運用・管理 / LDAPクライアント


基本設定
登録したLDAPサーバーの使用
各機能が使用するLDAPユーザー属性


本製品はLDAPクライアントの機能を備えており、外部のLDAPサーバーを利用してOpenVPN認証を行うことができます。

ここでは、LDAPクライアントの設定方法だけを述べます。
OpenVPNの設定については「VPN」/「OpenVPN」をご覧ください。

基本設定

認証に利用するLDAPサーバーの登録は次の手順で行います。
以下の設定はLDAPサーバーとしてActive Directoryのドメインコントローラーを想定しています。
実際の設定内容は、ご使用になるLDAPサーバーの種類や設定、環境などに応じて適宜調整してください。
  1. ldap-serverコマンドで任意の登録名を指定し、LDAPサーバーモードに移動します。
    接続先などの具体的な設定項目は、同モードの各コマンドで指定します。
    awplus(config)# ldap-server our_directory
    

  2. LDAPサーバーのホスト名かIPv4/IPv6アドレスを指定します。これにはhostコマンドを使います。
    awplus(config-ldap-server)# host 192.168.10.3
    

  3. LDAPサーバー上で情報の検索ができる管理者ユーザーの識別名(ルートDN)とパスワードを指定します。これにはbind authenticate root-dnコマンドを使います。
    awplus(config-ldap-server)# bind authenticate root-dn cn=Administrator,cn=Users,dc=example,dc=local password 1ih3eaToo
    

  4. LDAPディレクトリーツリー上の検索起点となるノードの識別子(ベースDN)を指定します。これにはbase-dnコマンドを使います。
    awplus(config-ldap-server)# base-dn dc=example,dc=local
    

  5. 認証対象ユーザーの情報をユーザー名で検索するときに使う照合用のLDAP属性はlogin-attributeコマンドで変更できます。初期設定ではuid属性を使いますが、Active Directory環境で一般的な sAMAccountName属性を使う場合は次のように設定します。
    awplus(config-ldap-server)# login-attribute sAMAccountName
    

基本設定は以上です。

■ 初期状態では、LDAP標準のTCPポート389番に接続しますが、これを変更したい場合はportコマンドを使用します。
awplus(config-ldap-server)# port 18389

■ LDAPサーバーとの通信に関するパラメーター(応答待ち時間、再送回数など)はtimeoutretransmitコマンドで変更できます。次の例では、応答待ち時間を10秒、再送回数を5回に設定しています。初期設定はそれぞれ5秒と3回です。
awplus(config-ldap-server)# timeout 10
awplus(config-ldap-server)# retransmit 5

■ 複数のLDAPサーバーを登録する場合は、deadtimeコマンドで無応答のLDAPサーバーへの要求送信抑制期間を設定してください。
awplus(config-ldap-server)# deadtime 1

■ LDAPサーバーの登録を解除するには、ldap-serverコマンドをno形式で実行します。
awplus(config)# no ldap-server our_directory

■ 登録されているLDAPサーバーの一覧は、show ldap server groupコマンドで確認できます。
awplus# show ldap server group

登録したLDAPサーバーの使用

LDAPサーバーは登録しただけでは使用されません。

OpenVPNの設定において、LDAPサーバーを使用するよう指定して初めてLDAPクライアント機能が働き、登録されているLDAPサーバーへのアクセスが発生します。

OpenVPN認証で使用するLDAPサーバーは、aaa authentication openvpnコマンドで指定します。
「group ldap」は「ldap-serverコマンドで登録したLDAPサーバーを登録順に使う」の意味です。
awplus(config)# aaa authentication openvpn default group ldap

OpenVPNの詳細は「VPN」/「OpenVPN」をご覧ください。

各機能が使用するLDAPユーザー属性

OpenVPNでは、以下のLDAPユーザー属性を使用します。
LDAPサーバーには、ユーザーごとに各機能で必要な属性を定義してください。
使用する機能
LDAP属性名
データ型
複数存在可?
説明
OpenVPN msRADIUSFramedIPAddress 整数 不可 クライアントに設定するIPv4アドレス。
「192.168.1.3」=「-1062731517」のように4バイトの符号付き整数としてあらわす(表外注を参照)。
RADIUS属性 Framed-IP-Address (8) に対応

Windows管理ツール「Active Directory ユーザーとコンピューター」の「ダイヤルイン」タブで「静的IPアドレスを割り当てる」にチェックを入れ、「静的IPアドレス」ボタンを押して、「静的IPv4アドレスを割り当てる」欄に10進ドット形式のIPv4アドレスを入力することで設定可能
OpenVPN msRADIUSFramedRoute 文字列 クライアントに設定するIPv4スタティック経路情報。
RFC2865にしたがい「10.1.1.0/24 192.168.1.1 1」または「10.1.1.0 255.255.255.0 192.168.1.1 1」のような形式で指定する。
RADIUS属性 Framed-Route (22) に対応

Windows管理ツール「Active Directory ユーザーとコンピューター」の「ダイヤルイン」タブ「静的ルートを適用」にチェックを入れ、「静的ルート」ダイアログの「ルートの追加」ボタンを押して、「IPv4ルートを割り当てる」>「宛先」、「ネットワークマスク」、「コストメトリック」欄に入力することで設定可能
OpenVPN msRADIUS-FramedIpv6Prefix 文字列 不可 クライアントに設定するIPv6プレフィックス。
RFC3162にしたがい「2001:1::/64」のような形式で指定する(インターフェースIDは自動設定される)。
RADIUS属性 Framed-IPv6-Prefix (97) に対応

Windows管理ツール「Active Directory ユーザーとコンピューター」の「ダイヤルイン」タブ「静的IPアドレスを割り当てる」にチェックを入れ、「静的IPアドレス」ボタンを押して、「静的IPv6アドレスを割り当てる」>「プレフィックス」欄に入力することで設定可能
OpenVPN msRADIUS-FramedIpv6Route 文字列 クライアントに設定するIPv6スタティック経路情報。
RFC3162にしたがい「2001:db8:1:2::/64 2001:db8:1:1::1 1」のような形式で指定する。
RADIUS属性 Framed-IPv6-Route (99) に対応

Windows管理ツール「Active Directory ユーザーとコンピューター」の「ダイヤルイン」タブ「静的ルートを適用」にチェックを入れ、「静的ルート」ダイアログの「ルートの追加」ボタンを押して、「IPv6ルートを割り当てる」>「アドレス」、「プレフィックス」、「コストメトリック」欄に入力することで設定可能
Note
msRADIUSFramedIPAddress属性に設定する整数値の求め方は次のとおり。
IPv4アドレスを「A.B.C.D」とした場合、


(C) 2019 - 2024 アライドテレシスホールディングス株式会社

PN: 613-002735 Rev.AD