AT-RADgate（Allied Telesis コンテナプラットフォーム版）リファレンスマニュアル 1.1.0

本マニュアルでは、Allied Telesis コンテナプラットフォーム上で動作するRADIUSサーバー「AT-RADgate」の機能と設定画面について詳細に解説しています。AT-RADgateを活用するための参考資料としてご利用ください。

なお、設定をはじめる前に済ませておかなければならないこと、例えば、物理サーバーの設置やOSのインストールなどについては説明しておりません。これらに関しては、それぞれのマニュアルを参照してください。

はじめに

対象製品とバージョン

本マニュアルは、以下の製品とバージョンを対象に記述されています。ただし、執筆時には開発中のバージョンを用いたため、画面表示などが実際の製品とは異なる場合があります。

AT-RADgate アプリケーション（Allied Telesis コンテナプラットフォーム版）

パッケージバージョン	Allied Telesis コンテナプラットフォーム	AT-RADgate アプリケーション
1.1.0	1.11.1	1.1.0

製品のご使用にあたっては、必ず弊社ホームページに掲載のリリースノートや添付書類をお読みになり、最新の情報をご確認ください。リリースノートや添付書類には、製品のバージョンごとの注意事項や最新情報が記載されています。

サポート機能と制限事項

原則として、本マニュアルに記載されていない機能はサポート対象外です。また、本マニュアルに記載されている機能でも、サポート対象外となることがあります。各バージョンにおける新規機能や機能の変更点、制限事項については、弊社ホームページに掲載のリリースノートや添付書類でご確認ください。

マニュアルの提供形態

本マニュアルはHTML（Hyper Text Markup Language）形式のオンラインマニュアルです。弊社Webサイトにて最新バージョンを見ることができます。印刷物としては提供しておりませんので、必要な場合はHTMLファイルをプリンターで出力してご使用ください。

マニュアルの構成

本マニュアルの構成について説明します。

章構成

本マニュアルの章は、「AT-RADgateの概要」「インストール」「設定画面へのアクセス」「クイックツアー」「リファレンス編」「付録」に分けられています。
画面上部のフレームに表示されている項目が各章へのリンクです。章名をクリックすると、画面左側のフレームに節（サブメニュー）が表示されます。節のリンクをクリックすると、画面右側のフレームに設定画面などの解説が表示されます。

章構成は次のとおりです。

AT-RADgateの概要
AT-RADgateの概要について説明します。

インストール
AT-RADgateの動作環境、インストール、Allied Telesis コンテナプラットフォームの設定方法について説明します。

設定画面へのアクセス
設定画面へのログインとログアウト、ナビゲーションと各設定画面における設定の保存方法について説明します。

クイックツアー
AT-RADgateの設定を行う際の作業の流れを紹介します。

リファレンス編
各設定画面を1つのページで詳細に説明しています。

Allied Telesis コンテナプラットフォーム	Allied Telesis コンテナプラットフォームの各設定画面について説明しています。
ポリシー管理	認証ポリシーの閲覧、編集などについて説明しています。
ステータス確認	認証済みサプリカントの閲覧、ネットワークからの切断などについて説明しています。
イベント管理	AT-RADgateのイベントログの閲覧などについて説明しています。
アカウント管理	AT-RADgateの管理者アカウントの閲覧、管理などについて説明しています。
RADIUS管理	認証に関連する設定について説明しています。
システム管理	AT-RADgateのシステム設定の管理などについて説明しています。

付録
補足的な事がらについて説明します。

表記について

本マニュアルにおける各種表記について説明します。

総称

AT-RADgate
本マニュアルでは、仮想マシン上で動作するAT-RADgate アプリケーションを「AT-RADgate」と総称します。

Allied Telesis コンテナプラットフォーム
本マニュアルでは、仮想化環境対応ソフトウェア AT-RADgate（単体版）のプラットフォームを「Allied Telesis コンテナプラットフォーム」と総称します。

AVM EX
本マニュアルでは、ネットワークマネージメントソフトウェア AT-Vista Manager EXのプラグインを除く基本機能を「AVM EX」と総称します。

AW+スイッチ
本マニュアルでは、AT-RADgateが管理するAlliedWare Plusスイッチおよびルーターを「AW+スイッチ」と総称します。

例

設定例では、IPアドレス、ドメイン名、ログイン名、パスワードなどに具体的な文字列や値を使用していますが、これらは例として挙げただけの架空の存在です。実際に運用を行う場合は、お客様の環境におけるものをご使用ください。

また、本書の設定例はあくまでも説明のためのサンプルです。お客様の環境に適した設定を行う際の参考としてください。

ご注意

本書に関する著作権等の知的財産権は、アライドテレシス株式会社（弊社）の親会社であるアライドテレシスホールディングス株式会社が所有しています。
アライドテレシスホールディングス株式会社の同意を得ることなく、本書の全体または一部をコピーまたは転載しないでください。
弊社は、予告なく本書の全体または一部を修正・改訂することがあります。
弊社は改良のため製品の仕様を予告なく変更することがあります。

(C) 2025 アライドテレシスホールディングス株式会社

商標について

CentreCOM、CentreNET、SwitchBlade、TELESYN、AlliedView、VCStackロゴ、EPSRingロゴ、LoopGuardロゴ、PoE plusロゴ、AT-UWC、Allied Telesis Unified Wireless Controller、SecureEnterpriseSDNロゴ、AT-VA、AT-Vista Managerはアライドテレシスホールディングス株式会社の登録商標です。
Windows、MS-DOS、Windows NTは、米国Microsoft Corporationの米国およびその他の国における登録商標です。
その他、この文書に記載されているソフトウェアおよび周辺機器の名称は各メーカーの商標または登録商標です。

マニュアルバージョン

2025年6月 Rev.A（Ver.1.1.0）

AT-RADgateの概要 / AT-RADgateについて

AT-RADgateの位置づけ

AT-RADgateは、RADIUS認証サーバーです。
IETF標準規格に準拠した一般的なRADIUSサーバー機能に加え、弊社ネットワーク製品と組み合わせて利用することにより、管理下のネットワークに接続されるクライアントの高度な制御が可能となります。

用語解説

AT-RADgateでは以下の用語を使用しています。

表 1：用語解説
用語	説明
RADIUSサーバー	RADIUS（Remote Authentication Dial In User Service）プロトコルを使って、認証サービスを提供するサーバーです。AT-RADgateの基本機能です。
NAS（Network Access Server） RADIUSクライアント	端末を接続するインターフェースを持ち、RADIUSサーバーに対して認証要求を送信する機器です。AT-RADgateではNASと呼びます。弊社製品で構成するネットワークでは、AW+に対応したエッジスイッチ、無線LANアクセスポイントなどがNASとして使用できます。
端末	NASに接続する端末です。サプリカント、エンドポイントとも呼びます。
認証	NASからの認証要求に対して、認証対象のユーザーまたは端末の正当性を確認するRADIUSサーバーの処理を指します。
認可	認証に成功したユーザーまたは端末に対して、割り当てる権限を決定するRADIUSサーバーの処理を指します。
認証ポリシー	正当で承認すべき要求かどうかを判断するために、AT-RADgateが利用するルールを指します。認証ポリシーは、ユーザーポリシー、端末ポリシー、NASポリシー、NASプロファイルポリシー、サプリカントプロファイルポリシーの5つに分類され、認証・認可に使用することができます。

認証方式

AT-RADgateがサポートする認証方式は以下です。

PAP
EAP-MD5
EAP-PEAP
EAP-TLS
EAP-TTLS（PAP, MS-CHAPv2）

Note
常にすべての認証プロトコルが有効になっています。無効にはできません。

ユーザー認証と端末認証

通常のRADIUS認証は、認証要求メッセージのUser-Name属性に格納されたユーザーの認証を行います。AT-RADgateはそれに加え、認証要求メッセージのCalling-Station-Id属性に格納されたMACアドレスによるユーザー端末の認証機能（端末認証）が提供されます。

認証・認可と認証ポリシー

AT-RADgateは登録されたユーザーまたは端末の情報に基づき、登録されたNAS（Network Access Server）からの認証要求の処理を行います。NASとの通信にはRADIUSプロトコルが使用されます。この処理は下記の2つのフェーズから構成されています。

表 2
処理	目的
認証	認証対象のユーザーまたは端末の正当性を確認する
認可	認証対象のユーザーまたは端末に割り当てる権限を決定する

これらの処理は、AT-RADgateに登録されている認証ポリシー、または連携している外部システムのデータベースに基づき実施されます。AT-RADgateの認証ポリシーには、下記の種類のポリシーが定義されています。管理者はポリシーを適切に設定し、ユーザーまたは端末のアクセス制御を行います。

表 3
ポリシー名	説明
ユーザー	アクセス制御対象のユーザーを定義します。ユーザー認証で参照されユーザー名とパスワードが一致したユーザーに設定された属性値が割り当てられます。どのポリシーとも一致しないユーザーは認証失敗となります。
端末	アクセス制御対象の端末を定義します。端末認証で参照され、MACアドレスが一致した端末に設定された属性値が割り当てられます。どのポリシーとも一致しない端末は、未登録端末の属性が割り当てられます。
NAS	ユーザーまたは端末のアクセス制御を行う装置を定義します。
NASプロファイル	NASの設定パラメーターを定義します。
サプリカントプロファイル	承認されたサプリカントに割り当てるパラメーターを定義します。

各ポリシーの詳細を説明します。

NASポリシー

AT-RADgateは受信したRADIUSメッセージの送信元の認証を行い、合格したもののみ処理を行います。認証はメッセージの送信元IPアドレスとメッセージに格納されている事前共有鍵が、NASポリシーに登録されているものと一致するかで判断されます。
また、端末認証機能の有効化もNASポリシーで行います。端末認証を有効にするNASに対して、その設定を行ったNASプロファイルを割り当てると、そのNASが送信する認証要求に対してユーザー認証に加え端末認証処理を行います。

ユーザー認証と端末認証のポリシー

AT-RADgateはユーザー認証と端末認証機能を提供します。認証機能はアクセス要求の発信者であるサプリカントの接続先NAS、接続を行うユーザー、ユーザーが操作している端末を検出し、NASとユーザー情報が認証ポリシーに登録されているものと合致した場合は接続許可を与え、それ以外の場合は接続を拒否する処理になります。
ユーザー認証はIETF標準の認証方式で、下記の特殊なケースを除きすべての認証要求メッセージに対してAT-RADgateのユーザーポリシーとの照合を行い実施します。

Windows Active Directoryと連携設定された状態でEAP-PEAP方式の認証要求を受けた場合、自身の認証ポリシーでなく、Windows Active Directoryのデータベースを用いてユーザー認証を行います。
端末認証が有効でMACベース認証要求を受けた場合、ユーザー認証を行わず、端末認証のみを行います。

Note
MACベース認証要求は、受信した認証要求メッセージが下記の要件を満たした要求です。
・PAPまたはEAP-MD5方式のメッセージ
・User-Nameの値がMACアドレスを表す文字列

端末認証は、端末認証設定が有効なNASが送信した認証要求メッセージのCalling-Station-Id属性にMACアドレスが格納されていた場合に、AT-RADgateの端末ポリシーとの照合を行い実施します。認証に成功した場合は、端末に対して認証済み端末の属性が割り当てられます。認証に失敗した場合は、未登録端末の属性が割り当てられます。

認可

AT-RADgateは、認証成功したユーザーまたは端末に対して追加の設定を割り当てることができます。追加の設定はサプリカントプロファイルとして認証ポリシーに登録されます。サプリカントプロファイルには優先度が設定されおり、優先度の高い順に認証済みのユーザーまたは端末と、サプリカントプロファイルの照合が行われ、最初に一致したプロファイルの設定情報がユーザーまたは端末に割り当てられます。

サプリカントパラメーター

アクセス要求を行ったサプリカントは認証処理により、接続先NAS、ユーザー、および端末情報が割り当てられます。これらの情報を合算したものがサプリカントパラメーターであり、認可処理におけるサプリカントプロファイルの照合処理では、このサプリカントパラメーターとの比較が行われます。サプリカントパラメーターは下記のとおりです。

端末MACアドレス
端末名
登録済み端末/未登録端末
アクセスレベル
タグ

Note
サプリカントパラメーターの内容はAT-RADgate内部で使用するため確認することはできません。

■ アクセスレベル
ユーザーポリシーと端末ポリシーに設定可能な0から15までの数字で、ポリシーが示す対象のアクセス権限の強さを表します。0はアクセスが不許可であることを表し、1-15はアクセス可能で数字が大きいほど強い権限が与えられていることを表します。サプリカントに割り当てられたユーザーポリシーと、端末ポリシーに設定されているアクセスレベルのうち、小さい値が採用されます。
■ タグ
NASポリシー、ユーザーポリシー、端末ポリシーに設定可能な文字列で、それぞれのポリシーに複数のタグが設定可能です。ポリシーが示す対象が所属するグループを表します。サプリカントに割り当てられたそれぞれのポリシーが持つすべてのタグをまとめたものが、サプリカントパラメーターのタグになります。

サプリカントプロファイル

サプリカントプロファイルは、主に優先度、サプリカントパラメーター一致条件、サプリカント設定で構成されます。
優先度は1-15の数値で、この値の小さいプロファイルから順番にサプリカントパラメーターとの照合が行われます。

Note
サプリカントプロファイルの優先度が同一の場合、どのサプリカントプロファイルから順に照合が行われるかどうかは不定です。そのため条件を明示的に分ける場合は、優先度を別の値で設定するようにしてください。

サプリカントパラメーター一致条件には、このプロファイルを適用するサプリカントの条件が設定されます。設定可能な条件は下記のとおりです。

全ての端末
端末MACアドレス
登録済み端末
未登録端末
端末名
アクセスレベル
タグ

サプリカント設定に設定可能なパラメーターは下記になります。

アクション
VLAN
フィルターID
フィルタールール

インストール / AT-RADgateの動作環境

AT-RADgateは、物理サーバーにインストールした仮想化環境上の仮想マシンで動作させることができます。

ホストOS

AT-RADgateがサポートするホストOSは次のとおりです。

Microsoft Windows Server 2019（Standard エディションのみサポート）
Microsoft Windows Server 2022（Standard エディションのみサポート）
Hyper-V Server 2019

Note
各ホストOSは中間層や仮想環境を介さず、直接ハードウェア上で動作する環境にしてください。また、各ホストOSは要件を満たすハードウェアが必要ですが、CPUの物理コア数は4以上、CPUのクロック数は2.5 GHz以上、ストレージの転送速度は150 MByte/秒を目安にしてください。CPUのクロック数は基本の動作周波数でブースト時の最大周波数ではありませんのでご注意ください。
なお、要件をすべて満たしたハードウェアを使用した場合でも動作を保証するものではありません。

仮想化環境

AT-RADgateがサポートする仮想化環境は次のとおりです。

Hyper-V

Hyper-Vで仮想マシン作成時の設定

表 1：Hyper-V設定
起動メモリ	2048 MB 以上
仮想ハードディスクのサイズ	3 GB 以上
仮想プロセッサの数	2 以上

Note
ネットワークインターフェースは Gigabit Ethernet x 1 が必要です。なお、インターフェースのボンディング（冗長化）機能を使用するためには Gigabit Ethernet x 2 が必要です。

Allied Telesis コンテナプラットフォームでAT-RADgate アプリケーションの設定

表 2：AT-RADgate アプリケーション設定
ストレージサイズ	2048 MB

インストール / AT-RADgateのインストール

Hyper-V編

AT-RADgateをHyper-V上にセットアップする大まかな手順は次のとおりです。

インストール用イメージファイルの準備
サーバーへの接続と仮想マシンの作成
仮想スイッチの作成
仮想マシンの設定
Allied Telesis コンテナプラットフォームの起動

Note
本マニュアルでは、サポートOSであるWindows Serverや、仮想化環境であるHyper-V自体のセットアップには触れていません。

Note
本マニュアルで説明している作業の大部分は、Hyper-VのGUI管理ツールであるHyper-V マネージャーを使って行います。Hyper-V マネージャーからHyper-Vホストに接続する方法、Hyper-V マネージャーの全般的な使用方法などについては、各製品のマニュアル等をご参照ください。

インストール用イメージファイルの準備

AT-RADgateのパッケージバージョン 1.1.0のファイルは次のとおりです。

radgate-1.1.0.iso

インストール用イメージファイルを、サーバーの任意のフォルダにダウンロードしてください。

サーバーへの接続と仮想マシンの作成

スタートメニューなどから「Hyper-V マネージャー」を起動します。
　
「Hyper-V マネージャー」ウィンドウの左ペインに作業中のHyper-Vホスト名（ローカルサーバー名）が表示されていない場合は、次の手順で追加してください。
ローカルサーバー名が表示されている場合は手順3に進んでください。
　
　
左ペインに表示されているローカルサーバー名を右クリックし、コンテキストメニューから「新規」＞「仮想マシン」の順に選択します。

　
「仮想マシンの新規作成ウィザード」の「開始する前に」画面が表示されますので、「次へ」をクリックします。

　
「名前と場所の指定」画面では、「名前」欄に仮想マシンの名前を入力して「次へ」をクリックします。
仮想マシンの格納場所はデフォルトのままで構いません。

　
「世代の指定」画面では、「第 1 世代」を選択して「次へ」をクリックします。

　
「メモリの割り当て」画面では、「起動メモリ」欄に2048 MB以上の必要動作環境を満たすメモリー容量を入力して「次へ」をクリックします（参考：AT-RADgateの動作環境）。
「この仮想マシンに動的メモリを使用します。」はチェックしないでください。

　
「ネットワークの構成」画面では、「接続」欄を「接続しない」にしたまま「次へ」をクリックします。
ネットワークの設定は後ほど行います。

　
「仮想ハードディスクの接続」画面では、「仮想ハードディスクを作成する」を選択して「名前」を指定し、「サイズ」欄に3 GB以上の必要動作環境を満たす値を入力して「次へ」をクリックします（参考：AT-RADgateの動作環境）。
「場所」はデフォルトのままにしてください。

　
「インストールオプション」画面では、「ブート CD/DVD-ROM からオペレーティングシステムをインストールする」を選択し、「イメージファイル (.iso)」欄でインストール用ISOイメージファイルを指定して「次へ」をクリックします（参考：インストール用イメージファイルの準備）。

　
「仮想マシンの新規作成ウィザードの完了」画面で要約された内容を確認し、問題がなければ「完了」をクリックしてウィザード画面を閉じます。

以上で仮想マシンの作成は完了です。
　
作成した仮想マシンが「Hyper-Vマネージャー」の「仮想マシン」ペインに表示されるようになります。

仮想スイッチの作成

次に、仮想スイッチの設定を行います。

「Hyper-V マネージャー」の左ペインに表示されているHyper-Vホスト名（ローカルサーバー名）を右クリックし、コンテキストメニューから「仮想スイッチマネージャー」を選択します。

　
AT-RADgateで使用するネットワークアダプターの名前を含む仮想スイッチが左ペインの「仮想スイッチ」に表示されている場合はそれを選択し、下記の設定を変更します。
そうでない場合は「新しい仮想ネットワークスイッチ」を選択して新しい仮想スイッチを作成し、下記の設定を行ってください。
- 「名前」には適切な仮想スイッチ名を入力します。
- 「接続の種類」では仮想スイッチの接続先として適切なものを選択します。
- 「外部ネットワーク」を選択した場合は、AT-RADgateの仮想マシンを接続するネットワークアダプターをドロップダウンリストから選択してください。
  - 「管理オペレーティングシステムにこのネットワークアダプターの共有を許可する」のチェックボックスのチェックの有無は問いません。本設定ではチェックボックスのチェックは無しにしています。
必要な数だけ仮想スイッチの設定が完了したら「OK」をクリックして、「仮想スイッチマネージャー」画面を閉じます。

仮想マシンの設定

作成した仮想マシンの設定をAT-RADgate向けに変更します。

「仮想マシン」ペインの仮想マシンを右クリックし、コンテキストメニューから「設定」を選択します。

　
Hyper-Vの仮想マシンはデフォルトでHyper-Vホストの時刻に自動同期しますが、AT-RADgateの仮想マシンが独自に時刻合わせできるよう、自動同期を無効にします。
これには、左ペインの「管理」＞「統合サービス」を選択すると表示される「サービス」で「時刻の同期」のチェックを外し、「適用」をクリックしてください。

　
左ペインの「ハードウェア」＞「BIOS」を選択すると表示される「スタートアップ順序」で「CD」が一番上になっていることを確認します。
「CD」が一番上でない場合は右側のボタンで順序を変更し、「適用」をクリックしてください。

　
左ペインの「ハードウェア」＞「プロセッサ」を選択すると表示される「仮想プロセッサの数」を、必要動作環境を満たす値（2 以上）に設定し、「適用」をクリックしてください（参考：AT-RADgateの動作環境）。

　
左ペインの「ネットワークアダプター」を選択すると「ネットワークアダプター」画面が表示されます。
最初、「仮想スイッチ」は「接続されていません」になっていますが、ドロップダウンリストから、仮想スイッチの設定で作成した仮想スイッチ名を選択し、「適用」をクリックしてください。

　
左ペインの「ネットワークアダプター」＞「高度な機能」で表示される「MACアドレス」の「MACアドレスのスプーフィングを有効にする」にチェックを付け、「OK」ボタンをクリックします。
これは、仮想マシンのMACアドレスとは異なるMACアドレスを持つ各アプリケーションからのパケットがHyper-Vによって破棄されないようにするための設定です。

以上で仮想マシンの設定は完了です。

Allied Telesis コンテナプラットフォームの起動

Hyper-V マネージャーの「仮想マシン」ペインで本製品の仮想マシンを右クリックし、コンテキストメニューから「起動」を選択します。

　
再度、Hyper-V マネージャーの「仮想マシン」ペインで本製品の仮想マシンを右クリックし、コンテキストメニューから「接続」を選択します。

　
本製品の仮想マシンウィンドウが開いてコンソール画面が表示され、IPアドレスが表示されれば、Allied Telesis コンテナプラットフォームの起動は完了です。ログインは不要です。

以上でAllied Telesis コンテナプラットフォームの起動は完了です。

Allied Telesis コンテナプラットフォームの設定

クライアント要件

Allied Telesis コンテナプラットフォームの設定は、WebブラウザーからGUI（Graphical User Interface）にアクセスして行います。
下記のWebブラウザーでご使用ください。

Microsoft Edge
Google Chrome

Note
リリース済みの最新のバージョンをご利用ください。

Note
Microsoft EdgeはChromiumベースが対象です。
また、Internet Explorerモードは未サポートです。

初期設定

Allied Telesis コンテナプラットフォームのインストール後は、次のように設定されています。

表 1：初期設定
IPアドレス	ネットワークにDHCPサーバーがある場合は、DHCPサーバーから取得したIPアドレスが設定されます。ネットワークにDHCPサーバーがない場合は、「192.168.1.1/24」が設定されます。
VLAN	デフォルトVLAN「vlan1」に所属しています。
ユーザー名	manager
パスワード	friend

設定画面へのログイン

ここでは、Allied Telesis コンテナプラットフォームのIPアドレスが「192.168.1.1」に設定されている場合を例に説明します。

Webブラウザーを起動し、 https://192.168.1.1 を入力します。
```
https://192.168.1.1
```
Note
WebブラウザーとAllied Telesis コンテナプラットフォームの間の通信は HTTPS で行われます。
アクセスに成功するとログイン画面が表示されますので、ユーザー名とパスワードを入力して、「サインイン」ボタンをクリックします。
入力したパスワードは、「●」で表示されます。

Note
初期設定のユーザー名は「manager」、パスワードは「friend」です。
初期設定のユーザー名「manager」、パスワード「friend」でログインしたときは、次のセキュリティ警告が表示されます。ログインを続行するには「保存して次へ」ボタンをクリックします。
「次回ログイン時に表示する」のチェックを外してからログインすると、次回以降のログイン時にはセキュリティ警告が表示されなくなります。ただし、ブラウザーのキャッシュを削除すると再度表示されるようになります。
ログイン直後は、Allied Telesis コンテナプラットフォームの設定画面であるダッシュボード画面が表示されます。

Note
各画面で何も操作しない状態が5分続くと自動的にログアウトされ、ログイン画面に戻ります。
ただし、「Allied Telesis コンテナプラットフォーム」/「監視」画面からモニタリングしている場合はログアウトしません。

設定画面へのログインは以上です。Allied Telesis コンテナプラットフォームの設定ができるようになります。

設定画面の使い方

設定画面の基本的な使い方を説明します。

ダッシュボード

Allied Telesis コンテナプラットフォームにログインした直後に表示される設定画面です。基本的な画面構成は次のとおりです（下記はダッシュボード画面の例です）。

ナビゲーションバー

画面上部には、各画面共通のナビゲーションバーが表示されます。
各部分の表示や機能は次のとおりです。

① - ダッシュボード画面に移動します。
② - シリアル番号を表示します。
③ - システム稼働時間（Uptime）を表示します。
④ - ドロップダウンメニューになっており、ログアウトができます。
⑤ - 設定を保存します。

メニュー欄

画面左側には、各画面に移動するためのメニューが表示されます。
メニュー項目には、大項目単体でページ移動するものと、大項目で下位の小項目（サブ項目）を開閉し、小項目で各ページに移動するものがあります。
各大項目の機能は次のとおりです。

ダッシュボード
各種情報を要約して表示する「Allied Telesis コンテナプラットフォーム」/「ダッシュボード」画面に移動します。
ネットワーク基本設定
インターフェース、スタティック経路などネットワークの基本的な設定・管理画面に移動するためのメニュー項目を開閉します。
ユーザー管理
ログインするユーザーの一覧表示や追加、削除、変更を行う「Allied Telesis コンテナプラットフォーム」/「ユーザー管理」画面に移動します。
システム
ログやシステム関連情報の表示画面に移動したり、日時設定など、システム関連情報の設定・管理画面に移動するためのメニュー項目を開閉します。
AT-RADgate
AT-RADgate アプリケーションの設定、起動、停止などを行う管理画面を開きます。

コンテンツ欄

画面中央右下には、各画面の内容（コンテンツ）が表示されます。表示される内容は画面によって異なります（下記はダッシュボード画面の例です）。

各画面の概要については、これ以降のセクションで説明します。

設定の保存

Allied Telesis コンテナプラットフォームの設定を変更したり、AT-RADgate アプリケーションを起動状態にした場合には、画面上部のナビゲーションバーにある「保存」ボタンがオレンジ色に変わります。クリックすることで、設定が保存されます。

Note
「保存」ボタンをクリックすると、「Allied Telesis コンテナプラットフォーム」/「ファイル管理」画面に「default.cfg」というファイルが作成されます（既に存在していた場合は上書きされます）。
このファイルには、「保存」ボタンをクリックした時点のAllied Telesis コンテナプラットフォームの設定内容が保存されますので、Allied Telesis コンテナプラットフォームのバックアップファイルとして使用できます。

ログアウト

Allied Telesis コンテナプラットフォームの設定画面からログアウトするには、画面上部のナビゲーションバーにある「Admin」ボタンをクリックしたあと、「ログアウト」をクリックします。
設定画面からログアウトし、ログイン画面が表示されます。

AT-RADgate アプリケーションの設定と起動

ここでは、AT-RADgate アプリケーションの設定と起動方法、停止方法を説明します。

設定項目

AT-RADgate アプリケーションに、次の表に示す項目を設定します。

表 2：設定項目
ストレージサイズ (MB)	2048 (MB)
詳細設定
メモリー制限 (MB)	通常は設定不要です。無制限（初期値）のままお使いください。
CPUコア制限 (コアインデックス)	通常は設定不要です。無制限（初期値）のままお使いください。
ネットワーク
インターフェースタイプ	通常は「Virtual」をお使いください。 Virtual：外部ネットワークのVLAN ID（必須項目）と、MACアドレス（オプション）を指定します。この場合は、複数のアプリケーションを、同じVLAN IDに所属するネットワークポートで使うことができます。 Physical：アプリケーションをネットワークポートに割り当てます。ホストインターフェースで接続するネットワークポート番号を選択します。
DHCPを使用	チェックを付けるとDHCPサーバーが払い出すIPアドレスを使用します。チェックを外すと、IPv4アドレス、ゲートウェイアドレスを固定設定します。 DHCPを使用する場合は、DHCPサーバーからIPアドレスが取得できる環境であることを確認してください。
DNSサーバー	名前解決に使用するDNSサーバーを指定します。固定設定が必要な場合は、右側の下向き矢印をクリックして「+ DNSサーバー追加」をクリックし、疎通可能なDNSサーバーのアドレスを入力してください。 Note DNSサーバーアドレスを設定した場合は、疎通可能な状態であることを確認してください。

Note
複数のネットワークインターフェースを作成することは未サポートです。1つのネットワークインターフェースでお使いください。

Note
インターフェースタイプにVirtualを使用し、DHCPを使用しない場合は、AT-RADgate アプリケーション設定時にAllied Telesis コンテナプラットフォームのブリッジ（br0）に設定したIPアドレスと同一サブネット内のIPアドレスで、重複しないように設定してください。
なお、ブリッジ（br0）やAT-RADgate アプリケーションに設定したネットワークとは別に、管理用のネットワークでAllied Telesis コンテナプラットフォームの管理を行いたい場合は、使用していないEthernetインターフェース（eth）をブリッジ（br0）から外し、IPアドレスを設定してください。

例：
・管理用ネットワークアドレス：192.168.2.0/24
・Allied Telesis コンテナプラットフォーム（eth1）：192.168.2.10/24
　（「Allied Telesis コンテナプラットフォーム」/「ブリッジング」画面で、「br0」から「eth1」を削除しておく）

以上の設定により、br0（eth2）は、Allied Telesis コンテナプラットフォーム（192.168.1.10）とAT-RADgate アプリケーションにアクセスできます。
また、eth1は、Allied Telesis コンテナプラットフォーム（192.168.2.10）だけにアクセスできます。

Note
「イメージ更新チェック間隔」は未サポートです。「無効」のまま変更しないでください。

Note
アプリケーションインスタンスの作成やバージョン更新を行う際は、あらかじめ不要なファイルを削除し、「Allied Telesis コンテナプラットフォーム」/「ファイル管理」画面の「ストレージ使用量」でストレージに空きがあることを確認してください。

AT-RADgate アプリケーションの設定と起動手順

AT-RADgate アプリケーションを設定して起動するまでの手順を説明します。

画面左側メニュー欄で、「AT-RADgate」をクリックします。
AT-RADgateの管理画面が表示されますので、「設定」ボタンをクリックします。
前述の「設定項目」を例に設定して、「適用」ボタンをクリックします。

Note
複数のネットワークインターフェースを作成することは未サポートです。1つのネットワークインターフェースでお使いください。
AT-RADgateの管理画面に戻ります。「デプロイ済みアプリケーション一覧」に登録されたアプリケーションが表示されますので、画面右上の「保存」ボタンをクリックして、設定と起動状態を保存します。

AT-RADgate アプリケーションの停止手順

AT-RADgate アプリケーションの設定を変更するときは、AT-RADgate アプリケーションを停止します。

画面左側メニュー欄で、「AT-RADgate」をクリックします。
AT-RADgateの管理画面が表示されますので、「停止」ボタンをクリックします。
「状態」項目が「停止中」になります。手順4の画面が表示されるまで、しばらくお待ちください。
「状態」項目が「停止済み」になり、「削除」ボタンと「起動」ボタンが表示されたら、AT-RADgate アプリケーションの停止は完了です。
画面右上の「保存」ボタンをクリックして、停止状態を保存します。

AT-RADgate アプリケーションの削除手順

停止したAT-RADgate アプリケーションを削除することができます。

Note
AT-RADgate アプリケーションを削除した場合、ライセンスや設定情報が削除されます。操作には十分ご注意ください。
復元予定がない場合やトラブルシューティングで必要な場合を除き、削除しないことをおすすめします。

AT-RADgate アプリケーションの管理画面「デプロイ済みアプリケーション一覧」で「削除」ボタンをクリックすると、Allied Telesis コンテナプラットフォームから削除されます。

Note
AT-RADgate アプリケーションを削除すると、次回以降のインストールに既存ライセンスを使用できなくなります。
ライセンスの再発行が必要になりますので、再インストール後に内部シリアルを控えて弊社窓口までお問い合わせください。

設定ファイルのバックアップとリストア

ここでは、Allied Telesis コンテナプラットフォームの設定ファイル（default.cfg）の保存、設定ファイル（default.cfg）からのリストア手順を説明します。
AT-RADgate アプリケーションのバックアップ、リストアについては、「クイックツアー / AT-RADgateのバックアップとリストア」を参照してください。

Note
Allied Telesis コンテナプラットフォームの設定ファイル（default.cfg）は、取得したときのファームウェアバージョンと、同じファームウェアバージョンでのみリストアができます。例えば、ファームウェアバージョン 1.11.1でバックアップした設定ファイルは、ファームウェアバージョン 1.11.1でのみリストアできます。そのため、使用するファームウェアバージョンで設定ファイルを取得していない場合には、設定のリストアはできません。再度設定が必要になります。

設定ファイルの保存

Allied Telesis コンテナプラットフォームの設定を変更したり、アプリケーションを起動状態にした場合には、画面上部のナビゲーションバーにある「保存」ボタンがオレンジ色に変わります。クリックすることで、Allied Telesis コンテナプラットフォームの設定内容が保存されます。

「保存」ボタンをクリックすると、「ファイル管理」画面に「default.cfg」というファイルが作成されます（既に存在していた場合は上書きされます）。
このファイルには、「保存」ボタンをクリックした時点のAllied Telesis コンテナプラットフォームの設定内容が保存されますので、設定内容のバックアップファイルとして使用できます。

設定ファイルのバックアップ手順

設定用コンピューターにAllied Telesis コンテナプラットフォームの設定ファイルをバックアップする手順を説明します。

Allied Telesis コンテナプラットフォームにログインして、必要な設定を行います。
設定が完了したら、画面上部のナビゲーションバーにある「保存」ボタンをクリックします。
「Allied Telesis コンテナプラットフォーム」/「ファイル管理」画面を開いて、「default.cfg」ファイルを確認します。
「default.cfg」ファイルの横にある「下矢印（ダウンロード）」ボタンをクリックします。
Webブラウザーの表示に従って、「default.cfg」ファイルを保存します。

Allied Telesis コンテナプラットフォームの設定ファイルのバックアップは以上です。

設定ファイルのリストア手順

運用中のAllied Telesis コンテナプラットフォームを、以前に作成したバックアップの状態に復元します。
設定ファイルのリストアは、次の手順で行います。

Note
リストアするためには、Allied Telesis コンテナプラットフォームを再起動する必要があります。

Note
Allied Telesis コンテナプラットフォームの再起動が完了するまで、「保存」ボタンをクリックしないでください。
「保存」ボタンをクリックした時点の設定内容で「default.cfg」ファイルが作成されるため、以前に作成したバックアップの状態に復元できません。

Allied Telesis コンテナプラットフォームにログインして、「Allied Telesis コンテナプラットフォーム」/「ファイル管理」画面を表示します。
「default.cfg」ファイルの横にある「ゴミ箱（削除）」ボタンをクリックします。
確認画面が表示されますので、「削除」ボタンをクリックします。

Note
「保存」ボタンがオレンジ色に変わりますが、クリックしないでください。
「保存」ボタンをクリックすると、「default.cfg」ファイルが作成されます。
「アップロード」ボタンをクリックします。
以前に保存した「default.cfg」ファイルを選択して、「開く」ボタンをクリックします。
「default.cfg」ファイルを確認します。

Note
「保存」ボタンがオレンジ色に変わりますが、クリックしないでください。上記手順でアップロードした「default.cfg」ファイルの設定内容が、「保存」ボタンをクリックした時点の設定内容に上書きされます。
「再起動」ボタンをクリックして、Allied Telesis コンテナプラットフォームを再起動します。

Allied Telesis コンテナプラットフォームの設定ファイルのリストアは以上です。

設定画面へのアクセス / 設定の開始

AT-RADgateクライアント要件

AT-RADgateに対する設定は、WebブラウザーからGUI（Graphical User Interface）にアクセスして行います。
AT-RADgateは、下記のWebブラウザーでご使用ください。

Microsoft Edge
Google Chrome

Note
リリース済みの最新のバージョンをご利用ください。

Note
Microsoft EdgeはChromiumベースが対象です。
また、Internet Explorerモードは未サポートです。

Note
AT-RADgateの設定画面は、お使いのブラウザーの言語設定に合わせて英語または日本語で表示されます。日本語以外の言語が設定されている場合は、すべて英語で表示されます。

設定画面へのログイン

AT-RADgateの設定画面にログインするには、次の手順に従ってください。

次に示すいずれかの方法で、AT-RADgateの設定画面にログインします。

Note
WebブラウザーとAT-RADgateとの間の通信は、HTTPSで行われます。
- Webブラウザーを起動し、AT-RADgateに設定されたIPアドレスを入力する
  （ここでは 192.168.1.10 と仮定しています）
```
https://192.168.1.10
```
- Allied Telesis コンテナプラットフォームのダッシュボード画面で、「AT-RADgate-app」の「開く」ボタンをクリックする
- Allied Telesis コンテナプラットフォームのAT-RADgate管理画面で、「開く」ボタンをクリックする
AT-RADgateログイン画面が表示されますので、「ユーザー名」と「パスワード」を入力して、「ログイン」ボタンをクリックします。入力したパスワードは、「●」で表示されます。

Note
初期設定の「ユーザー名」は「manager」、「パスワード」は「friend」です。

Note
セキュリティーの警告画面が表示された場合は、画面の指示に従ってサイトの閲覧を続行してください。なお、信頼できる認証局が発行したSSLサーバー証明書を取得している場合は、ログイン後、「システム管理 / ネットワーク設定」画面の「サーバー証明書」で、AT-RADgateにSSLサーバー証明書を登録することができます。
AT-RADgateのログインに成功すると、「ステータス確認」画面の「端末」タブが表示されます。

Note
・各画面で何も操作しない状態が10分続くと自動的にログアウトされ、設定画面に操作を加えようとすると「ユーザー名」と「パスワード」の再入力を促すダイアログが表示されます。
・AT-RADgateログイン画面で「ログイン情報を保持」にチェックを入れると、ログインした状態を保持します。

タイムゾーンの設定

AT-RADgateはAllied Telesis コンテナプラットフォームのシステム時刻を取得して使用しますが、タイムゾーン（時間帯）の設定を取得することはできません。そのため、例えば日本時間（JST：協定世界時（UTC）より9時間早い）で使用するには、次の手順で設定を変更してください。

Note
タイムゾーンの設定を変更するとAT-RADgateが再起動します。

「システム管理」メニュー、「時刻設定」サブメニューの順にクリックして、表示される「時刻設定」画面の「変更」ボタンをクリックします。
「タイムゾーン」ダイアログが表示されますので、地域のドロップダウンリストから「Asia」を、タイムゾーンのドロップダウンリストから「Tokyo」を選択して、「保存」ボタンをクリックします。
確認のダイアログが表示されますので、「OK」ボタンをクリックします。
AT-RADgateが再起動します。
再度ログイン画面が表示されます。ログイン後、「システム管理 / 時刻設定」画面が表示されますので、「Asia/Tokyo」に変更されていることを確認します。

タイムゾーンの設定は以上です。

設定画面へのアクセス / ライセンスのインストール

ライセンスの基本動作

AT-RADgateを利用するには、ライセンスをインストールする必要があります。

ライセンスがインストールされるまで、RADIUS認証機能は動作しません。
ライセンスには所定の数のユーザーまたは端末ポリシーを登録できる権利がバンドルされています。登録可能なユーザー数および端末ポリシー数は、この数を超えることはできません。

ライセンスはRADIUS認証機能と認証ポリシーのユーザーポリシーと端末ポリシーの登録数を制御します。有効なライセンスが1つでもインストールされていれば、RADIUS認証の機能は有効化されます。また各ライセンスにはユニット数が設定されおり、インストールされている有効なライセンスのユニット数の合計と同じ数までユーザーポリシーと端末ポリシーが登録できます。（ユーザーポリシーと端末ポリシーの合計数が総ユニット数を超えないこと）。

Note
ライセンスファイルをお持ちでない場合は、弊社窓口までお問い合わせください。
なお、ライセンスファイルの取得にあたって、「システム管理 / 概要」画面に表示されるシリアル番号が必要となります。

Note
ライセンスについては、「リファレンス編 / システム管理」の「ライセンス」をあわせてご参照ください。

トライアルライセンス

正式版ライセンスが手元に届いていない場合や、AT-RADgateを試用するときには、トライアルライセンスが利用できます。トライアルライセンスに付与されている使用権は下記となります。

表 1：トライアルライセンス
有効期限	90日
ユニット数	200,000

Note
正規ライセンスをインストールすると、インストールしたトライアルライセンス、および未インストールのトライアルライセンスが無効化されます。そのため、正規ライセンスの有効期限が切れたあと、未使用のトライアルライセンスをインストールすることはできません。引き続きAT-RADgateを使用するには、更新用のライセンスをご購入ください。

ライセンスの有効期間

本製品のライセンスには有効期間があります。
ライセンスの有効期限チェックは、AT-RADgateのシステム時刻 00:00:00～00:05:59 の間とAT-RADgateの起動時に行われます。
チェックの結果、ライセンスの有効期限日から28日前、21日前、14日前、7日前、1日前に、期限の警告メッセージがログに表示されます。

Note
期限の警告メッセージをメールで送信することもできます。以下の設定を行ってください。
・SMTPサーバーを設定する（「メール設定」画面）
・アカウントにメールアドレスを登録する（「アカウント管理」画面）
・アカウントに「システム設定の変更を許可する。」の権限を付与する（「アカウント管理」画面）

下記のような状態になった場合、RADIUS認証機能が停止し、設定画面の上部にライセンスが無効状態にあることを通知するメッセージが表示されます。

一部のライセンスの有効期限が切れ、登録中のポリシー数がライセンスにより付与された許容数を超過した場合
すべてのライセンスの有効期限が切れた場合

有効なライセンスをインストールしてライセンスの異常状態が解消すると、停止していた機能は有効になり、メッセージも消えます。

ライセンスのインストール

ライセンスをインストールするには、次の手順に従ってください。

「システム管理 / 時刻設定」画面で、現在日時とタイムゾーンが正しいことを確認します。
次のどちらかの手順で、「システム管理 / ライセンス」画面を開きます。
- ライセンスがインストールされていない場合には、設定画面の上部に表示されるメッセージ中の「ライセンスの追加」をクリックします。
- 「システム管理」メニューをクリックし、「ライセンス」サブメニューをクリックします。
「ライセンスの更新」ボタンをクリックします。
ファイル選択ダイアログが表示されます。ライセンスファイルを選択します。
「OK」ボタンをクリックします。
「システム管理 / ライセンス」画面に、登録したライセンスの「名称」、「有効期限」などが表示されれば、インストールは成功です（下記は例です）。

ライセンスのインストールは以上です。AT-RADgateを利用できるようになります。

トライアルライセンスのインストール

トライアルライセンスをインストールするには、次の手順に従ってください。

「システム管理 / 時刻設定」画面で、現在日時とタイムゾーンが正しいことを確認します。
次のどちらかの手順で、「システム管理 / ライセンス」画面を開きます。
- ライセンスがインストールされていない場合には、設定画面の上部に表示されるメッセージ中の「ライセンスの追加」をクリックします。
- 「システム管理」メニューをクリックし、「ライセンス」サブメニューをクリックします。
「トライアルライセンスのインストール」ボタンをクリックします。
「OK」ボタンをクリックします。
「システム管理 / ライセンス」画面に、トライアルライセンスの情報が表示されれば、インストールは成功です。

トライアルライセンスのインストールは以上です。

ライセンスの再発行

発行したライセンスはAT-RADgateのシリアル番号と紐付けされています。
以下の場合では、AT-RADgateのシリアル番号が変更になるため、発行済みのライセンスは使用できなくなり再発行が必要になりますので、「システム管理 / 概要」画面に表示されるシリアル番号を控えて弊社窓口までお問い合わせください。

Allied Telesis コンテナプラットフォーム上でAT-RADgate アプリケーションを削除し、再度インストール
別の仮想マシン上のAllied Telesis コンテナプラットフォームにAT-RADgate アプリケーションをリストア（移行）

ただし、「システム管理 / 概要」画面にある「システムのバックアップ」でバックアップしたファイルがある場合は、「システム管理 / 概要」画面にある「システムの復元」を使って、移行前のシステムをライセンス情報も含め完全に復元することができます。
なお、「RADIUS管理 / Active Directory設定」画面で設定したWindows Active Directoryの設定はバックアップしたファイルには含まれないため、システムの復元を実行したあとで、再設定する必要があります。

設定画面へのアクセス / 設定画面の使い方

設定画面の基本的な画面構成と操作方法を説明します。

ウィンドウ構成

基本的な構成は次のとおりです（下記は「ステータス管理」画面の例です）。

「ポリシー管理」画面では、タブをクリックするとコンテンツ欄に各設定画面が表示されます。
「RADIUS管理」画面および「システム管理」画面ではサブメニューをクリックするとコンテンツ欄に各設定画面が表示されます。

メニュー欄
メニュー欄には、メインメニューのアイコンとメニュー名が表示されます。メニュー名をクリックすると、各設定画面が開きます。
コンテンツ欄
各種設定情報やメニューで選択した情報などが表示されます。「システム管理」画面ではサブメニューが表示され、サブメニュー名をクリックすると各設定画面が開きます。

管理欄
画面上部の管理欄には下記が表示されます。

表 1：管理欄
表示例	説明
AT-RADgate	クリックすると「ステータス確認」画面を表示します。
radgate	設定されているホスト名です。クリックすると「システム管理 / 概要」画面を表示します。
manager	ログイン中のユーザー名です。クリックすると「マイアカウント」「ログアウト」サブメニューが表示されます。・「マイアカウント」をクリックすると「マイアカウント」画面が表示されます。・「ログアウト」をクリックすると、設定画面からログアウトし、ログイン画面が表示されます。

マイアカウント

「マイアカウント」画面ではログイン中のユーザーの情報を表示します。「編集」ボタンをクリックすると、設定の変更ができます。

Note
アカウント設定について詳しくは、「リファレンス編 / アカウント管理」を参照してください。

一覧の検索と並べ替え

次に示す設定画面には、一覧の表示項目の絞り込みや並べ替えを行うためのコントロールが用意されています。
検索、絞り込み、並べ替えの対象となる項目については、「リファレンス編」を参照してください。

「ポリシー管理 / ユーザー」画面
「ポリシー管理 / 端末」画面
「ポリシー管理 / NAS / RADIUSプロキシ」画面
「ポリシー管理 / NASプロファイル」画面
「ポリシー管理 / サプリカントプロファイル」画面
「ステータス確認 / 端末」画面

検索フォームを使用した絞り込み

検索フォームにキーワードを入力することで、表示項目を絞り込むことができます。
半角スペース区切りで複数のキーワードを入力すると、すべてのキーワードが該当する項目のみを表示します（AND検索）。

並べ替えの順番

同じボタンをクリックするたびに、昇順→降順→初期状態の順に切り替えることができます。

■ 表示件数
一覧画面下部に、表示項目の範囲と全項目件数を表示します。また、1ページあたりの表示件数をドロップダウンメニューから変更することができます。

設定の適用

各設定画面またはダイアログには「保存」ボタンがあります。各設定画面またはダイアログで設定内容を入力したら、画面を移動する前に必ず「保存」ボタンをクリックしてください。
「保存」ボタンをクリックすると、現在の設定画面またはダイアログにおける設定内容は直ちに適用されます。

Note
ステータスのみを表示する設定画面など、「保存」ボタンを持たない画面もあります。

設定画面へのアクセス / 設定の終了

すべての設定が終わったら画面右上の「manager」（またはログイン中のユーザー名）をクリックし、「ログアウト」をクリックします。
設定画面からログアウトし、ログイン画面が表示されます。

Note
各画面で何も操作しない状態が10分続くと自動的にログアウトされ、設定画面に操作を加えようとするとログイン画面が表示されます。
AT-RADgateログイン画面で「ログイン情報を保持」にチェックを入れると、ログインした状態を保持します。

クイックツアー / AT-RADgateの認証

AT-RADgateの認証

AT-RADgateはRADIUS認証プロトコルに従い認証を行います。
RADIUS認証プロトコルは、サーバーまたはネットワークに対する接続認証の集中管理を行うためのプロトコルです。接続を要求するサプリカントと、接続先のサーバーまたはネットワーク機器（NAS）と、認証サーバー（AT-RADgate）で構成されるネットワークで使用されます。
RADIUS認証は基本的に下記の流れで行われます。

サプリカントがNASに接続する。
NASが認証サーバーにサプリカントの認証要求を送信する。認証要求には、接続してきたサプリカントとNAS自身の情報が格納される。
認証サーバーが認証要求の内容を検証し、その結果をNASに送信する。
NASは受信した認証結果に基づきサプリカント接続処理を行う。

認証サーバーの動作

認証サーバーで行われる認証要求の検証処理は、サプリカントの正当性を評価する認証処理と、サプリカントに割り当てる権限を決定する認可の2つに分けることができます。
認証処理ではNASとサプリカントの正当性の評価が行われます。
NASの正当性は、認証要求メッセージの送信元IPアドレスとメッセージに含まれる事前共有鍵情報の照合によって行われます。
AT-RADgateの場合、接続を許可するNASをNASポリシーとして登録できます。AT-RADgateは、NASポリシーの情報に一致しないNASからの認証要求メッセージをすべて破棄し応答も返しません。
サプリカントの正当性は、認証要求メッセージに格納されたユーザー名とパスワード情報の照合によって行われます。
AT-RADgateの場合、自身が管理するユーザーをユーザーポリシーとして登録できます。RADgateは認証ポリシーの情報に一致しないサプリカントの接続要求に対して拒否メッセージを返します。拒否メッセージを受信したNASは通常、ログインプロンプトを再表示しユーザー情報の再入力を促します。
AT-RADgateは不正な端末によるハッキングを抑制するために拒否メッセージを送信する際に一定の遅延時間を挿入します。
AT-RADgateはサプリカント認証を行う際に使用する認証データベースとして自身の認証ポリシーの代わりに、Windows Active Directoryのアカウント情報を使用することができます。
Windows Active Directoryによる認証を行う場合は、AT-RADgateに連携先のWindowsサーバーを登録し、認証プロトコルとしてEAP-PEAPを使用する必要があります。

端末認証

AT-RADgateには端末認証機能が搭載されています。この機能はRADIUSの標準的なユーザー認証に加え、Calling-Station-Id属性に格納されたMACアドレスの検証を行う機能で、弊社のAW+スイッチのポート認証機能、無線LANアクセスポイントのクライアント認証機能と併用することが想定されています。
端末認証機能はNAS単位に有効、無効の設定を行うことができ、デフォルトでは無効になっています。
AT-RADgateは自身が管理する端末を端末ポリシーとして登録することができます。AT-RADgateは、端末認証が有効になっているNASが送信した認証要求メッセージのCalling-Station-Id属性にMACアドレスが格納されていた場合、そのMACアドレスが端末ポリシーに登録されているか確認を行います。確認の結果、MACアドレスが未登録の場合でも拒否メッセージの送信は行わず、処理は継続されます。MACアドレスの登録状態は、認可のフェーズで使用されます。

MACベース認証

端末認証とMACベース認証が有効なNASが送信した認証要求メッセージのUser-Name属性にMACアドレスが格納されていた場合（認証要求メッセージにCalling-Station-Id属性が含まれる場合、User-Name属性とCalling-Station-Id属性に同じMACアドレスが格納されている必要があります）、AT-RADgateはユーザー認証を行わず、端末認証のみを行います。

認可処理

AT-RADgateの認証ポリシーには、タグとアクセスレベルという概念が存在します。タグはそのポリシーが属するグループを表す文字列で、アクセスレベルはそのポリシーの権限の強さを表す0から15の数値になります。アクセスレベルを表現する数値は、0は接続が許可されないことを表し、1から15は権限の強さを表し、15が最も強い権限になります。
タグはNASポリシー、ユーザーポリシー、端末ポリシーに設定可能で、アクセスレベルはユーザーポリシー、端末ポリシーに設定可能です。
AT-RADgateは認証処理中に認証対象のサプリカントに適合するNASポリシー、ユーザーポリシー、端末ポリシーを見つけています。これらの情報に加え認証要求メッセージの内容を合わせ、サプリカントパラメーターを作成し、そのサプリカントパラメーターに適合するサプリカントプロファイルポリシーを検索し、見つかったプロファイルに格納されている権限の内容をNASに送信するプロセスが認可処理となります。
認可の処理の過程で作成されるサプリカントパラメーターの内容は下記となります。

デバイスのMACアドレス（認証要求メッセージ User-Name属性またはCalling-Station-Id属性）
デバイスの名前（端末ポリシー）
デバイス登録状態（端末ポリシー）
アクセスレベル（ユーザーポリシー、端末ポリシー）
タグ（NASポリシー、ユーザーポリシー、端末ポリシー）

アクセスレベルは設定されているポリシーのうち、最も小さい値が採用されます。もしいずれのポリシーもアクセスレベルが設定されていない場合は1が設定されます。
タグはNASポリシー、ユーザーポリシー、端末ポリシーに設定されているタグをすべて足し合わせたものになります。
作成されたサプリカントパラメーターとサプリカントプロファイルの条件設定を比較し、適用すべきプロファイルを決定します。
サプリカントプロファイルには1から15の優先度が設定されており、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルの内容がサプリカントに与えられる権限になります。
サプリカントプロファイルには下記のアクションが設定されおり、それぞれ下記のように決められた動作を行います。

表 1：アクション
アクション	動作
通過	サプリカントの接続を許可します、VLANが設定されている場合はそのVLANセグメントに接続します。
破棄	サプリカントの接続を拒否します、RADIUSの標準の属性では破棄状態を表現することができないため、現在のAT-RADgateのバージョンでは認証拒否メッセージを送信します。
隔離	サプリカントを隔離状態にします、VLANが設定されている場合はそのVLANセグメントに隔離します。プロファイルにVLAN設定がない場合、システムのデフォルト隔離VLANに隔離します。
未定	サプリカントを未決定状態にします、VLANが設定されている場合はそのVLANセグメントに隔離します。ない場合は破棄と同じ動作を行います。 Note 本バージョンでは未サポートです。
通知	このプロファイルに一致したことを表すイベントログを記録します。このアクションが設定されているプロファイルに一致した場合に限り、プロファイルの評価を継続し、サプリカントに適用すべき権限を探します。

アクションが動作した際に付与できる情報は以下です。

表 2：設定
項目	説明
VLAN	接続先のVLANを設定します。アクションが通過、隔離、未定の場合のみ設定可能です。
フィルターID	サプリカントに適用するトラフィックフィルターのIDを設定します。複数のフィルターを設定する場合は、空白文字で区切ります。
フィルタールール	サプリカントに適用するトラフィックフィルターの内容を設定します。複数のフィルタールールを設定する場合は、改行文字で区切ります。

サプリカントプロファイルポリシーに設定可能な条件は下記となります。

デバイス条件
下記の条件に適合するデバイスに一致します。

表 3：デバイス条件
条件名	説明
全ての端末	すべてのデバイスに一致します。
登録済み端末	端末ポリシーに登録されているデバイスに一致します。
未登録端末	端末ポリシーに未登録のデバイスに一致します。
MACアドレス指定	指定されたMACアドレスを持つデバイスに一致します。
名前指定	指定された名前のデバイスに一致します。

アクセスレベル条件
設定された条件に適合するアクセスレベルを持つサプリカントに一致します。
条件は数値で指定します。

表 4：アクセスレベル条件
設定値の例説明

7 7のみを指定する
タグ条件
設定されたタグをすべて持つサプリカントに一致します。
複数のタグを設定する場合は、空白文字で区切ります。

表 4：アクセスレベル条件
設定値の例	説明
7	7のみを指定する

デフォルトのサプリカントプロファイルポリシー

AT-RADgateでは下記のサプリカントプロファイルポリシーが、ユーザーが設定するプロファイルの優先度より低いポリシーとしてあらかじめ設定されています。ユーザーが登録したサプリカントプロファイルポリシーのいずれとも一致しない場合、これらのポリシーが優先度の小さい順にサプリカントに適用されます。

表 5：デフォルトのポリシー
優先度	条件	アクション
1	未登録デバイス	破棄
2	アクセスレベルが0	破棄
3	アクセスレベルが1以上	通過

クイックツアー / 認証の設定方法

はじめに

RADIUSサーバーはNASが接続要求を行ったユーザーの認証を行います。RADIUSプロトコルにおける認証の基本動作は、認証要求を行ったユーザーがRADIUSサーバーに登録されており、さらに接続要求に含まれる資格情報（パスワード等）がRADIUSサーバーに登録されているものと一致するかどうかを評価するものです。
AT-RADgateはそれに加え弊社製ネットワーク製品を利用したユーザー端末のネットワークアクセス制御ソリューションを効率的に管理できるように、MACアドレスをベースとした端末認証を独自の機能として提供します。この認証の動作は、認証要求に含まれる端末のMACアドレスがAT-RADgateに登録されているかどうかを評価し、ユーザー認証と併用することが可能です。
弊社のAW+スイッチのポート認証機能では、MACベース認証、IEEE 802.1X認証、Web認証の3つの認証モードがあります。これとAT-RADgateの端末認証を組み合わせた場合、どの認証が動作するかは下記のとおりとなります。

表 1：認証の動作
	ユーザー認証	端末認証
MACベース認証	－	○
IEEE 802.1X認証	○	○
Web認証	○	○

Note
AW+には1つのサプリカントに対してユーザー認証と端末認証を強制する2ステップ認証機能がありますが、2ステップ認証の機能は1つのサプリカントに対し、MACベース認証とIEEE 802.1X認証またはWeb認証の計2回認証処理を行う機能で、本機能とは異なります。本機能は、IEEE 802.1X認証またはWeb認証処理の過程で同時に端末認証を行う機能で、AW+側には特別な設定は不要となります。

ユーザー認証、端末認証の設定の流れは下記となります。

ユーザー認証の設定手順

NASの登録

RADIUSサーバーは受信したメッセージの送信元（NAS）の認証を行います。その過程で不正な送信元が送信したメッセージは破棄されます。
そのため、正しく認証システムを構築するには、必ずRADIUSの認証要求を送信するシステムをすべてAT-RADgateに登録しなければなりません。NASの登録は「ポリシー管理 / NAS / RADIUSプロキシ」画面で行います。
また、一度に大量のNASを登録する必要がある場合は、あらかじめNASの情報を記載したCSV形式のファイルを作成しておき、アップロードすることにより登録することもできます。CSVファイルのインポートは、「システム管理 / データベース管理」画面の「インポート」で行います。
NASはデフォルトでユーザー認証のみを行う設定になっていますので、端末認証を行わない場合はNASプロファイルの登録は不要です。
「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 2：設定例
項目	説明
IPv4 アドレス	NASのIPアドレスです。
事前共有鍵(PSK)	事前共有鍵（キー）です。NASに設定したものと同じにする必要があります。
タグ	このNASの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。

ユーザーの登録

RADIUSサーバーはNASが接続要求を行ったユーザーの認証を行います。RADIUSサーバーによる認証の基本動作は認証要求を行ったユーザーがRADIUSサーバーに登録されており、さらに接続要求に含まれる資格情報（パスワード等）がRADIUSサーバーに登録されているものと一致するかどうかを評価するものです。
ユーザーポリシーは、「ポリシー管理 / ユーザー」画面で行います。また、CSVファイルによるインポートも可能です。
「ポリシー管理 / ユーザー」画面の右上の「追加」ボタンをクリックすると、「ユーザー追加」ダイアログが表示されます。

表 3：設定例
項目	説明
ログイン名・パスワード	認証で使用するユーザーのアカウント名とパスワードを入力します。
アクセスレベル	このユーザーの権限の強さを設定することができます。ここで拒否を設定されたユーザーは、認証要求の内容が正しくてもアクセスが拒否されるようになります。 Note サプリカントプロファイルを設定することによって、動作の変更が可能です。
タグ	このユーザーの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。

Note
AT-RADgateはサプリカントプロファイル機能を提供します。この機能を利用することにより、認証済みサプリカントに対して追加の設定を行えます。アクセスレベルとタグはサプリカントプロファイル機能と併用することにより、複数のサプリカントに対し同じ設定を簡単に適用できます。

認証結果の確認

ユーザー認証では認証済みサプリカントの管理は行いません。サプリカントの認証可否の確認は、「イベント管理 / アプリケーションログ」画面で確認してください。

端末認証の設定手順

NASプロファイルとNASの登録

端末認証では、ユーザー端末を収容するエッジスイッチや無線LANアクセスポイントをNASとして登録します。

Note
端末認証のNASとして登録するネットワーク装置は、認証要求メッセージのCalling-Station-Id属性フィールドに認証要求元の端末のMACアドレスを格納しなければなりません。弊社のAW+スイッチおよび無線LANアクセスポイントはその要件を満たすため、端末認証のNASとして登録することができます。

RADIUSサーバーは受信したメッセージの送信元（NAS）の認証を行います。その過程で不正な送信元が送信したメッセージは破棄されます。
そのため、正しく認証システムを構築するには、必ずRADIUSの認証要求を送信するシステムをすべてAT-RADgateに登録しなければなりません。NASプロファイルとNASの登録は「ポリシー管理 / NASプロファイル」画面で行います。
また、一度に大量のNASを登録する必要がある場合は、あらかじめNASの情報を記載したCSV形式のファイルを作成しておき、アップロードすることにより登録することもできます。CSVファイルのインポートは、「システム管理 / データベース管理」画面の「インポート」で行います。
NASはデフォルトでユーザー認証のみを行う設定になっていますので、新たに端末認証を有効にするNASプロファイルを作成し、登録するNASに設定する必要があります。
以下の2つを作成します。

NASプロファイル
NAS

「ポリシー管理 / NASプロファイル」画面の右上の「追加」ボタンをクリックすると、「NASプロファイル追加」ダイアログが表示されます。

表 4：設定例
項目	説明
名称	NASプロファイルの名前です。
ユーザー認証に加えて、端末認証を有効にする。	チェックボックスにチェックを入れます。

「NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 5：設定例
項目	説明
IPv4 アドレス	NASのIPアドレスです。
事前共有鍵(PSK)	事前共有鍵（キー）です。NASに設定したものと同じにする必要があります。
プロファイル	最初に作成した「AW-Plus」のNASプロファイルを選択します。
タグ	このNASの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。

ユーザーの登録

表 6：設定例
項目	説明
ログイン名・パスワード	認証で使用するユーザーのアカウント名とパスワードを入力します。
アクセスレベル	このユーザーの権限の強さを設定することができます。ここで拒否を設定されたユーザーは、認証要求の内容が正しくてもアクセスが拒否されるようになります。 Note サプリカントプロファイルを設定することによって、動作の変更が可能です。
タグ	このユーザーの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。

Note
AT-RADgateはサプリカントプロファイル機能を提供します。この機能を利用することにより、認証済みサプリカントに対して追加の設定を行えます。アクセスレベルとタグはサプリカントプロファイル機能と併用することにより、複数のサプリカントに対し同じ設定を簡単に適用できます。

Note
弊社のAW+スイッチのMACベース認証機能と併用する場合、ユーザーの登録は必要ありません。また端末認証が有効であるときAT-RADgateは認証要求メッセージを解析し、それがMACベース認証要求かどうかの判別を自動で行うので、MACベース認証を有効にするための追加の設定も不要です。

端末の登録

端末認証が有効な場合、AT-RADgateは認証要求メッセージに格納されたMACアドレスがRADIUSサーバーに登録されているものと一致するかどうかを評価します。
端末ポリシーは「ポリシー管理 / 端末」画面で行います。また、CSVファイルによるインポートも可能です。
「ポリシー管理 / 端末」画面の右上の「追加」ボタンをクリックすると、「端末追加」ダイアログが表示されます。

表 7：設定例
項目	説明
MACアドレス	認証対象の端末のMACアドレスを入力します。
デバイス名	認証対象の端末のデバイス名を入力します。複数の端末に同じデバイス名を付与することができます。
アクセスレベル	このユーザーの権限の強さを設定することができます。ここで拒否を設定された端末は、認証要求の内容が正しくてもアクセスが拒否されるようになります。 Note サプリカントプロファイルを設定することによって、動作の変更が可能です。
タグ	この端末の所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。

Note
AT-RADgateはサプリカントプロファイル機能を提供します。この機能を利用することにより、認証済みサプリカントに対して追加の設定を行えます。アクセスレベルとタグはサプリカントプロファイル機能と併用することにより、複数のサプリカントに対し同じ設定を簡単に適用できます。

認証結果の確認

端末認証が有効な場合、認証済み端末の状態が「ステータス確認 / 端末」画面で確認できます。

ダイナミックVLANの設定

弊社のAW+スイッチと端末認証を併用した場合、AT-RADgateはデフォルトの状態では認証済み端末の接続先VLANの指定を行いません。
サプリカントプロファイルの登録は、「ポリシー管理 / サプリカントプロファイル」画面で行います。またCSVファイルによるインポートも可能です。
「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。
名称はサプリカントプロファイルの識別子になります。既に登録済みのプロファイルと重複しない名前を設定してください。優先度はプロファイルを認証済み端末に適用する順番となり、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルが適用されます。

登録済み端末をすべて「vlan10」のネットワークに接続させる場合

登録済み端末をすべて「vlan10」のネットワークに接続させる場合、「サプリカントプロファイル追加」ダイアログで下記のように設定します。

表 8：設定例
項目	設定値
条件 / デバイス	登録済み端末
設定 / アクション	通過
設定 / VLAN	vlan10

アクセスレベル5の端末のみ「vlan100」に接続する場合

特定のグループを別のネットワークに接続したい場合は、アクセスレベルやタグを使用することができます。アクセスレベル5の端末のみ「vlan100」に接続する場合、「サプリカントプロファイル追加」ダイアログで下記のように設定します。

表 9：設定例
項目	設定値
条件 / アクセスレベル	5
設定 / アクション	通過
設定 / VLAN	vlan100

タグに「admin」が設定された端末のみ「vlan200」に接続する場合

特定のグループを別のネットワークに接続したい場合は、アクセスレベルやタグを使用することができます。タグに「admin」が設定された端末のみ「vlan200」に接続する場合、「サプリカントプロファイル追加」ダイアログで下記のように設定します。

表 10：設定例
項目	設定値
条件 / タグ	admin
設定 / アクション	通過
設定 / VLAN	vlan200

Note
「設定 / VLAN」に設定するVLANは、あらかじめネットワーク装置側に設定する必要があります。また設定する値はネットワーク装置側の仕様に依存します。弊社のAW+スイッチの場合はVLAN名またはVLAN IDを指定することができます。

ダイナミックACLの設定

弊社のAW+スイッチと端末認証を併用した場合、サプリカントプロファイルを登録することにより、認証済み端末に対してACL（パケットフィルター）を設定することができます。
サプリカントプロファイルの登録は、「ポリシー管理 / サプリカントプロファイル」画面で行います。またCSVファイルによるインポートも可能です。
「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。
ACLの設定方法は、あらかじめAW+スイッチ上で定義されているACLの名前を指定する方法と、ACLの内容そのものを指定する方法の2とおり存在します。

あらかじめAW+スイッチ上で定義されているACLの名前を指定する方法

すべての登録済み端末に対してネットワークスイッチ内に登録されている「acl-100」という名前のACLを適用させるには、「サプリカントプロファイル追加」ダイアログで下記のように設定します。

表 11：設定例
項目	説明・設定値
名称	サプリカントプロファイルの識別子になります。既に登録済みのプロファイルと重複しない名前を設定してください。
優先度	プロファイルを認証済み端末に適用する順番となり、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルが適用されます。
条件 / デバイス	登録済み端末
設定 / アクション	通過
設定 / フィルターID	acl-100

ACLの内容そのものを指定する方法

すべての登録済み端末に対して192.168.10.0/24のサブネットとの通信のみを許可するACLを適用させるには、「サプリカントプロファイル追加」ダイアログで下記のように設定します。

表 12：設定例
項目	説明・設定値
名称	サプリカントプロファイルの識別子になります。既に登録済みのプロファイルと重複しない名前を設定してください。
優先度	プロファイルを認証済み端末に適用する順番となり、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルが適用されます。
条件 / デバイス	登録済み端末
設定 / アクション	通過
設定 / フィルタールール	ip:permit ip any 192.168.10.0/24 ip:deny ip any any

Note
フィルタールールの書式は、ネットワーク装置の仕様に合わせて設定してください。ただし、複数のルールを記述する場合は改行で区切ってください。

クイックツアー / ポート認証の各認証方法の認証ポリシー設定

一般的なポート認証でRADIUSプロトコルにて認証を行うケースは、以下の認証方法が挙げられます。

MACアドレスベース認証（以下、MACベース認証）
MACベース認証は機器のMACアドレスに基づいて機器単位で認証を行います。サプリカント側に特別な機能は不要です。
　
IEEE 802.1X認証（以下、802.1X認証）
802.1X認証は基本的にユーザー単位で認証を行います。サプリカント側が802.1Xに対応している必要があります。
　
Web認証
Web認証はサプリカント側のWebブラウザーからユーザー名とパスワードを入力して、802.1X認証と同様にユーザー単位で認証を行います。

どの認証方法においても正しく認証システムを構築するには、AT-RADgateに認証ポリシーを登録する必要があります。

AT-RADgateの認証ポリシーの登録方法

ここでは以下のケースにおけるAT-RADgateの設定（主に認証ポリシー）の登録方法を記載します。

MACベース認証、802.1X認証、Web認証
Windows Active Directory連携
AlliedWare Plus（Wi-FiルーターのAT-TQRを含む）シリーズと無線LANアクセスポイントのTQシリーズ
インテリジェント・エッジ・セキュリティー（IES）

MACベース認証、802.1X認証、Web認証

各認証方法の認証ポリシーの登録は、以下の流れで行います。

NAS
ユーザー
サプリカントプロファイル

ユーザーの認証ポリシーは、802.1X認証とWeb認証ではログイン名とパスワード、MACベース認証ではログイン名とパスワードにサプリカントのMACアドレスを登録します。MACアドレスを登録する場合の形式（ログイン名とパスワード）は、NASが送信する形式に合わせてください。
　
本設定では以下の構成を想定しています。各製品の基本設定は完了しているものとします。
なおNASにはダイナミックVLANの機能があることを想定しています。
　

NASとサプリカントの情報は以下です。

表 1：情報
NAS1
IPアドレス	192.168.10.10/24
事前共有鍵（キー）	secret1
NAS2
IPアドレス	192.168.10.20/24
事前共有鍵（キー）	secret2
NAS3
IPアドレス	192.168.10.30/24
事前共有鍵（キー）	secret3
サプリカント1（802.1X認証）
ログイン名	user1
パスワード	passwd1
ネットワーク	vlan10
サプリカント2（Web認証）
ログイン名	user2
パスワード	passwd2
ネットワーク	vlan20
サプリカント3（MACベース認証）
ログイン名	00-00-00-00-00-01
パスワード	00-00-00-00-00-01
ネットワーク	vlan30

NASの登録

「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 2：NASの登録
IPv4 アドレス	NAS1のIPアドレス「192.168.10.10」を設定します。
事前共有鍵(PSK)	事前共有鍵（キー）です。NAS1に設定した「secret1」を設定します。

NAS1と同様にNAS2とNAS3も登録します。

ユーザーの登録

各サプリカントの情報を設定します。サプリカントごとに接続させるネットワーク（VLAN）を指定しますが、実際にネットワークを指定するのは「サプリカントプロファイル」で行います。ここでは「ユーザー」と「サプリカントプロファイル」を紐付けるために「タグ」を使用します。
「ポリシー管理 / ユーザー」画面の右上の「追加」ボタンをクリックすると、「ユーザー追加」ダイアログが表示されます。

表 3：ユーザーの登録
ログイン名	サプリカント1のログイン名「user1」を設定します。
パスワード	サプリカント1のパスワード「passwd1」を設定します。
タグ	サプリカント1が接続するネットワークの「vlan10」を設定します。この「vlan10」は「サプリカントプロファイル」にも設定します。

サプリカント1と同様にサプリカント2とサプリカント3も登録します。

サプリカントプロファイルの登録

サプリカントプロファイルを登録して各サプリカントが接続するネットワーク（VLAN）を指定します。
前述のとおり「ユーザー」と「サプリカントプロファイル」を紐付けるために「タグ」を使用します。

Note
今回のケースでは、優先度は同じ数値でも意図した動作になりますが、明解にするために別々の数値にしています。

「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。サプリカント1用のサプリカントプロファイルを設定します。

表 4：サプリカントプロファイルの登録
サプリカント1用
名称	Network10
優先度	10
条件 / デバイス	全ての端末
条件 / タグ	vlan10
設定 / アクション	通過
設定 / VLAN	10

　
サプリカント1用と同様にサプリカント2用とサプリカント3用も登録します。

表 5：サプリカントプロファイルの登録
サプリカント2用
名称	Network20
優先度	11
条件 / デバイス	全ての端末
条件 / タグ	vlan20
設定 / アクション	通過
設定 / VLAN	20
サプリカント3用
名称	Network30
優先度	12
条件 / デバイス	全ての端末
条件 / タグ	vlan30
設定 / アクション	通過
設定 / VLAN	30

設定は以上です。

Windows Active Directory連携

AT-RADgateはRADIUS認証において、自身のユーザーの認証ポリシーではなくWindows Active Directory連携でWindows Serverに問い合わせを行い、Windows Serverのデータベースを用いてユーザー認証を行うことができます。

Note
Windows Active Directory連携で認証を行ったサプリカントが接続するネットワークを、サプリカントごとに分けることはできません。

設定は、以下の流れで行います。

AT-RADgateの「RADIUS管理 / Active Directory設定」画面でWindows Active Directoryの設定
AT-RADgateの「ポリシー管理」画面でNASのポリシーを登録
AT-RADgateの「ポリシー管理」画面でサプリカントプロファイルのポリシーを登録

本設定では以下の構成を想定しています。各製品の基本設定は完了しているものとします。
なおNASにはダイナミックVLANの機能があることを想定しています。
　

Windows Server、NAS、各認証方法のサプリカントの情報は以下です。

表 6：情報
ドメイン名	radgate.co.jp
NetBIOS名	radgate
文字セット	CP1252
ユーザー名	administrator
パスワード	Password1!

Note
本設定はデフォルトの「CP1252」を使用してください。変更は本バージョンでは未サポートです。

表 7：設定例
NAS1
IPアドレス	192.168.10.10/24
事前共有鍵（キー）	secret1
NAS2
IPアドレス	192.168.10.20/24
事前共有鍵（キー）	secret2

表 8：設定例
サプリカント1（802.1X認証）
ログイン名	user1
パスワード	passwd1
ネットワーク	vlan10
サプリカント2（Web認証）
ログイン名	user2
パスワード	passwd2
ネットワーク	vlan10

Windows Active Directoryの設定

「RADIUS管理 / Active Directory設定」画面の右の「編集」ボタンをクリックすると、ADドメイン情報を設定する画面が表示されます。

以下の情報を設定し、「参加」ボタンをクリックします。

表 9：ADドメイン情報の設定
ドメイン名	radgate.co.jp
NetBIOS名	radgate
文字セット	CP1252（デフォルト）

「ドメインコントローラー管理者アカウント」ダイアログが表示されます。

ユーザー名とパスワードに以下の情報を入力し、「参加」→「OK」ボタンをクリックします。
なお、パスワードは画面に表示されません。

表 10：入力内容
ユーザー名	administrator
パスワード	Password1!

NASの登録

「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 11：NASの登録
IPv4 アドレス	NAS1のIPアドレス「192.168.10.10」を設定します。
事前共有鍵(PSK)	事前共有鍵（キー）です。NAS1に設定した「secret1」を設定します。

NAS1と同様にNAS2も登録します。

サプリカントプロファイルの登録

サプリカントプロファイルを登録してサプリカントが接続するネットワーク（VLAN）を指定します。

Note
Windows Active Directory連携で認証を行ったサプリカントが接続するネットワークをサプリカントごとに分けることはできないため、サプリカントプロファイルの登録は1つです。

「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。

表 12：サプリカントプロファイルの登録
名称	Network10
優先度	7（デフォルト）
条件 / デバイス	全ての端末
設定 / アクション	通過
設定 / VLAN	10

設定は以上です。

AlliedWare Plus（Wi-FiルーターのAT-TQRを含む）シリーズと無線LANアクセスポイントのTQシリーズ

弊社製品のAlliedWare Plus（Wi-FiルーターのAT-TQRを含む）シリーズと無線LANアクセスポイントのTQシリーズは、認証要求メッセージのCalling-Station-Id属性にMACアドレスが格納されているため、端末認証が有効の場合は端末認証を行います。端末認証を行うためには「ポリシー管理 / NASプロファイル」画面で登録するNASプロファイルに「ユーザー認証に加えて、端末認証を有効にする。」のチェックボックスにチェックがあり、かつそのNASプロファイルがサプリカントの認証を行うNASに設定されている必要があります。端末認証を行うと「ステータス確認 / 端末」画面でサプリカントの認証の状態が確認できます。なお、MACベース認証要求を受けた場合は、ユーザー認証を行わず端末認証のみを行います。

Note
「ステータス確認 / 端末」画面ではサプリカントの認証状態の確認以外にサプリカントの切断も行えます。サプリカントの切断はAT-RADgateがRADIUS Dynamic AuthorizationのDisconnectメッセージをNASに送信して行います。サプリカントの切断に対応している製品・機能は以下です。

　AlliedWare Plus（Wi-FiルーターのAT-TQR以外）シリーズ：MACベース認証、802.1X認証、Web認証（radius dynamic-authorization-clientの設定が必要）
　AlliedWare Plus（Wi-FiルーターのAT-TQR）シリーズ：MACベース認証（MAC認証）のみ（mac-auth radius dynamic-authorization-clientの設定が必要）

各認証方法における認証ポリシーの確認順は以下のとおりです。

MACベース認証
NAS → 端末認証 → サプリカントプロファイル
　
802.1X認証、Web認証
NAS → 端末認証 → ユーザー認証 → サプリカントプロファイル

Note
各認証方式の説明や認証ポリシーの登録方法は「クイックツアー / ポート認証の各認証方法の認証ポリシー設定」もあわせてご確認ください。

MACベース認証、802.1X認証、Web認証

各認証方法の認証ポリシーの登録は、以下の流れで行います。

NASプロファイル
NAS
ユーザー
端末
サプリカントプロファイル

ユーザーの認証ポリシーは、802.1X認証とWeb認証ではログイン名とパスワードを登録します。MACベース認証ではユーザーの認証ポリシーの登録は不要です。
本設定では以下の構成を想定しています。各製品の基本設定は完了しているものとします。
なおNASにはダイナミックVLANの機能があることを想定しています。
　

NASと各認証方法のサプリカントの情報は以下です。

表 13：情報
NAS1
IPアドレス	192.168.10.10/24
事前共有鍵（キー）	secret1
NAS2
IPアドレス	192.168.10.20/24
事前共有鍵（キー）	secret2
NAS3
IPアドレス	192.168.10.30/24
事前共有鍵（キー）	secret3
サプリカント1（802.1X認証）
MACアドレス	00-00-00-00-00-01
ログイン名	user1
パスワード	passwd1
ネットワーク	vlan10
サプリカント2（Web認証）
MACアドレス	00-00-00-00-00-02
ログイン名	user2
パスワード	passwd2
ネットワーク	vlan20
サプリカント3（MACベース認証）
MACアドレス	00-00-00-00-00-03
ネットワーク	vlan30

NASプロファイルの登録

「ポリシー管理 / NASプロファイル」画面の右上の「追加」ボタンをクリックすると、「NASプロファイル追加」ダイアログが表示されます。

表 14：NASプロファイルの登録
名称	NASプロファイルの名称です。「AlliedTelesis」を設定します。
ユーザー認証に加えて、端末認証を有効にする。	チェックボックスにチェックを入れます。
MACベース認証を有効にする。	チェックボックスにチェックを入れます。

NASの登録

「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 15：NASの登録
IPv4 アドレス	NAS1のIPアドレス「192.168.10.10」を設定します。
事前共有鍵(PSK)	事前共有鍵（キー）です。NAS1に設定した「secret1」を設定します。
プロファイル	割り当てするNASプロファイルです。設定した「AlliedTelesis」を選択します。

NAS1と同様にNAS2とNAS3も登録します。

ユーザーの登録

各サプリカントの情報を設定します。サプリカントごとに接続させるネットワーク（VLAN）を指定しますが、実際にネットワークを指定するのは「サプリカントプロファイル」で行います。各サプリカントと「サプリカントプロファイル」を紐付けるために「タグ」を使用しますが、端末認証を行うため各サプリカントのMACアドレスは端末の認証ポリシーを登録します。そのため、今回のケースではユーザーの認証ポリシーに「タグ」は設定せずに端末の認証ポリシーで「タグ」を設定します。
　
なお、MACベース認証を行うサプリカント3は、ユーザー認証を行わず端末認証のみを行うためユーザーの登録は不要です。
　
「ポリシー管理 / ユーザー」画面の右上の「追加」ボタンをクリックすると、「ユーザー追加」ダイアログが表示されます。

表 16：ユーザーの登録
ログイン名	サプリカント1のログイン名「user1」を設定します。
パスワード	サプリカント1のパスワード「passwd1」を設定します。

サプリカント1と同様にサプリカント2も登録します。

端末の登録

「ポリシー管理 / 端末」画面の右上の「追加」ボタンをクリックすると、「端末追加」ダイアログが表示されます。

表 17：端末の登録
MAC アドレス	サプリカント1のMACアドレス「00-00-00-00-00-01」を設定します。なお、MACアドレスの書式は以下が入力可能です。　00:00:00:00:00:01 　00-00-00-00-00-01 　0000.0000.0001 　000000000001
タグ	サプリカント1が接続するネットワークの「vlan10」を設定します。この「vlan10」は「サプリカントプロファイル」にも設定します。

サプリカント1と同様にサプリカント2とサプリカント3も登録します。

サプリカントプロファイルの登録

サプリカントプロファイルを登録して各サプリカントが接続するネットワーク（VLAN）を指定します。
前述のとおり「端末」と「サプリカントプロファイル」を紐付けるために「タグ」を使用します。
　
なお、端末の認証ポリシーに各サプリカントを登録していますので、サプリカントプロファイルの条件は「登録済み端末」を設定します。

Note
今回のケースでは、優先度は同じ数値でも意図した動作になりますが、明解にするために別々の数値にしています。

表 18：サプリカントプロファイルの登録
サプリカント1用
名称	Network10
優先度	10
条件 / デバイス	登録済み端末
条件 / タグ	vlan10
設定 / アクション	通過
設定 / VLAN	10

サプリカント1用と同様にサプリカント2用とサプリカント3用も登録します。

表 19：サプリカントプロファイルの登録
サプリカント2用
名称	Network20
優先度	11
条件 / デバイス	登録済み端末
条件 / タグ	vlan20
設定 / アクション	通過
設定 / VLAN	20
サプリカント3用
名称	Network30
優先度	12
条件 / デバイス	登録済み端末
条件 / タグ	vlan30
設定 / アクション	通過
設定 / VLAN	30

設定は以上です。
　
端末認証を有効にしているため「ステータス確認 / 端末」画面でサプリカントの認証状態を確認できます。

インテリジェント・エッジ・セキュリティー（IES）

インテリジェント・エッジ・セキュリティー（IES）は弊社製品のAlliedWare Plus（Wi-FiルーターのAT-TQRを含む）シリーズがサポートするMACベース認証を使用して、Vista Manager EXにてサプリカント（エンドポイント）の通信の可否を一元的に管理できます。なお、AT-RADgateはインテリジェント・エッジ・セキュリティーの認証サーバー（RADIUSサーバー）として使用することができます。
　
インテリジェント・エッジ・セキュリティーはVista Manager EXで操作を行いますが、以下の認証ポリシーはAT-RADgateの「ポリシー管理」側で登録する必要があります。なお、構成にNASを追加する場合もAT-RADgate側で登録を行ってください。

NASプロファイル
NAS

Note
インテリジェント・エッジ・セキュリティーではAT-RADgateの端末認証を使用します。またインテリジェント・エッジ・セキュリティーはMACベース認証を使用するため、NASプロファイルの「ユーザー認証に加えて、端末認証を有効にする。」と「MACベース認証を有効にする。」の双方のチェックボックスにチェックし、そのNASプロファイルをサプリカントの認証を行うNASに設定します。

Note
インテリジェント・エッジ・セキュリティーの操作は、Vista Manager EXのリファレンスマニュアルをご参照ください。

AT-RADgateの「ポリシー管理」画面で「端末」と「サプリカントプロファイル」の登録は行わないでください。これらはVista Manager EXの「資産管理」画面の「エンドポイント」タブでの操作や「ネットワークサービス / RADIUS」画面の「ユーザー」と「グループ」で追加されたものがAT-RADgateに登録されます。
なお、Vista Manager EXとAT-RADgateでは項目名が異なりますが、それぞれの対応は以下です。

表 20：対応表
Vista Manager EX 「ネットワークサービス / RADIUS」画面	AT-RADgate 「ポリシー管理」画面
ユーザー	端末
グループ	サプリカントプロファイル

Note
Vista Manager EXの操作によって追加された「ユーザー」と「グループ」はAT-RADgateの「端末」と「サプリカントプロファイル」に登録されますが、AT-RADgateに登録されたあとにVista Manager EXやAT-RADgateで再起動等が発生しても再度登録する必要はありません。

設定は、以下の流れで行います。

Vista Manager EXの「システム管理 / 設定」画面でAT-RADgateを有効
Vista Manager EXの「ネットワークサービス / RADIUS」画面でAT-RADgateを登録
Vista Manager EXの「ネットワークサービス / RADIUS」画面で共有パスワードを設定
AT-RADgateの「ポリシー管理」画面でNASプロファイルのポリシーを登録
AT-RADgateの「ポリシー管理」画面でNASのポリシーを登録

Note
実際にインテリジェント・エッジ・セキュリティーを使用する場合は、上記の設定後にVista Manager EXで操作を行います。

本設定では以下の構成を想定しています。各製品の基本設定は完了しているものとします。
　

NASとAT-RADgateの情報は以下です。

表 21：情報
NAS1
IPアドレス	192.168.10.10/24
事前共有鍵（キー）	secret
NAS2
IPアドレス	192.168.10.20/24
事前共有鍵（キー）	secret
AT-RADgate
ユーザー名	manager
パスワード	friend
IP アドレス	192.168.10.100/24

Vista Manager EXの「システム管理 / 設定」画面でAT-RADgateを有効

Vista Manager EXの「システム管理 / 設定」画面のオプション機能で、AT-RADgateを「有効」に設定します。

Vista Manager EXの「ネットワークサービス / RADIUS」画面でAT-RADgateを登録

Vista Manager EXの「ネットワークサービス / RADIUS」画面の「外部サーバーを追加」ボタンをクリックすると「外部サーバーを追加」ダイアログが表示されます。
以下の情報を設定し、「サーバーを登録」ボタンをクリックします。

表 22：外部サーバーの登録
ユーザー名	manager
パスワード	friend
IP アドレス	192.168.10.100

Vista Manager EXの「ネットワークサービス / RADIUS」画面で共有パスワードを設定

Vista Manager EXの「ネットワークサービス / RADIUS」画面の「共有パスワード」ボタンをクリックすると「認証共有パスワード」ダイアログが表示されます。

表 23：共有パスワードの登録
共有パスワード	事前共有鍵（キー）です。NAS1とNAS2に設定した「secret」を設定します。

NASプロファイルの登録

「ポリシー管理 / NASプロファイル」画面の右上の「追加」ボタンをクリックすると、「NASプロファイル追加」ダイアログが表示されます。

表 24：NASプロファイルの登録
名称	NASプロファイルの名称です。「AlliedTelesis」を設定します。
ユーザー認証に加えて、端末認証を有効にする。	チェックボックスにチェックを入れます。
MACベース認証を有効にする。	チェックボックスにチェックを入れます。

NASの登録

「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 25：NASの登録
IPv4 アドレス	NAS1のIPアドレス「192.168.10.10」を設定します。
事前共有鍵(PSK)	事前共有鍵（キー）です。NAS1に設定した「secret」を設定します。
プロファイル	割り当てするNASプロファイルです。設定した「AlliedTelesis」を選択します。

NAS1と同様にNAS2も登録します。

設定は以上です。
　
実際のサプリカントの登録は、Vista Manager EXの「資産管理」画面の「エンドポイント」タブでの操作や「ネットワークサービス / RADIUS」画面の「ユーザー」と「グループ」で行います。
　
なお、AT-RADgateで端末認証を有効にしているため、AT-RADgateの「ステータス確認 / 端末」画面でサプリカントの認証状態を確認できます。

クイックツアー / AT-RADgateのバックアップとリストア

AT-RADgateのバックアップとリストア方法を説明します。

ライセンスについてのご注意

本バージョンのAT-RADgateのリストアを行う場合、「システム管理 / 概要」画面にある「システムのバックアップ」でバックアップしたファイルがある場合は、「システム管理 / 概要」画面にある「システムの復元」を使って、移行前のシステムをライセンス情報も含め復元することができます。

Note
バックアップされる情報は「システムのバックアップ」をご参照ください。
なお、「RADIUS管理 / Active Directory設定」画面のActive Directoryで設定したWindows Active Directoryの設定はバックアップしたファイルには含まれないため、システムの復元を実行したあとで再設定する必要があります。

Note
「システム管理 / 概要」画面にある「システムの復元」を使用しない場合にはライセンスの再発行が必要になりますので、新しくインストールしたAT-RADgateの「システム管理 / 概要」画面に表示されるシリアル番号を控えて弊社窓口までお問い合わせください。

AT-RADgateのバックアップ

AT-RADgateをバックアップする方法は、以下の2種類があります

「システム管理 / 概要」画面の「システムのバックアップ」でバックアップ
AT-RADgateの各項目を個別にバックアップ

Note
上記の2種類とも、「RADIUS管理 / Active Directory設定」画面のActive Directoryで設定したWindows Active Directoryの設定はバックアップできませんので、リストア後に再設定する必要があります。

それぞれのバックアップの手順を説明します。

「システム管理 / 概要」画面の「システムのバックアップ」でバックアップ

「システム管理 / 概要」画面のシステムのバックアップで「バックアップ」ボタンをクリックして、バックアップファイルを取得してください。
「RADIUS管理 / Active Directory設定」画面のActive Directoryで設定したWindows Active Directoryの設定は、お手元にある情報で再設定してください。

AT-RADgateの各項目を個別にバックアップ

各項目を個別に取得する項目は以下です。

「イベント管理」画面のアプリケーションログを「テキストで出力」でダウンロード
「システム管理 / システム設定管理」画面のバックアップで「バックアップ」ボタンをクリックして、システム設定のファイルを取得
「システム管理 / データベース管理」画面のバックアップで「バックアップ」ボタンをクリックして、認証ポリシー情報のファイルを取得

ただし、上記で取得したファイルには以下の項目は含まれませんので、リストア後に再設定が必要になります。ファイルやライセンスの再発行、設定内容を控えておいてください。

「システム管理 / ネットワーク設定」画面の「サーバー証明書」
「RADIUS管理 / 一般」画面でインポートした「信頼されたCA証明書」
「RADIUS管理 / Active Directory設定」画面のActive Directoryで設定したWindows Active Directoryの設定
「システム管理 / ライセンス」画面で登録したライセンス

なお「イベント管理」画面のアプリケーションログは、バックアップはできますがリストアできません。

AT-RADgateのリストア

AT-RADgateのリストア方法を説明します。
AT-RADgateのリストアの方法は、以下の2種類があります

「システム管理 / 概要」画面の「システムの復元」でリストア
AT-RADgateの各設定を個別にリストア

Note
ライセンスについてのご注意
「システム管理 / 概要」画面にある「システムの復元」を使用しない場合にはライセンスの再発行が必要になりますので、新しくインストールしたAT-RADgateの「システム管理 / 概要」画面に表示されるシリアル番号を控えて弊社窓口までお問い合わせください。

「システム管理 / 概要」画面の「システムの復元」でリストア

「システム管理 / 概要」画面のシステムの復元で「復元」ボタンをクリックして、バックアップしたファイルをリストアします。
「RADIUS管理 / Active Directory設定」画面のActive DirectoryでWindows Active Directoryの設定をしてください（使用時のみ）。

AT-RADgateのリストアは以上です。

AT-RADgateの各設定を個別にリストア

ライセンス
「システム管理 / ライセンス」画面のライセンスで「ライセンスの更新」ボタンをクリックして、ライセンスを登録してください。
サーバー証明書（使用時のみ）
「システム管理 / ネットワーク設定」画面のサーバー証明書で「インポート」ボタンをクリックして、サーバー（SSL）証明書をインポートしてください。
信頼されたCA証明書（使用時のみ）
「RADIUS管理 / 一般」画面の「信頼されたCA証明書」設定で「インポート」ボタンをクリックして、信頼されたCA証明書をインポートしてください。
システム設定
「システム管理 / システム設定管理」画面の復元で「復元」ボタンをクリックして、システム設定をリストアします。
Windows Active Directory設定（使用時のみ）
「RADIUS管理 / Active Directory設定」画面のActive DirectoryでWindows Active Directoryの設定をしてください。
データベース管理
「システム管理 / データベース管理」画面のインポートで「インポート」ボタンをクリックして、認証ポリシー情報をリストアします。

AT-RADgateのリストアは以上です。

クイックツアー / 冗長構成の注意点

冗長構成の注意点

RADIUSサーバーは認証サービスを提供するサーバーのため、RADIUSサーバーがNASからの認証要求に対して応答できない状態になると、サプリカントがネットワークに接続できなくなる可能性が高くなります。
　
AT-RADgateには認証ポリシーを登録しますが、その認証ポリシーを別のAT-RADgateに同期する（認証ポリシーをコピーする）機能はありません。そのためAT-RADgateを複数台（例：プライマリーとセカンダリー）設置した場合は、認証ポリシーをそれぞれのAT-RADgateに登録する必要があります。
　
プライマリーとセカンダリーのRADIUSサーバーへの認証要求の送信は、NAS側で設定する必要があります。詳細はNASのマニュアル等をご確認ください。

リファレンス編 / Allied Telesis コンテナプラットフォーム

Allied Telesis コンテナプラットフォームの各設定画面を説明します。

ダッシュボード

Allied Telesis コンテナプラットフォーム > ダッシュボード
　
ダッシュボード画面は、Allied Telesis コンテナプラットフォームにログイン直後に表示されます。Allied Telesis コンテナプラットフォームのシステム情報や、インストールされているアプリケーションを一覧表示します（下記はダッシュボード画面の例です）。

システム情報

Allied Telesis コンテナプラットフォームのシステム情報を表示します。

表 1：システム情報
CPU	CPUの使用率を表示します。
メモリー	メモリーの使用率を表示します。
動作環境	Allied Telesis コンテナプラットフォームの状態を表示します。
ローカル時刻	Allied Telesis コンテナプラットフォームの時刻を表示します。

デプロイ済みアプリケーション一覧

AT-RADgate アプリケーションのCPU使用率、メモリーの使用状況などを表示します。

表 2：デプロイ済みアプリケーション一覧
名称	AT-RADgate-app（AT-RADgate アプリケーション）
イメージ	アプリケーションのファイルが正しいかどうかを表示します。
CPU使用率 (%)	CPUの使用率を表示します。
メモリー (MB)	メモリーの使用状況を表示します。
ストレージ (MB)	ストレージの使用状況を表示します。
状態	アプリケーションの状態を表示します。
「開く」ボタン	クリックすると、アプリケーションを起動します。「状態」が「停止済み」のときには表示されません。

ネットワーク基本設定

Allied Telesis コンテナプラットフォーム > ネットワーク基本設定
　
「ネットワーク基本設定」メニューで設定できる項目を説明します。

インターフェース管理

Allied Telesis コンテナプラットフォーム > ネットワーク基本設定 > インターフェース管理
　
インターフェースの状態確認と設定変更ができます。
Allied Telesis コンテナプラットフォームのインターフェースは、インストール「AT-RADgateのインストール」の手順で作成した、仮想マシンのネットワークインターフェースを指します。

表 3：インターフェース管理
名称	インターフェース名が表示されます。
IPアドレス	インターフェースに設定されているIPv4アドレスの一覧が表示されます。セカンダリーIPアドレスは「（セカンダリー）」という文字列付きで表示されます。
ステータス	インターフェースの管理状態が表示されます。
プロトコル	インターフェースのリンク状態が表示されます。
「インターフェース追加」ボタン	新規インターフェースを追加するための「インターフェース追加」ダイアログが開きます。
「鉛筆（編集）」ボタン	インターフェースの設定を変更するための「インターフェース編集」ダイアログが開きます。

インターフェース追加

インターフェース上に、「VLAN ID」で指定したVIDを持つタグ付きパケットの送受信を行う「802.1Q Ethernetサブインターフェース」を追加することができます。

表 4：インターフェース追加
インターフェース種別	dot1qが表示されます。
インターフェース名	タグなしポートとして使用するインターフェースを選択してください。
VLAN ID	VLAN IDを入力してください。
「キャンセル」ボタン	インターフェースを追加せずに「インターフェース管理」画面に戻ります。
「適用」ボタン	インターフェースを追加して「インターフェース管理」画面に戻ります。

インターフェース編集

指定したインターフェースの設定を変更するためのダイアログです。
「インターフェース編集」ダイアログが表示されたら、最初にアドレスの設定方式を選択してください。
選択した設定方式に応じた設定項目が表示されますので、必要な項目を入力、選択して「適用」ボタンをクリックすると、インターフェースの設定が変更されます。
「キャンセル」ボタンをクリックした場合は、設定を変更せずに「インターフェース管理」画面に戻ります。
以下、各方式の入力・選択項目について説明します。

DHCP

インターフェースのIPv4アドレスをDHCPで取得する場合は、この方式を選択します。

表 5：インターフェース編集 - DHCP
DHCP	DHCPサーバーからIPv4アドレスを取得する場合はこれを選択してください。
「キャンセル」ボタン	設定を変更せずに「インターフェース管理」画面に戻ります。
「適用」ボタン	設定を変更して「インターフェース管理」画面に戻ります。

固定IP

インターフェースのIPv4アドレスを手動設定する場合は、この方式を選択します。

表 6：インターフェース編集 - 固定IP
固定IP	IPv4アドレスを手動設定する場合はこれを選択してください。
IPアドレス	対象インターフェースに設定するIPv4アドレスを「192.168.101.1/24」の形式で入力してください。空欄（未定義）の状態で「適用」ボタンを押した場合は、該当インターフェースのIPv4アドレスが削除されます。
セカンダリーIPアドレス	セカンダリー（副）アドレスを設定する場合は、「セカンダリーIPアドレスを追加」をクリックして、IPアドレスを入力してください。
「キャンセル」ボタン	設定を変更せずに「インターフェース管理」画面に戻ります。
「適用」ボタン	設定を変更して「インターフェース管理」画面に戻ります。

スタティック経路

Allied Telesis コンテナプラットフォーム > ネットワーク基本設定 > スタティック経路
　

表 7：スタティック経路
宛先ネットワーク	経路の宛先ネットワークアドレスが表示されます。
ゲートウェイ/インターフェース	該当経路宛てパケットの転送先（ネクストホップ）アドレスまたは送出インターフェースが表示されます。
管理距離	経路エントリーの管理距離が表示されます。
ステータス	経路エントリーの状態が表示されます。
「スタティック経路の追加」ボタン	スタティック経路を追加するための「スタティック経路の追加」ダイアログが開きます。
「鉛筆（編集）」ボタン	スタティック経路を変更するための「スタティック経路の編集」ダイアログが開きます。
「ゴミ箱（削除）」ボタン	スタティック経路を削除します。削除前には確認のダイアログが表示されます。

スタティック経路の追加

表 8：スタティック経路の追加
宛先ネットワーク	経路の宛先ネットワークアドレスを「192.168.20.0/24」の形式で入力してください。 Note IPv6の形式は未サポートです。
ゲートウェイ/インターフェース	該当経路宛てパケットの転送先（ネクストホップ）アドレスを「192.168.1.254」の形式で入力してください。 Note IPv6とインターフェース名の入力は未サポートです。
管理距離（オプション）	経路エントリーの管理距離を入力してください。省略時はスタティック経路のデフォルト値である1となります。
「キャンセル」ボタン	経路エントリーを追加せずに「スタティック経路」画面に戻ります。
「適用」ボタン	経路エントリーを追加して「スタティック経路」画面に戻ります。

スタティック経路の編集

表 9：スタティック経路の編集
宛先ネットワーク	経路の宛先ネットワークアドレスを「192.168.20.0/24」の形式で入力してください。 Note IPv6の形式は未サポートです。
ゲートウェイ/インターフェース	該当経路宛てパケットの転送先（ネクストホップ）アドレスを「192.168.1.254」の形式で入力してください。 Note IPv6とインターフェース名の入力は未サポートです。
管理距離（オプション）	経路エントリーの管理距離を入力してください。省略時はスタティック経路のデフォルト値である1となります。
「キャンセル」ボタン	経路エントリーを変更せずに「スタティック経路」画面に戻ります。
「適用」ボタン	経路エントリーを変更して「スタティック経路」画面に戻ります。

ボンディング

Allied Telesis コンテナプラットフォーム > ネットワーク基本設定 > ボンディング
　
インターフェースのボンディング（冗長化）ができます。

Note
ボンディングできるインターフェースは、2ポートまでサポートしています。

表 10：ボンディング
ステータス	インターフェースの管理状態が表示されます。
ボンド種別	「スタティック」または「LACP」が表示されます。
メンバー	ボンドに所属するインターフェースが表示されます。
「インターフェースを追加」ボタン	ボンドにインターフェースを追加するための「インターフェースを追加」ダイアログが開きます。
「削除」ボタン	ボンドを削除します。削除前には確認のダイアログが表示されます。
「ゴミ箱（削除）」ボタン	ボンドからネットワークポートを削除します。
「ボンド追加」ボタン	ボンドを作成するための「ボンド追加」ダイアログが開きます。

ボンド追加

ボンドを作成します。

表 11：ボンド追加
番号	ボンド番号を入力してください。
ボンド種別	「スタティック」または「LACP」を選択します。
「キャンセル」ボタン	設定を変更せずに「ボンディング」画面に戻ります。
「適用」ボタン	ボンドを追加して「ボンディング」画面に戻ります。

インターフェースを追加

冗長化するインターフェースを設定します。

表 12：インターフェースを追加
ボンド	ボンド番号が表示されます。
インターフェース	ボンドにインターフェースを追加します。
「キャンセル」ボタン	設定を変更せずに「ボンディング」画面に戻ります。
「適用」ボタン	ボンドにインターフェースを追加して「ボンディング」画面に戻ります。

インターフェースのボンディング手順について

ここでは、インターフェースのボンディング手順を簡潔に示します。
設定によっては、Allied Telesis コンテナプラットフォームの設定画面にアクセスできなくなる場合がありますのでご注意ください。

表 13：表示例
bondx	作成したbondxポートを示します。（xはボンド番号を表します）
ethポート（br0に所属）	ethポートがブリッジ（「br0」に所属）していることを示します。

■ bondxをブリッジに所属させる手順（その1）
この手順では、Allied Telesis コンテナプラットフォームを接続しているethポート（br0に所属）を追加しても問題ありません。

「ボンディング」画面でbondxを作成します。
「ブリッジング」画面でブリッジにbondxを割り当てます。
「ボンディング」画面でbondxにethインターフェースを割り当ます。

Note
ボンディングのインターフェースを追加する際、Allied Telesis コンテナプラットフォームの設定画面にアクセスするために接続しているethポートを追加した場合、設定が反映されるまで約10秒かかります。設定が反映されてから、次の操作を行ってください。
ケーブルを接続します。

■ bondxをブリッジに所属させる手順（その2）
この手順では、Allied Telesis コンテナプラットフォームを接続しているethポート（br0に所属）を追加すると、Allied Telesis コンテナプラットフォームの設定画面にアクセスできなくなりますので、ご注意ください。

「ボンディング」画面でbondxを作成します。
「ボンディング」画面でbondxにethインターフェースを割り当てます。

Note
Allied Telesis コンテナプラットフォームを接続しているethポート（br0に所属）を追加するとブリッジから外れ、Allied Telesis コンテナプラットフォームの設定画面にアクセスできなくなります。
そのため、ボンディングのインターフェースを追加する際、設定画面にアクセスするために接続しているethポートは含めないでください。
「ブリッジング」画面でブリッジにbondxを割り当てます。
ケーブルを接続します。

■ bondxをブリッジに所属させない手順

「ボンディング」画面でbondxを作成します。
「ボンディング」画面でbondxにethインターフェースを割り当てます。
「インターフェース管理」画面でbondxにIPアドレスを設定します。
ケーブルを接続します。

ブリッジング

Allied Telesis コンテナプラットフォーム > ネットワーク基本設定 > ブリッジング
　
VLAN対応ソフトウェアブリッジ「br0」のメンバーポートを変更したり、メンバーポートの所属VLAN設定を変更したりできます。
初期設定ではすべてのネットワークポートがvlan1のタグなしポートとしてブリッジに所属していますが、特定のポートをブリッジから外して単独ポートとして使用したり、ブリッジ内での所属VLANやタグ設定を変更したりすることも可能です。

表 14：ブリッジング
ポート	ブリッジに所属しているネットワークポート名
所属VLAN	該当ポートが所属するVLAN IDが表示されます。
ネイティブVLAN	該当ポートのネイティブVLAN ID（タグなしVLAN ID）が表示されます。
「ブリッジ追加」ボタン	未サポートです。使用しないでください。
「鉛筆（編集）」ボタン	ブリッジメンバーポートの追加、削除、変更を行う「ブリッジ編集」ダイアログを表示します。

ブリッジ編集

ブリッジメンバーポートの追加、削除、変更（所属VLAN、ネイティブVLANの変更）を行います。

表 15：ブリッジ編集
ブリッジ番号	ブリッジ番号「0」が表示されます。
ポート	メンバーポートが表示されます。入れ替え可能なポートが存在するときは「×」をクリックしてから新しいポートを選択することもできます。
ネイティブVLAN	該当ポートにおいて「タグなし」として扱うVLAN IDが表示されます。変更したいときは所属VLANの範囲から単一値（例：1）で指定してください。該当ポートでタグなしパケットを受信した場合はネイティブVLANの所属として取り扱います。また、ネイティブVLAN所属のパケットにはタグを付けずに送信します。所属VLANが複数あるとき、ネイティブVLAN以外のVLANはタグ付きとなります。
所属VLAN	該当ポートが所属するVLAN IDが表示されます。変更したいときは1～4094の範囲から単一値（例：1）または範囲（例：1-4094）で指定してください。
「ゴミ箱（削除）」ボタン	ブリッジから該当ポートを削除します。
「インターフェースを追加」ボタン	ブリッジにポートを追加するときに使用します。入力欄が一行追加されるので、追加するポートを選択し、所属VLANとネイティブVLANを適宜入力してください。
「キャンセル」ボタン	「ブリッジ編集」ダイアログでの変更（ポート追加、削除、変更）を破棄して「ブリッジング」画面に戻ります。
「適用」ボタン	「ブリッジ編集」ダイアログでの変更（ポート追加、削除、変更）を適用して「ブリッジング」画面に戻ります。

設定例：初期状態の動作

「インターフェース管理」画面と「ブリッジング」画面での初期設定は以下のとおりです。

表 16：インターフェース管理
br0	192.168.1.1/24（ネットワークにDHCPサーバーがない場合の初期値）

表 17：ブリッジング
ポート	eth0～ethx
所属VLAN	1
ネイティブVLAN	1

この場合、ポート0～xからは「VLAN ID 1/タグなし通信」で、Allied Telesis コンテナプラットフォームの管理画面にアクセスできます。

設定例：「VLAN ID 100/タグあり通信」でAllied Telesis コンテナプラットフォームの管理画面にアクセスしたい場合

「インターフェース管理」画面で、br0の「802.1Q Ethernetサブインターフェース」をVLAN ID 100で追加してください。

表 18：インターフェース管理
br0	192.168.1.1/24
br0.100	192.168.100.1/24

「ブリッジング」画面の「ポート編集」ダイアログで、所属VLANを変更してください。

表 19：ブリッジング
ポート eth0
所属VLAN	1-100
ネイティブVLAN	1
ポート eth1～x
所属VLAN	1
ネイティブVLAN	1

この場合、ポート0からは「VLAN ID 1/タグなし通信」または「VLAN ID 100/タグあり通信」で、Allied Telesis コンテナプラットフォームの管理画面にアクセスできます。
ポート1～xからは「VLAN ID 1/タグなし通信」でのみ、Allied Telesis コンテナプラットフォームの管理画面にアクセスできます。

設定例：「VLAN ID 100/タグあり通信」でアプリケーションを使用したい場合

表 20：インターフェース管理
br0	192.168.1.1/24

「ブリッジング」画面の「ポート編集」ダイアログで、所属VLANを変更してください。

表 21：ブリッジング
ポート eth0
所属VLAN	1-100
ネイティブVLAN	1
ポート eth1～x
所属VLAN	1
ネイティブVLAN	1

アプリケーションの設定項目で外部ネットワークVLAN IDを設定してください。

表 22：例：AT-RADgate アプリケーションの設定
インターフェースタイプ	Virtual
外部ネットワークVLAN ID	100
IPv4アドレス	192.168.100.2/24
ゲートウェイアドレス	192.168.100.254/24

この場合、ポート0からは「VLAN ID 100/タグあり通信」でAT-RADgate アプリケーションを使用できます。
ポート1～xからはAT-RADgate アプリケーションを使用できません。

DNSクライアント

Allied Telesis コンテナプラットフォーム > ネットワーク基本設定 > DNSクライアント
　
名前解決の問い合わせに使用するDNSサーバーや検索ドメインの一覧表示、追加、削除を行えます。

表 23：DNSクライアント
DNSサーバー一覧
「設定」ボタン	DNSサーバーへの問い合わせの設定をするための「設定」ダイアログが開きます。
IPアドレス	DNSサーバーのIPv4/IPv6アドレスが表示されます。
ソース	DNSサーバーアドレスを学習したインターフェース名が表示されます。
種類	DNSサーバーを動的に学習したか（Dynamic）、手動で登録したか（Static）が表示されます。
「ゴミ箱（削除）」ボタン	DNSサーバーの登録を削除します。削除前には確認のダイアログが表示されます。
「サーバー追加」ボタン	DNSサーバーを追加するための「新規サーバー」ダイアログが開きます。
検索ドメインリスト
ドメイン名	登録しているドメイン名が表示されます。
「ゴミ箱（削除）」ボタン	登録しているドメインを削除します。削除前には確認のダイアログが表示されます。
「ドメイン追加」ボタン	DNS問い合わせ時に使用する検索ドメインリストにドメインを追加するための「ドメイン追加」ダイアログが開きます。

設定

DNSサーバーへの問い合わせの設定をします。

表 24：設定
デフォルトドメイン名	DNS問い合わせ時に使用するデフォルトドメイン名を入力してください。
「キャンセル」ボタン	DNSサーバーへの問い合わせの設定を保存せずに「DNSクライアント」画面に戻ります。
「適用」ボタン	DNSサーバーへの問い合わせの設定を保存して「DNSクライアント」画面に戻ります。

新規サーバー

名前解決の問い合わせに使用するDNSサーバーを追加登録します。

表 25：新規サーバー
IPアドレス	DNSサーバーのIPv4アドレスかIPv6アドレスを入力してください。
「キャンセル」ボタン	DNSサーバーを追加登録せずに「DNSクライアント」画面に戻ります。
「適用」ボタン	DNSサーバーを追加登録して「DNSクライアント」画面に戻ります。

ドメイン追加

DNS問い合わせ時に使用する検索ドメインリストにドメインを追加登録します。

表 26：ドメイン追加
ドメイン名	DNS問い合わせ時に使用する検索ドメインリストに登録するドメイン名を入力してください
「キャンセル」ボタン	ドメインを追加登録せずに「DNSクライアント」画面に戻ります
「適用」ボタン	ドメインを追加登録して「DNSクライアント」画面に戻ります

ユーザー管理

Allied Telesis コンテナプラットフォーム > ユーザー管理
　
Allied Telesis コンテナプラットフォームにログインするユーザーの一覧表示や追加、削除、変更ができます。

Note
すべてのユーザーを削除すると、ログインできなくなります。初期設定のユーザー名「manager」を必ず残す、またはバックアップ用のユーザーを作成しておくなど、管理には十分ご注意ください。

表 27：ユーザー管理
ユーザー名	ユーザー名が表示されます。
「パスワード編集」ボタン	ユーザーのパスワードを変更するための「パスワード編集」ダイアログが開きます。
「ゴミ箱（削除）」ボタン	ユーザーを削除します。削除前には確認のダイアログが表示されます。
「ユーザー追加」ボタン	「新規ユーザー追加」ダイアログが開きます。

Note
重複したユーザー名は登録できません。

新規ユーザー追加

ユーザーを新規追加するためのダイアログです。

Note
初期設定のユーザー名「manager」を削除すると、ログインできなくなります。バックアップ用のユーザーを作成しておくことをおすすめします。

表 28：新規ユーザー追加
ユーザー名	新規ユーザーのユーザー名を入力してください。入力可能なユーザー名：長さ 1～64文字。半角英数字と半角記号（- _）のみ使用可能（ただし、1文字目は英字、記号のみ使用可）。大文字小文字を区別。ユーザー名「root」、「daemon」、「nobody」、「sshd」、「httpd」は予約済みのため使用できない。
パスワード	新規ユーザーのパスワードを入力してください。入力可能なパスワード：長さ 1～31文字。半角英数字と半角記号（! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { } ~ ）のみ使用可能。大文字小文字を区別。
パスワード（確認用）	確認のため新規ユーザーのパスワードをもう一度入力してください。
「キャンセル」ボタン	新規ユーザーを追加せずに「ユーザー管理」画面に戻ります。
「保存」ボタン	新規ユーザーを追加して「ユーザー管理」画面に戻ります。

パスワード編集

既存ユーザーのパスワードを変更するためのダイアログです。

Note
すべてのユーザーのパスワードを忘れると、ログインできなくなります。パスワードの管理には十分ご注意ください。

表 29：パスワード編集
ユーザー名（変更不可）	編集対象のユーザー名が表示されます。
新パスワード	変更後のパスワードを入力してください。入力可能なパスワード：長さ 1～31文字。半角英数字と半角記号（! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { } ~ ）のみ使用可能。大文字小文字を区別。
新パスワード（確認用）	確認のため変更後のパスワードをもう一度入力してください。
「キャンセル」ボタン	パスワードを変更せずに「ユーザー管理」画面に戻ります。
「保存」ボタン	パスワードを変更し「ユーザー管理」画面に戻ります。

システム

Allied Telesis コンテナプラットフォーム > システム
　
「システム」メニュー配下の各画面では、Allied Telesis コンテナプラットフォームの基本的な情報を確認できます。また、ファイル管理へのアクセスも可能です。

ファイル管理

Allied Telesis コンテナプラットフォーム > システム > ファイル管理
　
ファイル一覧の参照やファイルの操作などが可能です。

Note
Allied Telesis コンテナプラットフォームやAT-RADgate アプリケーションに必要なファイルを削除したり、変更したりすると、起動できなくなるおそれがあります。

表 30：ファイル管理
「再起動」ボタン	Allied Telesis コンテナプラットフォームを再起動します。再起動が完了すると、ログイン画面が表示されます。
「シャットダウン」ボタン	Allied Telesis コンテナプラットフォームをシャットダウンします。
「アップロード」ボタン	ファイルをアップロードします。
「テクニカルサポート情報の生成」ボタン	テクニカルサポート用のファイルが出力されます。トラブルシューティング時など、内部情報の確認が必要な場合を想定したものですので、ご使用に際しては弊社技術担当にご相談ください。 Note テクニカルサポート情報を取得する際、「テクニカルサポート情報を生成しています」の表示が消えたあとでもファイル一覧に生成されたファイルが表示されない場合は、Webブラウザーの再読み込みをしてください。
「下矢印（ダウンロード）」ボタン	ファイルをダウンロードします。
「ゴミ箱（削除）」ボタン	ファイルを削除します。削除前には確認のダイアログが表示されます。

コンテナサービス

Allied Telesis コンテナプラットフォーム > システム > コンテナサービス
　
Allied Telesis コンテナプラットフォームの状態と、使用できるアプリケーションを表示します。

Note
本ページからの同じアプリケーションの複数設定や起動は、トラブルシューティング時を想定したものです。
通常運用時は、「AT-RADgate アプリケーションの設定と起動」の手順に従ってください。

Note
CPU使用率、メモリー、ストレージのバーが赤色になった場合は、アプリケーションを削除してください。

Note
「イメージ更新チェック間隔」は未サポートです。「無効」のまま変更しないでください。

表 31：コンピュートノード
「設定」ボタン	Note コンピュートノードの設定は未サポートです。

ログ

Allied Telesis コンテナプラットフォーム > システム > ログ
　
ローカルログの確認が可能です。
BufferedログとPermanentログの表示を切り替えること、検索、絞り込み、「更新」ボタンで最新情報に更新できます。

表 32：ログ
Bufferedログ	ランタイムメモリーに保存されているログが表示されます。
Permanentログ	フラッシュメモリーに保存されているログが表示されます。
「ログをクリア」ボタン	ログを削除します。削除前には確認のダイアログが表示されます。
「更新」ボタン	最新の情報に更新します。

Note
BufferedログとPermanentログは、どちらも最大5MByte（約40000～50000件）まで保存できます。

監視

Allied Telesis コンテナプラットフォーム > システム > 監視
　
メモリー、CPU、ストレージの詳細な使用状況を確認できます。

Note
本画面はトラブルシューティング時など、内部情報の確認が必要な場合を想定したものです。
「記録」もしくは「開始」を押すことで監視プロセスが動作し、データの取得が開始されますが、設定値によっては現在動作中の機能に影響をおよぼす可能性がございますので、本画面をご使用の際は弊社技術担当にお問い合わせください。

メモリーとCPUの詳細な使用状況を確認できます。

表 33：監視
「読み込み」ボタン	デバイス上に保存されたサンプルファイルを読み込みます。
「インポート」ボタン	PCなどからサンプルファイルをアップロードして読み込みます。
「エクスポート」ボタン	ブラウザーのメモリー上に保持されているサンプルをファイルとしてPCなどにダウンロードします。
「記録」ボタン	サンプルの収集を開始します（デバイス上のファイルに保存）。収集中は「サンプル保持数 × サンプリング間隔」の間、GUIタイムアウトが無効になります。
「開始」ボタン	サンプルの収集を開始します（ブラウザーのメモリー上に保持）。収集中は「サンプル保持数 × サンプリング間隔」の間、GUIタイムアウトが無効になります。
サンプル保持数	データの取得回数
サンプリング間隔	データの取得間隔

サービス管理

Allied Telesis コンテナプラットフォーム > システム > サービス管理
　
HTTP/HTTPSポートの確認、変更ができます。

表 34：サービス管理
HTTPポート	HTTPポートの現在の設定が表示されます。
HTTPSポート	HTTPSポートの現在の設定が表示されます。
「設定」ボタン	HTTP/HTTPSポートの設定を変更します。
無効・有効スライドボタン	HTTPポート/HTTPSポートの無効・有効を切り替えます。 Note Telnetサービスは未サポートです。

SSH

Allied Telesis コンテナプラットフォーム > システム > SSH
　

Note
SSHは未サポートです。

SSHサーバーへのログイン制御（許可、禁止）の有効・無効、許可・禁止ユーザーリストの閲覧、登録ができます。

表 35：SSH
許可ユーザーリストタブ	SSHサーバーへのログインを許可するユーザーの一覧・設定をします。
禁止ユーザーリストタブ	SSHサーバーへのログインを禁止するユーザーの一覧・設定をします。
ユーザー	許可または禁止しているユーザー名が表示されます。
ホスト	ログイン元のホスト名/IPアドレスが表示されます。
「ユーザー追加」ボタン	「ユーザー追加」ダイアログを表示します。
「削除」ボタン	一覧から対象ユーザーを削除します。
無効・有効スライドボタン	SSHサービスの無効・有効を切り替えます。

ユーザー追加

許可/禁止ユーザーリストにユーザーを追加するためのダイアログです。

表 36：ユーザー追加
ユーザー追加	ユーザー名パターンを入力します。
ホスト追加	ホスト名パターンを入力します。
「キャンセル」ボタン	設定を保存・適用せずに一覧画面に戻ります。
「適用」ボタン	設定を保存・適用して一覧画面に戻ります。

日付と時刻

Allied Telesis コンテナプラットフォーム > システム > 日付と時刻
　
システム時計の手動設定およびNTPの設定が可能です。
ローカル時刻で日付と時間を設定し、「適用」ボタンをクリックすると、システム時計に反映されます。
時刻の同期を行う外部NTPサーバーを使用する場合は、「NTPサーバー」の「追加」ボタンをクリックして、NTPの同期先を追加します。
また、本製品単体でNTPサーバーとして動作させるには、「詳細設定」ボタンをクリックして、「NTPグローバル設定」ダイアログで階層レベルを設定します。
また、本製品単体でNTPサーバーとして動作させるには、「単体NTPサーバーとしての設定」ボタンをクリックして、「単体NTPサーバー動作時の階層レベル設定」ダイアログで階層レベルを設定します。

表 37：日付と時刻
時刻設定	システム時刻を変更したい場合に日付と時刻を指定します。「適用」ボタンを押すと指定した日付と時刻がシステム時計に反映されます。
NTPサーバー	NTP同期先の一覧が表示されます。「追加」ボタンを押すとNTP同期先の追加を行うダイアログが表示されます。右端の削除ボタンを押すと該当同期先が削除されます。
NTPアクセス制御設定	NTPアクセス制御設定の一覧が表示されます。「追加」ボタンを押すとNTPアクセス制御設定の追加を行うダイアログが表示されます。右端の削除ボタンを押すと該当アクセス制御設定が削除されます。
詳細設定ボタン	「NTPグローバル設定」ダイアログが表示されます。

NTPの同期先を追加

NTPの同期先を新規追加するためのダイアログです。

Note
NTPの同期先を追加した場合、NTPサーバーとの時刻同期に成功すると本製品自身もNTPサーバーとして動作するようになります。そのため、悪意のある第三者から攻撃を受ける可能性のあるロケーションでNTPクライアント機能を有効にする場合は、アクセス制御機能等のフィルター機能を利用して必要なNTP通信だけを許可する設定を推奨します。

表 38：NTPの同期先を追加
アドレス (IPv4/IPv6/ホスト名)	IPv4アドレス、IPv6アドレス、またはホスト名を入力します。FQDNで指定する場合は「DNSクライアント」画面でDNSサーバーアドレスを登録しておく必要があります。
種類	同期先の種類をServer（NTPサーバー）、Peer（ピアを設定）、Pool（プールサーバー）から選択します。
バージョン	NTPプロトコルのバージョンを、1、2、3、4から選択します。
優先	複数のNTP同期先を登録した場合に、このNTP同期先を優先的に使用しないときは「いいえ」を、優先的に使用するときは「はい」を選択します。
「キャンセル」ボタン	NTP同期先を追加せずに「日付と時刻」画面に戻ります。
「適用」ボタン	NTP同期先を追加して「日付と時刻」画面に戻ります。

NTPアクセス制御設定を追加

本製品のNTPサーバーに対するアクセス制御設定を追加するためのダイアログです。

表 39：NTPアクセス制御設定を追加
対象IPバージョン	IPバージョンを選択します。
IPアドレス	アクセス元のアドレスまたはサブネットを指定します。空欄にした場合は全アドレス（any）を指定したことになります。
制御情報の問い合わせ	アクセス元からの制御情報問い合わせを許可するか、拒否するかを選択します。
時刻の問い合わせ	アクセス元からの時刻問い合わせを許可するか、拒否するかを選択します。
「キャンセル」ボタン	NTPアクセス制御設定を追加せずに「日付と時刻」画面に戻ります。
「適用」ボタン	NTPアクセス制御設定を追加して「日付と時刻」画面に戻ります。

単体NTPサーバー動作時の階層レベル設定

「日付と時刻」画面右上の「単体NTPサーバーとしての設定」ボタンをクリックすると表示されるダイアログです。
他のNTPサーバーに同期していない場合であっても、本製品単体で権威のあるNTPサーバーとして動作するよう設定することができます（階層1～15として動作します）。

表 40：単体NTPサーバー動作時の階層レベル設定
NTP階層レベル	0～15の値で入力します。1が最上位で最も時刻の精度が高いサーバーであることを示します。 0を入力すると設定を削除します。
「キャンセル」ボタン	NTP階層レベルを設定せずに「日付と時刻」画面に戻ります。
「適用」ボタン	NTP階層レベルを設定して「日付と時刻」画面に戻ります。

NTPグローバル設定

NTPの全般的な設定を行うためのダイアログです。
NTP階層レベルを設定すると、他のNTPサーバーに同期していない場合であっても、本製品単体で権威のあるNTPサーバーとして動作するよう設定することができます（階層1～15として動作します）。

表 41：NTPグローバル設定
本製品単体で権威のあるNTPサーバーとして動作させるためのパラメーター
NTP階層レベル	0～15の値で入力します。1が最上位で最も時刻の精度が高いサーバーであることを示します。0を入力すると単体NTPサーバーとしての設定を削除します。
NTP受信レート制限機能のパラメーター
許容最小受信間隔 (interval)	許容される最小受信間隔（秒）
許容バーストパケット数 (burst)	実際の受信レートがintervalの設定値を超えている状態でバースト的に受信が許容されるパケット数。
ランダム許可率 (1/leak) の分母 (leak)	実際の受信レートがintervalとburstの設定値を超えている状態で、ランダムに受信を許可するパケットの割合を「leak分の1」として指定します。例えば本項目（leak）を 4 に設定した場合は、設定した受信レートを超過しているときでも平均して4個に1個の割合でランダムにパケットを受信します。
受信レート制限統計	受信レート制限機能の統計情報が表示されます。
「キャンセル」ボタン	NTPグローバル設定を変更せずに「日付と時刻」画面に戻ります。
「適用」ボタン	NTPグローバル設定を変更して「日付と時刻」画面に戻ります。

情報

Allied Telesis コンテナプラットフォーム > システム > 情報
　
Allied Telesis コンテナプラットフォームの基本的な情報を確認できます。

表 42：情報
名称	ホスト名が表示されます。
モデル	AT-VST-VRTと表示されます。
MACアドレス	本体のMACアドレスが表示されます。
シリアル番号	本体のシリアル番号が表示されます。
動作環境	動作環境の全体ステータスが表示されます。下向き矢印をクリックすると、「AT-VST-VRT」が表示されます。
ファームウェアファイル	現在使用中のファームウェアイメージファイルが表示されます。
ファームウェアバージョン	現在使用中のファームウェアバージョンが表示されます。
ブートローダー	ブートローダーのバージョンが表示されます。
GUIバージョン	現在使用中のGUIバージョンが表示されます。
GUIビルド	現在使用中のGUIビルドが表示されます。
「設定」ボタン	「システム情報の設定」ダイアログが開きます。

システム情報の設定

システム情報を設定するためのダイアログです。

表 43：システム情報の設定
名称	ホスト名を入力してください。
GUIタイムアウト	Web GUIのタイムアウト時間を指定してください。
「キャンセル」ボタン	設定を保存・適用せずに一覧画面に戻ります。
「適用」ボタン	設定を保存・適用して一覧画面に戻ります。

「GUIタイムアウト」（初期値は5分）で設定した時間が過ぎるとWeb GUI上で下記の画面が表示され、10秒のカウントダウンが始まります。
10秒間何も操作がないと、自動でログイン画面に戻ります。

Note
GUIタイムアウトの設定は製品上には保存されず、ブラウザーのローカルストレージに保存されます。GUIタイムアウトを設定したあとにブラウザーやクライアント端末を変更したり、異なるオリジンを持つURLを使用してアクセスした際には初期設定で動作します。

AT-RADgate

Allied Telesis コンテナプラットフォーム > AT-RADgate
　
AT-RADgate アプリケーションインスタンスの設定、管理を行えます。

表 44：アプリケーション
デプロイ済みアプリケーション一覧
イメージ更新チェック間隔	未サポートです。無効のままご使用ください。
アプリケーション未設定時にだけ表示される項目
「設定」ボタン	アプリケーションインスタンスの初期設定を行う「アプリケーション設定」ダイアログを表示します。
アプリケーション設定後にだけ表示される項目
「テクニカルサポート情報の生成」ボタン	テクニカルサポート用のファイルが出力されます。トラブルシューティング時など、内部情報の確認が必要な場合を想定したものですので、ご使用に際しては弊社技術担当にご相談ください。
情報アイコン	マウスオーバーすることで「インスタンス情報」画面をポップアップ表示します。
CPU使用率 (%)	アプリケーションのCPU使用率を表示します。
メモリー (MB)	アプリケーションのメモリー使用状況（使用量 / 割り当て量）を表示します。
ストレージ (MB)	アプリケーションのストレージ使用状況（使用量 / 割り当て量）を表示します。
状態	アプリケーションの状態を表示します。
「開く」ボタン	アプリケーションのWeb GUIを新しいブラウザーウィンドウで開きます。「状態」が「実行中」のときだけ表示されます。
「削除」ボタン	アプリケーションインスタンスを削除します。「状態」が「停止済み」のときだけ表示されます。 Note アプリケーションを削除した場合、ライセンスや設定情報が削除されます。操作には十分ご注意ください。 Note 復元予定がない場合やトラブルシューティングで必要な場合を除き、削除しないことをおすすめします。 Note AT-RADgate アプリケーションを削除すると、次回以降のインストールに既存ライセンスを使用できなくなります。ライセンスの再発行が必要になりますので、再インストール後に内部シリアルを控えて弊社窓口までお問い合わせください。
「停止」ボタン	アプリケーションインスタンスを停止します。「状態」が「実行中」のときだけ表示されます。
「起動」ボタン	アプリケーションインスタンスを起動します。「状態」が「停止済み」のときだけ表示されます。
「設定」ボタン	アプリケーションインスタンスの設定変更を行う「アプリケーション設定」ダイアログを表示します。アプリケーションインスタンスの状態が「停止済み」のときだけ有効です。
「バージョン更新」ボタン	アプリケーションイメージのバージョンを変更するための「アプリケーション設定」ダイアログを表示します。アプリケーションインスタンスの状態が「停止済み」のときだけ有効です。

Note
アプリケーションインスタンスの作成やバージョン更新を行う際は、あらかじめ不要なファイルを削除し、「ファイル管理」画面の「ストレージ使用量」でストレージに空きがあることを確認してください。

インスタンス情報

各アプリケーションインスタンスの構成情報を表示します。アプリケーション画面で情報アイコンマウスオーバーすることでポップアップ表示します。

表 45：インスタンス情報
名称	アプリケーションインスタンス名を表示します。
コンピュートID	アプリケーション実行環境（Allied Telesis コンテナプラットフォーム）の識別子（シリアル番号）を表示します。
イメージ	アプリケーションイメージのバージョンを表示します。
DNSサーバー	DNSサーバーアドレス。「アプリケーション設定」でDNSサーバーを指定している場合だけ表示されます。
ネットワーク：ethX
仮想インターフェースの情報を表示します。
VLAN ID	仮想インターフェースの接続先VLAN ID。ネットワークタイプが「Virtual」の場合だけ表示されます。
ホストインターフェース	仮想インターフェースと直結しているAllied Telesis コンテナプラットフォームのポート。ネットワークタイプが「Physical」の場合だけ表示されます。
MAC	MACアドレス。ネットワークタイプが「Virtual」かつ「アプリケーション設定」で「MACアドレス (オプション)」を指定している場合だけ表示されます。
IPv4アドレス	インターフェースに設定するIPv4アドレス/サブネットマスク長。「アプリケーション設定」でIPv4アドレスを指定している場合だけ表示されます。
ゲートウェイ	ゲートウェイアドレス。「アプリケーション設定」でゲートウェイアドレスを指定している場合だけ表示されます。
DHCP	インターフェースのIP設定をDHCPサーバーから取得する設定になっているかどうかを表示します。

アプリケーション設定

AT-RADgate アプリケーションインスタンスの初期設定や設定変更を行うためのダイアログです。「デプロイ済みアプリケーション一覧」で「設定」ボタンをクリックすると表示されます。各パラメーターに設定すべき値については、「AT-RADgate アプリケーションの設定と起動」をご覧ください。

Note
バージョン更新時は、イメージバージョン欄のみ表示されます。

表 46：アプリケーション設定
詳細設定
コンピュートID	「ローカル - このインスタンスは管理中のデバイスで実行されます。」を選択します。
イメージバージョン	アプリケーションインスタンスのイメージバージョンを選択します。初期設定時とバージョン更新時のみ表示されます。
ストレージサイズ (MB)	アプリケーションに割り当てるストレージサイズを指定します。「AT-RADgate アプリケーションの設定と起動」に従って入力してください。
メモリー制限 (MB)	通常は設定不要です。無制限（初期値）のままお使いください。
CPUコア制限 (コアインデックス)	通常は設定不要です。無制限（初期値）のままお使いください。
ネットワーク / ネットワーク
仮想インターフェースの追加、削除、設定を行えます。 Note 複数のネットワークインターフェースを作成することは未サポートです。1つのネットワークインターフェースでお使いください。
インターフェースタイプ	通常は「Virtual」をお使いください。 Virtual：外部ネットワークのVLAN ID（必須項目）と、MACアドレス（オプション）を指定します。この場合は、複数のアプリケーションを、同じVLAN IDに所属するネットワークポートで使うことができます。 Physical：アプリケーションを物理ネットワークポートに割り当てます。ホストインターフェースで接続するネットワークポート番号を選択します。
外部ネットワークVLAN ID	仮想インターフェースの接続先VLAN IDを指定します（初期値は1）。インターフェースタイプが「Virtual」の場合だけ表示されます。
ホストインターフェース	仮想インターフェースと直結するAllied Telesis コンテナプラットフォームのポートを選択します。インターフェースタイプが「Physical」の場合だけ表示されます。
MACアドレス (オプション)	仮想インターフェースのMACアドレスを任意に指定したい場合に入力します。未指定時は自動的に設定されます。インターフェースタイプが「Virtual」の場合だけ表示されます。
DHCPを使用	チェックを付けるとDHCPサーバーが払い出すIPアドレスを使用します。チェックを外すと、IPv4アドレス、ゲートウェイアドレスを固定設定します。 DHCPを使用する場合は、DHCPサーバーからIPアドレスが取得できる環境であることを確認してください。
IPv4アドレス	仮想インターフェースに設定するIPv4アドレス/サブネットマスク長を入力します。
ゲートウェイアドレス	デフォルトゲートウェイアドレスを入力します。
「ネットワーク追加」リンク	仮想インターフェースの設定欄を追加します。
「ゴミ箱（削除）」リンク	該当する仮想インターフェースの設定を削除します。
ネットワーク / DNSサーバー
各アプリケーションが使用するDNSサーバーアドレスの追加、削除、設定を行えます。
「DNSサーバー追加」リンク	DNSサーバーアドレスの入力欄を追加します。
DNSサーバー	疎通可能なDNSサーバーアドレスを入力します。 Note DNSサーバーアドレスを設定した場合は、疎通可能な状態であることを確認してください。
「ゴミ箱（削除）」リンク	該当するDNSサーバーアドレスを削除します。
「キャンセル」ボタン	アプリケーション設定を変更せずに前の画面に戻ります。
「適用」ボタン	アプリケーション設定を変更して前の画面に戻ります。

リファレンス編 / データ書式

データ書式

AT-RADgateのポリシーデータやシステム設定は、決められた書式で入力する必要があります。そのうち、各設定で頻繁に使用する書式名と入力ルールを説明します。

表 1：書式名と入力ルール
書式名	入力ルール
識別子	最大63文字までの文字列で、日本語も使用できます。空白、タブ文字、下記の記号は使用できません。　! " # $ % & ' * + , / : ; < = > ? [ ] ^ ` `\` \| { } ~
パスワード	ASCIIコードの範囲内の英数字と記号が入力可能です。
MACアドレス	MACアドレスを表す文字列で、下記の書式で入力可能です。xは16進数の数値で、アルファベットの大文字・小文字は問いません。　xx:xx:xx:xx:xx:xx 　xx-xx-xx-xx-xx-xx 　xxxx.xxxx.xxxx 　xxxxxxxxxxxx
IPv4アドレス	IPv4アドレスを表す文字列で、次の書式で入力可能です。nは0から255までの数値で、ゼロ以外は先頭にゼロを付けることができません。　n.n.n.n
タグ	各タグは最大63文字の文字列で、全体で最大255文字です。使用可能文字は「識別子」と同じです。

リファレンス編 / ポリシー管理

「ポリシー管理」画面では、ユーザー、端末、NASなどのポリシーを管理します。

ユーザー

ポリシー管理 > ユーザー
　
AT-RADgateのユーザーポリシーを管理します。
「ユーザー」タブをクリックすると、AT-RADgateに登録されたユーザーポリシー一覧が表示されます。

Note
ユーザーポリシーはMACアドレスベース認証（MACベース認証、MACアクセス制御）の場合にはMACアドレスを登録します。AT-RADgateにMACアドレスを登録する場合の形式（ログイン名とパスワード）は、NASが送信する形式に合わせてください。

表 1：ユーザーポリシー一覧
項目	表示	検索	並べ替え	説明
ログイン名	○	○	○	ユーザーのアカウント名です。この値はユーザーポリシーの識別とサプリカントの認証で使用されます。
フルネーム	○	○	○	ユーザーのフルネームです。この値はサプリカントの認証には使用されません。
アクセスレベル	○	－	○	ユーザーのアクセスレベルを表す0から15の整数値です。0はアクセス拒否を表し、それ以外の値はアクセス許可を表します。大きい値ほど高いアクセスレベルを持つことを表します。
タグ	○	○	－	ユーザーに付与されたタグのリストです。ユーザーを特定のグループに分類するために使用します。
備考	○	○	○	ユーザーの説明です。この値はサプリカントの認証には使用されません。

ページの右上にある各ボタンの機能は下記となります。

表 2：各ボタンの機能
ボタン名	機能
CSVで出力	現在登録されているユーザーポリシーをCSV（カンマ区切りテキスト）形式でダウンロードします。 CSVファイルについては、「付録 / CSVファイル」を参照してください。
列を管理	表の各列の表示状態を変更します。
再読み込み	ユーザーポリシー一覧を再読み込みします。
追加	ユーザーポリシーを追加します（「ユーザー追加」ダイアログが表示されます）。

一覧の各行の右端にメニューボタンがあり、その行のポリシーの管理ができます。

表 3：各メニューの機能
メニュー名	機能
編集	ユーザーポリシーの内容を更新します（「ユーザー更新」ダイアログが表示されます）。
削除	ユーザーポリシーを削除します。

ユーザー追加・ユーザー更新

ポリシー管理 > ユーザー > ユーザー追加・ユーザー更新
　
「ユーザー」画面右上の「追加」ボタンをクリックすると「ユーザー追加」ダイアログが表示され、ユーザーポリシーの新規追加ができます。また、既に登録されているユーザーポリシーの右端の「編集」メニューをクリックすると「ユーザー更新」ダイアログが表示され、ユーザーポリシーの編集ができます。
この2つのダイアログは共通のフォームを使用しています。

表 4：ユーザー追加・ユーザー更新
項目・ボタン名	必須	書式	説明
ログイン名	○	識別子	ユーザーのアカウント名です。
「パスワード設定」ボタン	－	－	「ユーザー更新」ダイアログでのみ表示されます。クリックすると「パスワード」項目が表示され、パスワードの変更ができます。
パスワード	○	パスワード	ユーザーのアカウントパスワードです。英数字、記号が使用可能です。
フルネーム	－	文字列（最大63文字）	ユーザーのフルネームです。
アクセスレベル	－	整数値（0-15）（「数値」選択時）	ユーザーのアクセスレベルです。　許可：アクセスを許可します。　拒否：アクセスを拒否します。　数値：0から15の整数値で設定します。0はアクセス拒否を、それ以外の値はアクセス許可を表し、大きい値ほど高いアクセスレベルを持つことを表します。
タグ	－	タグ	ユーザーに付与するタグのリストです。複数指定する場合は、空白文字で区切ります。
備考	－	文字列（最大63文字）	ユーザーの説明です。
「キャンセル」ボタン	－	－	ポリシーの追加または更新をキャンセルします。
「保存」ボタン	－	－	新しいポリシー情報を登録、またはポリシー情報を更新します。

端末

ポリシー管理 > 端末
　
AT-RADgateの端末ポリシーを管理します。
「端末」タブをクリックすると、AT-RADgateに登録された端末ポリシー一覧が表示されます。
端末とは、PCやスマートフォンなどの装置に搭載されたネットワークインターフェースを指します。1つの装置に有線と無線の2つのインターフェースを持つ場合、その装置のすべてのインターフェース接続を管理するには、2つの端末ポリシーを登録する必要があります。

表の各列の内容は下記となります。

表 5：端末ポリシー一覧
項目	表示	検索	並べ替え	説明
MACアドレス	○	○	○	端末のMACアドレスです。この値は端末ポリシーの識別とサプリカントの認証で使用されます。
デバイス名	○	○	○	端末のデバイス名です。複数の端末に同じデバイス名を付与することができます。同じデバイス名を持つ複数の端末は、同一の装置が複数のネットワークインターフェースを持つ状態を表します。この値はサプリカントの認証時の「サプリカントプロファイル」の適用条件に使用することができます。
アクセスレベル	○	－	○	ユーザーのアクセスレベルを表す0から15の整数値です。0はアクセス拒否を表し、それ以外の値はアクセス許可を表します。大きい値ほど高いアクセスレベルを持つことを表します。
タグ	○	○	－	端末に付与されたタグのリストです。端末を特定のグループに分類するために使用します。
備考	○	○	○	端末の説明です。この値はサプリカントの認証には使用されません。

ページの右上にある各ボタンの機能は下記となります。

表 6：各ボタンの機能
ボタン名	機能
CSVで出力	現在登録されている端末ポリシーをCSV（カンマ区切りテキスト）形式でダウンロードします。 CSVファイルについては、「付録 / CSVファイル」を参照してください。
列を管理	表の各列の表示状態を変更します。
再読み込み	端末ポリシー一覧を再読み込みします。
追加	端末ポリシーを追加します（「端末追加」ダイアログが表示されます）。

一覧の各行の右端にメニューボタンがあり、その行のポリシーの管理ができます。

表 7：各メニューの機能
メニュー名	機能
編集	端末ポリシーの内容を更新します（「端末更新」ダイアログが表示されます）。
削除	端末ポリシーを削除します。

端末追加・端末更新

ポリシー管理 > 端末 > 端末追加・端末更新
　
「端末」画面右上の「追加」ボタンをクリックすると「端末追加」ダイアログが表示され、端末ポリシーの新規追加ができます。また、既に登録されている端末ポリシーの「編集」メニューをクリックすると「端末更新」ダイアログが表示され、端末ポリシーの編集ができます。
この2つのダイアログは共通のフォームを使用しています。

表 8：端末ポリシー
項目・ボタン名	必須	書式	説明
MACアドレス	○	MACアドレス	端末のMACアドレスです。
デバイス名	○	識別子	端末のデバイス名です。
アクセスレベル	－	整数値（0-15）	端末のアクセスレベルです。
タグ	－	タグ	端末に付与するタグのリストです。複数指定する場合は空白文字で区切ります。
備考	－	文字列（最大63文字）	端末の説明です。
「キャンセル」ボタン	－	－	ポリシーの追加または更新をキャンセルします。
「保存」ボタン	－	－	新しいポリシー情報を登録、またはポリシー情報を更新します。

NAS / RADIUSプロキシ

ポリシー管理 > NAS / RADIUSプロキシ
　
AT-RADgateのNASポリシーおよびRADIUSプロキシポリシーを管理します。
「NAS / RADIUSプロキシ」タブをクリックすると、AT-RADgateに登録されたNASポリシーおよびRADIUSプロキシポリシー一覧が表示されます。

表の各列の内容は下記となります。

表 9：NASポリシー一覧
項目	表示	検索	並べ替え	説明
IPアドレス	○	○	○	NAS / RADIUSプロキシのIPアドレスです。この値はNASポリシーの識別とサプリカントの認証で使用されます。
名称	○	○	○	NAS / RADIUSプロキシの名前です。この値はサプリカントの認証には使用されません。
プロファイル	○	－	－	このNAS / RADIUSプロキシに割り当てられたプロファイル名です。プロファイルはNAS / RADIUSプロキシの設定が格納されたデータで、多数のNAS / RADIUSプロキシに同じ設定を適用する必要がある場合に活用できます。この値が空の場合、デフォルトのプロファイルが割り当てられます。デフォルトのプロファイルについては「デフォルトのNASプロファイル」を参照してください。
タグ	○	○	－	NAS / RADIUSプロキシに付与されたタグのリストです。NASを特定のグループに分類するために使用します。
備考	○	○	○	NAS / RADIUSプロキシの説明です。この値はサプリカントの認証には使用されません。

ページ右上にある各ボタンの機能は下記となります。

表 10：各ボタンの機能
ボタン名	機能
CSVで出力	現在登録されているNAS / RADIUSプロキシポリシーをCSV（カンマ区切りテキスト）形式でダウンロードします。 CSVファイルについては、「付録 / CSVファイル」を参照してください。
列を管理	表の各列の表示状態を変更します。
再読み込み	NAS / RADIUSプロキシポリシー一覧を再読み込みします。
追加	NAS / RADIUSプロキシポリシーを追加します（「NAS / RADIUSプロキシ追加」ダイアログが表示されます）。

一覧の各行の右端にメニューボタンがあり、その行のポリシーの管理ができます。

表 11：各メニューの機能
メニュー名	機能
編集	NAS / RADIUSプロキシポリシーの内容を更新します（「NAS / RADIUSプロキシ更新」ダイアログが表示されます）。
削除	NAS / RADIUSプロキシポリシーを削除します。

NAS / RADIUSプロキシ追加・NAS / RADIUSプロキシ更新

ポリシー管理 > NAS / RADIUSプロキシ > NAS / RADIUSプロキシ追加・NAS / RADIUSプロキシ更新
　
「NAS / RADIUSプロキシ」画面右上の「追加」ボタンをクリックすると「NAS / RADIUSプロキシ追加」ダイアログが表示され、NASポリシーの新規追加ができます。また、既に登録されているNASポリシーの右端の「編集」メニューをクリックすると「NAS / RADIUSプロキシ更新」ダイアログが表示され、NASポリシーの編集ができます。
この2つのダイアログは共通のフォームを使用しています。

表 12：NAS / RADIUSプロキシ追加・NAS / RADIUSプロキシ更新ダイアログ
項目・ボタン名	必須	書式	説明
IPv4アドレス	○	IPv4アドレス	NAS / RADIUSプロキシのIPアドレスです。
「プロキシ経由の接続のみ許可します。」	－	チェックボックス	チェックボックスにチェックを入れると、事前共有鍵の入力を省略します。この設定により、このNAS / RADIUSプロキシが送信する認証リクエストは、他のRADIUSプロキシを経由している場合のみ受け付けます。
「事前共有鍵の設定」ボタン	－	－	「NAS / RADIUSプロキシ更新」ダイアログでのみ表示されます。クリックすると「事前共有鍵(PSK)」項目が表示され、事前共有鍵の変更ができます。
事前共有鍵(PSK)	○	パスワード	NAS / RADIUSプロキシの事前共有鍵です。
名称	○	識別子	NAS / RADIUSプロキシの名前です。
プロファイル	－	－	プロファイル名です。「NASプロファイル」で登録したプロファイルを選択します。
タグ	－	タグ	NAS / RADIUSプロキシに付与するタグのリストです。複数指定する場合は空白文字で区切ります。
備考	－	文字列（最大63文字）	NAS / RADIUSプロキシの説明です。
「キャンセル」ボタン	－	－	ポリシーの追加または更新をキャンセルします。
「保存」ボタン	－	－	新しいポリシー情報を登録、またはポリシー情報を更新します。

NASプロファイル

ポリシー管理 > NASプロファイル
　
AT-RADgateのNASプロファイルポリシーを管理します。
「NASプロファイル」をクリックすると、AT-RADgateに登録されたNASプロファイルポリシー一覧が表示されます。

表の各列の内容は下記となります。

表 13：NASプロファイルポリシー一覧
項目	表示	検索	並べ替え	説明
名称	○	○	○	NASプロファイルの名前です。
備考	○	○	○	NASプロファイルの説明です。

ページの右上にある各ボタンの機能は下記となります。

表 14：各ボタンの機能
ボタン名	機能
CSVで出力	現在登録されているNASプロファイルポリシーをCSV（カンマ区切りテキスト）形式でダウンロードします。 CSVファイルについては、「付録 / CSVファイル」を参照してください。
列を管理	表の各列の表示状態を変更します。
再読み込み	NASプロファイルポリシー一覧を再読み込みします。
追加	NASプロファイルポリシーを追加します（「NASプロファイル追加」ダイアログが表示されます）。

一覧の各行の右端にメニューボタンがあり、その行のポリシーの管理ができます。

表 15：各メニューの機能
メニュー名	機能
編集	NASプロファイルポリシーの内容を更新します（「NASプロファイル更新」ダイアログが表示されます）。
削除	NASプロファイルポリシーを削除します。

NASプロファイル追加・NASプロファイル更新

ポリシー管理 > NASプロファイル > NASプロファイル追加・NASプロファイル更新
　
「NASプロファイル」画面右上の「追加」ボタンをクリックすると「NASプロファイル追加」ダイアログが表示され、NASプロファイルポリシーの新規追加ができます。また、既に登録されているNASポリシーの右端の「編集」メニューをクリックすると「NASプロファイル更新」ダイアログが表示され、NASプロファイルポリシーの編集ができます。
この2つのダイアログは共通のフォームを使用しています。

表 16：NASプロファイル追加・NASプロファイル更新ダイアログ
項目・ボタン名	必須	書式	説明
名称	○	識別子	NASプロファイルの名前です。
備考	－	文字列（最大63文字）	NASプロファイルの説明です。
「ユーザー認証に加えて、端末認証を有効にする。」	－	チェックボックス	チェックボックスにチェックを入れると、受信した認証要求メッセージのUser-Name属性にMACアドレスが格納されている場合、ユーザー名による認証に加え、MACアドレスによる端末認証も行います。
「MACベース認証を有効にする。」	－	チェックボックス	チェックボックスにチェックを入れると、受信した認証メッセージのUser-Name属性にMACアドレスが格納されている場合、ユーザー認証の代わりにMACアドレスによる端末認証を行います。ユーザー名に格納されている文字列がMACアドレスかどうか判断する処理は、「User-Name属性設定」によるレルム（ドメイン）部分の削除のあとに実施されます。RADIUSプロキシ処理のためにMACアドレスにレルム（ドメイン）情報を追加している場合は、「User-Name属性設定」を行い、その情報の削除を行う必要があります。 Note RADIUSプロキシを通してMACベース認証する場合、NASプロファイルはサプリカントにつながっているNASに割り当てる必要があります。
「キャンセル」ボタン	－	－	ポリシーの追加または更新をキャンセルします。
「保存」ボタン	－	－	新しいポリシー情報を登録、またはポリシー情報を更新します。

デフォルトのNASプロファイル

NASポリシーに明示的にプロファイルを割り当てなかった場合、そのNASにはデフォルトのNASプロファイルが適用されます。デフォルトのNASプロファイルの設定は下記となります。

表 17：デフォルトのNASプロファイル
設定項目	デフォルト値
「ユーザー認証に加えて、端末認証を有効にする。」	未選択状態
「MACベース認証を有効にする。」	未選択状態

サプリカントプロファイル

ポリシー管理 > サプリカントプロファイル
　
AT-RADgateのサプリカントプロファイルポリシーを管理します。
「サプリカントプロファイル」をクリックすると、AT-RADgateに登録されたサプリカントプロファイルポリシー一覧が表示されます。

Note
サプリカントプロファイルポリシーを登録しない場合、デフォルトのポリシーがサプリカントに適用されます。「デフォルトのサプリカントプロファイルポリシー」を参照してください。

表 18：サプリカントプロファイルポリシー一覧
項目	表示	検索	並べ替え	説明
名称	○	○	○	サプリカントプロファイルの名前です。
優先度	○	－	○	サプリカントプロファイルの適用優先度です。値が小さいほど優先度が高くなります。
アクション	○	－	○	サプリカントに適用されるアクションです。
原因	○	○	○	このアクションが登録された要因です。
備考	○	○	○	サプリカントプロファイルの説明です。

ページの右上にある各ボタンの機能は下記となります。

表 19：各ボタンの機能
ボタン名	機能
CSVで出力	現在登録されているサプリカントプロファイルポリシーをCSV（カンマ区切りテキスト）形式でダウンロードします。 CSVファイルについては、「付録 / CSVファイル」を参照してください。
列を管理	表の各列の表示状態を変更します。
再読み込み	サプリカントプロファイルポリシー一覧を再読み込みします。
追加	サプリカントプロファイルポリシーを追加します（「サプリカントプロファイル追加」ダイアログが表示されます）。

一覧の各行の右端にメニューボタンがあり、その行のポリシーの管理ができます。

表 20：各メニューの機能
メニュー名	機能
編集	サプリカントプロファイルポリシーの内容を更新します（「サプリカントプロファイル更新」ダイアログが表示されます）。
削除	サプリカントプロファイルポリシーを削除します。

サプリカントプロファイル追加・サプリカントプロファイル更新

ポリシー管理 > サプリカントプロファイル > サプリカントプロファイル追加・サプリカントプロファイル更新
　
「サプリカントプロファイル」画面右上の「追加」ボタンをクリックすると「サプリカントプロファイル追加」ダイアログが表示され、サプリカントプロファイルの新規追加ができます。また、既に登録されているサプリカントプロファイルの右端の「編集」メニューをクリックすると「サプリカントプロファイル更新」ダイアログが表示され、サプリカントプロファイルの編集ができます。
この2つのダイアログは共通のフォームを使用しています。

表 21：サプリカントプロファイル追加・サプリカントプロファイル更新ダイアログ
項目・ボタン名	必須	書式	説明
名称	○	識別子	サプリカントプロファイルの名前です。
優先度	○	整数値（0-15）	プロファイルの適用優先度です。
条件	－	－	このプロファイルの適用対象となるサプリカントの条件を設定します。詳細は「条件」を参照してください。
設定	－	－	このプロファイルの条件に適合したサプリカントに対して適用されるパラメーターを設定します。詳細は「設定」を参照してください。
追加情報	－	－	このプロファイルの追加情報を設定します。詳細は「追加情報」を参照してください。
「キャンセル」ボタン	－	－	ポリシーの追加または更新をキャンセルします。
「保存」ボタン	－	－	新しいポリシー情報を登録、またはポリシー情報を更新します。

条件

表 22：条件
項目	必須	書式	説明
デバイス	－	－	サプリカントの端末情報に関する条件です。詳細は「デバイス条件」を参照してください。
アクセスレベル	－	文字列	サプリカントのアクセスレベルに対する一致条件です。詳細は「アクセスレベル条件」を参照してください。
タグ	－	文字列（最大255文字）	サプリカントのタグに対する一致条件です。詳細は「タグ条件」を参照してください。

デバイス条件

デバイス条件では、「全ての端末」、「登録済み端末」、「未登録端末」、「MACアドレス指定」、「名前指定」のいずれかを選択します。それぞれのパラメーターの動作は下記のとおりとなります。

表 23：デバイス条件
デバイス条件名	動作
全ての端末	すべてのサプリカントと一致します。
登録済み端末	MACアドレスが「端末」ポリシーとしてAT-RADgateに登録されているサプリカントと一致します。
未登録端末	MACアドレスが「端末」ポリシーとしてAT-RADgateに登録されていないサプリカントと一致します。
MACアドレス指定	MACアドレスが設定されたアドレスと一致するサプリカントと一致します。この条件を選択した場合、追加でMACアドレスを入力するフィールドが表示されます。
名前指定	デバイス名が設定されたデバイス名と一致するサプリカントと一致します。この条件を選択した場合、デバイス名を入力する追加項目が表示されます。

表 24：追加項目
追加フィールド名	必須	書式	説明
MACアドレス	○	MACアドレス	デバイス条件で「MACアドレス指定」を選択した場合に表示されます。
デバイス名	○	識別子	デバイス条件で「名前指定」を選択した場合に表示されます。

アクセスレベル条件

アクセスレベル条件の表記方法は、下記の書式となります。

表 25：アクセスレベル条件
名前	書式	例	動作
値指定	NUM	3	NUMは整数値を表します。指定された数値と同じ値を持つサプリカントと一致します。

タグ条件

タグ条件の指定方法は下記の書式となります。

表 26：タグ条件
タグ条件名	動作
名前指定	指定されたタグ条件名を持つサプリカントと一致します。

設定

表 27：設定
項目	必須	書式	説明
アクション	○	－	サプリカントに適用されるアクションです。詳細は「アクション」を参照してください。
フィルターID	－	文字列（最大255文字）	サプリカントに適用されるパケットフィルターのIDです。詳細は「パケットフィルター」を参照してください。
フィルタールール	－	文字列（最大1024文字）	サプリカントに適用されるパケットフィルターのルールです。詳細は「パケットフィルター」を参照してください。

アクション

アクション設定は、基本的にポート認証など主にユーザー端末（サプリカント）のネットワーク接続を制御する機能と併用され、ユーザー端末を収容するネットワークスイッチが、ユーザー端末が送信したパケットに対して行う制御内容を指定します。それ以外のケースでは、アクションを「通過」、VLANを空白に設定してください。
アクション設定フィールドは「通過」、「破棄」、「隔離」、「未定」、「通知」のいずれかを選択します。それぞれのパラメーターの動作は下記のとおりです。

表 28：アクション
アクション名	動作
通過	サプリカントが送信したパケットを適切なネットワークセグメントに転送します。この条件を選択した場合、追加で接続先VLAN名を入力するフィールドが表示されます。VLAN名が設定された場合、パケットは指定されたVLANに転送されます。未設定の場合はベースVLANに転送されます。
破棄	サプリカントが送信したパケットを破棄します。
隔離	サプリカントが送信したパケットを隔離ネットワークセグメントに転送します。この条件を選択した場合、追加で接続先VLAN名を入力するフィールドが表示されます。VLAN名が設定された場合、パケットは指定されたVLANに転送されます。未設定の場合は、「全般」ポリシーの「デフォルトの隔離VLAN」に設定されているVLANに転送されます。「デフォルトの隔離VLAN」も未設定の場合、ベースVLANに転送されます。
未定	サプリカントの接続状態を未定に設定します。この条件を選択した場合、追加で接続先VLAN名を入力するフィールドが表示されます。VLAN名が設定された場合、パケットは指定されたVLANに転送されます。未設定の場合は、廃棄されます。 Note 本バージョンでは未サポートのため、選択しないでください。
通知	イベントログを出力します。このアクションが設定されたプロファイルがサプリカントに適用された場合、他の設定パラメーターはサプリカントに適用されず無視され、サプリカントに適用すべきアクションを確定させるため優先度の低いプロファイルの評価が継続されます。

パケットフィルター

パケットフィルター設定は、基本的にポート認証など主にユーザー端末（サプリカント）のネットワーク接続を制御する機能と併用され、ユーザー端末を収容するネットワークスイッチが、ユーザー端末が送信したパケットに対して行う追加のフィルター処理を指定します。それ以外のケースでは本設定は行わないでください。

表 29：パケットフィルター
項目	書式
フィルターID	あらかじめネットワークスイッチに設定されているフィルター名（ACL名）を指定します。空白文字で区切ることにより複数のフィルターを指定可能です。
フィルタールール	ネットワークスイッチに設定するフィルタールール自体を指定します。フィルタールールは設定が投入されるネットワークスイッチが定める文法に従って記述します。改行で区切ることにより複数のルールを指定可能です。

追加情報

表 30：追加情報
フィールド名	必須	書式	説明
原因	－	文字列（最大63文字）	NASプロファイルの説明です。
備考	－	文字列（最大63文字）	NASプロファイルの説明です。

デフォルトのサプリカントプロファイルポリシー

表 31：デフォルトのポリシー
優先度	条件	アクション
1	未登録デバイス	破棄
2	アクセスレベルが0	破棄
3	アクセスレベルが1以上	通過

全般

ポリシー管理 > 全般
　
AT-RADgateの全般的なポリシー設定を管理します。
「全般」タブをクリックすると、AT-RADgateの現在の全般的なポリシー設定が表示されます。

一般

ポリシー管理 > 全般 > 一般
　
一般ではデフォルトの隔離VLANの設定ができます。右下の「編集」ボタンをクリックすると、編集モードに移行します。

■ 編集モード

表 32：一般
項目・ボタン名	必須	書式	説明
デフォルトの隔離VLAN	－	識別子	「サプリカントプロファイル」でVLAN指定のない隔離アクションが設定される場合に、NASに送信される隔離先VLAN名です。設定がない場合はベースVLANに隔離されます。デフォルトは設定なしです。
「編集」ボタン	－	－	デフォルトの隔離VLANを設定する編集モードに移行します。
「キャンセル」ボタン	－	－	デフォルトの隔離VLANの設定をキャンセルします。
「保存」ボタン	－	－	デフォルトの隔離VLANの設定を登録、または情報を更新します。

リファレンス編 / ステータス確認

「ステータス確認」画面では、AT-RADgateが認証処理を行った端末の状態を管理します。

端末

ステータス確認 > 端末
　
AT-RADgateが認証した端末の状態一覧が表示されます。この画面は、AW+デバイスのポート認証機能で認証された端末を管理する目的で用意されており、それ以外での動作は未サポートです。

この画面で表示される端末の状態には、下記の制限事項があります。

端末認証が有効な「NASプロファイル」が割り当てられたNAS経由で認証を行った端末のみが表示されます。
NASでRADIUSアカウンティングの設定を有効にしていない場合、端末の切断を検知できないため、既にネットワークから離脱している端末が表示され続けます。
RADIUSアカウンティングパケットがネットワーク上でロストした場合、既にネットワークから離脱している端末が表示され続ける可能性があります。
NASが再起動した場合、そのNASに接続している端末が表示され続けます。

表 1：ステータス確認
項目	表示	検索	並べ替え	説明
MACアドレス	○	○	○	端末のMACアドレスです。
タグ	○	－	－	端末に割り当てられたタグです。
状況	○	○	○	端末の状態です。
VLAN	○	－	○	接続先のVLANです。
デバイス名	○	○	○	端末のデバイス名です。
接続NAS IPアドレス	○	○	○	NAS経由で認証を行った場合にNASのIPアドレスが表示されます。

ページの右上にある各ボタンの機能は下記となります。

表 2：各ボタンの機能
ボタン名	機能
列を管理	表の各列の表示状態を変更します。
再読み込み	端末の状態一覧を再読み込みします。

表の各行の右端にメニューボタンがあり、その行のポリシーの管理が行えます。各メニューの機能は下記となります。

表 3：各ボタンの機能
ボタン名	機能
切断	NASに端末の切断要求を送信します。

リファレンス編 / イベント管理

アプリケーションログ

イベント管理 > アプリケーションログ
　
AT-RADgateのアプリケーションログを管理します。
このページにアクセスするとAT-RADgateのイベントログ一覧が表示されます。

表の各列の内容は下記となります。

表 1：イベントログ一覧
項目	表示	説明
カラーコード	○	イベントログの重要度を表します。色で表現されます。詳細は「ログレベル」を参照してください。
日時	○	イベントの発生日時です。ローカル時間で表示されます。
レベル	○	イベントの重要度を表します。一般的なログシステムで使用されるレベル名で表示されます。詳細は「ログレベル」を参照してください。
タイプ	○	イベントの種別を表します。「リファレンス編 / システム管理」の「ログレベル」で一覧されている種別と対応します。
メッセージ	○	イベントの内容です。

ページの右上にある各ボタンの機能は下記となります。

表 2：各ボタンの機能
ボタン名	機能
ログの全削除	現在保存されているイベントログをすべて削除します。
テキストで出力	現在保存されているイベントログをテキスト形式でダウンロードします。
列を管理	表の各列の表示状態を変更します。
再読み込み	イベントログを再読み込みします。

ログレベル

イベント管理 > アプリケーションログ > ログレベル
　
ログで記録される各イベントにはレベルが設定されています。AT-RADgateで定義されているレベルは重要度の高い順に下記のとおりとなります。

表 3：ログレベル
ログレベル名	色	説明
エラー（ERROR）	赤	AT-RADgate内でエラーが発生した場合に記録されるログです。
警告（WARNING）	黄	AT-RADgateが通信している装置が異常な状態になった場合、またはAT-RADgate内で注視すべき事象が発生し場合に記録されるログです。
情報（INFO）	緑	一般的なイベントに割り当てられる重要度です。
デバッグ（DEBUG）	灰	AT-RADgateの詳細な動作を確認するために使用するログに割り当てられる重要度です。 Note デバッグのログレベルは、トラブルシューティング時など内部情報の確認が必要な場合を想定したものですので、ご使用に際しては弊社技術担当にご相談ください。デバッグのログレベルを設定するとイベントログに大量のログが記録されるため、通常運用時には設定しないでください。

リファレンス編 / アカウント管理

AT-RADgateのアカウントを管理します。
「アカウント管理」画面では、左側の表示領域にアカウント一覧が、右側の表示領域に現在選択中のアカウントの詳細情報が表示されます。

ページの右上にあるボタンの機能は下記となります。

表 1：ボタンの機能
ボタン名	機能
アカウント追加	アカウントを追加します。クリックすると「新規アカウント」画面に変わります。

アカウントの詳細情報に表示される項目は下記となります。

表 2：アカウントの詳細情報
項目	説明
ユーザー名	ログインアカウント名です。設定画面にログインするときに使用します。
メールアドレス	アカウントに関連付けられているメールアドレスです。 Note アカウントにメールアドレスを登録して、「システム管理 / メール設定」画面でメール通知の設定を行っておくことで、パスワードを忘れた場合にメールによるパスワードの復旧が可能です。メールによるパスワードの復旧手順については、「付録 / パスワードを忘れた場合」を参照してください。
権限	アカウントに割り当てられる権限です。権限の種類は下記となります。それぞれの権限により許可されるアクションは、「付録 / 管理者の権限」を参照してください。　「システム設定の変更を許可する。」　「認証データベースの編集を許可する。」

詳細表示の下にある各ボタンの機能は下記となります。

表 3：各ボタンの機能
メニュー名	機能
削除	選択中のアカウントを削除します。ログイン中のアカウント、および初期設定アカウント「manager」は削除できません。
編集	選択中のアカウントの情報を更新します。クリックすると「アカウント編集」画面に変わります。

新規アカウント

アカウント管理 > 新規アカウント
　
新規アカウントを作成します。

表 4：新規アカウント
項目	必須	書式	説明
ユーザー名	○	文字列（最大64文字）	ログインアカウント名です。 64文字以内で下記の文字が使用可能です。 a-z, A-Z, 0-9, - . _
メールアドレス	－	メールアドレス	アカウントに関連付けるメールアドレスを入力します。イベント通知や、パスワードを忘れた場合にメールによるパスワードの復旧が可能です。
パスワード	○	パスワード	ログインアカウントのパスワードです。英数字、記号が使用可能です。
パスワード確認	○	パスワード	パスワードの確認のため、パスワードをもう一度入力してください。
権限	－	チェックボックス	アカウントに割り当てられる権限です。権限の種類は下記となります。それぞれの権限により許可されるアクションは、「付録 / 管理者の権限」を参照してください。　「システム設定の変更を許可する。」　「認証データベースの編集を許可する。」
「キャンセル」ボタン	－	－	アカウントの新規追加をキャンセルします。
「保存」ボタン	－	－	入力したアカウントを新規に登録します。

アカウント編集

アカウント管理 > アカウント編集
　
登録されているアカウントの情報を変更できます。

表 5：アカウント編集
フィールド名	必須	書式	説明
ユーザー名	－	－	ログインアカウント名です。登録済みのユーザー名を変更することはできません。
メールアドレス	－	メールアドレス	アカウントに関連付けるメールアドレスを入力します。イベント通知や、パスワードを忘れた場合にメールによるパスワードの復旧が可能です。
「パスワード設定」ボタン	－	－	クリックすると「パスワード」「パスワード確認」項目が表示され、パスワードの変更ができます。
パスワード	○	パスワード	ログインアカウントのパスワードです。英数字、記号が使用可能です。
パスワード確認	○	パスワード	パスワードの確認のため、パスワードをもう一度入力してください。
権限	－	チェックボックス	アカウントに割り当てられる権限です。権限の種類は下記となります。それぞれの権限により許可されるアクションは、「付録 / 管理者の権限」を参照してください。　「システム設定の変更を許可する。」　「認証データベースの編集を許可する。」
「キャンセル」ボタン	－	－	アカウント情報の更新をキャンセルします。
「保存」ボタン	－	－	入力したアカウント情報に更新します。

リファレンス編 / RADIUS管理

「RADIUS管理」画面は、サブメニューに「一般」「プロキシ設定」「Active Directory設定」「LDAPサーバー設定」があり、それぞれ認証に関連する設定ができます。
ログインしているアカウントに「システム設定の変更を許可する。」の権限が割り当てられている場合にのみ、設定を変更できます。権限が割り当てられていない場合は閲覧のみできます。

一般

RADIUS管理 > 一般
　
「一般」画面では、「User-Name属性設定」と「信頼されたCA証明書」の設定ができます。

User-Name属性設定

RADIUS管理 > 一般 > User-Name属性設定
　
認証時にUser-Name属性のレルム（ドメイン）部分を含めるか・除くかを選択できます。右下の「編集」ボタンをクリックすると、編集モードに移行します。
■ 編集モード

表 1：User-Name属性設定
項目・ボタン名	必須	書式	説明
User-Name属性に'`\`'が含まれる場合 (e.g. DOMAIN`\`user)、レルム（ドメイン）部分を除いて認証する。	－	チェックボックス	チェックボックスにチェックを入れると、User-Name属性に’`\`’が含まれる場合、レルム（ドメイン）部分を除いて認証します。
User-Name属性に'@'が含まれる場合 (e.g. user@domain)、レルム（ドメイン）部分を除いて認証する。	－	チェックボックス	チェックボックスにチェックを入れると、User-Name属性に’@’が含まれる場合、レルム（ドメイン）部分を除いて認証します。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

信頼されたCA証明書

RADIUS管理 > 一般 > 信頼されたCA証明書
　
EAP-TLS認証方式では、パスワードの代わりにSSLクライアント証明書を使用しユーザー認証を行います。認証は受信したSSLクライアント証明書が、AT-RADgateが信頼するCA局によって署名されているかを検証することにより実施されます。このページで、AT-RADgateが信頼するCA局のSSL証明書を管理します。

■ CA証明書のインポート
PEM形式のCA証明書をアップロードできます。「インポート」ボタンをクリックした画面で、CA証明書を選択してください。CA証明書のインポートに成功するとリストに追加され、CA証明書の説明、「詳細」ボタン、「削除」ボタンが表示されます。

表 2：信頼されたCA証明書
項目・ボタン名	説明
一般名称 (CN)	証明書の一般名称フィールドの値です。
発効日	証明書の発効日です。
有効期限	証明書の有効期限です。
「インポート」ボタン	CA証明書をアップロードします。
「詳細」ボタン	「証明書の詳細」ダイアログを表示します。
「削除」ボタン	CA証明書を削除します。

証明書の詳細

「信頼されたCA証明書」画面で「詳細」ボタンをクリックすると、「証明書の詳細」ダイアログを表示します。

表 3：証明書の詳細
項目・ボタン名	説明
一般名称 (CN)	証明書の一般名称フィールドの値です。
サブジェクト	証明書の所有者（ユーザーやサーバー）の識別情報です。
シリアル番号	証明書ごとに割り当てられる一意の番号です。
発効日	証明書の発行日です。
有効期限	証明書の有効期限です。
役割	この証明書を使用するAT-RADgateの機能です。
「閉じる」ボタン	「証明書の詳細」ダイアログを閉じます。

プロキシ設定

RADIUS管理 > プロキシ設定
　
RADIUSプロキシ機能の設定を行うことができます。

Note
RADIUSサーバーがRADIUSプロキシからのパケットを受信するためには、「ポリシー管理」/「NAS / RADIUSプロキシ」画面で、RADIUSプロキシを登録する必要があります。

Note
CoA/Disconnectパケットのプロキシはサポート対象外です。

一般

RADIUS管理 > プロキシ設定 > 一般
　
受信したRADIUSパケットのUser-Name属性が、このサーバーの認証ポリシーに登録していないユーザーだった場合にのみ転送するかどうかを選択できます。右下の「編集」ボタンをクリックすると、編集モードに移行します。
■ 編集モード

表 4：一般
項目・ボタン名	必須	書式	説明
「このサーバーの認証ポリシーに存在しないユーザーのみ転送する。」	○	チェックボックス	チェックボックスにチェックを入れると、受信した認証リクエストのUser-Name属性がこのサーバーの認証ポリシーに存在していない場合のみ転送対象のパケットとして扱います。最終的に転送するかどうかはプロキシルールによるレルム解析の結果によります。 Note 対象となる認証ポリシーは、ユーザーポリシーと端末ポリシーになります。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

プロキシルール

RADIUS管理 > プロキシ設定 > プロキシルール
　
プロキシルールを管理します。
登録されたプロキシルールの一覧が表示されます。
プロキシルールとは、受信したRADIUSパケットを転送するかどうか、転送するとしたらどのサーバーに転送するかを定義したものです。

表 5：プロキシルール
項目・ボタン名	説明
レルム（ドメイン）	登録したレルムの値が表示されます。User-Name属性のレルム部がこのレルムに該当するかどうかを判断する際に使用されます。
プロキシ	「する」の場合、User-Name属性のレルム部がこのレルムに該当した場合にRADIUSパケットを転送することを意味します。「しない」の場合、User-Name属性のレルム部がこのレルムに該当した場合でも、RADIUSパケットを転送しないことを意味します。
「追加」ボタン	「プロキシルール」ダイアログを開きます。

プロキシルール

プロキシルールの右上の「追加」ボタンをクリックすると、「プロキシルール」ダイアログが表示され、プロキシルールを新規追加できます。既に登録しているプロキシルールの右端の「編集」メニューをクリックすると「プロキシルール」ダイアログが表示され、プロキシルールを編集できます。
この2つのダイアログは共通のフォームを使用しています。

表 6：プロキシルール
項目・ボタン名	必須	書式	説明
条件	－	レルム／レルム無し／デフォルト	「レルム無し」は、区切り文字が存在しないことを意味します（詳細はレルム解析ルールをご参照ください）。「デフォルト」は、該当するレルムが存在しないことを意味します。
レルム（ドメイン）	○	文字列（最大63文字）	「条件」項目で「レルム」を選択した場合にのみ表示され入力できます。「レルム」以外を選択した場合、非表示になります。 A-Za-z0-9._-のいずれかの文字を使用可能です。「LOCAL」「DEFAULT」「NULL」は登録できません。
転送先サーバー	－	－	RADIUSパケットの転送先のサーバーです。「転送先サーバー」設定で登録したIPアドレスの中から選択できます。転送先サーバーを選択し、「追加」ボタンをクリックすることで、転送先サーバーのリストに追加できます。複数の転送先サーバーを登録した場合、リストの一番上が最も優先度が高く、下に行くほど優先度は低くなります。
「追加」ボタン	－	－	「プロキシルール」の転送先サーバーリストに転送先サーバーを追加します。
「削除」ボタン	－	－	「プロキシルール」の転送先サーバーリストから転送先サーバーを削除します。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

レルム

RADIUSプロキシは、受信したRADIUSパケットのUser-Name属性のレルム部を見つけ出し、登録しているプロキシルールのレルムと比較します。該当するプロキシルールがあった場合、そのプロキシルールに紐付いている転送先サーバーにRADIUSパケットを転送します。

レルム区切り文字

User-Name属性のレルム部を見つけ出す際に使用するのが区切り文字です。

表 7：レルム区切り文字
区切り文字	説明
`\`	Realm`\`UserのようなUser-Name属性の場合、`\`より前の部分がレルムになります。
@	User@RealmのようなUser-Name属性の場合、@よりあとの部分がレルムになります。

レルム解析ルール

レルムを決める際のルールは次のとおりです。

該当するレルムが存在しない場合は、「デフォルト」レルムとして扱われます。
「デフォルト」レルムの設定が存在しない場合、プロキシせず自身のサーバーで認証します。
レルムが確定しても、転送先サーバーをレルムに紐付けていない場合、プロキシせず自身のサーバーで認証します。

転送先サーバー

RADIUS管理 > プロキシ設定 > 転送先サーバー
　
転送先サーバーを管理します。
登録した転送先サーバーの一覧が表示されます。
転送先サーバーとは、受信したRADIUSパケットを転送する先のサーバーを定義したものです。

表 8：転送先サーバー
項目・ボタン名	説明
サーバーアドレス	登録した転送先サーバーのIPアドレスです。
「追加」ボタン	「転送先サーバー」ダイアログを表示します。

転送先サーバー

転送先サーバーの右上の「追加」ボタンをクリックすると、「転送先サーバー」ダイアログが表示され、転送先サーバーを新規追加できます。既に登録している転送先サーバーの右端の「編集」メニューをクリックすると「転送先サーバー」ダイアログが表示され、転送先サーバーを編集できます。
この2つのダイアログは共通のフォームを使用しています。

表 9：転送先サーバー
項目・ボタン名	必須	書式	説明
IPv4アドレス	○	IPv4アドレス	転送先サーバーのIPアドレスです。
認証ポート番号	－	1-66535	転送先サーバーが認証パケットを受信するためのポート番号です。未入力で保存した場合、デフォルト値の1812を設定します。
アカウンティングポート番号	－	1-66535	転送先サーバーがアカウンティングパケットを受信するためのポート番号です。未入力で保存した場合、デフォルト値の1813を設定します。
「事前共有鍵の設定」ボタン	－	－	「転送先サーバー」を編集する際のダイアログでのみ表示されます。クリックすると「事前共有鍵」項目が表示され、事前共有鍵を変更できます。
事前共有鍵	○	パスワード	転送先サーバーの事前共有鍵です。
タイムアウト	○	5-60	RADIUSパケットを転送する際に、転送先サーバーからの応答を待機する時間です。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

フェイルオーバー・フェイルバック

RADIUSプロキシでは、転送先サーバーの状態を保持しており、複数の転送先サーバーを登録している場合、優先度の高い転送先サーバーがダウンすると、次に優先度の高い転送先サーバーにフェイルオーバーします。また、ダウンしていた転送先サーバーが復旧した場合、元の優先度に基づき、フェイルバックします。条件は以下のとおりです。
転送先サーバーへのRADIUSパケットの転送が失敗する、あるいは転送したが応答がないまま、タイムアウトの設定値に到達した場合、40秒後にダウン状態とみなし、優先度の低い他の転送先サーバーに転送を試みます。
AT-RADgateは、ダウン状態とみなした転送先サーバーを120秒後に復活したとみなし、再度RADIUSパケットの転送を試みます。

表 10：用語解説
用語	説明
フェイルオーバー	RADIUSプロキシが転送先サーバーとRADIUSパケットのやり取りができなくなったと判断した際に、自動的に待機している次に優先度の高い転送先サーバーに切り替えて処理を継続する機能のことです。
フェイルバック	RADIUSパケットをやり取りできなくなっていた優先度の高い転送先サーバーが復旧した場合に、優先度の低い転送先サーバーから元の優先度の高い転送先サーバーに処理を戻す機能のことです。

Active Directory設定

RADIUS管理 > Active Directory設定
　
RADIUS認証のWindows Active Directory連携で連携するActive Directoryドメインの設定を行います。右下の「編集」ボタンをクリックすると、編集モードに移行します。
Active Directoryドメインが未登録の状態では、「Active Directoryドメインが設定されていません。」のメッセージが表示されます。登録がある場合は、現在登録されているActive Directoryドメインの情報が表示されます。

Note
LDAP認証とWindows Active Directory認証の併用はできません。

■ 編集モード

表 11：ADドメイン情報
項目・ボタン名	必須	書式	説明
ドメイン名	○	文字列（最大255文字）	Active Directoryドメイン名を入力します。
NetBIOS名	○	文字列（最大63文字）	NetBIOS名を入力します。例えば、Active Directoryのドメイン名が「example.co.jp」であれば、NetBIOS名は「EXAMPLE」を入力します。
文字セット	○	文字列	ドメインコントローラーの文字コード設定を入力します。デフォルトは「CP1252」（ラテン 1/西ヨーロッパ）です。日本語の場合は「CP932」（日本語/Shift-JIS）を入力します。 Note 本設定はデフォルト「CP1252」を使用してください。変更は本バージョンでは未サポートです。
「編集」ボタン	－	－	編集を開始します。
「キャンセル」ボタン	－	－	編集を中止します。
「参加」ボタン	－	－	編集内容を保存して、Active Directoryドメインに参加します。

LDAPサーバー設定

RADIUS管理 > LDAPサーバー設定
　
LDAPサーバー認証機能を有効にすると、自身の認証データベースのユーザーポリシーではなく、LDAPサーバーに登録されたユーザー情報を利用してユーザー認証を行うことができます。使用する認証プロトコルは、PAPまたはEAP-TTLS（PAP）です。

Note
LDAPサーバーは、Windows Active Directoryサーバーのみ利用可能です。

Note
LDAPサーバーとRADIUSサーバー間の通信時の証明書検証は行いません。

Note
LDAP認証とWindows Active Directory認証の併用はできません。

LDAPサーバー連携と連携するための設定を行います。右下の「編集」ボタンをクリックすると、編集モードに移行します。
LDAPサーバーが未登録の状態では、「LDAPサーバーが設定されていません。」のメッセージが表示されます。登録がある場合は、現在登録されているLDAPサーバーの情報が表示されます。

■ 編集モード

表 12：LDAPサーバー設定
項目・ボタン名	必須	書式	説明
ホスト名／IPアドレス	○	ホスト名／IPアドレス	LDAPサーバーのホスト名またはIPアドレスです。
ポート番号	○	1-65535	LDAPサーバーのポート番号です。デフォルトのポート番号は389番です。
ベースDN	○	文字列（最大255文字）	LDAPディレクトリ内で検索を始める基点となる識別名です。
バインドDN	○	文字列（最大63文字）	LDAPサーバーへ認証（バインド）する際に使用するユーザーの識別名です。
パスワード	○	文字列（最大63文字）	LDAPサーバーにバインドする際、バインドDN（ユーザー識別名）と組み合わせて認証に使うパスワードです。
「接続テスト」ボタン	－	－	LDAPサーバーに接続できるかどうかをテストします。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

リファレンス編 / システム管理

「システム管理」画面は、「概要」「ネットワーク設定」「ログ設定」などの各設定画面に分かれています。

概要

システム管理 > 概要
　
「概要」画面では、システム情報の確認、ホスト名の変更、システムのバックアップと復元ができます。

表 1：ボタンの機能
ボタン名	機能
「テクニカルサポート」ボタン	テクニカルサポート用のファイルが出力されます。トラブルシューティング時など、内部情報の確認が必要な場合を想定したものですので、ご使用に際しては弊社技術担当にご相談ください。テクニカルサポート情報にはデフォルトで認証ポリシーデータも含まれます。ポリシーデータを添付したくない場合は、「テクニカルサポート」ボタンをクリックしたあとに表示されるダイアログで、「技術サポート情報に認証ポリシーデータを含めます。」のチェックを外してください。

システム情報

システム管理 > 概要 > システム情報
　
シリアル番号などの確認ができます。また、このシステムが動作しているノードのホスト名の変更もできます。

表 2：システム情報
項目	説明
ホスト名	このシステムが動作しているノードのホスト名です。デフォルトのホスト名は「radgate」です。「編集」ボタンをクリックすると「ホスト名」ダイアログが開き、ホスト名の変更ができます。
バージョン	現在動作しているAT-RADgateソフトウェアのバージョンです。
ビルド日時	現在動作しているAT-RADgateソフトウェアの作成日時です。
シリアル番号	このシステムのシリアル番号です。AT-RADgateのライセンス発行時に必要となります。

ホスト名

「ホスト名」ダイアログでは、ホスト名の変更ができます。

表 3：「ホスト名」ダイアログ
項目・ボタン名	必須	書式	説明
ホスト名	○	文字列（最大15文字）	このシステムが動作しているノードのホスト名です。英数字（小文字）とハイフンのみ使用できます（ハイフンは先頭と末尾では使用できません）。何も入力せずに保存すると、デフォルトのホスト名（radgate）が設定されます。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

システムのバックアップ

システム管理 > 概要 > システムのバックアップ
　
現在稼働中のシステムの全体を外部イメージファイルに保存します。「システムの復元」で、保存したときの状態に戻すことができます。

ダウンロードされたファイルには下記の情報が含まれます。

システムのシリアル番号（「システム管理 / 概要」画面）
システム設定（「システム管理」画面の各設定）
管理者アカウント情報（「アカウント管理」画面）
認証ポリシーデータ（「ポリシー管理」画面の各タブでの設定）
RADIUS設定（「RADIUS管理」画面の各設定）
イベントログ（「イベント管理」画面）
ソフトウェアライセンス（「システム管理 / ライセンス」画面）

ダウンロードされたファイルには下記の情報は含まれないため、システムの復元を実行したあとで、再設定する必要があります。

Windows Active Directoryの設定

表 4：システムのバックアップ
ボタン名	説明
「バックアップ」ボタン	システムのバックアップを実行します。

システムの復元

システム管理 > 概要 > システムの復元
　
「システムのバックアップ」でダウンロードした外部イメージファイルを使って、保存されているシステムの状態に復元します。

Note
システムの復元を実行すると、AT-RADgateが動作しているノードが自動的に再起動します。

表 5：システムの復元
ボタン名	説明
「復元」ボタン	システムの復元を実行します。クリックするとファイル選択ダイアログが表示されますので、イメージファイルを選択してアップロードします。保存されているシステムの状態に戻ります。

ネットワーク設定

システム管理 > ネットワーク設定
　
「ネットワーク設定」画面では、Webサービスとサーバー証明書（SSL証明書）の設定ができます。

Webサービス

システム管理 > ネットワーク設定 > Webサービス
　
Web UI/Web APIサービスのプロトコルと、待ち受けポート番号を変更できます。右下の「編集」ボタンをクリックすると、編集モードに移行します。
Webサービスの設定を変更すると、自動的に新しいWebサービスに再接続されます。その際、ブラウザーのセキュリティー警告機能により接続が遮断される場合があります。

■ 編集モード

表 6：Webサービス
項目・ボタン名	必須	書式	説明
プロトコル	○	－	Webサービスの通信プロトコルです。HTTPまたはHTTPSが選択できます。
ポート番号	○	1-65535	Webサービスの待ち受けTCPポート番号です。AT-RADgateの他のサービスが使用しているポート番号は設定できません。
「編集」ボタン	－	－	編集を開始します。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

サーバー証明書

システム管理 > ネットワーク設定 > サーバー証明書
　
AT-RADgateの各サービスが使用する証明書の確認と変更ができます。各サービスの行の右側の「インポート」ボタンをクリックすると、証明書ファイルをアップロードするダイアログが表示されます。
デフォルトの証明書から変更している場合、「削除」ボタンが表示されます。このボタンをクリックすると現在の証明書が削除されます。

表 7：サーバー証明書
項目	説明
役割	証明書を使用するサービス名です。
一般名称 (CN)	証明書の一般名称フィールドの値です。
組織 (O)	証明書の組織フィールドの値です。
有効期限	証明書の有効期限です。

証明書を使用するサービスは下記となります。

表 8：証明書を使用するサービス
サービス名	説明
Web	Web UI / Web APIを提供するサービスです。プロトコルにHTTPSを設定している場合のみ証明書を使用します。
RADIUS	RADIUS認証機能を提供するサービスです。EAP-PEAP認証に証明書を使用します。

証明書のインポート

PEM形式のSSL証明書ファイルをアップロードできます。証明書ファイルと秘密鍵ファイルを選択し、「インポート」ボタンをクリックしてください。Webの証明書を変更した場合、Web UIサーバーへの再接続が行われます（HTTPプロトコルを使用している場合を含む）。その際、ブラウザーのセキュリティー警告機能により接続が遮断される場合があります。

ログ設定

システム管理 > ログ設定
　

ログレベル

システム管理 > ログ設定 > ログレベル
　
各イベントログの出力抑制レベルを変更できます。各イベントログは、ここで設定されたレベルを含め重要度が大きいイベントをログに記録します。ログレベルについては、「イベントログ管理 / アプリケーションログ」の「ログレベル」を参照してください。右下の「編集」ボタンをクリックすると、編集モードに移行します。

Note
「ログレベル」で「無効」に設定すると、ログに記録することができず「イベント管理」/「アプリケーションログ」画面でも確認できません。

■ 編集モード

Syslog

システム管理 > ログ設定 > Syslog
　
イベントログは外部のSyslogサーバー（UDP）に転送することができます。「編集」ボタンをクリックすると、編集モードに移行します。

■ 編集モード

表 9：Syslogサーバー
項目・ボタン名	必須	書式	説明
Syslog サーバー	－	文字列（最大255文字）	イベントログの転送先の外部Syslogサーバーのリストです。「ホスト名またはIPv4アドレス:ポート番号」の形式で設定します（例：192.0.2.10:3000）。ポート番号を省略した場合は514が使用されます。また、空白文字で区切ることで複数のサーバーが登録可能です。登録可能なサーバーの数についてはリリースノートを参照してください。
「編集」ボタン	－	－	編集を開始します。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

時刻設定

システム管理 > 時刻設定

システム時刻

システム管理 > 時刻設定 > システム時刻
　
現在の時刻情報の確認とタイムゾーンの変更ができます。タイムゾーンを変更すると、AT-RADgateが動作しているノードが自動的に再起動します。

表 10：システム時刻
項目	説明
現在日時	設定されているタイムゾーンのローカル時間で、現在時刻を表示します。
タイムゾーン	現在のタイムゾーンを「地域/タイムゾーン」の形式で表示します。「変更」ボタンをクリックすると「タイムゾーン」ダイアログが表示され、タイムゾーンの変更ができます。

タイムゾーン

「タイムゾーン」ダイアログでは、タイムゾーンの変更ができます。

表 11：タイムゾーン
項目・ボタン名	説明
地域	地域をドロップダウンリストから選択します。デフォルトは「Etc」です。
タイムゾーン	タイムゾーンをドロップダウンリストから選択します。デフォルトは「UTC」です。
「キャンセル」ボタン	タイムゾーンの変更をキャンセルします。
「保存」ボタン	タイムゾーンの変更を保存します。

メール設定

システム管理 > メール設定
　

SMTP サーバー

システム管理 > メール設定 > SMTP サーバー
　
メール送信を行うSMTPサーバーの設定を行います。「編集」ボタンをクリックすると、編集モードに移行します。
SMTPサーバー設定は、管理者アカウントのパスワードリカバリー機能、ライセンス期限切れ警告などの機能に不可欠であるため、設定を行うことをおすすめします。
SMTPサーバーが未登録の状態では、「SMTPサーバーの設定がありません。」のメッセージが表示されます。登録がある場合は、現在登録されているSMTPサーバーの情報が表示されます。

■ 編集モード（未登録）

■ 編集モード（登録済み）

表 12：SMTP サーバー
項目・ボタン名	必須	書式	説明
送信元メールアドレス	○	メールアドレス	このSMTPサーバーを利用して送信するメールの送信元メールアドレスです
ホスト名 / IP アドレス	○	FQDN/IPv4アドレス	SMTPサーバーのホスト名またはIPv4アドレスです。
ポート番号	○	整数値（1-65535）	SMTPサービスの待ち受けTCPポート番号です。
暗号化	○	－	使用する暗号化プロトコルです。「なし」、「STARTTLS」、「SMTPS」から選択します。
ユーザー名	－	－	SMTPサーバーのログインアカウントのユーザー名です。
「パスワード設定」ボタン	－	－	クリックすると「パスワード」「パスワード確認」項目が表示され、SMTPサーバーのログインアカウントのパスワードを変更できます。
パスワード	－	－	SMTPサーバーのログインアカウントのパスワードです。
「テストメールを送信」ボタン	－	－	現在表示されている設定でテストメールを送信します。メールの送信元および宛先は、どちらも「送信元メールアドレス」で入力したメールアドレスを使用します。
「編集」ボタン	－	－	編集を開始します。
「削除」ボタン	－	－	現在登録されているSMTPサーバーの設定を削除します。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

システム設定管理

システム管理 > システム設定管理
　

バックアップ

システム管理 > システム設定管理 > バックアップ
　
管理者アカウント情報およびシステム設定を外部ファイルに保存します。バックアップファイルには認証ポリシーデータ等の情報が含まれないため、このバックアップファイルから稼働中のシステム全体の完全な復元はできません。
システムの完全なバックアップを行う場合は、「システム管理 / 概要」画面の「システムのバックアップ」を使用してください。

復元

システム管理 > システム設定管理 > 復元
　
管理者アカウント情報およびシステム設定を外部ファイルから復元します。現在の情報をいったん工場出荷状態に戻した上で、復元を行います。

初期化

システム管理 > システム設定管理 > 初期化
　
管理者アカウント情報およびシステム設定を工場出荷状態に戻します。

データベース管理

システム管理 > データベース管理
　

バックアップ

システム管理 > データベース管理 > バックアップ
　
認証ポリシーデータを外部ファイルにCSV形式で保存します。

表 13：バックアップ
ボタン名	説明
「バックアップ」ボタン	認証ポリシーデータのバックアップを実行します。

インポート

システム管理 > データベース管理 > インポート
　
認証ポリシーデータをCSVファイルからインポートします。インポートされたデータは現在のデータとマージされます。

表 14：インポート
ボタン名	説明
「インポート」ボタン	認証ポリシーデータのインポートを実行します。

初期化

システム管理 > データベース管理 > 初期化
　
認証ポリシーデータをすべて削除します。削除する前にバックアップを行うことをおすすめします。

表 15：初期化
ボタン名	説明
「初期化」ボタン	認証ポリシーデータの初期化を実行します。

最適化

システム管理 > データベース管理 > 最適化
　
認証ポリシーデータを最適化し、ストレージの空き容量を増やします。最適化する前にバックアップを行うことをおすすめします。

表 16：最適化
ボタン名	説明
「最適化」ボタン	認証ポリシーデータの最適化を実行します。

ライセンス

システム管理 > ライセンス
　
AT-RADgateのソフトウェアライセンスの確認とインストールができます（下記はトライアルライセンスがインストールされた状態の例です）。

Note
ライセンスについては、「設定画面へのアクセス / ライセンスのインストール」をあわせてご参照ください。

表 17：ライセンス
項目・ボタン名	説明
最大ユニット数	すべての有効なライセンスのユニット数の合計です。
名称	ライセンスの名称です。
状況	ライセンスの状態です。
ユニット数	ライセンスが提供するユニット数です。
有効期限	ライセンスの有効期限です。
「トライアルライセンスのインストール」ボタン	トライアルライセンスをインストールします。
「ライセンスの更新」ボタン	新規または更新ライセンスをインストールします。クリックするとファイル選択ダイアログが表示されるので、ライセンスファイルを選択してアップロードします。ライセンスの情報が更新されます。

付録 / パスワードを忘れた場合

AT-RADgateのログイン情報を忘れたとき、AT-RADgateにSMTPサーバーが登録されていれば、アカウントに関連付けられたメールアドレスを使用してログイン情報を復旧させることができます。

Note
アカウント名やメールアドレスを忘れた場合、SMTPサーバーを登録していない場合、アカウントにメールアドレスを関連付けていない場合には、メールによるパスワードの復旧はできません。
Allied Telesis コンテナプラットフォームの設定画面で、AT-RADgate アプリケーションの初期化（削除→再作成）が必要となります。詳しくは「AT-RADgate アプリケーションの設定と起動」をご参照ください。

ログイン画面の左下の「パスワードを忘れましたか?」をクリックします。
「メールアドレス」に管理者アカウントに設定されているメールアドレスを入力して、「メールを送信」ボタンをクリックします。
有効なSMTP設定が登録されている場合、「（メールアドレス）宛てにパスワードリセットメールを送信しました。」メッセージが表示されます。

入力したメールアドレス宛てに「AT-RADgate パスワード再設定ページ」という件名のメールが届きますので、メール本文に記載されたリンクをクリックします。
■ 件名

AT-RADgateパスワード再設定ページ

■ 本文

下記のリンクからAT-RADgateのパスワード再設定ページにアクセス出来ます。このページでパスワードを再設定して下さい。
　
https://（AT-RADgateのIPアドレス）/public/page/password-reset/reset/xxxxxxxxxxxxxxxxxxx
　
このページは10分間有効です。期限内に再設定を行って下さい。もしお心当たりがない場合はこのメールを無視して下さい。パスワードは変更されません。

「AT-RADgate パスワードのリセット」画面が表示されますので、新しいパスワード、パスワード確認を入力し、「保存」ボタンをクリックします。
「パスワードを更新しました。」というメッセージが表示され、その後にAT-RADgateログイン画面が表示されます。

入力したメールアドレス宛てに「AT-RADgateのパスワードが変更されました」という件名のメールが届きますので、メール本文に記載されたリンクをクリックします。
■ 件名

AT-RADgateのパスワードが変更されました

■ 本文

あなたのAT-RADgateアカウントのパスワードが変更されました。
下記のリンクからAT-RADgateに再ログインすることが出来ます。
　
https://（AT-RADgateのIPアドレス）/public/page/login

AT-RADgateログイン画面が表示されますので、アカウント名と変更後のパスワードを入力して、ログインします。

付録 / AT-RADgateが使用する待ち受けポート番号

AT-RADgateが使用する待ち受けポート番号

AT-RADgateが提供するサービスは、下記のポート番号で待ち受けを行います。サービスの中には待ち受けポート番号を設定で変更できるものがありますが、変更する際は各サービスの待ち受けポート番号が重複しないように設定してください。

表 1：待ち受けポート番号
サービス名	ポート番号	通信方向	備考
Web設定画面	443/TCP	双方向	「ネットワーク設定」画面の「Webサービス」で変更できます。
Web管理画面リダイレクト	80/TCP	双方向	Web設定画面の待ち受けポート番号が80以外のときに、この番号で受信したメッセージをWeb管理画面の待ち受けポート番号に転送するために使用します。
内部用DNS サーバー	53/TCP 53/UDP	－	外部のホストとの通信はありません。
RADIUS認証	1812/UDP	双方向
RADIUSアカウンティング	1813/UDP	双方向
サービス管理	30001 - 30032 /TCP 30001 - 30032/UDP	－	AT-RADgateの各サービス間の情報交換用に予約されたポートです。

AT-RADgateが送信するパケット

AT-RADgateが提供する機能は、下記の宛先に向けてパケット送信する可能性があります。宛先サーバーとの間にファイアウォールなどがある場合は、適切なフィルタリング設定を行う必要があります。

表 2：各機能が送信するパケット
機能名	宛先ホスト	ポート番号	通信方向	備考
イベントログ	設定したホスト	514/UDP	送信方向	「ログ設定」画面の「Syslog」で外部Syslogサーバーを設定した場合、そのホスト宛てのパケットが送信されます。ここで例示されているポート番号は、ポート番号が省略された場合に使用されるデフォルト値です。
SMTPクライアント	設定したホスト	設定したポート/TCP	双方向	「メール設定」画面でSMTPサーバーを設定した場合、メール送信を行う際に設定されたホストにパケットが送信されます。
DNSクライアント	設定したホスト	53/UDP	双方向	DNS名の解決のためのパケットを送信します。宛先アドレスは、Allied Telesis コンテナプラットフォーム「AT-RADgate」の「アプリケーション設定」で設定したDNSサーバーです。
Windows Active Directory連携	－	－	－	Windows Active Directory Domainを設定した場合、Windows Domain Controllerの通信のためのパケットが送信されます。送信されるパケットの情報については、Windows Serverのドキュメントを参照してください。
RADIUSプロキシ	設定したホスト	設定したポート/UDP	双方向	「プロキシ設定」画面でRADIUSプロキシの転送先サーバーを設定した場合、RADIUSリクエストの転送を行う際に設定されたホストにパケットが送信されます。
LDAPクライアント	設定したホスト	設定したポート/TCP	双方向	「LDAPサーバー設定」画面でLDAPサーバーを設定した場合、LDAPサーバーとの通信の際に設定されたホストにパケットが送信されます。

付録 / CSVファイル

各一覧画面の「CSVで出力」ボタンをクリックすると、一覧の内容をCSV（カンマ区切りテキスト）形式でダウンロードすることができます。
また、これらをテキストエディターなどで編集して、「システム管理 / データベース管理」画面から認証ポリシーデータとしてインポートすることもできます。

データ書式

文字コード

各一覧画面でダウンロードしたCSVファイルと、「システム管理 / データベース管理」画面からダウンロードした認証ポリシーデータのCSVファイルの、テキストの文字コードは「UTF-8」です。

Note
CSVファイルをAT-RADgateにアップロードする場合、CSVファイルに日本語などのマルチバイト文字が含まれている場合、文字コードが「UTF-8」であることを確認してください。「UTF-8」以外の文字コードを使用した場合、アップロード時にエラーが表示されてアップロードができません。

データの書式

CSVファイルに含まれるデータの書式を説明します。

表 1：データの書式
書式	例	説明
"予約語"	endpoints	二重引用符（" "）で囲まれた文字列は、文字列自体をこの列に設定できることを表します。複数の単語がパイプ（\|）で区切られている場合は、この列にいずれかを設定できることを表します。
数値	100	10進数で表される数値。設定できる値に制限がある場合は、括弧内にその旨を記載しています。
識別子	device1	特定のデータを識別するための文字列。空白、タブ文字、下記の記号は使用できません。　~ ! # $ % ^ & ’ * = + [ ] { } `\` \| ; : ’ ” , < > / ?
識別子のリスト	student teacher guest	スペース文字で区切られた識別子のリスト。スペースで区切られた各トークンは、識別子の構文に従います。
JSON	{“mac”: “0000.0000.0001”, “ip”: “192.168.10.1”}	「key=value」などのキー値型パラメーターのリストはセミコロン（;）で区切られます。
MACアドレス	aa:bb:cc:00:00:10 aa-bb-cc-00-00-10 aabb.cc00.0010 aabbcc000010	MACアドレス。次の形式がサポートされています（大文字と小文字の両方を使用できます）。　xx:xx:xx:xx:xx:xx 　xx-xx-xx-xx-xx-xx 　xxxx.xxxx.xxxx 　xxxxxxxxxxxx
IPv4アドレス	192.168.0.1	IPv4アドレスです。

表示例

カンマ（,）で区切られた項目を、先頭から"#1"（A列）、"#2"（B列）の順に説明します。ポリシーによって長さ（列の数）は異なります。

"#1","#2","#3","#4","#5","#6","#7","#8","#9","#10","#11","#12" ↓

ユーザーポリシー

ユーザーポリシーの例を示します。

"+","users","1","test_user","","","","","","","","" ↓

ユーザーポリシーの追加または更新

ユーザーポリシーを追加または更新するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 2：ユーザーポリシーの追加または更新
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に "+"	（省略不可）	この行に適用される操作を指定します。「+」はこの行のデータを認証ポリシーデータベースに追加することを示します。Nameの値が同じポリシーが既に登録されている場合、この行は既存のポリシーを上書きします。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。「#」はコメント行を示し、無視されます。
#2	B	Type	"users"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	Name	識別子（最大63文字）	重複不可	（省略不可）	ユーザーアカウント名。ユーザーポリシーの識別とサプリカント認証に使用されます。
#5	E	Encrypted Password	文字列	－	（値なし）	暗号化されたパスワード。サプリカントの認証に使用されます。この列はAT-RADgateからエクスポートしたCSVファイルに含まれます。 Note この列を手動で編集しないでください。
#6	F	Password	文字列（最大63文字）	－	（値なし）	平文のパスワード。サプリカントの認証に使用されます。パスワードを手動で設定する場合は、この列にパスワード列を入力してください。
#7	G	Full Name	文字列（最大63文字）	－	（空文字列）	ユーザーのフルネーム。サプリカントの認証には使用されず、ネットワーク管理者に対するヒントとしてのみ使用されます。
#8	H	（reserved）	－	－	－	この列は将来の使用のために予約されています。
#9	I	Access Level	整数値（0-15）	－	（値なし）	アクセスレベルを表す整数。0はアクセスを拒否することを示し、他の値はアクセスを許可することを示します。値が大きいほど与えられる権限が強いことを示します。
#10	J	（reserved）	－	－	－	この列は将来の使用のために予約されています。
#11	K	Tags	識別子リスト（最大255文字）	－	（値なし）	スペース文字で区切られたタグのリスト。タグはこのポリシーを適用するサプリカントをグループ化するために使用され、サプリカントプロファイルを複数のサプリカントに一度に適用するのに役立ちます。
#12	L	Note	文字列（最大63文字）	－	（空文字列）	このポリシーの説明。サプリカントの認証には使用されず、ネットワーク管理者に対するヒントとしてのみ使用されます。

ユーザーポリシーの削除

ユーザーポリシーを削除するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 3：ユーザーポリシーの削除
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に"-"	（省略不可）	この行に適用される操作を指定します。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。
#2	B	Type	"user"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	Name	識別子（最大63文字）	重複不可	（省略不可）	ユーザーアカウント名。削除するポリシーを検索するために使用されます。

端末ポリシー

端末ポリシーの例を示します。

"+","endpoints","1","aa-bb-cc-00-00-10","Wireless_Devices_100","","","","" ↓

端末ポリシーの追加または更新

端末ポリシーを加または更新するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 4：端末ポリシーの追加または更新
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に "+"	（省略不可）	この行に適用される操作を指定します。「+」はこの行のデータを認証ポリシーデータベースに追加することを示します。MAC Addressの値が同じポリシーが既に登録されている場合、この行は既存のポリシーを上書きします。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。「#」はコメント行を示し、無視されます。
#2	B	Type	"endpoints"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	MAC Address	MACアドレス	重複不可	（省略不可）	MACアドレス。端末ポリシーの識別とサプリカント認証のために使用されます。
#5	E	Device Name	識別子（最大63文字）	－	（値なし）	デバイス名。複数の端末ポリシーに同じ名前を割り当てることができます。同じ名前を持つ端末ポリシーは、1つのデバイスに複数のネットワークインターフェースが搭載された状態を表します。この値はサプリカントプロファイルと端末ポリシーをリンクすることにも使用されます。
#6	F	Access Level	整数値（0-15）	－	（値なし）	アクセスレベルを表す整数。0はアクセスを拒否することを示し、他の値はアクセスを許可することを示します。値が大きいほど与えられる権限が強いことを示します。
#7	G	（reserved）	－	－	－	この列は将来の使用のために予約されています。
#8	H	Tags	識別子リスト（最大255文字）	－	（値なし）	スペース文字で区切られたタグのリスト。タグはこのポリシーを適用するサプリカントをグループ化するために使用され、サプリカントプロファイルを複数のサプリカントに一度に適用するのに役立ちます。
#9	I	Note	文字列（最大63文字）	－	（空文字列）	このポリシーの説明。サプリカントの認証には使用されず、ネットワーク管理者に対するヒントとしてのみ使用されます。

端末ポリシーの削除

端末ポリシーを削除するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 5：端末ポリシーの削除
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に"-"	（省略不可）	この行に適用される操作を指定します。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。
#2	B	Type	"endpoints"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	MAC Address	MACアドレス	－	（省略不可）	MACアドレス。削除するポリシーを検索するために使用されます。

NAS / RADIUSプロキシポリシー

NAS / RADIUSプロキシポリシーの例を示します。

"+","nas","1","192.168.0.1","","","","","","" ↓

NAS / RADIUSプロキシポリシーの追加または更新

NAS / RADIUSプロキシポリシーを追加または更新するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 6：NAS / RADIUSプロキシポリシーの追加または更新
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に "+"	（省略不可）	この行に適用される操作を指定します。「+」はこの行のデータを認証ポリシーデータベースに追加することを示します。IP Addressの値が同じポリシーが既に登録されている場合、この行は既存のポリシーを上書きします。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。「#」はコメント行を示し、無視されます。
#2	B	Type	"nas"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	IP Address	IPv4アドレス	重複不可	（省略不可）	NASのIPアドレス。NAS / RADIUSプロキシポリシーの識別とNAS認証に使用されます。
#5	E	Encrypted Key	文字列	－	（値なし）	暗号化された事前共有キー。NAS認証に使用されます。この列はAT-RADgateからエクスポートしたCSVファイルに含まれます。 Note この列を手動で編集しないでください。
#6	F	Key	文字列（最大63文字）	－	（値なし）	平文の事前共有キー。NAS認証に使用されます。事前共有キーを手動で設定する場合は、この列に平文の事前共有キーを入力してください。
#7	G	Name	識別子（最大63文字）	重複不可	（値なし）	NAS名。NASの認証には使用されず、ネットワーク管理者へのヒントとしてのみ使用されます。
#8	H	Profile	識別子（最大63文字）	－	（値なし）	このポリシーに適用されるプロファイルの名前。
#9	I	Tags	識別子リスト（最大255文字）	－	（値なし）	スペース文字で区切られたタグのリスト。タグはこのポリシーを適用するサプリカントをグループ化するために使用され、サプリカントプロファイルを複数のサプリカントに一度に適用するのに役立ちます。
#10	J	Note	文字列（最大63文字）	－	（空文字列）	このポリシーの説明。サプリカントの認証には使用されず、ネットワーク管理者に対するヒントとしてのみ使用されます。

NAS / RADIUSプロキシポリシーの削除

NAS / RADIUSプロキシポリシーを削除するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 7：NAS / RADIUSプロキシポリシーの削除
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に"-"	（省略不可）	この行に適用される操作を指定します。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。
#2	B	Type	"nas"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	IP Address	IPv4アドレス	－	（省略不可）	NASのIPアドレス。削除するポリシーを検索するために使用されます。

NASプロファイルポリシー

NASプロファイルポリシーの例を示します。

"+","nas_profiles","1","AW-Plus-Profile-001","","","","","" ↓

NASプロファイルポリシーの追加または更新

NASプロファイルポリシーを追加または更新するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 8：NASプロファイルポリシーの追加または更新
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に "+"	（省略不可）	この行に適用される操作を指定します。「+」はこの行のデータを認証ポリシーデータベースに追加することを示します。Nameの値が同じポリシーが既に登録されている場合、この行は既存のポリシーを上書きします。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。「#」はコメント行を示し、無視されます。
#2	B	Type	"nas_profiles"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	Name	識別子（最大63文字）	重複不可	（省略不可）	NASプロファイル名。NASプロファイルを識別し、これをNASポリシーに適用するために使用されます。
#5	E	Note	文字列（最大63文字）	－	（空文字列）	このポリシーの説明。サプリカントの認証には使用されず、ネットワーク管理者に対するヒントとしてのみ使用されます。
#6	F	（reserved）	－	－	－	この列は将来の使用のために予約されています。
#7	G	（reserved）	－	－	－	この列は将来の使用のために予約されています。
#8	H	（reserved）	－	－	－	この列は将来の使用のために予約されています。
#9	I	Properties	JSON	－	－	このNASプロファイルで適用される設定。この値はJSONでフォーマットされます。この列に設定できるパラメーターについては、「プロパティ列のパラメーター」を参照してください。

プロパティ列のパラメーター

表 9：プロパティ列のパラメーター
パラメーター名	書式	制約	規定値	説明
authDevice	"true" \| "false"	－	－	デバイス認証設定。この値が「true」の場合、ユーザー名による認証に加え、MACアドレスによる端末認証も行います。
authMac	"true" \| "false"	－	－	MAC認証設定。この値が「true」の場合、受信した認証メッセージのUser-Name属性にMACアドレスが格納されているときに、ユーザー認証の代わりにMACアドレスによる端末認証を行います。

NASプロファイルポリシーの削除

NASプロファイルポリシーを削除するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 10：NASプロファイルポリシーの削除
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に"-"	（省略不可）	この行に適用される操作を指定します。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。
#2	B	Type	"nas_profiles"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	Name	識別子（最大63文字）	－	（省略不可）	NASプロファイル名。削除するポリシーを検索するために使用されます。

サプリカントプロファイルポリシー

サプリカントプロファイルポリシーの例を示します。

"+","supplicant_profiles","1","AW-Plus-Profile-001","7","","","pass","","" ↓

サプリカントプロファイルポリシーの追加または更新

サプリカントプロファイルポリシーを追加または更新するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 11：サプリカントプロファイルポリシーの追加または更新
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に "+"	（省略不可）	この行に適用される操作を指定します。「+」はこの行のデータを認証ポリシーデータベースに追加することを示します。Nameの値が同じポリシーが既に登録されている場合、この行は既存のポリシーを上書きします。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。「#」はコメント行を示し、無視されます。
#2	B	Type	"supplicant_profiles"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	Name	識別子（最大63文字）	重複不可	（省略不可）	サプリカントプロファイル名。サプリカントプロファイルを識別するために使用されます。
#5	E	Priority	整数値（0-15）	－	7	このプロファイルが適用される優先度。小さい値を持つプロファイルが優先的に適用されます。
#6	F	Reason	文字列（最大63文字）	－	（空文字列）	このルールが作成された理由。
#7	G	Note	文字列（最大63文字）	－	（空文字列）	このポリシーの説明。サプリカントの認証には使用されず、ネットワーク管理者に対するヒントとしてのみ使用されます。
#8	H	Action	"pass" \| "drop" \| "isolate" \| "notice"	－	（省略不可）	このルールに一致するデバイスに適用されるアクション。各アクションの実際の動作は以下のとおりです。　pass：サプリカントが送信したパケットを通過させます。　drop：サプリカントが送信したパケットを廃棄します。　isolate：サプリカントが送信したパケットを指定されたVLANセグメントに転送します。　notice：このプロファイルがサプリカントに適用されたことを示すイベントログを出力します。
#9	I	Conditions	JSON	－	条件なし（すべてのサプリカントに一致）	このプロファイルに一致するサプリカントの条件。この値はJSONでフォーマットされます。この値が空のプロファイルは、すべてのサプリカントに一致します。この列に設定できるパラメーターについては、「条件列のパラメーター」を参照してください。
#10	J	Properties	JSON	－	（値なし）	このプロファイルに一致したサプリカントに適用される設定。この値はJSONでフォーマットされます。この列に設定できるパラメーターについては、「プロパティ列のパラメーター」を参照してください。

条件列のパラメーター

表 12：条件列のパラメーター
パラメーター名	書式	制約	規定値	説明
deviceRegistered	"true" \| "false"	－	（値なし）	デバイスの登録状態。この値が「true」の場合、デバイスのMACアドレスが「端末ポリシー」に登録されているサプリカントが一致します。この値が「false」の場合、デバイスのMACアドレスが「端末ポリシー」に登録されていないサプリカントが一致します。
deviceMac	MACアドレス	－	（値なし）	MACアドレス条件。このパラメーターが設定されている場合、この値と同じMACアドレスを持つサプリカントが一致します。
deviceName	識別子（最大63文字）	－	（値なし）	デバイス名条件。このパラメーターが設定されている場合、この値と同じ名前のデバイス名を持つサプリカントが一致します。サプリカントのデバイス名は「端末ポリシー」で設定します。
accessLevel	文字列	－	（値なし）	アクセスレベルの条件。単一の数値または数値範囲の形式で値を設定できます。数値範囲の形式は、「..」で連結された 2つの数値で構成されます。例えば「3..5」は3から5までの数値を意味します。両端の数値のどちらかは省略可能で、例えば「..8」は8以下の数値、「7..」は7以上の数値を意味します。この条件とサプリカントのアクセスレベルの値が一致する場合、サプリカントはこの条件に一致します。
tags	文字列	－	（値なし）	タグ条件の表現。このパラメーターが設定されている場合、この値のタグを持つサプリカントが一致します。「cat fox」のように空白文字で区切って複数のタグを設定した場合、それらのタグをすべて持つサプリカントが一致します。

プロパティ列のパラメーター

表 13：プロパティ列のパラメーター
パラメーター名	書式	制約	規定値	説明
vlan	識別子（最大63文字）	－	（値なし）	サプリカントが接続する VLANセグメントの名前またはID。
filterIds	文字列配列	－	（値なし）	サプリカントに適用されるパケットフィルターのID。パケットフィルターはNAS上であらかじめ設定されている必要があります。複数のIDを指定することができます。
filterRules	文字列配列	－	（値なし）	サプリカントに適用されるパケットフィルター。filterIdsとは異なり、フィルタリングルール自体を指定することができます。

サプリカントプロファイルポリシーの削除

サプリカントプロファイルポリシーを削除するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 14：サプリカントプロファイルポリシーの削除
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に"-"	（省略不可）	この行に適用される操作を指定します。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。
#2	B	Type	"supplicant_profiles"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	Name	識別子（最大63文字）	－	（省略不可）	サプリカントプロファイル名。削除するポリシーを検索するために使用されます。

付録 / 管理者の権限

「アカウント管理」画面でアカウントに割り当てることができる権限の詳細について説明します。

　
■ 「システム設定の変更を許可する。」にチェックを入れた場合
次に示すシステム設定の変更ができます。

表 1：システム設定の変更
設定画面	内容
「アカウント管理」画面	自分以外のアカウントの情報の参照・変更
「アカウント管理」画面	自分のアカウントの権限の変更
「システム管理」画面の各設定画面	システム設定の変更
「システム管理 / 概要」画面	システムのバックアップ・復元
「システム管理 / システム設定管理」画面	システム設定のバックアップ・復元・初期化
「システム管理 / ネットワーク設定」画面	SSL証明書の追加・削除
「システム管理 / ライセンス」画面	ライセンスのインストール
「システム管理」画面の「テクニカルサポート」ボタン	テクニカルサポート用のファイルの取得（テクニカルサポート情報に認証ポリシーデータを追加するには、「認証データベースの編集を許可する。」にチェックを入れる必要があります）

　
■ 「認証データベースの編集を許可する。」にチェックを入れた場合
次に示す認証データベースの編集ができます。

表 2：認証データベースの編集
設定画面	内容
「ポリシー管理」画面の各設定画面	認証ポリシーの編集
「システム管理 / データベース管理」画面	認証ポリシーのバックアップ・復元・初期化・最適化
「システム管理」画面の「テクニカルサポート」ボタン	テクニカルサポート情報に認証ポリシーデータを追加（テクニカルサポート用のファイルを取得するには、「システム設定の変更を許可する。」にチェックを入れる必要があります）

付録 / 別の仮想化環境へのリストア

ここでは、運用中のAT-RADgateを、別の仮想化環境にリストアする方法を説明します。
本説明では、以下のように区別して記載します。

表 1：表記
運用中のAT-RADgate	Allied Telesis コンテナプラットフォーム（仮想化環境A） AT-RADgate（仮想化環境A）
別の仮想化環境のAT-RADgate	Allied Telesis コンテナプラットフォーム（仮想化環境B） AT-RADgate（仮想化環境B）

AT-RADgateのバージョンが同じ場合

AT-RADgate（仮想化環境A）を同じバージョンのAT-RADgate（仮想化環境B）にリストアする手順を説明します。

パッケージバージョン「1.1.0」

Allied Telesis コンテナプラットフォーム、AT-RADgate アプリケーションのバージョンを次の表に示します。

表 2：パッケージバージョン「1.1.0」
Allied Telesis コンテナプラットフォーム	1.11.1
AT-RADgate アプリケーション	1.1.0

バックアップとリストア

Allied Telesis コンテナプラットフォーム
Allied Telesis コンテナプラットフォーム（仮想化環境A）で取得した設定ファイル（default.cfg）を、Allied Telesis コンテナプラットフォーム（仮想化環境B）にリストアすることはできません。
Allied Telesis コンテナプラットフォーム（仮想化環境B）で新規設定が必要です。
　
AT-RADgate アプリケーション
AT-RADgate アプリケーションのバックアップとリストアができます。
「クイックツアー / AT-RADgateのバックアップとリストア」を参照してください。現在稼働中のAT-RADgateシステムの全体を外部イメージファイルにバックアップして、リストアすることができます。

Note
「システムのバックアップ」以外のバックアップでは、ライセンスの情報を保存することはできません。

Note
AT-RADgate アプリケーションを削除すると、次回以降のインストールに既存ライセンスを使用できなくなります。
ライセンスの再発行が必要になりますので、新しくインストールしたAT-RADgateの「システム管理 / 概要」画面に表示されるシリアル番号を控えて弊社窓口までお問い合わせください。

AT-RADgate（Allied Telesis コンテナプラットフォーム版） リファレンスマニュアル 1.1.0

はじめに

対象製品とバージョン

サポート機能と制限事項

マニュアルの提供形態

マニュアルの構成

章構成

表記について

総称

例

最新情報

ご注意

商標について

マニュアルバージョン

AT-RADgateの概要 / AT-RADgateについて

AT-RADgateの位置づけ

用語解説

認証方式

ユーザー認証と端末認証

認証・認可と認証ポリシー

NASポリシー

ユーザー認証と端末認証のポリシー

認可

サプリカントパラメーター

サプリカントプロファイル

インストール / AT-RADgateの動作環境

ホストOS

仮想化環境

Hyper-Vで仮想マシン作成時の設定

Allied Telesis コンテナプラットフォームでAT-RADgate アプリケーションの設定

インストール / AT-RADgateのインストール

Hyper-V編

インストール用イメージファイルの準備

サーバーへの接続と仮想マシンの作成

仮想スイッチの作成

仮想マシンの設定

Allied Telesis コンテナプラットフォームの起動

Allied Telesis コンテナプラットフォームの設定

クライアント要件

初期設定

設定画面へのログイン

設定画面の使い方

ダッシュボード

ナビゲーションバー

メニュー欄

コンテンツ欄

設定の保存

ログアウト

AT-RADgate アプリケーションの設定と起動

設定項目

AT-RADgate アプリケーションの設定と起動手順

AT-RADgate アプリケーションの停止手順

AT-RADgate アプリケーションの削除手順

設定ファイルのバックアップとリストア

設定ファイルの保存

設定ファイルのバックアップ手順

設定ファイルのリストア手順

設定画面へのアクセス / 設定の開始

AT-RADgateクライアント要件

設定画面へのログイン

タイムゾーンの設定

設定画面へのアクセス / ライセンスのインストール

ライセンスの基本動作

トライアルライセンス

ライセンスの有効期間

ライセンスのインストール

トライアルライセンスのインストール

ライセンスの再発行

設定画面へのアクセス / 設定画面の使い方

ウィンドウ構成

マイアカウント

一覧の検索と並べ替え

検索フォームを使用した絞り込み

並べ替えの順番

設定の適用

設定画面へのアクセス / 設定の終了

クイックツアー / AT-RADgateの認証

AT-RADgateの認証

認証サーバーの動作

端末認証

AT-RADgate（Allied Telesis コンテナプラットフォーム版）リファレンスマニュアル 1.1.0