IEEE802.1x認証の件
本日、常駐先の仕事が休みになったので、自社に帰社してIEEE802.1xの検証を行ってみました。
使用したのは、前回の検証で使用したのと同じ機器で、設定も変えていません。
(念のため、各設定は再確認しました。)
FreeRadiusをデバックモードで起動し、スイッチと接続。
スイッチ-Radiusサーバ間でpingが通ることを確認後、スイッチの認証用ポートにサプリカント用に設定したWindowsXPのPCを接続。
すると、WindowsXPのタスクトレイにバルーンヘルプが表示されるので、それをクリックしてユーザ名、パスワードを入力。
すると、前回と同様、認証に失敗しました。。。
それでは!
という訳で、前回は時間切れで試せなかったパケットをキャプチャしてのトラブルシューティングを行おうと、CatalystにSPANの設定を投入。
まずは、サーバと接続しているポートをモニタリングすることにして、キャプチャ用のPCを接続。
更に、Catalystで『debug dot1x all』を起動し、
キャプチャ用PCでパケットのキャプチャをスタートさせてから、
認証用ポートにサプリカント用に設定したWindowsXPのPCを接続!!
「さぁ、どうだ!!」という感じで、キャプチャされるパケットを眺めていると、、、
スイッチ-サーバ間のやり取りは問題なく行われ、、、
そして、スイッチの出力と見ていると、認証用ポートがupになり、、、
サプリカント用に設定したWindowsXPのPCでも、認証に成功!!
ネットワークに繋がりました!!
あれれ??
何も設定変更していないのに・・・。
その後、何度か試したのですが、問題なく認証できます。
トラブルシューティングの体制を整えてから、認証に失敗するパターンが再現できなかったため、
『なぜ認証に失敗したのか?』
という点は、解決しないままですが、正常動作を確認することができました。
それでは、というコトで、以前、疑問に感じたLinuxの起動の仕方による認証可否について、確認しました。
そうしたところ、Linuxをrootで起動しても、一般ユーザで起動しても、認証に成功することが確認できました。
となると、本日の検証結果だけではなく、そもそも、第1回無料勉強会で認証に失敗して原因は何だったのか?
また、その後の検証結果は何だったのか?
という点についても、疑問が湧いてくるのですが、そこは、分からず仕舞いです。
ただ、今回、サプリカントとして使用したWindowsXPが標準で装備しているサプリカントの機能の不安定さは、何となく気になっています。
これまでの検証でも、WindowsXPのサプリカントが反応しなくなったりもしたし・・・。
もしも、今度、認証に失敗することがあったら、その時こそ、ちゃんとパケットをキャプチャして、原因を追究してみたいと思っています。