Sunday, June 13, 2010

MAC認証セキュリティシステム(三井情報のSAS)でのDHCP不良

三井情報のSASを導入してから下記の現象が見られました:
24時間以上使っていないPCの電源を入れるとIPアドレスを取得するには4〜8分かかります。
いろいろ業者と相談してもなかなか解決できなかったが、やっと分かりました。
MAC認証システムは、最小に仮IP(10.255.255.x)を与えます。このIPからDHCPREQUESTを出すとdhcpサーバから見ると依頼元のネットワークが間違っています。そこにこの解決の鍵がありました。

内のdhcpサーバが業者の下請けによってインストールされてのですが、dhcpd.confの中で「non-authoritative」になっていた。そうなりますと、10.255.255.xからのDHCPREQUESTがnon-authoritativeの理由で無視される。dhcpd.confで一番上の行にauthoritativeにすると、「wrong network」のログエラーが出ます。その直後DHCPNAKとDHCPDISCOVERがありますから結局IPアドレスを1分以内に取得できる。

要するに、MACアドレス認証システムを使っていれば、dhcpdサーバのdhcpd.confがauthoritativeになっていないとうまくいかない。

When using a MAC address recognition security system which gives a dummy IP to the client while checking the MAC registration status, make sure that the DHCP server's dhcpd.conf has "authoritative" as the first line. If it doesn't, the DHCP request from the dummy network is ignored, and the next DHCPDISCOVERY doesn't come for about four minutes or so.