[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[osx-users:0273] Re: 有線無線のネットワーク管理

To: osx-users@xxxxxxxxxx
Subject: [osx-users:0273] Re: 有線無線のネットワーク管理
From: vm_converter <vm_converter@xxxxxxx>
Date: Thu, 13 Feb 2003 22:36:38 +0900
石川です。長文失礼します。

summer <summer@xxxxxxxxxxxxxxxxx> wrote:

> こんにちは、夏目です。
> 
> 自分でもさっぱりわからず、当然無理っていう香りが強くて、たぶん、「そ
> れはないよ」というのが結論だと思うんですが、
> 
> win&mac混合環境の、Ethernet&AirMacの構成のLANで、管理者がネットワー
> ク利用を完全把握できるような方法ってあるんでしょうか？つまり、登録１
> つでネットワーク利用の許可を物理的に行える方法、ってことです。

個人的にこの件に興味があり、ずっーとこの夏目さんの件にreplyしたいと
思っていたのですが、私の様なヘタレには良い案が思い浮かばず...。
以下、単にwebを見回ってきたものを並べてみただけなので、回答になって
ないかとは思います。

# とゆーか、識者の方おねがーい、って感じです。

先に書いておきますが、無線LANのマネジメントについては、

○無線LAN活用メーリングリスト　「ドット・イレブン」
http://www.freeml.com/info/dot-eleven

と、こちらのMLを管理してらっしゃるおおみずさんによる

○for Wireless LAN users
http://homepage2.nifty.com/yu1o/wlan/

が参考になるかと思います。

# ちょうど今、dot-elevenで有線・無線の管理の話が出てますし、
# 過去ログも大変参考になるかと。

あと、私の知る範疇でしかないですが、port139 MLという所で、
昨年の12月位からWindows環境などでの無線LANでの802.1x認証や
IPsecの話が出ています。

○Port139 メーリングリスト
http://www.port139.co.jp/ntsec_ml.htm

# ってか、B-)さーん。とか呼んでみたい... (T_T)

> ●AirMacが無いとき
> 1) AppleTalkはつないだマシンを認識するので、Etherにつなぎさえすれば
> 隣のマシンと接続できる->管理できない
> 2) NetBIOSも同じようなもので繋げば隣のマシンを利用可。
> 3) ってことは、IPレベルのサービスぐらいしか管理者が把握できない
> 　→IPを、Macアドレスと結合させてDHCP(iscとか)でサービスすると、せめ
> てIPレベルのサービスが管理者に把握できる。

NetBIOSについては良く解りませんが、そう言えばAppleTalkはIPアドレスの
無いマシンでも利用可能なんですよね...。
「いっそのことAppleTalk over IPだけにしちゃえば」とか思ったんですが、
各端末（例えばMac OS X）でAppleTalkオンで共有かけられたらダメですね。
「atlookupで検出？」とか考えたんですが、現実的ではないような...。

> 　質問その１）OSXに、WindowsNT(古い？)程度に操作しやすい、DHCPサーバ
> のインタフェースってあるんでしょうか？

Mac OS X Serverでは「サーバ設定」でDHCPサーバの管理ができますね。

○Mac OS X Server 管理者ガイド
http://www.apple.co.jp/server/pdfs/Mac_OS_X_Server_v10.2.pdf

の『第11章 DHCP サービス P475』をご参照の程。
# MACアドレスでの管理については記述がないので出来ないのではないかと
# 思いますが。

ServerではないMac OS XにDHCPサーバはありませんね。
UIの件を置いておけばisc-dhcpは動くらしいですし、↓なのも有るようです。

○DHCP 3.0 Mac OS X package release 1 README
http://www.faisal.com/software/DHCP-3.0.readme.html

> ●AirMacがあるとき
> 1) AirMacベースステーションは、DHCPリレーはできませんよね？
> 　だから、各ベースステーションに、各無線端末の許可を記録する、
> 　もしくは、難しいパスワードを設定するしかない？

前述の『Mac OS X Server 管理者ガイド』のP477、『ほかのDHCP サーバと
やり取りする』によれば、AirMac BSをEthernetブリッジモードで稼動すれば
リレーしそうな記述があります。
<引用>
　したがって、クライアントの自動構成機能を使用したい場合は、Ethernet 
　ブリッジモードでAirMac ベースステーションを設定し、「Mac OS X Server」
　がDHCP サービスを提供するようにします。
</引用>

> 2) AirMacベースステーション、Extreamは、RADIUSで接続認証できるって聞きました。

○AirPort 2.0.4: How to Use a RADIUS Server on a Wireless Network
http://docs.info.apple.com/article.html?artnum=107221

が参考になるでしょうか。大したことは書かれてませんが...。
AirMac BSとRADIUSについては、後ろの方にもう少し。

> 　質問その２）OSXで稼働するRADIUSサーバってありますか？
> 　そのRADIUSサーバの簡易なインタフェースってありますか？
> 　ついでにそれはDHCPのIP-Macアドレス対応ができますか？

Mac OS Xで稼動するRADIUSについては、FreeRADIUS位しか解りませんでした。

○Installing FreeRADIUS on MAC OSX
http://www.freeradius.org/radiusd/doc/MACOSX

これだと「簡易なインターフェース」も「DHCPのIP-MACアドレス対応」も
ないですね。

> 無線LANを速度だけで話すんじゃなくて、きちんと統括管理できるシステム
> としてアップルは提案して欲しいよな、と日ごろ思う今日この頃です。

Appleとしては、という所を考えると、
http://www.apple.com/airport/campus.html
の『Remote administration and security』の項に有る様に、RADIUSと
LEAP（Cisco-EAP）で認証・管理・保護を、ということなんだろうと
思います。
#「make global changes to all base stations」って、AirMac 管理ユーティ
# リティって複数のBSを管理できるのかな？？？

では、Ciscoの考える無線LANのマネジメントってどーなのよ、と言えば

○SAFE: A Security Blueprint for Enterprise Networks - Cisco Systems
http://www.cisco.com/japanese/warp/public/3/jp/solution/ent/tech/security/tech/safwl_wp.html#a026

○Cisco SAFE : Security Wireless LAN - Cisco Systems
http://www.cisco.com/japanese/warp/public/3/jp/solution/ent/tech/security/prodlit/safe03.html

のあたりなんではないかと。この２つはほぼ同じことが書いてありますが。

で、大雑把に言ってしまうのもアレなのですが、セキュアな無線LAN設計として
LEAPでの設計とIPsecでの設計があるようですね。

とすると、AirMac BSをぶら下げるかどうかは別としても、Cisco製品でかっちり
固めて認証・管理・保護をってことになるのかなぁ、と思ってます。

# Cisco製品なんて縁の無いしろーと考えでは、Cisco製品でまとめると
# 有線の方も、当然Windowsもどうにかなるんだろーなぁ、とか（笑

#「802.1xがレイヤー2の話でIPsecはレイヤー3の話だとすると、前述の
# AppleTalkとかはどーなるんだろう？？」とか全然解んないんですが（汗

----------
で、以下は関係有るんだか無いんだか、な情報群です。
# どちらかというと自分用のメモに近いです。ごめんなさい。
# 最後のは自分の投稿だし（汗

○SANS Institute Information Security Reading Room 
　- Wireless AccessSecurity Issues
http://www.sans.org/rr/wireless/

○社会科学系大学における認証付きアクセスポイントの構築と運用
http://www.cc.hit-u.ac.jp/~nagoya/research/2002-DSM-25/2002-DSM-25-7.pdf

○AirPort Base Station Configurator
http://edge.mcs.drexel.edu/GICL/people/sevy/airport/

○Mac OS XでIPsec
http://homepage1.nifty.com/glass/tom_neko/web/web_ipsec.html

○[harden-mac:0212] Re: 802.1x client for Mac OS X
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/harden-mac/2002.11/msg00033.html


-- 
石川 泰久／vm_converter
vm_converter@xxxxxxx

--[PR]------------------------------------------------------------------
――■■本当の英語力■■――
NHKのやさしいビジネス英会話でもおなじみのスーパーエルマーは日本人が
何を聞けば、英語を英語の語順で理解できるようになるのか、徹底的に研究
した、本物の教材です。今なら無料で試聴サンプルをお送りします。
 http://ad.freeml.com/cgi-bin/ad.cgi?id=bCaWF
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp
Follow-Ups:
- [osx-users:0274] Re: 有線無線のネットワーク管理
  - From: Hideaki Ihara
- [osx-users:0279] Re: 有線無線のネットワーク管理
  - From: summer
References:
- [osx-users:0236] 有線無線のネットワーク管理
  - From: summer
Prev by Date: [osx-users:0272] Re: Safari Update 1.0 Beta (v60)
Next by Date: [osx-users:0274] Re: 有線無線のネットワーク管理
Previous by thread: [osx-users:0238] Re: 有線無線のネットワーク管理
Next by thread: [osx-users:0274] Re: 有線無線のネットワーク管理
Index(es):
- Date
- Thread