クイックツアー / AT-RADgateの認証

AT-RADgateの認証

AT-RADgateはRADIUS認証プロトコルに従い認証を行います。
RADIUS認証プロトコルは、サーバーまたはネットワークに対する接続認証の集中管理を行うためのプロトコルです。接続を要求するサプリカントと、接続先のサーバーまたはネットワーク機器（NAS）と、認証サーバー（AT-RADgate）で構成されるネットワークで使用されます。
RADIUS認証は基本的に下記の流れで行われます。

サプリカントがNASに接続する。
NASが認証サーバーにサプリカントの認証要求を送信する。認証要求には、接続してきたサプリカントとNAS自身の情報が格納される。
認証サーバーが認証要求の内容を検証し、その結果をNASに送信する。
NASは受信した認証結果に基づきサプリカント接続処理を行う。

認証サーバーの動作

認証サーバーで行われる認証要求の検証処理は、サプリカントの正当性を評価する認証処理と、サプリカントに割り当てる権限を決定する認可の2つに分けることができます。
認証処理ではNASとサプリカントの正当性の評価が行われます。
NASの正当性は、認証要求メッセージの送信元IPアドレスとメッセージに含まれる事前共有鍵情報の照合によって行われます。
AT-RADgateの場合、接続を許可するNASをNASポリシーとして登録できます。AT-RADgateは、NASポリシーの情報に一致しないNASからの認証要求メッセージをすべて破棄し応答も返しません。
サプリカントの正当性は、認証要求メッセージに格納されたユーザー名とパスワード情報の照合によって行われます。
AT-RADgateの場合、自身が管理するユーザーをユーザーポリシーとして登録できます。RADgateは認証ポリシーの情報に一致しないサプリカントの接続要求に対して拒否メッセージを返します。拒否メッセージを受信したNASは通常、ログインプロンプトを再表示しユーザー情報の再入力を促します。
AT-RADgateは不正な端末によるハッキングを抑制するために拒否メッセージを送信する際に一定の遅延時間を挿入します。
AT-RADgateはサプリカント認証を行う際に使用する認証データベースとして自身の認証ポリシーの代わりに、Windows Active Directoryのアカウント情報を使用することができます。
Windows Active Directoryによる認証を行う場合は、AT-RADgateに連携先のWindowsサーバーを登録し、認証プロトコルとしてEAP-PEAPを使用する必要があります。

端末認証

AT-RADgateには端末認証機能が搭載されています。この機能はRADIUSの標準的なユーザー認証に加え、Calling-Station-Id属性に格納されたMACアドレスの検証を行う機能で、弊社のAW+スイッチのポート認証機能、無線LANアクセスポイントのクライアント認証機能と併用することが想定されています。
端末認証機能はNAS単位に有効、無効の設定を行うことができ、デフォルトでは無効になっています。
AT-RADgateは自身が管理する端末を端末ポリシーとして登録することができます。AT-RADgateは、端末認証機能が有効になっているNASが送信した認証要求メッセージのCalling-Station-Id属性にMACアドレスが格納されていた場合、そのMACアドレスが端末ポリシーに登録されているか確認を行います。確認の結果、MACアドレスが未登録の場合でも拒否メッセージの送信は行わず、処理は継続されます。MACアドレスの登録状態は、認可のフェーズで使用されます。

MACベース認証

端末認証が有効なNASが送信した認証要求メッセージのUser-Name属性にMACアドレスが格納されていた場合（認証要求メッセージにCalling-Station-Id属性が含まれる場合、User-Name属性とCalling-Station-Id属性に同じMACアドレスが格納されている必要があります）、AT-RADgateはユーザー認証を行わず、端末認証のみを行います。

認可処理

AT-RADgateの認証ポリシーには、タグとアクセスレベルという概念が存在します。タグはそのポリシーが属するグループを表す文字列で、アクセスレベルはそのポリシーの権限の強さを表す0から15の数値になります。アクセスレベルを表現する数値は、0は接続が許可されないことを表し、1から15は権限の強さを表し、15が最も強い権限になります。
タグはNASポリシー、ユーザーポリシー、端末ポリシーに設定可能で、アクセスレベルはユーザーポリシー、端末ポリシーに設定可能です。
AT-RADgateは認証処理中に認証対象のサプリカントに適合するNASポリシー、ユーザーポリシー、端末ポリシーを見つけています。これらの情報に加え認証要求メッセージの内容を合わせ、サプリカントパラメーターを作成し、そのサプリカントパラメーターに適合するサプリカントプロファイルポリシーを検索し、見つかったプロファイルに格納されている権限の内容をNASに送信するプロセスが認可処理となります。
認可の処理の過程で作成されるサプリカントパラメーターの内容は下記となります。

デバイスのMACアドレス（認証要求メッセージ User-Name属性またはCalling-Station-Id属性）
デバイスの名前（端末ポリシー）
デバイス登録状態（端末ポリシー）
アクセスレベル（ユーザーポリシー、端末ポリシー）
タグ（NASポリシー、ユーザーポリシー、端末ポリシー）

アクセスレベルは設定されているポリシーのうち、最も小さい値が採用されます。もしいずれのポリシーもアクセスレベルが設定されていない場合は1が設定されます。
タグはNASポリシー、ユーザーポリシー、端末ポリシーに設定されているタグをすべて足し合わせたものになります。
作成されたサプリカントパラメーターとサプリカントプロファイルの条件設定を比較し、適用すべきプロファイルを決定します。
サプリカントプロファイルには1から15の優先度が設定されており、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルの内容がサプリカントに与えられる権限になります。
サプリカントプロファイルには下記のアクションが設定されおり、それぞれ下記のように決められた動作を行います。

表 1：アクション
アクション	動作
通過	サプリカントの接続を許可します、VLANが設定されている場合はそのVLANセグメントに接続します。
破棄	サプリカントの接続を拒否します、RADIUSの標準の属性では破棄状態を表現することができないため、現在のAT-RADgateのバージョンでは認証拒否メッセージを送信します。
隔離	サプリカントを隔離状態にします、VLANが設定されている場合はそのVLANセグメントに隔離します。プロファイルにVLAN設定がない場合、システムのデフォルト隔離VLANに隔離します。
未定	サプリカントを未決定状態にします、VLANが設定されている場合はそのVLANセグメントに隔離します。ない場合は破棄と同じ動作を行います。 Note 本バージョンでは未サポートです。
通知	このプロファイルに一致したことを表すイベントログを記録します。このアクションが設定されているプロファイルに一致した場合に限り、プロファイルの評価を継続し、サプリカントに適用すべき権限を探します。

アクションが動作した際に付与できる情報は以下です。

表 2：設定
項目	説明
VLAN	接続先のVLANを設定します。アクションが通過、隔離、未定の場合のみ設定可能です。
フィルターID	サプリカントに適用するトラフィックフィルターのIDを設定します。複数のフィルターを設定する場合は、空白文字で区切ります。
フィルタールール	サプリカントに適用するトラフィックフィルターの内容を設定します。複数のフィルタールールを設定する場合は、改行文字で区切ります。

サプリカントプロファイルポリシーに設定可能な条件は下記となります。

デバイス条件
下記の条件に適合するデバイスに一致します。

表 3：デバイス条件
条件名	説明
全ての端末	すべてのデバイスに一致します。
登録済み端末	端末ポリシーに登録されているデバイスに一致します。
未登録端末	端末ポリシーに未登録のデバイスに一致します。
MACアドレス指定	指定されたMACアドレスを持つデバイスに一致します。
名前指定	指定された名前のデバイスに一致します。

アクセスレベル条件
設定された条件に適合するアクセスレベルを持つサプリカントに一致します。
条件は数値で指定します。

表 4：アクセスレベル条件
設定値の例説明

7 7のみを指定する
タグ条件
設定されたタグをすべて持つサプリカントに一致します。
複数のタグを設定する場合は、空白文字で区切ります。

表 4：アクセスレベル条件
設定値の例	説明
7	7のみを指定する

デフォルトのサプリカントプロファイルポリシー

AT-RADgateでは下記のサプリカントプロファイルポリシーが、ユーザーが設定するプロファイルの優先度より低いポリシーとしてあらかじめ設定されています。ユーザーが登録したサプリカントプロファイルポリシーのいずれとも一致しない場合、これらのポリシーが優先度の小さい順にサプリカントに適用されます。

表 5：デフォルトのポリシー
優先度	条件	アクション
1	未登録デバイス	破棄
2	アクセスレベルが0	破棄
3	アクセスレベルが1以上	通過