[index] AT-RADgate(AT-VST-APL/AT-VST-VRT版) リファレンスマニュアル 1.0.0
| ユーザー認証 | 端末認証 | |
|---|---|---|
| MACベース認証 | - | ○ |
| IEEE 802.1X認証 | ○ | ○ |
| Web認証 | ○ | ○ |
Noteユーザー認証、端末認証の設定の流れは下記となります。AW+には1つのサプリカントに対してユーザー認証と端末認証を強制する2ステップ認証機能がありますが、2ステップ認証の機能は1つのサプリカントに対し、MACベース認証とIEEE 802.1X認証またはWeb認証の計2回認証処理を行う機能で、本機能とは異なります。本機能は、IEEE 802.1X認証またはWeb認証処理の過程で同時に端末認証を行う機能で、AW+側には特別な設定は不要となります。
| 項目 | 説明 |
|---|---|
| IPv4 アドレス | NASのIPアドレスです。 |
| 事前共有鍵(PSK) | 事前共有鍵(キー)です。NASに設定したものと同じにする必要があります。 |
| タグ | このNASの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。 |
| 項目 | 説明 |
|---|---|
| ログイン名・パスワード | 認証で使用するユーザーのアカウント名とパスワードを入力します。 |
| アクセスレベル | このユーザーの権限の強さを設定することができます。ここで拒否を設定されたユーザーは、認証要求の内容が正しくてもアクセスが拒否されるようになります。Noteサプリカントプロファイルを設定することによって、動作の変更が可能です。 |
| タグ | このユーザーの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。 |
NoteAT-RADgateはサプリカントプロファイル機能を提供します。この機能を利用することにより、認証済みサプリカントに対して追加の設定を行えます。アクセスレベルとタグはサプリカントプロファイル機能と併用することにより、複数のサプリカントに対し同じ設定を簡単に適用できます。
NoteRADIUSサーバーは受信したメッセージの送信元(NAS)の認証を行います。その過程で不正な送信元が送信したメッセージは破棄されます。端末認証のNASとして登録するネットワーク装置は、認証要求メッセージのCalling-Station-Id属性フィールドに認証要求元の端末のMACアドレスを格納しなければなりません。弊社のAW+スイッチおよび無線LANアクセスポイントはその要件を満たすため、端末認証のNASとして登録することができます。
| 項目 | 説明 |
|---|---|
| 名称 | NASプロファイルの名前です。 |
| 端末認証を有効にする。 | チェックボックスにチェックを入れます。 |
| 項目 | 説明 |
|---|---|
| IPv4 アドレス | NASのIPアドレスです。 |
| 事前共有鍵(PSK) | 事前共有鍵(キー)です。NASに設定したものと同じにする必要があります。 |
| プロファイル | 最初に作成した「AW-Plus」のNASプロファイルを選択します。 |
| タグ | このNASの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。 |
| 項目 | 説明 |
|---|---|
| ログイン名・パスワード | 認証で使用するユーザーのアカウント名とパスワードを入力します。 |
| アクセスレベル | このユーザーの権限の強さを設定することができます。ここで拒否を設定されたユーザーは、認証要求の内容が正しくてもアクセスが拒否されるようになります。Noteサプリカントプロファイルを設定することによって、動作の変更が可能です。 |
| タグ | このユーザーの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。 |
NoteAT-RADgateはサプリカントプロファイル機能を提供します。この機能を利用することにより、認証済みサプリカントに対して追加の設定を行えます。アクセスレベルとタグはサプリカントプロファイル機能と併用することにより、複数のサプリカントに対し同じ設定を簡単に適用できます。
Note弊社のAW+スイッチのMACベース認証機能と併用する場合、ユーザーの登録は必要ありません。 また端末認証が有効であるときAT-RADgateは認証要求メッセージを解析し、それがMACベース認証要求かどうかの判別を自動で行うので、MACベース認証を有効にするための追加の設定も不要です。
| 項目 | 説明 |
|---|---|
| MACアドレス | 認証対象の端末のMACアドレスを入力します。 |
| デバイス名 | 認証対象の端末のデバイス名を入力します。複数の端末に同じデバイス名を付与することができます。 |
| アクセスレベル | このユーザーの権限の強さを設定することができます。ここで拒否を設定された端末は、認証要求の内容が正しくてもアクセスが拒否されるようになります。Noteサプリカントプロファイルを設定することによって、動作の変更が可能です。 |
| タグ | この端末の所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。 |
NoteAT-RADgateはサプリカントプロファイル機能を提供します。この機能を利用することにより、認証済みサプリカントに対して追加の設定を行えます。アクセスレベルとタグはサプリカントプロファイル機能と併用することにより、複数のサプリカントに対し同じ設定を簡単に適用できます。
| 項目 | 設定値 |
|---|---|
| 条件 / デバイス | 登録済み端末 |
| 設定 / アクション | 通過 |
| 設定 / VLAN | vlan10 |
| 項目 | 設定値 |
|---|---|
| 条件 / アクセスレベル | 5 |
| 設定 / アクション | 通過 |
| 設定 / VLAN | vlan100 |
| 項目 | 設定値 |
|---|---|
| 条件 / タグ | admin |
| 設定 / アクション | 通過 |
| 設定 / VLAN | vlan200 |
Note「設定 / VLAN」に設定するVLANは、あらかじめネットワーク装置側に設定する必要があります。また設定する値はネットワーク装置側の仕様に依存します。弊社のAW+スイッチの場合はVLAN名またはVLAN IDを指定することができます。
| 項目 | 説明・設定値 |
|---|---|
| 名称 | サプリカントプロファイルの識別子になります。既に登録済みのプロファイルと重複しない名前を設定してください。 |
| 優先度 | プロファイルを認証済み端末に適用する順番となり、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルが適用されます。 |
| 条件 / デバイス | 登録済み端末 |
| 設定 / アクション | 通過 |
| 設定 / フィルターID | acl-100 |
| 項目 | 説明・設定値 |
|---|---|
| 名称 | サプリカントプロファイルの識別子になります。既に登録済みのプロファイルと重複しない名前を設定してください。 |
| 優先度 | プロファイルを認証済み端末に適用する順番となり、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルが適用されます。 |
| 条件 / デバイス | 登録済み端末 |
| 設定 / アクション | 通過 |
| 設定 / フィルタールール | ip:permit ip any 192.168.10.0/24 ip:deny ip any any |
Noteフィルタールールの書式は、ネットワーク装置の仕様に合わせて設定してください。ただし、複数のルールを記述する場合は改行で区切ってください。