Linux Solaris 管理者経験を作ろう！ 未経験者を９０日間で経験者に！ TOEICまたまた自己記録更新！ 今年に入ってから、３回連続自己記録を更新していますが、いまだに８００点を超えていないので、喜んでばかりもいられません。 ５月２５日のTOEICは、７９５点。 ７月のTOEICで、アッと驚くほどのスコアに飛躍するために、もっともっとボキャブラリーを増やします。 詳しくは、http://homepage3.nifty.com/sysaho/t.htmlを御覧下さい。 レンタルサーバー会社経験を作ろう！ 前からやろうと思っていた企画の一つです。 Linuxを使いつつも、それだけでは、インパクトが弱くなりました。 プラスアルファとして、「仮想化」をやればいいだろう、というのが、この新企画の趣旨です。 但し、単にLinux Serverをたてただけ、とか、仮想化をやってみただけでは、ち

「SELinuxシステム管理」関連 200５年3月にオライリージャパンから発売された「SELinuxシステム管理」について、感想や雑感、その他なんでもどうぞ。サイト管理者が監訳に携わったのでしばらく間借りします。 モデレータ nez

Step5 Switch(config-if)# dot1x auth-fail vlan vlan-id Restricted VLAN用に割り当てるVLAN IDを指定します。SVIとなっているVLAN やRSPAN用のVLAN、Voice VLANなど以外のVLANを指定できます。 Step6 Switch(config-if)# end 以上で設定は終了です。 また、Restricted VLANを割り当てる前に何度まで再認証されるかの回数も dot1x auth-fail max-attemptsコマンド設定できます。このコマンドで指定で きるのは1～3で、デフォルトは3回です。 Configuring the Inaccessible Authentication Bypass Featureアクセス不能認証バイパス（Critical AuthenticationまたはAAA

はじめに前回はIEEE 802.1xの設定についてお勉強しましたが、今回も同様に様々な設定を見ていきます。 Configuring IEEE 802.1x AccountingIEEE 802.1x Accountingを有効にすると、システムがイベントをリロードしてRADIUS ServerへAccounting情報を送信できるようになります。これによりRADIUS ServerはアクティブなIEEE 802.1xセッションはクローズされたと推察します。 RADIUSは信頼性の低いUDPをトランスポートプロトコルに使用しているので、accountingメッセージはネットワークの状態によりロストしてしまう場合があります。スイッチがRADIUS Serverからのaccounting responseメッセージを、設定されたaccounting request再送回数までに受け取れない場合は

Changing the Switch-to-Client Retransmission TimeスイッチはクライアントにEAP-request/identityフレームを送信して、応答が なかった場合に再送します。この再送までの時間（retransmission time）を 変えることができます。しかし、このtimerを変えることはCiscoは推奨してい ないようですので、実環境では変えないほうが無難かと。 Retransmission timerを変更する場合の設定ステップを以下に示します。この 設定はオプショナルです。 Step1 Switch# conf t まず、Global Configuration Modeに移ります。 Step2 Switch(config)# interface interface-id Retransmissionの値を指定するインタフェースを入力し

他にもtimeout値、retransmission、複数のRADIUS Serverに有効な認証・暗号 化キーの設定ができます。それぞれradius-server timeout、radius-server retransmission、 radius-server keyグローバルコンフィグレーションコマンドで設定できます。 Configuring the Host ModeIEEE 802.1xが有効になっているポートでシングルホストモードかマルチホス トモードかを指定することができます。ホストモードを設定する前に対象のポ ートでdot1x port-control autoと設定されているかを確認しましょう。 デフォルトの設定はdot1x port-control force-authorizedですのでIEEE 802.1x は機能していません。 Step1 Switch# co

はじめに前回はIEEE 802.1xを設定する際のガイドラインをお勉強しました。今回から はIOSのUpgradeの話と設定について見ていきます。 Upgrading from a Previous Software ReleaseCisco IOS Release 12.1(14)EA1のバージョンでは、それ以前のバージョンと IEEE 802.1xの実装が変わっています。いくつかのグローバルコンフィグレー ションコマンドがインタフェースコンフィグレーションコマンドになっていた り、新しいコマンドが追加されていたりします。 IEEE 802.1x認証が設定されているスイッチで、12.1(14)EA1より前のIOSを新 しくアップグレードする場合、コンフィグレーションファイルに新しいコマン ドが含まれないため、IEEE 802.1x認証は機能しません。 アップグレードが終わったら、dot1

Trunk portでIEEE 802.1x認証を有効にしようとしてもエラーメッセージが表 示されて認証は有効になりません。逆にIEEE 802.1x認証が設定されているポ ートをTrunk portに変えようとしても、Trunk portには変わりません。 Dynamic portsは、隣接するスイッチとネゴシエーションしてポートをTrunk port にしようとします。ですので、Dynamic portでIEEE 802.1x認証を有効にしよ うとしてもエラーメッセージが表示されて、認証は有効になりません。 Dynamic-access ports でも同様にIEEE 802.1xは有効になりません。 EtherChannel portsでもIEEE 802.1xは有効になりません。EtherChannelに参 加しているポート、またはまだ参加していなくても設定自体が入っているポー ト

再認証は無効にできますが、もし無効にすると認証プロセスが起こるのはリン クダウンを検出したときか EAP Logoffパケットを受信したときのみです。シ スコは再認証を有効にすることを推奨しているようです。例えばクライアント がHUBやスイッチを介して接続されている場合にクライアントがHUBからケーブ ルを抜いた場合、IEEE 802.1xスイッチはリンクダウンを検出できませんし、 EAP Logoffのパケットも検出もできなくなってしまうからです。 ただし、Restricted VLANはシングルホストモードでのみサポートされていま すので、あまりHUBを介した接続は無いかもしれませんね。 ポートがRestricted VLANになった場合、スイッチはクライアントに擬似的に EAP successメッセージを送ります。これは、クライアントが永遠に認証を試 みようとするのを防ぐためです。ま

はじめに前回は動作モード、Accounting、VLAN割り当てについてお勉強しました。今回 からは認証されたユーザ単位のACLの適用やGuest VLANやRestricted VLANの適 用についてお勉強したいと思います。 Using IEEE 802.1x Authentication with Per-User ACLsIEEE 802.1xで認証されたユーザに、異なったアクセスレベルやサービスを提 供するため、ユーザ毎のACLを割り当てることができます。 RADIUSサーバを使用しているIEEE 802.1x認証で、認証が有効になっている物 理ポートにユーザが接続されると、RADIUSサーバでユーザのIDが認証されます。 そのIDにACLの属性が割り当てられていれば、RADIUSサーバはそのACLをスイッ チに送信します。 スイッチはそのユーザが接続されてIEEE 802.1x

はじめに前回は IEEE802.1xでの認証の初期化、メッセージ交換、ポートの状態などを お勉強しました。今回からは動作モード、Accounting、VLAN割り当てについて 見ていきたいと思います。 IEEE 802.1x Host Modeスイッチのポートに対するIEEE802.1x認証をシングルホストモードかマルチホ ストモードかを選択できます。 シングルホストモードは、スイッチとクライアントを直接接続したタイプのモ ードです。スイッチはクライアントが接続されるとIEEE 802.1x認証を開始し、 認証します。クライアントのケーブルが抜かれたりLogoffしたりすると、ポー トをunauthorizedの状態にします。 マルチホストモードでは、IEEE 802.1xが有効になっている物理ポートに複数 のクライアントを接続できます。イメージとしてはスイッチにHUBか何かが接 続され、

「Configuring IEEE802.1x Figure8-3 Message Exchange」 IEEE802.1x認証がタイムアウトして、MAC認証バイパスが有効になっている場 合、スイッチはクライアントからのMACフレームを検知するとMACアドレスを使 って認証できます。スイッチはクライアントのMACアドレスをIDとしてRADIUS-access/request フレームをRADIUSサーバに転送します。 RADIUSサーバからRADUIS-access/acceptフレームが送られてくると認証が成功 していることを表していますので、ポートをauthorizedの状態にしてクライア ントの接続を許可します。 もし認証に失敗してRestricted VLANが設定されていれば、スイッチはポート をRestricted VLANに割り当てます。 スイッチがMAC認証バイパスのプロセ

Authenticatorの実体はSwitchです。Switchはクライアントの認証ステータス に基づいて、物理ポートに対するアクセスを制御します。また、スイッチはク ライアントと認証サーバとの間のProxyとして動作し、クライアントにIDとパ スワードを要求します。クライアントからIDとパスワードを受け取るとそれを 認証サーバに送ります。 このスイッチにはRADIUSクライアントが実装されています。RADIUSクライアン トはクライアントからのEAPフレームのカプセル化やカプセル化解除、および 認証サーバとのやりとりの役割を果たします。 Supplicantの実体はClientです。正確にはIEEE 802.1xのクライアントソフト を実行しているPCとなります。Windows XPにはこのクライアントソフトが付属 しています。ローカルエリアのプロパティを見ると「認証」というタブがあり