Metaphorical Dream

LDAPその3

Asteriskより早く、LDAPの実装ができた。

と言いつつ、オレはもう二度とこの言葉を使わない。

「PEAP」

現状、PEAPといった場合、
EAP-MS-CHAPv2
EAP-GTC
2種類があるんです。

んで、前者は言うまでもなく、Microsoftが開発したもので、
後者はCiscoが開発したものなんだけど、両者に全く互換性がない。

なのに、「EAP-PEAP」という括りになってる。

んで、何が言いたいか?っていうと(ここからが本題)、
以下の組合せでは、CiscoACSの仕様で無線LAN認証ができないっぽい。

サプリカント:XP標準のEAP-PEAP(=EAP-MSCHAPv2)
Authenticator:汎用のAP
認証鯖:CiscoACS
DS:OpenLDAP or SJDS(Sun Java Directory Server)
※DS=Directory Service

んで、何がネックになってるのか?っていうと、認証鯖なんです。
こいつが、LDAP経由でのオブジェト参照をする場合、EAP-MS-CHAPv2には対応してないっぽい。

マジむかつく。

何度やってもNGだったから、認証鯖をIASに変えたり、サプリカント側の設定をTLSに変えたりした結果、上記の組合せが仕様上、未対応ってことがわかってきたw

これが決定的になると、某メディア企業の顧客に「ごめんなさい」するしかないなぁ~と思いつつ、もう二度と「PEAP」という言葉を使わないことに決めました。

互換性もないのに、同じ「PEAP」という言葉が許せん。
これからは、MS-CAHPv2とGTCは別物として扱うことにしよ♪

んまぁ、それはさておき、RADIUS(CiscoACS)とLDAPの連携はうまくいったので、今度はFreeRADIUSとOpenLDAP間で連携取らせてみようかね。

[PR]
by mdesign21 | 2007-11-18 04:20 | Diary