LDAPその3
Asteriskより早く、LDAPの実装ができた。
と言いつつ、オレはもう二度とこの言葉を使わない。
「PEAP」
現状、PEAPといった場合、
EAP-MS-CHAPv2
EAP-GTC
2種類があるんです。
んで、前者は言うまでもなく、Microsoftが開発したもので、
後者はCiscoが開発したものなんだけど、両者に全く互換性がない。
なのに、「EAP-PEAP」という括りになってる。
んで、何が言いたいか?っていうと(ここからが本題)、
以下の組合せでは、CiscoACSの仕様で無線LAN認証ができないっぽい。
サプリカント:XP標準のEAP-PEAP(=EAP-MSCHAPv2)
Authenticator:汎用のAP
認証鯖:CiscoACS
DS:OpenLDAP or SJDS(Sun Java Directory Server)
※DS=Directory Service
んで、何がネックになってるのか?っていうと、認証鯖なんです。
こいつが、LDAP経由でのオブジェト参照をする場合、EAP-MS-CHAPv2には対応してないっぽい。
マジむかつく。
何度やってもNGだったから、認証鯖をIASに変えたり、サプリカント側の設定をTLSに変えたりした結果、上記の組合せが仕様上、未対応ってことがわかってきたw
これが決定的になると、某メディア企業の顧客に「ごめんなさい」するしかないなぁ~と思いつつ、もう二度と「PEAP」という言葉を使わないことに決めました。
互換性もないのに、同じ「PEAP」という言葉が許せん。
これからは、MS-CAHPv2とGTCは別物として扱うことにしよ♪
んまぁ、それはさておき、RADIUS(CiscoACS)とLDAPの連携はうまくいったので、今度はFreeRADIUSとOpenLDAP間で連携取らせてみようかね。
と言いつつ、オレはもう二度とこの言葉を使わない。
「PEAP」
現状、PEAPといった場合、
EAP-MS-CHAPv2
EAP-GTC
2種類があるんです。
んで、前者は言うまでもなく、Microsoftが開発したもので、
後者はCiscoが開発したものなんだけど、両者に全く互換性がない。
なのに、「EAP-PEAP」という括りになってる。
んで、何が言いたいか?っていうと(ここからが本題)、
以下の組合せでは、CiscoACSの仕様で無線LAN認証ができないっぽい。
サプリカント:XP標準のEAP-PEAP(=EAP-MSCHAPv2)
Authenticator:汎用のAP
認証鯖:CiscoACS
DS:OpenLDAP or SJDS(Sun Java Directory Server)
※DS=Directory Service
んで、何がネックになってるのか?っていうと、認証鯖なんです。
こいつが、LDAP経由でのオブジェト参照をする場合、EAP-MS-CHAPv2には対応してないっぽい。
マジむかつく。
何度やってもNGだったから、認証鯖をIASに変えたり、サプリカント側の設定をTLSに変えたりした結果、上記の組合せが仕様上、未対応ってことがわかってきたw
これが決定的になると、某メディア企業の顧客に「ごめんなさい」するしかないなぁ~と思いつつ、もう二度と「PEAP」という言葉を使わないことに決めました。
互換性もないのに、同じ「PEAP」という言葉が許せん。
これからは、MS-CAHPv2とGTCは別物として扱うことにしよ♪
んまぁ、それはさておき、RADIUS(CiscoACS)とLDAPの連携はうまくいったので、今度はFreeRADIUSとOpenLDAP間で連携取らせてみようかね。
by mdesign21
| 2007-11-18 04:20
| Diary