有線/無線LANの認証について定めたIEEEの標準で、認証VLANや認証無線LANなどとも呼ばれる。認証を行う端末(サプリカント)、IEEE802.1X対応のレイヤー2/レイヤー3スイッチや無線LANアクセスポイント(Authenticator)、そしてRADIUSサーバー機能をもつ認証サーバー(PKIを利用する場合にはCA/RA/CRLなどの機能も必要になる)から構成される。サプリカントとAuthenticator間はEAP層のEAPで認証処理を行い、EAPOLによって、有線や無線の各種データリンクに対応している。また、Authenticatorと認証サーバー間は従来のRADIUSプロトコルを利用する。認証方式は各種選択が可能で、代表的なものに、MD5/TLS/TTLS/PEAP/LEAPなどがある。無線LANなどではIEEE802.1xの認証とともにWEPやTKIPの暗号鍵を定期的に変更することができる。
関連用語:
IEEE 802.1xとは、クライアント機器のLAN接続時の認証プロトコルや制御方法を標準化したものである。
IEEE 802.1xは、クライアントがアクセスポイントに接続した際に認証が行われ、認証されない場合は接続を遮断する仕組みになっている。IEEE 802.1xは無線、有線LANいずれでも利用が可能だが、クライアントとアクセスポイントがIEEE 802.1Xへの対応していることに加えて、認証用にRADIUS(Remote Authentication Dial In User Service)サーバーやLDAP(Lightweight DirectoryAccess Protocol)サーバーなどが必要となる。
| 無線LAN: | GHz IEEE 802.11 IEEE 802.15.4 IEEE 802.1x MIMO MISO MU-MIMO |
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/12/31 17:10 UTC 版)
ナビゲーションに移動 検索に移動IEEE 802.1Xとは、LAN接続時に使用する認証規格(認証VLAN)である。接続を認めた端末機器以外がコンピュータネットワークに参加しないように認証によって接続を規制する。有線と無線の接続に使用できる検疫ネットワークのデータリンク層の技術である。
この標準はIEEE Standard for Local and metropolitan area networks--Port-Based Network Access Controlで規定されており、初版が2001年に、改定版が2004年に、最新版が2010年に発行されている。2014年に802.1Xbx、2018年に802.1Xckという追補(ammendment)を発行している。
IEEE 802.1Xを使った認証システムは、以下のものから構成される。
本項目ではレイヤ2スイッチやインテリジェント・ハブ、LANスイッチと呼ばれているネットワーク機器を「LANスイッチ」と呼ぶ。また、802.1Xに対応したLANスイッチを「認証LANスイッチ」と、サプリカント・ソフトウェアを備えたクライアントPCを「サプリカントPC」と呼ぶ。
IEEE 802.1XはEthernetの認証であるのに対して、RADIUSはIP以上での認証であり、直接対応させて理解しない。
IEEE 802.1Xを使った認証動作は以下の3段階からなる。
EAPメッセージを認証LANスイッチを経由して認証サーバと何度かやりとりを交わすことで、認証を受ける。サプリカントのMACフレームは認証LANスイッチによってRADIUSフレームに変換されて認証サーバへ送られ、逆に認証サーバから返信されるRADIUSフレームは認証LANスイッチによってMACフレームへ変換されてサプリカントへ送られる。認証LANスイッチはサプリカントPCからの通信は認証サーバへのもの以外は受け付けない。
認証が完了して、初めてサプリカントはネットワークに自由に接続できるようになる。認証の種類によっては認証完了時に認証サーバから認証LANスイッチに暗号鍵の材料や所属LANの情報などが通知され、認証LANスイッチからサプリカントに暗号鍵が通知されることがある。
802.1Xに使用できるEAPはいくつかあるが、サプリカントと認証サーバの両方が対応している必要がある。
サプリカントPCと認証LANスイッチは直接接続されることが必要であるが、仮に両者の間に別のネットワーク機器が存在した場合の動作を以下に示す。
多くのネットワーク・プリンタと少し旧型のIP電話はIEEE 802.1Xに非対応のため、そのままではこれらの機器がネットワークに接続できなくなる。対症療法的にLANスイッチのMACアドレス・フィルタ機能を使ってこれらの機器をネットワークに参加させることができるが、LANスイッチのポートが固定となるため設定の手間がかかるだけでなく、MACアドレスを偽装した不正接続に対して大きなセキュリティホールとなり推奨できない。ネットワーク・プリンタ等のセキュリティの確保できない端末機器だけのネットワークをVLANによって分割するなどの工夫が求められる。
Windows 2000 SP4以降、EAP-TLSとPEAPに対応しており、Windows XP 以降、EAP-MD5、EAP-TLS、PEAPにも対応している。
macOSはサプリカント機能を標準で内蔵している。
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/02/14 13:58 UTC 版)
「RADIUS」の記事における「IEEE 802.1X」の解説
詳細は「IEEE 802.1X」を参照 IEEE 802.1Xは、LANの利用の可否を制御する、イーサネット上のプロトコルである。IEEE 802.1Xにおいては、EAPプロトコルとRADIUSプロトコルを利用することによって、RADIUSサーバによって認証された利用者のみに対してLANを利用させることができる。もちろん、このためにはIEEE 802.1Xに対応した無線LANアクセスポイントまたはスイッチが必要である。なお、「802.1x」というように「X」を小文字で記述しても誤りではないが、大文字で記述するのが主流である。これは、小文字の「x」が数学で使う「 x {\displaystyle x} 」のように、「xの部分に入る文字を規定しない」という意味に誤解されることを防ぐためである。 IEEE 802.1XおよびRADIUSプロトコルのいずれも、実際の認証手順については規定していない。実際の認証は、EAP-TLS、PEAP、EAP-TTLSなどEAP上の認証手順によって行う。ベンダ独自の認証手順をEAP上に実現することも可能である。EAPによる認証のためのデータのやりとりを、利用者端末とアクセスポイントまたはスイッチの間のイーサネットではEAPoL(EAP over LAN)、アクセスポイントまたはスイッチとRADIUSサーバの間ではRADIUSプロトコルによって中継する。 EAP-TLSは、TLSに基づいてデジタル証明書による相互認証(サービス提供者の詐称をも防止する)を行うという点で重要であるが、デジタル証明書の運用と管理の負担が大きいという点で、一般の事業所等では敬遠される傾向がある。PEAPおよびEAP-TTLSは、TLSによる暗号化した通信路を形成したうえでパスワード情報のやりとりを行う認証手順である。EAP-TLS、PEAP・EAP-TTLSの対比は、ウェブブラウザのTLSでデジタル証明書による相互認証を行うのか、SSL上でパスワード認証を行うかの違いを考えるとわかりやすいだろう。
※この「IEEE 802.1X」の解説は、「RADIUS」の解説の一部です。
「IEEE 802.1X」を含む「RADIUS」の記事については、「RADIUS」の概要を参照ください。
