The Cable GuyWindows の EAPHost
Joseph Davies
このコラムには、Windows Server "Longhorn" のプレリリース情報が含まれています。この情報は変更される可能性があります。
アクセス クライアントが保護ネットワークに接続する場合、認証サーバーによる検証のために、ネゴシエート済みの認証方法を使用する必要があります。たとえば、アクセス クライアントと認証サーバーは、特定のパスワード認証プロトコル (Microsoft チャレンジ ハンドシェイク認証
プロトコル バージョン 2 (MS-CHAP v2) など) を使用することで同意します。ただし、アクセス クライアントと認証サーバーが、組み込みのハードコーディングされた認証方法を使用する場合、新しいプロトコルを追加することは困難です。
拡張認証プロトコル (EAP) は、IEEE 802.1X ベースのワイヤレス ネットワーク、ダイアルアップや VPN などのポイント ツー ポイント (PPP) 接続など、一般に使用される保護ネットワーク アクセス テクノロジの認証方法を拡張するための認証フレームワークです。EAP は、MS-CHAP v2 のような認証方法ではなく、アクセス クライアントと認証サーバー上のフレームワークで、ネットワーク ベンダが EAP メソッドと呼ばれる新しい認証方法を開発し、容易にインストールできるようにするものです。EAP の詳細については、マイクロソフトの EAP Web ページ (microsoft.com/eap) を参照してください。
EAP は Windows 2000 以降の Microsoft® Windows® でサポートされていますが、Windows XP と Windows Server® 2003 の EAP アーキテクチャには、EAP メソッドとサプリカント (特定の種類のリンク層上で EAP を使用できるソフトウェア コンポーネント) の拡張性に制限がありました。Windows Vista™ と Windows Server の次期バージョン (コードネーム "Longhorn") の EAPHost アーキテクチャではこうした制限が解消され、サードパーティのネットワーク ベンダが新しいサプリカントや EAP メソッドを追加して Windows をこれまでよりも容易に拡張できるようになります。
Windows Server 2003 と Windows XP での EAP サポート
Windows Server 2003 と Windows XP では、802.1X により認証を行うワイヤレス接続または有線接続、ダイアルアップや VPN ベースのリモート アクセスまたはサイト間接続などの PPP 接続に、EAP を使用しています。具体的には、これらのオペレーティング システムには、RFC 2284 準拠の EAP 実装と、IEEE 802.1X および PPP サプリカントが含まれています。図 1 は、Windows XP と Windows Server 2003 の EAP とサプリカントのアーキテクチャを示しています。ただし、Windows XP Service Pack 2 (SP2) と Windows Server 2003 SP1 の EAP 実装は、RFC 3748 (EAP の現在のインターネット標準) などの EAP RFC をサポートしていないことに注意してください。
図 1** Windows XP と Windows Server 2003 の EAP とサプリカントのアーキテクチャ **
EAP API は、Windows XP と Windos Server 2003 の認証を拡張する手段を提供します。サードパーティのベンダは、新しい EAP メソッドを開発して、インストールできますが、組み込みの PPP と 802.1X サプリカントはインストールされる EAP メソッドをすべて使用できるわけではません。たとえば、あるベンダが新しい指紋スキャン EAP 認証方法を開発しても、この方法はワイヤレス接続では使用できないと考えられます。
組み込みのサプリカントには制限があるため、一部のサードパーティのソフトウェア ベンダやハードウェア ベンダは、独自のサプリカントを開発しています。このようなサプリカントは、通常、組み込みのサプリカントと EAP アーキテクチャ全体を置き換えて無効にします。ただし、こうした代替措置には、いくつか問題があります。まず、組み込みのサプリカントと EAP アーキテクチャを置き換える場合は、開発コストがかかるため、作業が遅れる原因になります。また、企業ユーザーでは、独自のサプリカントを開発しないため、サードパーティ製品のライセンスを取得し、インストールするために、接続クライアント数を基準とするライセンス コストが必要になる可能性があります。
EAPHost の機能
EAPHost には、以下の新機能があります。
追加の EAP メソッドのサポート EAPHost は、EAP レジストリ (www.iana.org/assignments/eap-numbers) に登録されているすべての EAP メソッド、および Cisco Systems, Inc. が開発および提供している Lightweight EAP (LEAP) などの一般的なその他の認証方法のインストールと使用をサポートします。
ネットワーク探索 EAPHost は、RFC 4284 で規定されているネットワーク探索をサポートします。
RFC 3748 準拠 EAPHost は EAP ステート マシンに準拠しており、RFC 3748 で指摘されているさまざまなセキュリティの脆弱性に対応しています。以前は、サプリカントが独自のステート マシンを実装しなければなりませんでした。また、EAPHost は拡張 EAP タイプ (ベンダ固有の EAP メソッドを含む) などの機能をサポートします。
EAP メソッドの共存 EAPHost では、同じ EAP メソッドの複数の実装が同時に共存できます。たとえば、マイクロソフトの保護された EAP (PEAP) と Cisco Systems, Inc. の PEAP をインストールし、いずれかを選択できます。
モジュール型のサプリカント アーキテクチャ EAPHost は、モジュール型のサプリカント アーキテクチャをサポートします。このアーキテクチャにより、以前のバージョンのように EAP 実装全体を置き換えることなく、新しいサプリカントを容易に追加できます。
EAP メソッド ベンダにとっての EAPHost のメリットは、Windows XP と Windows Server 2003 用に既に開発した EAP メソッドがサポートされることと、Windows Vista と Windows Server "Longhorn" 向けに新しい EAP メソッドを容易に開発できることです。また、EAPHost では、EAP タイプのより細かい分類が可能なため、組み込みの IEEE 802.1X サプリカントもこれらを使用できます。
サプリカント ベンダにとっての EAPHost のメリットは、新しいリンク層用のサプリカントが新たにサポートされることです。EAPHost がネットワーク アクセス保護 (NAP) に統合されるため、新しいサプリカントは NAP に対応している必要はありません。新しいサプリカントは、接続識別子と、再認証のためにサプリカントに情報を提供するコールバック関数を登録するだけで、NAP に参加できます。NAP の詳細については、今月号の TechNet Magazine** の John Morello による「セキュリティ ウォッチ」コラムと、NAP の Web ページ (microsoft.com/nap) を参照してください。EAPHost 用の EAP メソッドまたはサプリカントの開発方法の詳細については、拡張認証プロトコル ホスト (msdn2.microsoft.com/aa364249.aspx) を参照してください。
EAPHost と EAP インフラストラクチャのアーキテクチャ
EAPHost のアーキテクチャは、EAPHost 用の EAP インフラストラクチャ、EAP ピア (認証クライアント) 側の EAPHost アーキテクチャ、および認証サーバー側の EAPHost アーキテクチャから構成されます。図 2 は、Windows Vista または Windows Server "Longhorn" を実行するコンピュータ上の EAPHost 用の EAP インフラストラクチャ アーキテクチャのコンポーネントを示しています。これらのオペレーティング システムでは、EAP ピアに、サプリカント (組み込みの 802.1X サプリカントなど) の層、EAP ピア用の新しい EAPHost アーキテクチャ (サプリカントと EAP メソッドの通信と管理を容易にするアーキテクチャ)、および認証を実行する EAP メソッドの層があります。
図 2** EAPHost 用の EAP インフラストラクチャ アーキテクチャ **(画像を拡大するには、ここをクリックします)
Windows Server "Longhorn" 用の認証サーバーには、ネットワーク ポリシー サーバー (NPS)、認証サーバー用の新しい EAPHost アーキテクチャ、および EAP メソッドの層があります。NPS は、以前 Windows Server 2003 でインターネット認証サービス (IAS) と呼ばれていたものであり、リモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーおよびプロキシと、NAP のポリシー サーバーとなります。
EAP ピア上のサプリカントは、PPP や 802.1X などのリンク層テクノロジを使用して、リンク上で EAP ピアとパススルー認証システム (ワイヤレス アクセス ポイントやリモート アクセス サーバーなどのネットワーク アクセス サーバー) 間での EAP メッセージの送受信を行います。認証サーバー上のパススルー認証システムと NPS は、RADIUS を使用して、IP ベースのネットワーク上でパススルー認証システムと NPS 間での EAP メッセージの送受信を行います。
EAP ピアと認証サーバーが特定の EAP メソッドの使用をネゴシエートすると、その後の論理通信は、EAP ピアと EAP サーバー上のネゴシエートされた EAP メソッド間で送信される EAP メッセージによって行われます。
図 3 は、Windows Vista または Windows Server "Longhorn" を実行する EAP ピアの EAPHost アーキテクチャを示しています。このアーキテクチャは、サプリカント、EAPHost コンポーネント、EAP メソッド管理コンポーネント、および NAP コンポーネントから構成されます。
図 3** EAP ピアの EAPHost アーキテクチャ **(画像を拡大するには、ここをクリックします)
Windows Vista と Windows Server "Longhorn" には、802.1X ベースのワイヤレス接続と有線接続用の 802.1X サプリカントが付属しています。ダイヤルアップや VPN ベースのリモート アクセス、またはサイト間接続用の PPP サプリカントは、これら 2 つのオペレーティング システムを将来更新する際に提供できるかどうかを現在検討しています。サードパーティが開発したその他のサプリカントも追加できます。EAPHost API により、サプリカントが接続に EAP を使用できるようにしています。詳細については、msdn2.microsoft.com/aa364249.aspx の記事を参照してください。
EAPHost コンポーネントには、EAP クライアント ステート マシン/プロトコル検証ツールが含まれています。これは、EAP ピアのステート マシン (RFC 3748 を参照) を管理し、EAP メッセージを検証します。他にも EAP メソッド マネージャが含まれています。これは EAPHost に対応しているかどうかにかかわらず、さまざまな EAP メソッドを管理し、アプリケーションやサービスが EAP メソッドを使用できるよう支援します。また、EAP メソッド ライブラリのロードとアンロードを容易にする EAPHost ライブラリ マネージャもあります。
EAP メソッドには、以下のコンポーネントがあります。
組み込みの EAP メソッド PEAP、EAP - トランスポート層セキュリティ (TLS)、EAP-MS-CHAP-V2 があります。
2 つのホスト API EAPHost 未対応 EAP メソッドをホストする API (従来の EAP API) とサードパーティの EAPHost 対応 EAP メソッドをホストする API (EAPHost メソッド API) です。
従来の変換メソッド 従来の EAP API 用に作成された EAPHost 未対応 EAP メソッドと EAPHost メソッド API 間の変換を行います。
EAP メソッド プロキシ マネージャ EAPHost に対応しているかどうかにかかわらず、サードパーティの EAP メソッドをホストします。
EAP メソッド API は、EAPHost 対応 EAP メソッド用の新しい API です。EAP メソッドは、EAP メソッド API で定義されている API をエクスポートします。EAPHost は、EAP メソッドを読み込み、エクスポートされた API 関数を呼び出します。
NAP コンポーネントには、次の項目があります。
EAP NAP EC メッセンジャー EAPHost NAP 実施クライアント (EC) と EAPHost の他のコンポーネント間の NAP 関連データ (正常性ステートメントやイベントなど) の通信を支援します。
EAPHost NAP EC 他の NAP コンポーネントと通信し、802.1X 認証接続が NAP のシステム正常性要件を満たしていない場合に、正常性の検証とアクセス制限の適用を行います。
NAP エージェント クライアントの現在の正常性状態を管理し、インストールされている NAP EC とシステム正常性エージェント (SHA) 間の通信を支援します。各 SHA は、1 つ以上のシステム正常性要件に定義されます。
図 3 に示すように、サードパーティ ベンダは、新しいサプリカントと新しい EAPHost 対応の EAP メソッドを開発できます。また、Windows Server 2003 または Windows XP 用に開発された既存の EAP メソッドも使用できます。
図 4 は、Windows Server "Longhorn" および NPS を実行する認証サーバーの EAPHost アーキテクチャを示しています。このアーキテクチャは、EAP メソッドをサポートする EAP ピアのアーキテクチャと同じです。認証サーバーでは、サプリカントの代わりに NPS があります。NPS は EAPHost API を使用して EAP メソッドを使用および構成します。EAP コンポーネント内では、EAP サーバー ステート マシン/プロトコル検証ツールにより、EAP 認証サーバー ステート マシンの管理と、受信 EAP メッセージの検証を行います。
図 4** 認証サーバーの EAPHost アーキテクチャ **(画像を拡大するには、ここをクリックします)
認証サーバーの EAPHost は、サードパーティ ソフトウェア ベンダによる新しい EAPHost 対応 EAP メソッドの開発とインストールを可能にするほか、Windows XP や Windows Server 2003 用に既に開発されている EAP メソッドをサポートします。
EAP ピアでも認証サーバーでも、EAPHost には EAPHost UI プロキシ API (図 3 と 4 には記載されていません) が用意されています。EAPHost 対応メソッドは、この API を使用してユーザーの操作を必要とするダイアログ ボックスを表示できます。また、サードパーティ ベンダは、EAPHost UI プロキシ API を使用することで、独自のダイアログ ボックスを追加し、さらにシームレスなユーザー エクスペリエンスを実現できます。
まとめ
Windows Server "Longhorn" および Windows Vista の EAPHost では、最新のインターネット標準に合わせて Windows の EAP 実装を更新し、EAP 認証方法とサプリカントによって Windows を拡張できるモジュール型の新しいアーキテクチャを提供しています。ネットワーク ベンダは、Windows EAP 実装全体を置き換えることなく、EAPHost API 向けに作成した新しいサプリカントと、EAPHost メソッド API 向けに作成した新しい認証方法を開発することで、Windows の既存のユーザー エクスペリエンスを拡張できます。また、EAPHost では、Windows Server 2003 と Windows XP 用に開発された既存の EAP メソッドもサポートします。
Windows XP 用の EAPHost
マイクロソフトでは、EAPHost アーキテクチャ、RFC 3748 のサポート、および有線 802.1X 接続用の EAPHost サプリカントを含む Windows XP SP2 向け更新プログラムをリリースする予定です。この更新プログラムを適用すると、Windows Vista 用に開発された EAPHost サプリカントも Windows XP SP2 上で使用できるようになります。この更新プログラムの詳細については、NAP 製品チームのブログ blogs.technet.com/nap を参照してください。
Joseph Daviesマイクロソフトのテクニカル ライターとして Windows ネットワークのトピックに関する講義および執筆を 1992 年から行っています。Joseph Davies は、Microsoft Press 向けに本を 5 冊執筆しており、また月間の TechNet Cable Guy コラムの著者でもあります。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.