今日でようやく802.1xがすべて動作しました。
ちょっと苦戦しました。
OSPFやQ-in-Qの部分はあっさり終わったのですが、
やっぱりやったことなかったので有線LAN 802.1x認証がいろいろありました。
構成
client(サプリカント):odyssey version 4.0.4
OS:Windows XP Pro
ノートPC:kazuさんのところのやつ。
L2 Switch: Catalyst 2970G-24TS-E
L3 Switch: Catalyst 3750G-24TS-E
認証サーバ:kazuさんのところのブレードサーバ
OS:Windows 2003 Server SE
Radius:Cisco Secure ACS 3.3.3
CA:Windows 2003 証明書サービス
Active Directory:別のブレードサーバをDCとする。
ACSは、ローカルにデータベースを持たずにWindows ADを参照するようにする。
認証方式は、EAP-TLS。証明書はクライアントとサーバの両方に必要。
めんどいので多くの技術者が嫌うが、セキュリティ強度は強い
XPでもサポートされていて互換性もある。
Catalyst 2970で802.1xの設定をする。
今回、トリプルMCSEとしての意地は見せました。
(トリプルCCIEのほうがぜんぜんすごいけど)
まず、CAは将来的にADのGPOによる証明書の配布も考慮してエンタープライズルートCAで立てました。Windows 2003証明書サービスを有効にする前にIISの導入をしておいてください。その後サーバーをADにメンバーサーバとして参加させます。それからCAの導入をします。
証明書の発行は、クライアントはwebアクセスで発行します。
http://x.x.x.x/certsrv
でドメイン名とユーザー名パスワードを指定して
ユーザ用のクライアント証明書を発行
サーバ側は、ACSの設定をします。
今回の導入で社内の技術部隊のページで情報を探しましたが
どれもこれも役に立ちませんでした。
サーバーからクライアントソフトの設定やCAのサーバーについてなど
情報皆無でこういう複合技って駄目みたいです。
よって友人に問い合わせしてあとは、自分の知識でやりました。
ひととおり設定してさて実験!
認証で蹴られます。ログ上は、SSLのhandshakeに失敗と出ている。
悩んでしまう。
ネットワークリトルは1人つぶやきました。
「今日はね、本当についてなかっただけなんだ(涙)」
何がいけないのか徹底的にチェックするとACSの設定が足りないことを発見。そもそもACSのマニュアル見てもこのあたりはすごくわかりずらいです。CCOを検索して見つけました。
よし!これで大丈夫!再チャレンジ!
認証でまたしても蹴られる。ログ上は、windows dialin permissionが必要と出ている。
悩んでしまう。
ネットワークリトルは、また1人つぶやきました。
「今日はね、本当についてなかっただけなんだ(涙)」
今度はACSの画面をチェックしているとデフォルトで余計なものに
チェックが入っていることがわかりそれをはずしたところ
何と!見事成功!
client→switch→ACS→DC(AD)というように認証プロセスに関わる機器がやたら多いので時間かかるだろうか?timeoutの設定を調整する必要があるだろうか?など心配しましたが、いたって快適です。これなら運用可能。
といってもクライアント台数が今回少ないからでしょう。
odysseyがかなり良いです。ちなみにodysseyは、Juniperに買われました。よって今後はJuniperの製品です。
ともかく
これで一通り動いたので念入りに動作確認をしてドキュメント作成です。