PRISMAsync Print Server プリンタは、IEEE 802.1X で保護された Local Area Network (LAN) で機能します。802.1X 規格では、エンドポイントの識別情報に基づいてネットワーク接続を許可または拒否できます。このエンドポイントはユーザー、デバイス、またはアプリケーションです。エンドポイントが識別され検証されていない限り、保護されたネットワークの他のエンドポイントにアクセスすることはできません。
IEEE 802.1X セキュリティは、クライアントの Local Area Network (LAN) ポートのステータスに基づいています。IEEE 802.1X の設定可能な Local Area Network (LAN) ポートは動的に有効または無効にすることができます。IEEE 802.1X 認証プロセスの結果によって、ポートが有効になるかどうかが決まります。
このトピックの枠付きのテキストは、PRISMAsync Print Server の IEEE 802.1X 実装について説明しています。
IEEE 802.1X 規格では、次のコンポーネントが区別されています。サプリカント、オーセンティケータ、認証サーバー。
サプリカント
サプリカントは、Local Area Network (LAN) へのアクセスを要求し、オーセンティケータからの要求に応答するクライアント ( PRISMAsync Print Server など) です。
オーセンティケータ
オーセンティケータは、ネットワークへの物理アクセスを制御するスイッチまたはルーターです。アクセスはクライアントの認証ステータスに基づいています。認証は認証サーバーによって実行されます。認証サーバーは、Windows Server に含まれる RADIUS (Remote Authentication Dial-In User Service) です。
認証サーバー
認証サーバーはサプリカントの識別情報を確認します。認証サーバーの業界標準は RADIUS サーバーです。Network Policy Server (NPS) は、Windows Server に含まれているサービスです。このサービスは、Active Directory に対してクライアントを認証する RADIUS サーバーとして機能します。RADIUS サーバーは、クライアントがローカル エリア ネットワークへのアクセスを承認されていることをオーセンティケータに通知します。
IEEE 802.1X のコンポーネントとそれらのタスクこの図は IEEE 802.1X のしくみの簡単な概要です。
A. ポート認証前、 PRISMAsync Print Server などのサプリカントの識別情報は不明であり、ネットワークの保護された側へのすべてのデータ トラフィックはブロックされています。IEEE 802.1X 通信により、ID 証明書などの識別情報の交換が可能になり、使用されるプロトコルと認証方法のネゴシエーションが可能になります。
B. ポート認証後、ネットワークの保護された側へのトラフィックが可能になります。
|
PRISMAsync Print Server は、Windows 10 client をサプリカントとして使用し、Windows Server 2016 を認証サーバー (RADIUS サーバー) としてサポートします。 |
一般に、IEEE 802.1X は、Extensible Authentication Protocol (EAP) を使用して、サプリカントと認証サーバーの認証方法のネゴシエーションを行います。サプリカントは証明書、スマート カード、または認証情報を使用して識別できます。
EAP は、Transport Layer Security (TLS) や Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP-V2) などの追加の認証プロトコルと連携します。
EAP-TLS
EAP-TLS は証明書ベースのセキュリティ環境で使用されます。また、最も強力な認証およびキー決定方法を提供します。EAP-TLS では、サプリカントが ID 証明書を持っている必要があります。
EAP-MS-CHAP-V2
EAP-MS-CHAP-V2 は、パスワードベースのエンドポイント認証をサポートする相互認証方法です。
メモ
すべての認証サーバー、サプリカント、LDAP ディレクトリ サーバーがすべての認証方法をサポートしているわけではありません。
|
PRISMAsync Print Server は次の方法をサポートしています。EAP-TLS および EAP-MS-CHAP-V2 |
Protected EAP (PEAP) は、EAP-TLS と EAP-MS-CHAP-V2 のセキュリティを強化するプロトコルです。
PEAP は、EAP ネゴシエーション プロセスの後半部分で暗号化チャネルを構築します。このセキュア チャネル内では、サプリカントを認証するために新しい EAP ネゴシエーションが行われます。
PEAPPEAP EAP-TLS
PEAP と EAP-TLS を併用すると、認証サーバーへの転送中にサプリカントの ID 証明書を保護することで、最高レベルのセキュリティが確保されます。
PEAP EAP-MS-CHAP-V2
PEAP は、EAP-MS-CHAP-V2 の設定の簡単さと、EAP-MS-CHAP-V2 認証情報の暗号化による追加のセキュリティ レベルを兼ね備えています。PEAP と EAP-MS-CHAP-V2 の組み合わせは通常、Microsoft Active Directory 環境で使用されます。
|
PRISMAsync Print Server は次の認証方法をサポートしています。PEAP と EAP-TLS 併用、PEAP と EAP-MS-CHAP-V2 併用、EAP-TLS 使用。 |
すべての認証方法では、認証サーバーの信頼された CA 証明書がサプリカントで使用可能であることが必要です。
EAP-TLS には、LDAP ディレクトリ サーバー (Active Directory Domain Services (AD DS)) 内のユーザー アカウントまたはコンピュータ アカウントにマッピングされているサプリカントの有効な ID 証明書が必要です。
ID 証明書がコンピュータを参照する場合、証明書の Subject Alternative Name (SubjectAltName) フィールドに Fully Qualified Domain Name (FQDN) が含まれている必要があります。
ID 証明書がユーザーを参照する場合、証明書の Subject Alternative Name (SubjectAltName) フィールドに User Principal Name (UPN) が含まれている必要があります。
メモ
EAP-MS-CHAP-V2 はサプリカントの ID 証明書を使用しません。
メモ
EAP-MS-CHAP-V2 には、Settings Editor で設定した MS-CHAP-V2 ユーザー名と MS-CHAP-V2 パスワードが必要です。 |
IEEE 802.1X 認証は、オーセンティケータ (スイッチ) またはサプリカントのいずれによっても開始できます。オーセンティケータはポートまでのリンクを検出すると、サプリカントにメッセージを送信します。
以前に認証されたエンドポイントで、ネットワークに接続されたままのものは通常、再認証する必要はありません。IEEE 802.1X 認証が成功した後、接続が終了するまで、ポートは開いたままになります。たとえば、物理リンクがダウン ステータスを示している場合などです。物理リンクが維持されている限り、認証されたエンドポイントはポートに接続されたままになります。