WEBVTT

00:00.090 --> 00:00.930
インストラクター：このレッスンでは､

00:00.930 --> 00:03.360
AAAサーバーについてお話しします｡ AAAサーバーとは､ 認証､ 認可､ アカウンティングの略で､

00:03.360 --> 00:12.327
AAAサーバーを理解するためには､ まず､ 802.Authenticationの仕組みを理解する必要があります｡

00:12.327 --> 00:12.327
1Xはフレームワークとして機能する｡ 

00:12.327 --> 00:19.650
講師：802. 1X は､ 有線および無線ネットワークのポートベース認証に使用される標準化されたフレームワークです｡

00:19.650 --> 00:22.800
さて､ 802. 1Xは単なるフレームワークであり､

00:22.800 --> 00:27.210
実際には他のメカニズムを利用して認証を行う｡

00:27.210 --> 00:28.140
例えば､ RADIUSとして知られるRemote

00:28.140 --> 00:33.510
Authentication Dial-In User Serviceと､ TACACS+として知られるTerminal Access Controller Access-Control

00:33.510 --> 00:41.700
System Plusの両方が､ 802.TCP/IPを使った認証に利用できます｡

00:41.700 --> 00:41.700
1Xプロトコル｡ 

00:41.700 --> 00:43.410
802. の下で認証が発生するために必要な

00:43.410 --> 00:46.920
3 つの役割があります｡ 1X.

00:46.920 --> 00:51.660
サプリカントとは､ ネットワークへのアクセスを要求するデバイスやユーザーのことで､

00:51.660 --> 00:54.030
この画像ではPC1がそれにあたる｡

00:54.030 --> 00:56.430
そして､ サプリカントがネットワークにアクセスしようとするデバイスである､

00:56.430 --> 00:59.370
オーセンティケータがある｡

00:59.370 --> 01:01.620
通常､ これはスイッチ､ ワイヤレス・アクセス・ポイント､

01:01.620 --> 01:04.860
VPNコンセントレータのようなものになる｡

01:04.860 --> 01:07.230
最後に､ 認証サーバーがある｡ これは､

01:07.230 --> 01:08.760
認証を実行する集中デバイスで､

01:08.760 --> 01:13.920
通常はRADIUSまたはTACACS+サーバーになる｡

01:13.920 --> 01:16.230
認証は､ 個人の身元が証明によって確立され､

01:16.230 --> 01:19.500
システムによって確認されるときに発生する｡

01:19.500 --> 01:21.180
あなたは毎日これをやっている｡ 

01:21.180 --> 01:23.850
実際､ このコースにログインしたとき､ あなたはそれを実行した｡ 

01:23.850 --> 01:28.380
Eメールアドレスとパスワードを入力した時点で､ あなたはこのコースの受講料を支払った生徒であると主張したことになり､

01:28.380 --> 01:30.660
それによってあなたはシステムによってチェックされ､

01:30.660 --> 01:33.150
アクセスが許可されます｡

01:33.150 --> 01:36.330
さて､ あなたが誰であるかを認証するには､ さまざまな方法がある｡ 

01:36.330 --> 01:40.380
現実の世界では､ たとえば､ スピード違反で警察官に止められたら､

01:40.380 --> 01:42.000
運転免許証を出して､ それが自分であり､

01:42.000 --> 01:45.780
自分が本人であることを示すかもしれない｡

01:45.780 --> 01:47.220
これが証拠だ｡ 

01:47.220 --> 01:48.600
さて､ デジタルの世界では､

01:48.600 --> 01:51.000
5つの認証方法がある｡

01:51.000 --> 01:55.050
パスワードやユーザー名のようなもの､

01:55.050 --> 01:57.150
指紋や眼球スキャン､

01:57.150 --> 02:00.390
網膜スキャンのようなもの､

02:00.390 --> 02:02.280
トークンや運転免許証､

02:02.280 --> 02:15.930
クレジットカードのようなもの､ 話し方や署名の仕方､ GPSの位置情報に基づく位置情報などです｡

02:15.930 --> 02:19.080
LDAPとは､ Lightweight Directory Access Protocol（軽量ディレクトリ・アクセス・プロトコル）のこと｡ 

02:19.080 --> 02:24.510
これは､ クライアントやネットワーク上のオブジェクトに関する情報を一元管理するためのデータベースだ｡

02:24.510 --> 02:29.490
LDAPは基本的にXの簡易版である｡  500はディレクトリ・サービスであり､

02:29.490 --> 02:32.460
ネットワーク内のユーザー､ グループ､ サーバー､

02:32.460 --> 02:36.360
システムの階層構造を含んでいる｡

02:36.360 --> 02:39.000
LDAPは､ 暗号化されていない場合はポート389で通信し､

02:39.000 --> 02:46.290
SSLやTLSを使って暗号化する場合はポート636を使う｡

02:46.290 --> 02:48.960
現在､ LDAPはクロスプラットフォームと考えられているが､

02:48.960 --> 02:54.060
マイクロソフト社はAD（アクティブ・ディレクトリ）として知られる独自の実装を行った｡

02:54.060 --> 02:56.370
Windowsドメインでは､ Active Directoryは､

02:56.370 --> 02:58.710
クライアント､ サーバー､ デバイス､ ユーザー､ グループなど､

02:58.710 --> 03:02.730
ネットワーク上のすべてのものを整理し､ 管理するために使われる｡

03:02.730 --> 03:08.883
現在､ Active Directoryは､ セキュリティポリシーやグループポリシーによるアクセス制御の一部として使用することもできます｡

03:09.990 --> 03:13.770
RADIUSとは､ Remote Authentication Dial-In User Serviceの略｡ 

03:13.770 --> 03:21.660
ダイヤルアップ､ VPN､ ワイヤレス認証の一元管理を提供し､ 802.NETと803.NETの両方で使用できます｡

03:21.660 --> 03:21.660
1XおよびEAP（Extensible

03:21.660 --> 03:25.350
Authentication Protocol）｡

03:25.350 --> 03:31.470
RADIUSは､ OSIモデルの第7層であるアプリケーション層上で動作するクライアント・サーバー・プロトコルである｡

03:31.470 --> 03:34.470
RADIUSは通常､ 別のサーバーで実行するように設定されるが､

03:34.470 --> 03:38.880
小規模なドメイン環境ではWindowsサーバーにロードすることもできる｡

03:38.880 --> 03:42.390
RADIUSは､ ユーザーを認証し､ サービスへのアクセスを許可し､

03:42.390 --> 03:44.970
サービスの利用状況を記録するために使用される｡

03:44.970 --> 03:48.120
RADIUSはまた､ 接続にUDPを利用するため､

03:48.120 --> 03:52.380
認証と認可の機能においてかなり高速である｡

03:52.380 --> 03:55.140
さて､ RADIUSがクロスプラットフォームの標準である一方､

03:55.140 --> 03:58.590
TACACS+と呼ばれるシスコ独自のプロトコルがある｡

03:58.590 --> 04:03.060
これは､ 端末アクセスコントローラー・アクセスコントロールシステム・プラスで､

04:03.060 --> 04:06.300
802. 1Xネットワーク｡ 

04:06.300 --> 04:08.640
さて､ どれがあなたの組織のニーズに最適かは､

04:08.640 --> 04:10.500
あなた次第だ｡

04:10.500 --> 04:14.370
個人的には､ RADIUSは組織内でほとんど独占的に使ってきた｡

04:14.370 --> 04:17.490
TACACS+はUDPの代わりにTCPに依存しているため､

04:17.490 --> 04:22.620
動作が少し遅いことがわかったが､ TACACS+にはいくつかの利点がある｡

04:22.620 --> 04:24.090
これは､ さらなるセキュリティを提供し､

04:24.090 --> 04:29.070
認証､ 認可､ アカウンティングのプロセスを独自に行う｡

04:29.070 --> 04:31.560
TACACS+はすべてのネットワークプロトコルをサポートしているが､

04:31.560 --> 04:32.880
一方RADIUSはリモートアクセスプロトコル､

04:32.880 --> 04:38.850
NetBIOSフレームプロトコル､ X.

04:38.850 --> 04:38.850
25

04:38.850 --> 04:39.840
ペグ接続､ その他

04:39.840 --> 04:44.490
全体として､ TACACS+は優れた選択だが､ ネットワーク全体でCiscoデバイスを使用する場合に限る｡

04:44.490 --> 04:51.840
なぜなら､ クロスプラットフォーム機能を持ちたいのであれば､ 私が過去に選択した方法であるRADIUSを超える必要があるからだ｡

04:51.840 --> 04:54.360
つ目のAは認可である｡ 

04:54.360 --> 05:00.990
認可は､ ユーザーが特定のデータまたは建物の特定のエリアへのアクセスを与えられたときに発生する｡

05:00.990 --> 05:06.570
ビルの中に入って､ 立ち入り禁止､ 関係者以外立ち入り禁止と書かれた看板を見たことがあるだろうか？

05:06.570 --> 05:09.180
まあ､ そのエリアには入れないということだ｡ 

05:09.180 --> 05:14.790
整備室とか､ 発電機があって整備士しか入れないようなところかもしれない｡

05:14.790 --> 05:16.650
彼らは特別なキーや特別なバッジを持っていて､

05:16.650 --> 05:18.450
そのエリアに入ることができる｡

05:18.450 --> 05:21.900
その地域は､ あなたが行くことを許可されていない場所だ｡ 

05:21.900 --> 05:25.170
Kerberosは認証と認可に重点を置いている｡ 

05:25.170 --> 05:29.280
これは､ Windowsドメイン内のKerberos発券システムを通じて実行されます｡

05:29.280 --> 05:34.350
Kerberosは､ 双方向または相互認証を提供する認証プロトコルである｡

05:34.350 --> 05:36.330
ユーザーがドメインにログオンすると､

05:36.330 --> 05:42.120
まず鍵配布センター(KDC)として機能するドメインコントローラーにコンタクトする｡

05:42.120 --> 05:46.980
このKDCは､ 認証とチケット付与という2つの基本機能を持っている｡

05:46.980 --> 05:49.410
つまり､ クライアントが正しく認証されれば､

05:49.410 --> 05:54.570
KDCはTGT（チケット・グラント・チケットと呼ばれる）を発行する｡

05:54.570 --> 06:00.060
このチケット付与チケットは､ そのユーザーがリソースにアクセスしたいときにいつでもドメインコントローラに提供され､

06:00.060 --> 06:07.260
ドメインコントローラはそのユーザーにサービスチケットまたはセッションキーのどちらか適切な方を提供することができる｡

06:07.260 --> 06:09.150
これらのチケットはリソースに提示され､

06:09.150 --> 06:12.180
リソースはドメインコントローラから提供されたチケットを常に信頼するため､

06:12.180 --> 06:14.580
アクセスが許可される｡

06:14.580 --> 06:19.080
さて､ Kerberosは鍵配布センターとしての役割をドメインコントローラーに依存しているので､

06:19.080 --> 06:21.840
これはドメイン内の単一障害点となる｡

06:21.840 --> 06:23.550
ドメインコントローラーが停止すると､

06:23.550 --> 06:26.190
チケット付与サービスも停止する｡

06:26.190 --> 06:31.530
しかし､ これを防ぐために､ ほとんどの人はプライマリとセカンダリのアクティブドメインコントローラーを持つ｡

06:31.530 --> 06:33.330
これにより､ Kerberosが稼働し､

06:33.330 --> 06:36.900
LDAPがまだ稼働していることを確認するための冗長性が得られる｡

06:36.900 --> 06:38.790
3つ目のAは会計だ｡ 

06:38.790 --> 06:40.980
会計は､ データ､ コンピュータの使用状況､

06:40.980 --> 06:44.220
ネットワークリソースの追跡を確実に維持する｡

06:44.220 --> 06:48.150
そうすると､ 通常はログファイルと呼ばれるものに記録される｡

06:48.150 --> 06:49.680
これはコンピュータ上のファイルで､

06:49.680 --> 06:51.930
基本的には単なる大きなテキスト文書であり､

06:51.930 --> 06:54.450
あらゆる種類のことを記録している｡

06:54.450 --> 06:56.340
これは､ この画面に表示されているように､

06:56.340 --> 06:58.980
ネットワークから退出するすべてのインターネット接続かもしれないし､

06:58.980 --> 07:04.680
特定のファイルやウェブサイトにログオンしようとしたすべての人のリストかもしれない｡

07:04.680 --> 07:09.180
データ漏洩や内部脅威が発生した場合､

07:09.180 --> 07:23.880
ログファイルのデータをさかのぼって見ることで､ 誰がいつ何をしたかを突き止めることができるからだ｡

07:23.880 --> 07:26.310
それが会計の仕事だ｡ 

07:26.310 --> 07:29.130
さて､ 誰かが何かをした､ 彼らが行動を起こしたという証拠がある場合､

07:29.130 --> 07:32.850
私たちはこれを否認防止と呼ぶ｡

07:32.850 --> 07:35.790
否認防止とは､ ユーザーがその行動をとったという証拠があるため､

07:35.790 --> 07:39.060
ユーザーはその行動をとっていないと言えないということです｡

07:39.060 --> 07:41.160
例えば､ あなたが私に電子メールを送り､

07:41.160 --> 07:47.910
電子署名で署名したとすると､ その電子署名の秘密鍵を持っているのは世界中であなただけです｡

07:47.910 --> 07:50.400
あなたがそのメールを送ったことは確かだ｡ 

07:50.400 --> 07:54.060
証拠があるんだから､ 後で送ってないなんて言えないよ｡

07:54.060 --> 07:55.593
それが否認防止だ｡