を先に実行するが、EAPOL-Startを受信したときはただちに802.1X認証を実施する |
|
|
|
|
 |
|
|
機能概要 |
|
|
|
2ステップ認証とは、SupplicantがMACベース認証/802.1X認証/Web認証のうち2つの認証方式を連続して成功したときに初めて通信が許可される認証方式です。 |
|
|
|
2ステップ認証で認証成功となる組み合わせは次のとおりです。 |
|
|
|
1. MACベース認証 ○ → 802.1X認証 ○ |
|
2. MACベース認証 ○ → Web認証 ○ |
|
3. 802.1X認証 ○ → Web認証 ○ |
|
|
 |
|
|
効果 |
|
|
|
従来の認証では、MACベース認証/802.1X認証/Web認証のいずれか1つの方式で認証に成功すれば通信が許可されていましたが、2ステップ認証では2つの方式に成功したときだけ通信を許可するため、セキュリティーをより高めることが可能です。 |
|
|
|
不正ユーザーによる正規ユーザーPCの使用や、許可されていない持ち込みPCの使用、万が一のID/PASSの漏洩時などにネットワークへの不正アクセスを未然に防ぐことが可能になります。 |
|
 |
|
|
2ステップ認証を利用する場合の設定方法① |
|
|
|
認証スイッチとRADIUSサーバーとの間で使用する認証方式を、それぞれ別の方式に設定する |
|
|
2ステップ認証では、異なる認証要素で2段階の認証を実施する為に、認証スイッチとRADIUSサーバーとの間で使用する認証方式をそれぞれ別の方式にて設定して下さい。これにより、Radiusサーバー側で1回目の認証と2回目の認証のユーザー名/パスワードを区別可能になるため、2回目の認証時に1回目の認証情報を入力しても、認証成功となりません。 |
|
|
 |
|
|
2ステップ認証を利用する場合の設定方法② |
|
|
|
MAC認証のパスワードを共通パスワードに設定する |
|
|
ファームウェアバージョン5.4.4からは、MAC認証で使用するパスワードに共通のパスワードを設定することが可能になります。認証スイッチで、MAC認証のパスワードを共通のパスワード(全ユーザー共通)に設定し、Radiusサーバー側では、MAC認証ユーザーを登録する際に、パスワードにMACアドレスではなく認証スイッチで設定した値を設定します。
※ 本設定は 「MAC認証 + Web認証」、「MAC認証 + Web認証」の組み合わせ時に有効となります。 |
|
|
 |
|
|
 |
|
|
機能概要・効果 |
|
|
|
認証前端末に対してDHCPによるIPの取得や、特定のサーバ/ネットワークへのアクセスを許容し、柔軟な認証ネットワークを構築できます。 |
|
|
|
NAP環境に適した認証前端末のウィンドウズドメインへのアクセス制御を実現可能です。 |
|
|
|
同一ドメイン内のスイッチングアクセス制御のみならず、L3モード エンハンスト ゲストVLANでは他のネットワーク(VLAN)へのルーティングを伴うアクセスをも制御できます。 |
|
|
例えば、NAPはActive Directoryを前提としていますが、IEEE 802.1X認証(およびNAP検疫)とActive Directoryのドメイン認証は同期していません。そのため、IEEE 802.1X認証前にActive Directoryのドメイン認証が行われた場合、ポートが開放されていないため通信ができず、ドメイン認証が失敗します。
しかし、例えば、L3モード エンハンスト ゲストVLANを使用することで、認証前端末でもActive Directoryへアクセス可能となり、ドメイン認証が可能となり、構成変更・設定変更をすること無く、NAP環境実現が可能となります。 |
|
|
|
|
 |
|
 |
|
|
機能概要・効果 |
|
|
|
認証失敗時に、ユーザが設定した任意のVLANへ移動可能です。 |
|
|
|
ACLと連携しAuth-fail VLANにアサインされた端末に対して多彩な制御を実現できます。 |
|
|
通常、IEEE 802.1X 認証やMAC認証やWeb認証などで認証NGとなると、その端末の通信は全てブロックされてしまいますが、本機能を使用する事で、例えば正規のアカウントを持たないユーザでも制限付きネットワーク(例:インターネットアクセスのみ)へのアクセスなどが実現出来ます。 |
|
|
|
|
 |
|
|
 |
|
|
機能概要・効果 |
|
|
|
Web認証装置となるスイッチ(Authenticator)をL2スイッチとして動作させる事が可能です。 |
|
|
|
クライアント(Supplicant)のデフォルトゲートウェイをスイッチ(Authenticator) とせずとも、Web認証を強制的に動作させる事が可能です。 |
|
|
|
これにより、Authenticator毎にセグメントを分割することなく、エッジ/ディストリビューションスイッチでのWeb認証を行なうことが可能となります。 |
|
|
|
 |
 |
 |
|
| AuthenticatorがL3として動作するので、Web認証時はAuthenticator毎にセグメントを分割する必要があり構成が複雑となる |
|
本機能使用時は、AuthenticatorがL2として動作可能なため、Authenticator毎にセグメントを分割する必要がなく、単一L2構成となり非常にシンプルな構成でWeb認証環境を構築可能 |
|
|
 |
|
|
機能概要 |
|
|
|
スイッチ内部に登録されたアカウントで認証を行い、外部RADIUSサーバーを不要とします。 |
|
|
|
802.1X認証、Web認証、MACベース認証機能に対応可能 |
|
|
|
PEAP/TLSなど様々な認証方式に対応可能 |
|
|
|
配下のAuthenticator(RADIUSクライアント(NAS))に対するRADIUSサーバーとしても使用可能 |
|
|
|
独自の証明書を発行するローカルCA機能が付属しており、別途認証局(CA)を用意が不要 |
|
|
|
ユーザー登録:100件まで登録 NAS登録数:最大24件まで登録 ※ |
|
|
※ |
SBx8100シリーズ、SBx908シリーズ、x900シリーズ、x610シリーズ、x600シリーズはオプションライセンスを導入することでユーザ登録数を1000件まで、NAS登録数を100件まで拡張できます。 |
|
|
|
 |
|
|
|
| 認証方式 |
ローカルRADIUSサーバー サポート機能 |
| 802.1X認証 |
MACベース認証 |
Web認証 |
| PAP/CHAP |
− |
○ |
○ |
| EAP-MD5 |
○ |
○ |
○ |
| EAP-TLS |
○ |
− |
− |
| EAP-PEAP |
○ |
− |
− |
|
|
|
|
 |
|
|
効果 |
|
|
|
|
登録されていないユーザー/機器のネットワークへの進入を防ぐことができます。 |
|
|
|
Web認証では、基本的にWebブラウザーを搭載した機器であれば、認証が可能です。PCを統一できない環境に適しています。 |
|
|
|
MACアドレスベース認証では、スイッチがMACアドレスを検出するため認証する機器を選びません。 |
|
|
|
MAC flooding attacks、DHCP starvation attacksの様な攻撃を防止することができます。 |
|
|
|
ローカルRADIUSサーバー機能により、サーバーを用意することなく認証が可能になります。これにより、コスト/運用面/ネットワーク設計での負担が削減可能です。 |
|
 |
|
|
|
|
|
EAP透過スイッチ |
|
スイッチ検索ページにて「サポート機能」の「EAPパケット透過」をチェックすることにより確認することができます。 |
|
|
 |
スイッチ検索ページへ |
|
 |
