[index] AT-RADgate(AT-VST-APL/AT-VST-VRT版) リファレンスマニュアル 1.1.0
| 用語 | 説明 |
|---|---|
| RADIUSサーバー | RADIUS(Remote Authentication Dial In User Service)プロトコルを使って、認証サービスを提供するサーバーです。AT-RADgateの基本機能です。 |
| NAS(Network Access Server) RADIUSクライアント |
端末を接続するインターフェースを持ち、RADIUSサーバーに対して認証要求を送信する機器です。AT-RADgateではNASと呼びます。 弊社製品で構成するネットワークでは、AW+に対応したエッジスイッチ、無線LANアクセスポイントなどがNASとして使用できます。 |
| 端末 | NASに接続する端末です。サプリカント、エンドポイントとも呼びます。 |
| 認証 | NASからの認証要求に対して、認証対象のユーザーまたは端末の正当性を確認するRADIUSサーバーの処理を指します。 |
| 認可 | 認証に成功したユーザーまたは端末に対して、割り当てる権限を決定するRADIUSサーバーの処理を指します。 |
| 認証ポリシー | 正当で承認すべき要求かどうかを判断するために、AT-RADgateが利用するルールを指します。 認証ポリシーは、ユーザーポリシー、端末ポリシー、NASポリシー、NASプロファイルポリシー、サプリカントプロファイルポリシーの5つに分類され、認証・認可に使用することができます。 |
Note常にすべての認証プロトコルが有効になっています。無効にはできません。
| 処理 | 目的 |
|---|---|
| 認証 | 認証対象のユーザーまたは端末の正当性を確認する |
| 認可 | 認証対象のユーザーまたは端末に割り当てる権限を決定する |
| ポリシー名 | 説明 |
|---|---|
| ユーザー | アクセス制御対象のユーザーを定義します。ユーザー認証で参照されユーザー名とパスワードが一致したユーザーに設定された属性値が割り当てられます。どのポリシーとも一致しないユーザーは認証失敗となります。 |
| 端末 | アクセス制御対象の端末を定義します。端末認証で参照され、MACアドレスが一致した端末に設定された属性値が割り当てられます。どのポリシーとも一致しない端末は、未登録端末の属性が割り当てられます。 |
| NAS | ユーザーまたは端末のアクセス制御を行う装置を定義します。 |
| NASプロファイル | NASの設定パラメーターを定義します。 |
| サプリカントプロファイル | 承認されたサプリカントに割り当てるパラメーターを定義します。 |
Note端末認証は、端末認証設定とMACベース認証設定が有効なNASが送信した認証要求メッセージのUser-Name属性にMACアドレスを表す文字列が格納されていた場合に、AT-RADgateの端末ポリシーとの照合を行い実施します。認証に成功した場合は、端末に対して認証済み端末の属性が割り当てられます。認証に失敗した場合は、未登録端末の属性が割り当てられます。MACベース認証要求は、受信した認証要求メッセージが下記の要件を満たした要求です。
・PAPまたはEAP-MD5方式のメッセージ
・User-Nameの値がMACアドレスを表す文字列
Note■ アクセスレベルサプリカントパラメーターの内容はAT-RADgate内部で使用するため確認することはできません。
Noteサプリカントパラメーター一致条件には、このプロファイルを適用するサプリカントの条件が設定されます。設定可能な条件は下記のとおりです。サプリカントプロファイルの優先度が同一の場合、どのサプリカントプロファイルから順に照合が行われるかどうかは不定です。そのため条件を明示的に分ける場合は、優先度を別の値で設定するようにしてください。