運用・管理 / LDAPクライアント
本製品はLDAPクライアントの機能を備えており、外部のLDAPサーバーを利用してOpenVPN認証を行うことができます。ここでは、LDAPクライアントの設定方法だけを述べます。
OpenVPNの設定については「VPN」/「OpenVPN」をご覧ください。
基本設定
認証に利用するLDAPサーバーの登録は次の手順で行います。以下の設定はLDAPサーバーとしてActive Directoryのドメインコントローラーを想定しています。
実際の設定内容は、ご使用になるLDAPサーバーの種類や設定、環境などに応じて適宜調整してください。
- ldap-serverコマンドで任意の登録名を指定し、LDAPサーバーモードに移動します。
接続先などの具体的な設定項目は、同モードの各コマンドで指定します。
awplus(config)# ldap-server our_directory
- LDAPサーバーのホスト名かIPv4/IPv6アドレスを指定します。これにはhostコマンドを使います。
awplus(config-ldap-server)# host 192.168.10.3
- LDAPサーバー上で情報の検索ができる管理者ユーザーの識別名(ルートDN)とパスワードを指定します。これにはbind authenticate root-dnコマンドを使います。
awplus(config-ldap-server)# bind authenticate root-dn cn=Administrator,cn=Users,dc=example,dc=local password 1ih3eaToo
- LDAPディレクトリーツリー上の検索起点となるノードの識別子(ベースDN)を指定します。これにはbase-dnコマンドを使います。
awplus(config-ldap-server)# base-dn dc=example,dc=local
- 認証対象ユーザーの情報をユーザー名で検索するときに使う照合用のLDAP属性はlogin-attributeコマンドで変更できます。初期設定ではuid属性を使いますが、Active Directory環境で一般的な sAMAccountName属性を使う場合は次のように設定します。
awplus(config-ldap-server)# login-attribute sAMAccountName
基本設定は以上です。
初期状態では、LDAP標準のTCPポート389番に接続しますが、これを変更したい場合はportコマンドを使用します。
awplus(config-ldap-server)# port 18389
LDAPサーバーとの通信に関するパラメーター(応答待ち時間、再送回数など)はtimeout、retransmitコマンドで変更できます。次の例では、応答待ち時間を10秒、再送回数を5回に設定しています。初期設定はそれぞれ5秒と3回です。
awplus(config-ldap-server)# timeout 10 awplus(config-ldap-server)# retransmit 5
複数のLDAPサーバーを登録する場合は、deadtimeコマンドで無応答のLDAPサーバーへの要求送信抑制期間を設定してください。
awplus(config-ldap-server)# deadtime 1
LDAPサーバーの登録を解除するには、ldap-serverコマンドをno形式で実行します。
awplus(config)# no ldap-server our_directory
登録されているLDAPサーバーの一覧は、show ldap server groupコマンドで確認できます。
awplus# show ldap server group
登録したLDAPサーバーの使用
LDAPサーバーは登録しただけでは使用されません。OpenVPNの設定において、LDAPサーバーを使用するよう指定して初めてLDAPクライアント機能が働き、登録されているLDAPサーバーへのアクセスが発生します。
OpenVPN認証で使用するLDAPサーバーは、aaa authentication openvpnコマンドで指定します。
「group ldap」は「ldap-serverコマンドで登録したLDAPサーバーを登録順に使う」の意味です。
awplus(config)# aaa authentication openvpn default group ldap
OpenVPNの詳細は「VPN」/「OpenVPN」をご覧ください。
各機能が使用するLDAPユーザー属性
OpenVPNでは、以下のLDAPユーザー属性を使用します。LDAPサーバーには、ユーザーごとに各機能で必要な属性を定義してください。
| OpenVPN | msRADIUSFramedIPAddress | 整数 | 不可 | クライアントに設定するIPv4アドレス。 「192.168.1.3」=「-1062731517」のように4バイトの符号付き整数としてあらわす(表外注を参照)。 RADIUS属性 Framed-IP-Address (8) に対応 Windows管理ツール「Active Directory ユーザーとコンピューター」の「ダイヤルイン」タブで「静的IPアドレスを割り当てる」にチェックを入れ、「静的IPアドレス」ボタンを押して、「静的IPv4アドレスを割り当てる」欄に10進ドット形式のIPv4アドレスを入力することで設定可能 |
| OpenVPN | msRADIUSFramedRoute | 文字列 | 可 | クライアントに設定するIPv4スタティック経路情報。 RFC2865にしたがい「10.1.1.0/24 192.168.1.1 1」または「10.1.1.0 255.255.255.0 192.168.1.1 1」のような形式で指定する。 RADIUS属性 Framed-Route (22) に対応 Windows管理ツール「Active Directory ユーザーとコンピューター」の「ダイヤルイン」タブ「静的ルートを適用」にチェックを入れ、「静的ルート」ダイアログの「ルートの追加」ボタンを押して、「IPv4ルートを割り当てる」>「宛先」、「ネットワークマスク」、「コストメトリック」欄に入力することで設定可能 |
| OpenVPN | msRADIUS-FramedIpv6Prefix | 文字列 | 不可 | クライアントに設定するIPv6プレフィックス。 RFC3162にしたがい「2001:1::/64」のような形式で指定する(インターフェースIDは自動設定される)。 RADIUS属性 Framed-IPv6-Prefix (97) に対応 Windows管理ツール「Active Directory ユーザーとコンピューター」の「ダイヤルイン」タブ「静的IPアドレスを割り当てる」にチェックを入れ、「静的IPアドレス」ボタンを押して、「静的IPv6アドレスを割り当てる」>「プレフィックス」欄に入力することで設定可能 |
| OpenVPN | msRADIUS-FramedIpv6Route | 文字列 | 可 | クライアントに設定するIPv6スタティック経路情報。 RFC3162にしたがい「2001:db8:1:2::/64 2001:db8:1:1::1 1」のような形式で指定する。 RADIUS属性 Framed-IPv6-Route (99) に対応 Windows管理ツール「Active Directory ユーザーとコンピューター」の「ダイヤルイン」タブ「静的ルートを適用」にチェックを入れ、「静的ルート」ダイアログの「ルートの追加」ボタンを押して、「IPv6ルートを割り当てる」>「アドレス」、「プレフィックス」、「コストメトリック」欄に入力することで設定可能 |