802.1X で認証されたワイヤレス アクセスの概要
適用対象: Windows Server 2012
このドキュメントでは、Institute of Electrical and Electronics Engineers (IEEE) 802.11 ワイヤレス アクセスのための IEEE 802.1X 認証アクセスに関する概要情報を示します。 802.1X 認証ワイヤレス アクセスに密接に関連する、あるいはワイヤレス アクセスに関連するテクノロジに関する情報へのリンクも示します。
注意
このトピックに加えて、次の 802.1X 認証ワイヤレス アクセスに関する Windows Server 2012 のドキュメントもご覧ください。
以下のリソースも参照してください。
TechNet 内の Windows Server 2008 R2 と Windows Server 2008 のテクニカル ライブラリの「Netsh Commands for Wireless Local Area Network (WLAN) (ワイヤレス ローカル エリア ネットワーク (WLAN) 用の Netsh コマンド)」。
TechNet 内の Windows Server 2008 R2 と Windows Server 2008 のテクニカル ライブラリの「802.1X Authenticated Wireless Access (802.1X で認証されたワイヤレス アクセス)」。
機能の説明
IEEE 802.1X 認証は、イントラネットに対して追加のセキュリティ障壁を提供します。これにより、正しい認証を実行できないゲスト、非承認、管理対象外のコンピューターがイントラネットに接続するのを防ぐことができます。
管理者が IEEE 802.3 ワイヤード ネットワークに対して IEEE 802.1X 認証を展開するのと同じ理由で、つまり、セキュリティの強化のために、ネットワーク管理者は IEEE 802.1X 標準を実装してワイヤレス ネットワーク接続を保護します。 認証されたワイヤード クライアントがワイヤード イーサネットのイントラネット経由でフレームを送信する許可を得るために、検証用の資格情報のセットを送信する必要があるのと同様に、IEEE 802.1X ワイヤレス クライアントも、ワイヤレス アクセス ポイント (AP) 経由やネットワーク経由でトラフィックを送信する前に認証を実行する必要があります。
重要な用語とテクノロジの概要
次に示す概要は、802.1X 認証ワイヤレス アクセスを展開するために必要な各種テクノロジを理解するうえでの参考にしてください。
注意
このドキュメントでは、802.1X で認証されるワイヤレス アクセスを "WiFi アクセス" と呼びます。
IEEE 802.1X
IEEE 802.1X 標準で定義されているのは、ポート ベースのネットワーク アクセス制御です。これが、企業ネットワークへの認証済み WiFi アクセスを実現するために使用されています。 このポート ベースのネットワーク アクセス制御では、802.1X 対応ワイヤレス AP インフラストラクチャの物理的特性を使って、LAN ポートに接続されたデバイスの認証が行われます。 認証プロセスが失敗した場合は、ポートへのアクセスを拒否できます。 この標準は当初、ワイヤード イーサネット ネットワーク用に設計されたものですが、802.11 ワイヤレス LAN に対しても使用できるように変更が加えられています。
IEEE 802.1X 対応のワイヤード イーサネット スイッチ
802.1X ワイヤレス アクセスを展開するには、1 台以上の 802.1X 対応ワイヤレス AP をネットワーク上にインストールして構成する必要があります。 このワイヤレス AP は、リモート認証ダイヤルイン ユーザー サービス (RADIUS) プロトコルに対応している必要があります。
802.1X と RADIUS に対応するワイヤレス AP が RADIUS インフラストラクチャ (NPS サーバーなどの RADIUS サーバーが存在するインフラストラクチャ) 内に展開されているときは、このワイヤレス AP を RADIUS クライアントと呼びます。
IEEE 802.11 ワイヤレス
IEEE 802.11 は多数の標準の集合であり、これらの標準によって WiFi アクセスのレイヤー 1 (物理層) とレイヤー 2 (データ リンク層のメディア アクセス制御 (MAC)) が定義されます。
ネットワーク ポリシー サーバー
ネットワーク ポリシー サーバー (NPS) では、RADIUS サーバー、RADIUS プロキシ、ネットワーク アクセス保護 (NAP) ポリシー サーバーの 3 つのコンポーネントにより、ネットワーク ポリシーを一元的に構成および管理できます。 802.1X ワイヤレス アクセスを展開するには、NPS が必要です。
サーバー証明書
WiFi アクセスの展開には、802.1X 認証を実行する NPS サーバーごとにサーバー証明書が必要となります。
サーバー証明書は、認証用、およびオープン ネットワーク上の情報を保護するために一般的に使用される、デジタル ドキュメントです。 証明書によって、公開キーが、対応する秘密キーを保持するエンティティに安全に結び付けられます。 証明書は、発行元の証明機関 (CA) によってデジタル署名され、ユーザー、コンピューター、またはサービスに対して発行できます。
CA は、サブジェクト (通常はユーザーまたはコンピューター) または他の CA に属する公開キーの信頼性を確立し保証する責任を持ったエンティティです。 CA の活動には、署名された証明書によって公開キーを識別名に結び付けることに加え、証明書のシリアル番号の管理、証明書の取り消しも含まれます。
Active Directory 証明書サービス (AD CS) は、ネットワーク CA として証明書を発行する Windows Server 2012 のサーバーの役割の 1 つです。 AD CS 証明書インフラストラクチャは、公開キー基盤 (PKI) とも呼ばれ、企業のために証明書を発行し管理するためのカスタマイズ可能なサービスを提供します。
EAP
拡張認証プロトコル (EAP) は、任意の長さの資格情報と情報の交換を使用する追加の認証方法を可能にすることで、Point-to-Point プロトコル (PPP) を拡張したものです。 EAP 認証では、ネットワーク アクセス クライアントと認証システム (NPS サーバーなど) が、同じ種類の EAP をサポートしている必要があります。
新機能と変更された機能
Windows Server 2012 の WiFi アクセスでは、Windows Server 2008 R2 で提供されるワイヤード アクセス ソリューションに対して、最小限の変更のみが加えられています。 変更内容を次に示します。
機能 |
以前のオペレーティング システム |
新しいオペレーティング システム |
|---|---|---|
既定で含まれるネットワーク認証方法の一覧に EAP-TTLS (トンネリングされたトランスポート層セキュリティ) を追加 |
含まれない |
既定で含まれる |
関連項目
次に示すのは、802.1X 認証ワイヤレス アクセスに関する追加リソースです。