第36回 認証システムを実現するさまざまな技術
RADIUS
ネットワークの利用者の認証と利用記録を一元的に行うシステム。
いろんなところで必要とされる認証を全てこれでやります。というシステム。
ユーザ情報が一元管理できるので、管理上もセキュリティ上もすぐれています。
フリーのRADIUSもあり、密かにいろんなところで使われています。
RADIUSは認証システムなので、ここまで書いてきた全ての認証を扱えます。
扱えるシステムが売っているか(存在するか)どうかは問題ではありません。
理論上扱えるというのが重要です。
つまりお金さえかければできない認証はないということです。
TACACS/TACACS+
RADIUSとは発生元が違うようだが、目的は同じ。
認証を一元管理するためのシステムだ。
TACACS+はCISCOが勝手に拡張したシステム。
でも、事実上デファクトスタンダードとなっていて、TACACSといえば、+(プラス)のことを指すくらい。
TACACSとの違いは、プロトコルがTCPであることと、認証に加え、認可と課金の機能をもつこと。
Kerberos
Windowsサーバに標準で実装されたことから、普及するかと思われたが、
さすが、マイクロソフト。
勝手に実装を追加したため、他のシステムではつかえず、結局閉じたシステムになってもた。
標準化させない度No1企業の面目躍如といったところか。
最近は態度を改めてきている模様だけど。
これの仕組みはややこしいし、ぼくは嫌いなので書きません。
まあ、そんな認証方式もあるということで。
言葉だけは有名です。
ディレクトリサービス
これもまた、マイクロソフトがアクティブディレクトリ(AD)なる名前で実装して有名になった。
一般的にはLDAP(えるだっぷ)と呼ぶことの方が多い。
LDAPはツリー構造で情報を管理する仕組み。
LDAP自体がプロトコルでもある。(正確にはDAPプロトコル)
LDAPはもともとインターネット上の電話帳(あるいは住所録)として作られた。
現在はユーザ情報の管理として使われている。
ADは例によって勝手に拡張しているが、プロトコルはDAP。
LDAPの構造自体は自由に拡張可能なため、マイクロソフトの行為自体はふつーである。
LDAPは簡単に使えるため、社内アドレス帳などのDBとしても使われる。
というか、ちょちょいとこの間作った。
linux+LDAP+PHPで簡単に作れます。一番面倒なのはデータ(個人情報)の入手。
EAP
PPPの認証機能を強化・拡張したユーザ認証プロトコル。
というよりは、IEEE 802.1xを実装したプロトコルとして有名。
IEEE 802.1x
元々は有線LAN用のユーザ認証プロトコルとして作られたが、
需要は無線LANにあったようで、現在では主に無線LANで使われている。
EAP(802.1x)はRADIUSとセットで使われます。
比較的安価(数十万円)で構築できるし、無線LANはそのまま使うにはあまりにも
危険なので、かなり普及してます。
安価な無線LANでは無敵のバッファロー(旧メルコ)にもあるので、
ホームページ見ときましょう。
ちなみに認証情報はパソコンにセットしておいて、いちいちログインしないで済むようにもできます。
本当は毎回入力させるべきなんだけど。
面倒だしね。
問い合わせを受ける管理者が。(だから自動化する。認証を?...本末転倒な。)
RADIUS
ネットワークの利用者の認証と利用記録を一元的に行うシステム。
いろんなところで必要とされる認証を全てこれでやります。というシステム。
ユーザ情報が一元管理できるので、管理上もセキュリティ上もすぐれています。
フリーのRADIUSもあり、密かにいろんなところで使われています。
RADIUSは認証システムなので、ここまで書いてきた全ての認証を扱えます。
扱えるシステムが売っているか(存在するか)どうかは問題ではありません。
理論上扱えるというのが重要です。
つまりお金さえかければできない認証はないということです。
TACACS/TACACS+
RADIUSとは発生元が違うようだが、目的は同じ。
認証を一元管理するためのシステムだ。
TACACS+はCISCOが勝手に拡張したシステム。
でも、事実上デファクトスタンダードとなっていて、TACACSといえば、+(プラス)のことを指すくらい。
TACACSとの違いは、プロトコルがTCPであることと、認証に加え、認可と課金の機能をもつこと。
Kerberos
Windowsサーバに標準で実装されたことから、普及するかと思われたが、
さすが、マイクロソフト。
勝手に実装を追加したため、他のシステムではつかえず、結局閉じたシステムになってもた。
標準化させない度No1企業の面目躍如といったところか。
最近は態度を改めてきている模様だけど。
これの仕組みはややこしいし、ぼくは嫌いなので書きません。
まあ、そんな認証方式もあるということで。
言葉だけは有名です。
ディレクトリサービス
これもまた、マイクロソフトがアクティブディレクトリ(AD)なる名前で実装して有名になった。
一般的にはLDAP(えるだっぷ)と呼ぶことの方が多い。
LDAPはツリー構造で情報を管理する仕組み。
LDAP自体がプロトコルでもある。(正確にはDAPプロトコル)
LDAPはもともとインターネット上の電話帳(あるいは住所録)として作られた。
現在はユーザ情報の管理として使われている。
ADは例によって勝手に拡張しているが、プロトコルはDAP。
LDAPの構造自体は自由に拡張可能なため、マイクロソフトの行為自体はふつーである。
LDAPは簡単に使えるため、社内アドレス帳などのDBとしても使われる。
というか、ちょちょいとこの間作った。
linux+LDAP+PHPで簡単に作れます。一番面倒なのはデータ(個人情報)の入手。
EAP
PPPの認証機能を強化・拡張したユーザ認証プロトコル。
というよりは、IEEE 802.1xを実装したプロトコルとして有名。
IEEE 802.1x
元々は有線LAN用のユーザ認証プロトコルとして作られたが、
需要は無線LANにあったようで、現在では主に無線LANで使われている。
EAP(802.1x)はRADIUSとセットで使われます。
比較的安価(数十万円)で構築できるし、無線LANはそのまま使うにはあまりにも
危険なので、かなり普及してます。
安価な無線LANでは無敵のバッファロー(旧メルコ)にもあるので、
ホームページ見ときましょう。
ちなみに認証情報はパソコンにセットしておいて、いちいちログインしないで済むようにもできます。
本当は毎回入力させるべきなんだけど。
面倒だしね。
問い合わせを受ける管理者が。(だから自動化する。認証を?...本末転倒な。)