bastyのメモ

グループポリシーを使った有線802.1xの展開

Windows | 17:58

有線802.1xの案件があったので、メモ。

クライアント環境は

• Windows XP SP3
• Windows 7

#検証してないが、Vistaでも問題ないと思われる。

AD環境は、Windows Server 2008 EnterpriseでRADIUSサーバとして、NPSを利用した。

認証はEAP-TLSを利用する、証明書もWindows証明書サービスを利用した。

今回の要件は以下の通り。

• グループポリシーを使って、有線802.1xを展開する
• グループポリシーを使って、コンピュータ証明書を自動展開する

ようは、グループポリシを使うことでユーザが意識せずとも

802.1x環境に参加するというのがゴール。

有線802.1xを利用するためのざっくりとした手順は

1. 証明書サービスのインストール
2. 証明書テンプレートを作って、コンピュータ証明書の自動登録環境の準備
3. 証明書発行用のグループポリシーを作る
4. ↑のグループポリシを展開して、証明書の自動発行を実施
5. NPSの設定
   • RADIUSクライアントの登録
   • EAP-TLSを受け付けるようにポリシーを作成
6. 802.1x用のグループポリシを作る
   • コンピュータの構成>ポリシー>Windowsの設定>セキュリティの設定>ワイヤードネットワークポリシーで構成
   • 有線802.1x用のサービス(dot3svc)を自動起動するように構成(Wired AutoConfig)
7. ↑のグループポリシーを展開する
8. Switch側を802.1x認証モードにする

以上の流れとなる。

ここでは、前半の4つは割愛する。

802.1x用のグループポリシについて

有線802.1xにおけるポリシーだが、ポイントは

• クライアントでWindowsワイヤード自動構成サービスを使用する。にチェック
• セキュリティタブの認証モードをコンピュータのみ　にする
• EAP-TLSを利用するように設定する

Windowsクライアントの場合、既定でコンピュータが起動した時点と、ログオンした時点の2回認証動作する。

今回はコンピュータ認証のみでよいので、このようにした。

このコンピュータ認証のみにする設定。

調べていたら http://support.microsoft.com/kb/929847 ここに行き当たって、

Windows XP SP3で有線802.1xを行う場合は、別途スクリプトでやらないとダメ！ってなってまして

面倒だなと思ってたんですが、

ダメ元でXPに↑のグループポリシを当てたらあっさりコンピュータ認証のみになっちゃいました。

MSに確認したところ、kbのページの情報が古いようだ^^;

Wired Auto Configの有効化

WindowsXP端末にKB943729がインストールされていればOK

これは、Windows Vista以降のグループポリシで、

サービスの設定変更などがスクリプトを書かずにグループポリシー上でできるようにサポートされたのだが

これをWindows XPでも利用できるようにするための修正モジュールとなる。

以上で、Windows XPでもグループポリシーを使って有線802.1xが利用できる。

ツイートする