Metaphorical Dream

<   2007年 11月 ( 6 )   > この月の画像一覧

Cisco DynamicVLAN設定箇所(最小構成)

■Cisco Switch Config

aaa new-model
aaa authentication dot1x default group radius
aaa authorization netwok default group radius ・・・①
dot1x system-auth-control

radius-server host 1.1.1.1 auth-port 1812 acct-port 1813 key cisco

interface FastEthernet X/X
switchport mode access
dot1x port-control auto

①こいつが肝だった。
こいつを入れることで、RadiusからのAttribute(IETF Attribute No64,65,81)を各ポートに設定することが可能になった。

認証OKなのに、何でDynamicVLANとしてVLAN IDがアサインされないんだ?と、丸2日間も悩んでしまった(^^;

うむ。
無線の方が簡単かもしれん。

[PR]
by mdesign21 | 2007-11-27 00:59 | IT系

AuthMode SupplicantMode 802.1X config

...ψ(。。 )メモメモです。

■Cisco Switch Config

aaa new-model
aaa authentication dot1x default group radius
dot1x system-auth-control

radius-server host 1.1.1.1 auth-port 1812 acct-port 1813 key cisco

interface FastEthernet X/X
switchport mode access
dot1x port-control auto


■WindowsXP Supplicant Config

★AuthMode

Key:HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMode
Value Type: REG_DWORD
Valid Range: 0-2
Default value: 0
Present by default: No

0
コンピュータ認証モードコンピュータ認証が正常に行われた場合、
ユーザー認証は行われません。
ユーザーログオンが正常に行われてからコンピュータ認証が行われた場合は、
ユーザー認証が行われます。

1
コンピュータ認証と再認証コンピュータ認証が正常に行われた場合は、
その後のユーザーログオンはユーザー証明書による再認証が必要になります。
ユーザーログオンが60秒以内に完了しない場合は、
既存のネットワーク接続は強制終了されます。
以降の認証または再認証には、ユーザー証明書が使用されます。
コンピュータ認証は、ユーザーがコンピュータからログオフするまでは
再度行われることはありません。

2
コンピュータ認証のみ ユーザーのログオン時は接続には影響はありません。
802.1X 認証はコンピュータ証明書のみを使用して行われます。


★SupplicantMode

Key:HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters \General\Global\SupplicantMode
Value Type: REG_DWORD
Valid Range: 0-3
Default value: 2 or 3
Present by default: No

802.1X 認証中に EAP over LAN (EAPOL)-Start パケットを
送信するときの 802.1X supplicant の動作に影響を与えます。

0
IEEE 802.1X の処理を無効にします。

1
EAPOL-Start パケットを送信しません。

2
EAPOL-Start パケットの転送開始時期を自動的に決定します。
これがワイヤード (有線) 接続の既定値です。

3
IEEE 802.1X の仕様に準拠して、802.1X認証プロセスを
開始する関連付けが完了したら、EAPOL-Start メッセージを送信します。
これがワイヤレス接続の既定値です。

[PR]
by mdesign21 | 2007-11-24 01:56 | IT系

エンジニアもどき

には、決してなりたくない。

エンジニアもどき その1
WindowsOSのクリーンインストールができない。
エンジニアもどき その2
パーティションの切り方がわからない。

その1
→WinXPのCDゲットしたのはいいですけど、PCの電源入れたらいきなりアクティベーションの画面になってインストできないんです。。。
⇒電源投入直後に、F2かF12かDELかESC辺りのキーを押せばBIOS画面が表示されるから。
→BIOSって何ですか?

その2
⇒OS入れるときは、HDDをパーティションで4つくらいに切っておいて。
→HDDをパーティションで切るっていうのは、ハサミとかで切るんですか?
⇒・・・。
(「パーティションを切る前に、まずはお前の頭を4つにカチ割ってやる。」なんてコミュニケーション能力の低いことは言えんけど、思うのはオレの自由だぁ~。)

たとえ現役を引退しても、オレは絶対にこんなエンジニアにはなりたくない。

その3とその4もあるんだけど、それはまた今度。

所詮「ネットワークは最強」ってことだけなのか。
そんなんじゃあ、もうしばらくしたら食えなくなってくると思うんだが。。。

[PR]
by mdesign21 | 2007-11-19 23:18 | Diary

LDAPその3

Asteriskより早く、LDAPの実装ができた。

と言いつつ、オレはもう二度とこの言葉を使わない。

「PEAP」

現状、PEAPといった場合、
EAP-MS-CHAPv2
EAP-GTC
2種類があるんです。

んで、前者は言うまでもなく、Microsoftが開発したもので、
後者はCiscoが開発したものなんだけど、両者に全く互換性がない。

なのに、「EAP-PEAP」という括りになってる。

んで、何が言いたいか?っていうと(ここからが本題)、
以下の組合せでは、CiscoACSの仕様で無線LAN認証ができないっぽい。

サプリカント:XP標準のEAP-PEAP(=EAP-MSCHAPv2)
Authenticator:汎用のAP
認証鯖:CiscoACS
DS:OpenLDAP or SJDS(Sun Java Directory Server)
※DS=Directory Service

んで、何がネックになってるのか?っていうと、認証鯖なんです。
こいつが、LDAP経由でのオブジェト参照をする場合、EAP-MS-CHAPv2には対応してないっぽい。

マジむかつく。

何度やってもNGだったから、認証鯖をIASに変えたり、サプリカント側の設定をTLSに変えたりした結果、上記の組合せが仕様上、未対応ってことがわかってきたw

これが決定的になると、某メディア企業の顧客に「ごめんなさい」するしかないなぁ~と思いつつ、もう二度と「PEAP」という言葉を使わないことに決めました。

互換性もないのに、同じ「PEAP」という言葉が許せん。
これからは、MS-CAHPv2とGTCは別物として扱うことにしよ♪

んまぁ、それはさておき、RADIUS(CiscoACS)とLDAPの連携はうまくいったので、今度はFreeRADIUSとOpenLDAP間で連携取らせてみようかね。

[PR]
by mdesign21 | 2007-11-18 04:20 | Diary

LDAP その2

Condition:ちょっと風邪ひいたっぽい

必要に迫られると、やっぱり吸収力が格段に上がる。

レクチャーを受けてきたのだけれど、最初はLDAPの概要から始まって構造の説明を受けたところで一旦お開き。

その後は物足りない人のための補修だったんだけど、実装に絡む質問を投げたのは、オレだけ。

まず、思い描いたことを実装(手で触って、目で見て)して、さらに各種Docやレクチャー資料を読み返すことで、「あぁ~、これってこのことを言ってた(書いてあった)んだ!」と納得し、より理解度が深まる。

ってことを、知っていないと、中々着手できないのかもしれない。

けど、幸か?不幸か?、オレは知ってる。
なので、あとはやるだけ。

無線IP電話の検証も控えてるから、中々先に進めないんだけど、オレのベクトルはこっちに向いてる気がする。
・・・でも、無線IP電話の検証をやってみちゃうと、そっちにもベクトルが向いちゃうような気もする。

このクソ忙しいときに、非常に悩ましい問題を抱えてしまった(笑)

無線IP電話はね、CACやらTSpecCACなんてことも、お勉強せにゃあならんっぽいんだよね。
それと、無線PCでは、検疫を実施するため、無線DynamicVLANを実装せにゃならん。

けど、これを乗り越えれば、ワイヤレスマスターに成ることは、至極容易いのかもしれない。

乗り越えるとは即ち、無線で認証・検疫・DynamicVLANと音声系、これにプラスして参照先DS(Directory Service)は、ADとLDAPのどちらでも実装可能ってことを意味してる。

ちなみに、RADIUS以外にも扱えるLDAP参照元サービス(pamやnisやsambaやsendmailなど)を増やせれば、LPIC level3のCoreExamな領域に突入できる。

[PR]
by mdesign21 | 2007-11-15 00:45 | Diary

LDAP

「他にもやることあんだろ!IP電話とか!VoIP-GWとか!IP-PBXとか!」って突っ込みは勘弁ね。

ひょんなことから、Sun JAVA Directory Serverの社内ローカルレクチャーを受けることになったw

無線認証時にPEAPを使う要件があって、Authenticatorと認証鯖は、Ciscoなんだけど、認証鯖の参照先オブジェクト(ユーザ&PC)DBがLDAPなのね。

なので、社内レクチャーを開催してくれることになった。
日程は調整中なんだけど、猛烈に参加したいっす。

でも、無線IP電話の案件で、クソ忙しい(言葉は悪いけど)。
ボスに知れたら「死にたいのか?」と言われそうなんだけど、LDAP鯖へのDB参照方法やDB内の構造が理解できれば、以下の構成で実家の無線LAN環境を構築できる。

サプリ:XP標準
Authenticator:IOデータのWN-WAG/A or PlanexのBLW-54VP
認証鯖:FreeRADIUS
オブジェクトDB:OpenLDAP
PKI:OpenSSL

うむ、ステキだ。

PlanexのBLW-54VPで成功したら、Asteriskとも連携させて、実家と自宅のホットラインも構築しようと検討中。

ちなみに、以下の構成では既に通話検証済み

---:RJ-45
===:RJ-11

IP電話---Asterisk---BLW-54VP===アナログ電話

できるかなぁ~
できないかなぁ~

って、あれこれ考えているときが、たぶん一番幸せな時間を過ごしているのかもしれないねぇ。

1.できます。
2.できました。

1と2は、似て非なるもので、雲泥や月とすっぽんの差が確実に存在する。
また、1の場合、「じゃあ、やってみてくれる?」と言われたとき、「すぐにやれる奴」っていうのは、そんなにたくさん居ないんだよね。

時間や労力が掛かっても、オレは2のスタンスを崩したくない。

それにね、「百聞は一見に如かず」とは、まさに仰るとおりで、どんなにDocを参照しても、実際に自分で動作させたときと比べたら、己の理解と吸収って観点でも、雲泥やら月とすっぽんの差が出てくるんだよね。

少なくても、人に理解させられる説明や資料作成ができなきゃ、「理解してる」とは言えないっす。
逆に言えば、人に理解して欲しいと思うのなら、まずは「自分で実際にやってみること」が大切。

[PR]
by mdesign21 | 2007-11-08 01:45 | Diary