- PR -

クライアントPCのネットワーク管理

1|2 次のページへ»
投稿者投稿内容
美那
ベテラン
会議室デビュー日: 2008/11/11
投稿数: 58
お住まい・勤務地: 東京都
投稿日時: 2008-12-17 11:42
こんにちわ〜。美那です。
上司の依頼でLAN内にあるクライアントPCが立ち上がったときに、社内PCであるかを
「ネットワーク パスワード入力」ダイアログを表示させて、入力されたユーザ名と
パスワードが認証できたらLAN内のネットワークを使用できるようにして欲しいという
要求がありまして、懸案事項を抱えております。

お忙しいかと思いますが、お時間のある方、有識者の方の知識を分けて頂ければと
思います。


■■■質問■■■
単刀直入でご質問させて頂きますと、TurboLinux11ではどのサービスを使用すれば
宜しいのかを教えて頂きたく思います。

--------------------------------------------------------------------
■パターン1
ユーザ管理と言うことで、最初はSambaを使用するものと思ってました。
それにより…
<Linuxサーバ>
・サーバ上にPDC(プライマリ・ドメイン・コントローラ)を作成
・マシンアカウントのグループの作成
・ドメイン管理者の登録
・クライアントPC名ともとにUNIXアカウント登録
・Sambaのアカウント登録
<クライアントPC>
・コンピュータ名とドメイン名の変更
・ドメイン管理者のユーザ名、パスワードを変更して再起動

すると、クライアントPC起動時にログオン先がドメイン参加での起動か否かでの
2つが存在するだけでした。
私のイメージではクライアントPC起動時にログオン画面が表示され、ログオンされた後、
ネットワーク使用における認証用のパスワード入力が表示されると思ってました。

このSambaは今回の質問の内容を満たすものではないと思いました。
また、知識が足らずいったい何に使用するのか分かりません。
ドメイン参加でのログオンと参加せずでのログオンではどういうときに使用する
機能なのでしょうか???
各ログオンをすると、どういうときに差が発生するものなのでしょうか?
(例えば、Wordにてドキュメントを作成した場合、参照できる属性が変わる等…)


■パターン2
--------------------------------------------------------------------
Apacheによるユーザ認証
<参考>
http://www.obenri.com/_webserver/user_auth.html

参考Webサイトでとりあえずベーシック認証を試してみました。
/etc/httpd/conf/httpd.conf
に以下を追記しました。

#Auth_Section
<Directory /var/www/html/members_only>
  AuthType basic
  AuthName "Members Only"
  AuthUserFile /var/www/password/auth_file
  Require valid-user
</Directory>

そのあと、Linux上でuseraddコマンドで、ユーザアカウントを追加し、
ユーザでログオンしてから、htpasswdコマンドでパスワードを設定しました。

そして、"/etc/rc.d/init.d/httpd restart"を実行


クライアントPCを再起動かけましたが、ログオンしても「ネットワーク パスワード入力」
ダイヤログは表示されませんでした。
よく読むと、これはすべてのネットワークに対してパスワード入力を求めるものではなく
特定のWebサイト(URLアドレス)に対して、制限をかけるものらしいという風に読み取れました。


未だに今回の要求を満たすサービスがどれなのか分かりません。
お忙しいかと思いますが、有識者の方がおりましたらご教授頂けないでしょうか?

技術的な問題以前のお話で申し訳けないのですが、宜しくお願い致します。


以上、宜しくお願い致します。
passol
常連さん
会議室デビュー日: 2008/12/12
投稿数: 20
投稿日時: 2008-12-17 12:03
こんにちは、passolです。

・こういうことですか?
http://ja.wikipedia.org/wiki/RADIUS
http://atnetwork.info/ccnp5/8021x07.html
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-12-17 12:05
こんにちは.

必要としているのは認証 VLAN の類ではないのですか?
非武装エリア
大ベテラン
会議室デビュー日: 2004/03/03
投稿数: 202
お住まい・勤務地: 日本・たこ部屋
投稿日時: 2008-12-17 12:30
FEREC みたいな製品や extreme Summit(その他のSWにもあるけど)のようなマルチサプリカント対応のSWでWeb認証機能を使うのも手かもしれませんね。

美那
ベテラン
会議室デビュー日: 2008/11/11
投稿数: 58
お住まい・勤務地: 東京都
投稿日時: 2008-12-17 13:16
こんにちわ〜。美那です。

passolさん、kazさん、非武装エリアさん、お返事有難う御座います。

"認証 VLAN"や"IEEE802.1X認証"などの単語が一致して出てくるみたいなので、
上司の要求を満たすシステムのようです。

とどのつまりですが…
TurboLinux11のOSに付属しているサービスでは対応できないと考えて宜しいでしょうか?

知らない世界が出てきており、知らない単語もありますので、また自分で調査しなくては
ならないですが、認証サーバを実現させるためにはTurboLinux11のほかに必要なソフトが
必要だってことなんですよね?
ハードもかな?


これはまた…ハードな作業が…(汗)
どうしようかな〜
予算の兼ね合いもあるし〜
ファイルサーバのアクセス権限をSambaで出来てたので、ネットワーク丸ごとの管理も
Sambaでできると思ってたんですけど〜…


宜しくお願い致します。

[ メッセージ編集済み 編集者: 美那 編集日時 2008-12-17 13:17 ]
非武装エリア
大ベテラン
会議室デビュー日: 2004/03/03
投稿数: 202
お住まい・勤務地: 日本・たこ部屋
投稿日時: 2008-12-17 14:26
「入力されたユーザ名とパスワードが認証できたらLAN内のネットワークを使用できるようにして欲しい」という要件なので、PCやサーバ側ではなくLANの要件となりますね。
(OSや利用するソフトでどうするという事では無いならね)
という訳で、この要件に最適なのは、ieee802.1x認証に対応したSW-HUBを導入して、認証が通らなかった機器はLANを使わせないようにする。というのが一番近い回答になるかと思います。
で、この場合必要なのは
 ・認証サーバ(通常はRADIUSサーバ、もちろんLinuxで構築可能:でも認証サーバ自身は認証LANの対象外ですね)
 ・ieee802.1x認証に対応したSW-HUBや無線アクセスポイント(少し高いです。)
 ・ieee802.1x対応のサプリカント(LANクライアントソフトの事。XP以降なら取り合えず標準で付いています)
 ・認証パケットの暗号方式によっては認証局(CA)の構築
となります。
このとき、SW-HUBによっては認証する単位が1ポートで1クライアント(PC)なのか、1ポートで複数クライアントに対応できるかといった違いによって、ネットワークの機器構成が違ったりしてきます。

また、単なる認証だけなく「検疫ネットワーク」も構築したい場合にはSW-HUBがさらにダイナミックVLANに対応する必要があったり、なかったり(使う検疫の方法によってこのあたりも設計の違いがでてきたり)します。

取り合えず一番簡単な構成で、
・PCを接続するHUBをieee802.1x認証対応のものにする
・RADIUSサーバを構築してSW-HUBの設定で、RADIUSを使うようにする。
・XP(やVista)でieee802.1xを使うように設定する。

といったことあたりから試すと(費用も掛からず)良いかと思います。
なお、ieee802.1x認証対応を謳ったSW-HUBには単なる「パススルー」するだけのものもあり、こちらは認証用のパケットを透過させるだけなので、認証LANのエッジ部分(PCを接続するHUB)には使えませんのでご注意ください。


[ メッセージ編集済み 編集者: 非武装エリア 編集日時 2008-12-17 14:33 ]

[ メッセージ編集済み 編集者: 非武装エリア 編集日時 2008-12-17 14:33 ]
美那
ベテラン
会議室デビュー日: 2008/11/11
投稿数: 58
お住まい・勤務地: 東京都
投稿日時: 2008-12-17 14:38
こんにちわ〜。美那です。

引用:

非武装エリアさんの書き込み (2008-12-17 14:26) より:

「入力されたユーザ名とパスワードが認証できたらLAN内のネットワークを使用できるようにして欲しい」という要件なので、PCやサーバ側のはなくLANの要件となりますね。
(OSや利用するソフトでどうするという事では無いならね)
という訳で、この要件に最適なのは、ieee802.1x認証に対応したSW-HUBを導入して、認証が通らなかった機器はLANを使わせないようにする。というのが一番近い回答になるかと思います。
で、この場合必要なのは
 ・認証サーバ(通常はRADIUSサーバ、もちろんLinuxで構築可能:でも認証サーバ自身は認証LANの対象外ですね)
 ・ieee802.1x認証に対応したSW-HUBや無線アクセスポイント(少し高いです。)
 ・ieee802.1x対応のサプリカント(LANクライアントソフトの事。XP以降なら取り合えず標準で付いています)
 ・認証パケットの暗号方式によっては認証局(CA)の構築
となります。
このとき、SW-HUBによっては認証する単位が1ポートで1クライアント(PC)なのか、1ポートで複数クライアントに対応できるかといった違いによって、ネットワークの機器構成が違ったりしてきます。

また、単なる認証だけなく「検疫ネットワーク」も構築したい場合にはSW-HUBがさらにダイナミックVLANに対応する必要があったり、なかったり(使う検疫の方法によってこのあたりも設計の違いがでてきたり)します。

取り合えず一番簡単な構成で、
・PCを接続するHUBをieee802.1x認証対応のものにする
・RADIUSサーバを構築してSW-HUBの設定で、RADIUSを使うようにする。
・XP(やVista)でieee802.1xを使うように設定する。

といったことあたりから試すと(費用も掛からず)良いかと思います。
なお、ieee802.1x認証対応を謳ったSW-HUBには単なる「パススルー」するだけのものもあり、こちらは認証用のパケットを透過させるだけなので、認証LANのエッジ部分(PCを接続するHUB)には使えませんのでご注意ください。


んん〜
まだ、知らない単語がありますが、何をすべきか分かりました。
文章が纏まってて、結論も綺麗に導かれて、読みやすいです。
なるほど〜♪♪♪

有難う御座いました。
凄く助かりました。
美那
ベテラン
会議室デビュー日: 2008/11/11
投稿数: 58
お住まい・勤務地: 東京都
投稿日時: 2008-12-17 16:10
こんにちわ〜。美那です。
少し疑問が沸いたので、また質問させて頂きたいと思います。
お忙しいかと思いますが、有識者の方がおりましたらご回答頂ければと思います。

引用:

非武装エリアさんの書き込み (2008-12-17 14:26) より:

「入力されたユーザ名とパスワードが認証できたらLAN内のネットワークを使用できるようにして欲しい」という要件なので、PCやサーバ側ではなくLANの要件となりますね。
(OSや利用するソフトでどうするという事では無いならね)
という訳で、この要件に最適なのは、ieee802.1x認証に対応したSW-HUBを導入して、認証が通らなかった機器はLANを使わせないようにする。というのが一番近い回答になるかと思います。
で、この場合必要なのは
 ・認証サーバ(通常はRADIUSサーバ、もちろんLinuxで構築可能:でも認証サーバ自身は認証LANの対象外ですね)
 ・ieee802.1x認証に対応したSW-HUBや無線アクセスポイント(少し高いです。)
 ・ieee802.1x対応のサプリカント(LANクライアントソフトの事。XP以降なら取り合えず標準で付いています)
 ・認証パケットの暗号方式によっては認証局(CA)の構築
となります。
このとき、SW-HUBによっては認証する単位が1ポートで1クライアント(PC)なのか、1ポートで複数クライアントに対応できるかといった違いによって、ネットワークの機器構成が違ったりしてきます。

また、単なる認証だけなく「検疫ネットワーク」も構築したい場合にはSW-HUBがさらにダイナミックVLANに対応する必要があったり、なかったり(使う検疫の方法によってこのあたりも設計の違いがでてきたり)します。

取り合えず一番簡単な構成で、
・PCを接続するHUBをieee802.1x認証対応のものにする
・RADIUSサーバを構築してSW-HUBの設定で、RADIUSを使うようにする。
・XP(やVista)でieee802.1xを使うように設定する。

といったことあたりから試すと(費用も掛からず)良いかと思います。
なお、ieee802.1x認証対応を謳ったSW-HUBには単なる「パススルー」するだけのものもあり、こちらは認証用のパケットを透過させるだけなので、認証LANのエッジ部分(PCを接続するHUB)には使えませんのでご注意ください。


非武装エリアさんの回答で認証(RADIUS)サーバが必要であることは分かりました。
今ですね、予定では以下のようなネットワーク構築にしようとしています。

【〜WAN〜】
 |
 |
[ルータ]
 |               [公開サーバA]  [公開サーバB]
 |                  |           |
[ファイアウォールサーバ]---------------------------------------------
 |OS:Linux                        【〜DMZ〜】
 |
 |
 |               [内部サーバA]  [内部サーバB]
 |                  |           |
 +------------------------------------------------------------------
【〜LAN〜】


■質問

認証(RADIUS)サーバというのは内部サーバ、ファイアウォールサーバ、公開サーバの
どこに立てても動くものなのでしょうか?
例えば公開サーバに立てちゃうと、内部サーバには認証なしでアクセスできちゃうとか
あるんでしょうか?
ファイアーウォールも同様なのでしょうか?
基本はやっぱり内部サーバに立てるものなのでしょうか?


愚問かもしれませんが、ネットワークの知識の少ない私には割と深刻でして…A(^^;)


すみません。
ご回答宜しくお願い致します。

[ メッセージ編集済み 編集者: 美那 編集日時 2008-12-17 16:10 ]

[ メッセージ編集済み 編集者: 美那 編集日時 2008-12-17 16:12 ]
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)