いつも木端微塵

ギタリスト:テリー木端の日記。音楽的影響:King Crimson,XTC,Japan,Joy Division,The Smiths,Morrissey ギターは、80年代フェルナンデスのThe Revival、Tokai SEBレスポール木端モデル。
連絡先:postmasterアットmorrissey.jp


テーマ:

今日でようやく802.1xがすべて動作しました。


ちょっと苦戦しました。


OSPFQ-in-Qの部分はあっさり終わったのですが、

やっぱりやったことなかったので有線LAN 802.1x認証がいろいろありました。


構成


client(サプリカント):odyssey version 4.0.4

OS:Windows XP Pro

ノートPC:kazuさんのところのやつ。


L2 Switch: Catalyst 2970G-24TS-E

L3 Switch: Catalyst 3750G-24TS-E


認証サーバ:kazuさんのところのブレードサーバ

OS:Windows 2003 Server SE


Radius:Cisco Secure ACS 3.3.3

CA:Windows 2003 証明書サービス


Active Directory:別のブレードサーバをDCとする。


ACSは、ローカルにデータベースを持たずにWindows ADを参照するようにする。

認証方式は、EAP-TLS。証明書はクライアントとサーバの両方に必要。

めんどいので多くの技術者が嫌うが、セキュリティ強度は強い

XPでもサポートされていて互換性もある。


Catalyst 2970802.1xの設定をする。


今回、トリプルMCSEとしての意地は見せました。

(トリプルCCIEのほうがぜんぜんすごいけど)


まず、CAは将来的にADGPOによる証明書の配布も考慮してエンタープライズルートCAで立てました。Windows 2003証明書サービスを有効にする前にIISの導入をしておいてください。その後サーバーをADにメンバーサーバとして参加させます。それからCAの導入をします。


証明書の発行は、クライアントはwebアクセスで発行します。

http://x.x.x.x/certsrv

でドメイン名とユーザー名パスワードを指定して

ユーザ用のクライアント証明書を発行


サーバ側は、ACSの設定をします。

今回の導入で社内の技術部隊のページで情報を探しましたが

どれもこれも役に立ちませんでした。

サーバーからクライアントソフトの設定やCAのサーバーについてなど

情報皆無でこういう複合技って駄目みたいです。

よって友人に問い合わせしてあとは、自分の知識でやりました。


ひととおり設定してさて実験!

認証で蹴られます。ログ上は、SSLhandshakeに失敗と出ている。

悩んでしまう。


ネットワークリトルは1人つぶやきました。

「今日はね、本当についてなかっただけなんだ(涙)」


何がいけないのか徹底的にチェックするとACSの設定が足りないことを発見。そもそもACSのマニュアル見てもこのあたりはすごくわかりずらいです。CCOを検索して見つけました。


よし!これで大丈夫!再チャレンジ!


認証でまたしても蹴られる。ログ上は、windows dialin permissionが必要と出ている。

悩んでしまう。


ネットワークリトルは、また1人つぶやきました。

「今日はね、本当についてなかっただけなんだ(涙)」


今度はACSの画面をチェックしているとデフォルトで余計なものに

チェックが入っていることがわかりそれをはずしたところ


何と!見事成功!


clientswitchACSDC(AD)というように認証プロセスに関わる機器がやたら多いので時間かかるだろうか?timeoutの設定を調整する必要があるだろうか?など心配しましたが、いたって快適です。これなら運用可能。

といってもクライアント台数が今回少ないからでしょう。


odysseyがかなり良いです。ちなみにodysseyは、Juniperに買われました。よって今後はJuniperの製品です。


ともかく

これで一通り動いたので念入りに動作確認をしてドキュメント作成です。

AD
コメント(0)  |  リブログ(0)
最近の画像つき記事  もっと見る >>

テーマ:

欲しいんだけど。
いつでるんだろうか。


http://www.amazon.co.jp/exec/obidos/ASIN/1587051990/qid%3D1118710058/249-4735692-6617927


でもけっこう値段が高い。

AD
コメント(0)  |  リブログ(0)

テーマ:

ちょっと本業のネットワークの話、

頭の中で真剣に考えるのがやっぱり設計だ。


設計は設定を含む。当たり前だ。構成と設定。


悪いネットワークとは、そりゃ設計の問題というのがある。

何でそんな設計してるの?何でそんな設定してるの?

という感じである。


家だって建ててからああでもないこうでもないと変更するのは

非常に難しい。

建てる前に一生懸命徹底的に設計した人が結局上手く行く。


設計といっても単純な要件で規模が小さければ難しくなくて

設計というほどのことは無い。

要件が複雑になればなるほど悩んじゃうのだ。

要件が複雑で大きくなると悩んじゃうのだ。


そういう場合はやっぱりスキルがいると思う。

すべての案件がそうだということはないけど。


コメント(0)  |  リブログ(0)

テーマ:
ある最悪な1例を書こう。
世の中には他人のことなど全く考えないふざけた
技術者がいる。

とあるお客様の案件でネットワークデザイン、機器選定、
をして提案受注した。
しかし、その案件をやるのは彼ではない。
いわゆるネットワークデザイナーという仕事なのか
コンサルティング営業なのか僕にはわからない。

しかし、仕事をふられた人間がいて
ふたをあけてみるとボロボロなのである。

ルータでしなくてはいけない冗長構成はできない。
設計段階でよく機能を調べてないのである。
またそのルータの導入実績はない。
絶対にその機種でなくてはならないというわけでもない。

また、シスコルータでのIDS機能は社内的にサポートされていない
そのこともちゃんと確認を取るとか調べるとかしていないのである。
どういう問題点があるかちゃんと確認していればそういう設計はしない。

PIX Firewallで6.3からOSPFがサポートされているが
デザインした人間はその導入経験があるわけでもないし、
どのくらいの実績があるかも把握していない。
実際検証してどうなのかとか知っているわけでもない。

しかもお客様はそれを必要としていない。

本当にスキルがあるエンジニアとは導入実績や
保守、運用を考えて提案できる人間である。
なるべくシンプルにする。他のSEでもわかるようにする。

ネットワーク機器をおもちゃにみたてて自分の興味本位で
設計する人間がスキルがあるわけではない。
そういう人間が仕事をふると振られた側が迷惑である!

上記のようなネットワークデザイナーは
技術があれど、どれだけコマンドを知っていようとも
CCIEだったとしてもビジネスパーソンとして失格である。

常に優れたビジネスパーソンは相手のことを思いやるはずである。
俺が決めたんだからお前はやればいいんだよといって
提案している内容はお客様の要件にかみ合っていない。

提案している側は責任もとらないしとれない。
人として終わっていると思う。

ビジネスパーソンとして終わっている人間というのは
自分のしていることがどれだけ迷惑をかけて人に不快感を
与えているかということがわかっていない。
自分はわるくないといいはる。謝るということができない。

だから話し合っても仕方ない。関わらなくなるだけである。
関係からはずしていくしかない。

どれだけ言ってもわからない。自分の非もみとめられないし
仮に認めたとしてもうわべだけだろう
そういうことでは信用はされない。
エンジニアの世界にはごく当たり前のこと、ビジネスパーソンとして
常識ということがわかっていない人も残念ながらいる
お話にならないレベルである。
というか人として問題あり?
っていう感じの人間がいる。

はっきり言ってあきらめるしかない。
理解するかどうかは最後はその人間の資質である。

変化が大事とか言っている人間ほど自分が変化できないんだなと
学ぶ今日この頃。
コメント(0)  |  リブログ(0)

テーマ:
最近、全体のネットワーク構成から細かい部分の設定内容を考えています。
これは、設計の仕事の1部ですが、けっこう頭を使います。
どういう形がベストだろうかとか、もっと賢い方法あるだろうかとか、
何か工夫できないかなとか

いろいろあって、結局技術者間で話し合いになります。
もちろん最後はお客様へ了解をもらうと。

今日も設定確認。

あと、痛かったのが作業指示が甘くて、

以前行なった作業で設定のミスが見つかり
リモートからの変更になりそうです。

これは、ごめんなさい&落とし前なので
私がやることになります。
コメント(0)  |  リブログ(0)

AD

Ameba人気のブログ

Amebaトピックス

      ランキング

      • 総合
      • 新登場
      • 急上昇
      • トレンド

      ブログをはじめる

      たくさんの芸能人・有名人が
      書いているAmebaブログを
      無料で簡単にはじめることができます。

      公式トップブロガーへ応募

      多くの方にご紹介したいブログを
      執筆する方を「公式トップブロガー」
      として認定しております。

      芸能人・有名人ブログを開設

      Amebaブログでは、芸能人・有名人ブログを
      ご希望される著名人の方/事務所様を
      随時募集しております。