![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
* やりたいこと [#he3b2789] -個人およびデバイスによって適切なポリシーに従ったネットワークに接続する。~ -できること、できないことが良くわかっていないので、可否を含め検証する。~ * 具体的には? [#p1d48b7a] 利用するデバイス、利用する人、利用する場所、の別で適切なネットワークへの接続を許可する。 -有線LANのネットワーク認証 --セキュリティレベルの高い場所では、MACアドレスが登録された端末のみネットワーク接続を許可する。 --セキュリティレベルの低い場所では、MACアドレスが登録され、端末証明書をインストールした端末のみネットワーク接続を許可する。 -無線LANのネットワーク認証 --端末証明書をインストールした端末のみネットワーク接続を許可する。 --端末証明書をインストールし、かつActiveDirectoryの特定セキュリティグループ所属者のみネットワーク接続を許可する。 --端末証明書がインストールされていない端末はweb認証をクリアすることで、一定時間の特定ネットワーク(Proxy経由接続)のみ許可する。その人がどこに接続したかログをとる。 -ネットワーク認証後のセグメント --MACアドレスもしくは端末証明書によって所属するVLANを一意に判別し、どこに接続しても、所属セグメントが同じになる。 -アプリケーション利用のための利用者認証 --Proxyの利用はActiveDirectoryの特定セキュリティグループに所属する利用者のみ利用を許可する。 -ネットワーク機器へのログイン認証 --RADIUS認証とLDAP認証を連携しActiveDirectoryの特定セキュリティグループに所属する人のみ許可する。かつ別の特定セキュリティグループ所属者のみ特権を与える。 * 実現する方法 [#l777fe48] -802.1X認証による端末の特定 -MACアドレスバイパスによる端末の特定 -web認証による人の特定 -ネットワーク認証の組み合わせによるセキュリティの強化 -RADISUアトリビュートを利用したVLANの払い出し -ProxyとADを連携したProxyルーティング -RADIUSとLDAP(AD)を連携したログイン認証 ~ ~ #counter
