どっといちえくーす

認証ネットワークについて、SWITCHをベースにφ（．．）メモメモ．．．。

[PR]

2025/08/28（Thu）22:52

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

No.｜｜~~Comment~~｜~~Trackback~~

windowsログオン前に802.1X？

2007/04/13（Fri）13:23

http://www.soliton.co.jp/products/netattest_eps/supplicant/index.html

Soliton 1XGate（ワンエックスゲート）という802.1Xクライアントを使うと
Windowsログオンの前に802.1X認証ができるらしい。

windows標準の802.1xクライアントと何処が違うのか
評価版を落として今度試してみます。

No.6｜dot1x｜Comment（0）｜Trackback（）

検証をしていると便利？なはずの機能も煩わしくなる。

本日ワークグループ環境のXPにて認証方式はPEAPの802.1X認証を行う。
ドメインに参加している場合PEAPではログオン時のUserID、Password、Domain名を
802.1X認証時に自動的に送信してくれる便利な機能があるが今回は使えない。
初回ログオン時に資格情報入力画面が表示されUserID、Passwordを手動入力
→よっしゃ成功ー（いつも一発では成功せず切り分けが始る・・）。

じゃあ認証時の所属VLANでも変更しますかとRADIUSサーバの
RADIUSアトリビュート変更。（Tunnel-Private-Group-Id属性）

もう1回PCにケーブル接続・・・・・・・。
んー資格情報入力画面が出ないっ！！んんー？

サーバやSWで確認すると既に認証成功してました。
調べたところXPでは初回入力した資格情報（UserID、Password）を
キャッシュして次回以降の認証時に自動的に送信してくれるんですね。
ナイスシームレス、入力ミスが無くて助かるよー。

でもちょっと待て違うUserIDで802.1X認証を行いたい場合は？
運用時はそういう場面は少ないと思うが、今は検証中、
毎回資格情報入力画面を出したいのですが・・・。

今回とった方法
→ユーザ変更毎にレジストリエディタからキャッシュをクリアする・・・。
PATH：￥HKEY_CURRENT_USER￥Software￥Microsoft￥EAPOL￥UserEapInfoを削除
あぅーめんどくさい。

No.5｜dot1x｜Comment（0）｜Trackback（）

Windowsサプリカントのログオフ時の挙動

2007/03/12（Mon）18:22

dot1x認証に1回成功した端末は永遠にネットワーク使用可能。
ではセキュリティ上好ましくない為着信装置で認証済みサプリカントの
離脱を速やかに検知しSTATEをクリアする必要があります。

例えば着信装置に直接接続されていれば、LinkDownを契機にStateをクリアや
再認証パケットをスイッチから送信し、決まった回数応答が無ければStateをクリアや
ARPテーブルから認証済みサプリカントのMACが消えればStateをクリア等
方法は色々ありますが、

サプリカントがログオフする時着信装置に離脱を教えてくれれば

着信装置（SW）では離脱の検知方法を考えず、
EAPOL-STARTを待てば良いだけになります。

XPでは
WinXPではログオフ時EAPOL-STARTを送信しますが、
着信装置（SW）からのEAP-request/Idを無視してしまいます。
その為着信装置（SW）ではXP端末ログオフ後も離脱を認識できません。

Vistaでは
ログオフ時EAPOL-STARTを送信し、
認証シーケンスを開始します、そして認証失敗させる事により
着信装置側にStateのクリアを促す事が出来ます。

No.4｜dot1x｜Comment（0）｜Trackback（）

XPのサプリカントモード変更

2007/03/06（Tue）14:03

サプリカント：Supplicant
IEEE802.1Xに準拠した認証を実現するために
クライアント側で必要なソフトウェア。

802.1X限定のクライアントの呼び方だったんですね。
先月あたりの打ち合わせでWEB認証端末の事をサプリカントと
書いた資料を提出しちゃったし。
しったかは良くない。反省。

現在Vista-UltimateとXPprofessionalでNAPしたりして遊んでます。
その中でデフォルトのサプリカントモードがVistaとXPとで違います。

Vistaであればケーブルのリンクと同時にEAPOL-STARTが
送信され認証のシーケンスが開始されます。
XPでは着信装置（このブログではほぼ認証SW）からのEAP-Request/Identityを
受信しないと認証シーケンスは開始されません。
ちなみにSW側でLINKと同時にEAPを送信する仕様があってもHUB等を挟むと無意味なので、大体タイマーでEAP送信間隔が決まってると思います。

そこで端末の動作モードを変更できます。
WindowsXP(SP2)標準サプリカントは

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters
\General\Global\SupplicantMode

のレジストリの値を3にする事で端末からEAPOL-STARTを送信できるようになります。

これは覚えられません。φ（．．）メモメモ．．．

No.3｜dot1x｜Comment（0）｜Trackback（）

認証検疫ネットワーク

2007/03/05（Mon）16:33

スイッチをベースとした認証、検疫ネットワークに関する技術情報や設定方法、パラメータ、機能や技術に関する個人的な感想等を物忘れ著しい自分のノート代わりに書き残していくつもりです。

検疫はまだまだ先のお話しで、認証がやっとちらほらって話を聞きます。
認証検疫があたりまえというネットワーク環境がくるかどうかは知りませんが、ここで残した事が先の自分１つのツールになれば御の字だと考えています。

まだまだ新入社員の未熟者である為、間違い等ありましたら優しめのご指摘お願い致します。

No.2｜プライベート｜Comment（0）｜Trackback（）