[index] AT-RADgate(AT-VST-APL/AT-VST-VRT版) リファレンスマニュアル 1.1.0

クイックツアー / ポート認証の各認証方法の認証ポリシー設定


一般的なポート認証でRADIUSプロトコルにて認証を行うケースは、以下の認証方法が挙げられます。
どの認証方法においても正しく認証システムを構築するには、AT-RADgateに認証ポリシーを登録する必要があります。

AT-RADgateの認証ポリシーの登録方法

ここでは以下のケースにおけるAT-RADgateの設定(主に認証ポリシー)の登録方法を記載します。

MACベース認証、802.1X認証、Web認証

各認証方法の認証ポリシーの登録は、以下の流れで行います。
ユーザーの認証ポリシーは、802.1X認証とWeb認証ではログイン名とパスワード、MACベース認証ではログイン名とパスワードにサプリカントのMACアドレスを登録します。MACアドレスを登録する場合の形式(ログイン名とパスワード)は、NASが送信する形式に合わせてください。
 
本設定では以下の構成を想定しています。各製品の基本設定は完了しているものとします。
なおNASにはダイナミックVLANの機能があることを想定しています。
 

NASとサプリカントの情報は以下です。
表 1:情報
NAS1
IPアドレス 192.168.10.10/24
事前共有鍵(キー) secret1
NAS2
IPアドレス 192.168.10.20/24
事前共有鍵(キー) secret2
NAS3
IPアドレス 192.168.10.30/24
事前共有鍵(キー) secret3
サプリカント1(802.1X認証)
ログイン名 user1
パスワード passwd1
ネットワーク vlan10
サプリカント2(Web認証)
ログイン名 user2
パスワード passwd2
ネットワーク vlan20
サプリカント3(MACベース認証)
ログイン名 00-00-00-00-00-01
パスワード 00-00-00-00-00-01
ネットワーク vlan30

NASの登録

「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 2:NASの登録
IPv4 アドレス NAS1のIPアドレス「192.168.10.10」を設定します。
事前共有鍵(PSK) 事前共有鍵(キー)です。NAS1に設定した「secret1」を設定します。
NAS1と同様にNAS2とNAS3も登録します。

ユーザーの登録

各サプリカントの情報を設定します。サプリカントごとに接続させるネットワーク(VLAN)を指定しますが、実際にネットワークを指定するのは「サプリカントプロファイル」で行います。ここでは「ユーザー」と「サプリカントプロファイル」を紐付けるために「タグ」を使用します。
「ポリシー管理 / ユーザー」画面の右上の「追加」ボタンをクリックすると、「ユーザー追加」ダイアログが表示されます。

表 3:ユーザーの登録
ログイン名 サプリカント1のログイン名「user1」を設定します。
パスワード サプリカント1のパスワード「passwd1」を設定します。
タグ サプリカント1が接続するネットワークの「vlan10」を設定します。この「vlan10」は「サプリカントプロファイル」にも設定します。
サプリカント1と同様にサプリカント2とサプリカント3も登録します。

サプリカントプロファイルの登録

サプリカントプロファイルを登録して各サプリカントが接続するネットワーク(VLAN)を指定します。
前述のとおり「ユーザー」と「サプリカントプロファイル」を紐付けるために「タグ」を使用します。
Note
今回のケースでは、優先度は同じ数値でも意図した動作になりますが、明解にするために別々の数値にしています。
「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。サプリカント1用のサプリカントプロファイルを設定します。

表 4:サプリカントプロファイルの登録
サプリカント1用
名称 Network10
優先度 10
条件 / デバイス 全ての端末
条件 / タグ vlan10
設定 / アクション 通過
設定 / VLAN 10
 
サプリカント1用と同様にサプリカント2用とサプリカント3用も登録します。
表 5:サプリカントプロファイルの登録
サプリカント2用
名称 Network20
優先度 11
条件 / デバイス 全ての端末
条件 / タグ vlan20
設定 / アクション 通過
設定 / VLAN 20
サプリカント3用
名称 Network30
優先度 12
条件 / デバイス 全ての端末
条件 / タグ vlan30
設定 / アクション 通過
設定 / VLAN 30

設定は以上です。

Windows Active Directory連携

AT-RADgateはRADIUS認証において、自身のユーザーの認証ポリシーではなくWindows Active Directory連携でWindows Serverに問い合わせを行い、Windows Serverのデータベースを用いてユーザー認証を行うことができます。
Note
Windows Active Directory連携で認証を行ったサプリカントが接続するネットワークを、サプリカントごとに分けることはできません。
設定は、以下の流れで行います。
本設定では以下の構成を想定しています。各製品の基本設定は完了しているものとします。
なおNASにはダイナミックVLANの機能があることを想定しています。
 

Windows Server、NAS、各認証方法のサプリカントの情報は以下です。
表 6:情報
ドメイン名 radgate.co.jp
NetBIOS名 radgate
文字セット CP1252
ユーザー名 administrator
パスワード Password1!
Note
本設定はデフォルトの「CP1252」を使用してください。変更は本バージョンでは未サポートです。
表 7:設定例
NAS1
IPアドレス 192.168.10.10/24
事前共有鍵(キー) secret1
NAS2
IPアドレス 192.168.10.20/24
事前共有鍵(キー) secret2
表 8:設定例
サプリカント1(802.1X認証)
ログイン名 user1
パスワード passwd1
ネットワーク vlan10
サプリカント2(Web認証)
ログイン名 user2
パスワード passwd2
ネットワーク vlan10

Windows Active Directoryの設定

「RADIUS管理 / Active Directory設定」画面の右の「編集」ボタンをクリックすると、ADドメイン情報を設定する画面が表示されます。

以下の情報を設定し、「参加」ボタンをクリックします。
表 9:ADドメイン情報の設定
ドメイン名 radgate.co.jp
NetBIOS名 radgate
文字セット CP1252(デフォルト)
「ドメインコントローラー管理者アカウント」ダイアログが表示されます。

ユーザー名とパスワードに以下の情報を入力し、「参加」→「OK」ボタンをクリックします。
なお、パスワードは画面に表示されません。
表 10:入力内容
ユーザー名 administrator
パスワード Password1!

NASの登録

「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 11:NASの登録
IPv4 アドレス NAS1のIPアドレス「192.168.10.10」を設定します。
事前共有鍵(PSK) 事前共有鍵(キー)です。NAS1に設定した「secret1」を設定します。
NAS1と同様にNAS2も登録します。

サプリカントプロファイルの登録

サプリカントプロファイルを登録してサプリカントが接続するネットワーク(VLAN)を指定します。
Note
Windows Active Directory連携で認証を行ったサプリカントが接続するネットワークをサプリカントごとに分けることはできないため、サプリカントプロファイルの登録は1つです。
「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。

表 12:サプリカントプロファイルの登録
名称 Network10
優先度 7(デフォルト)
条件 / デバイス 全ての端末
設定 / アクション 通過
設定 / VLAN 10

設定は以上です。

AlliedWare Plus(Wi-FiルーターのAT-TQRを含む)シリーズと無線LANアクセスポイントのTQシリーズ

弊社製品のAlliedWare Plus(Wi-FiルーターのAT-TQRを含む)シリーズと無線LANアクセスポイントのTQシリーズは、認証要求メッセージのUser-Name属性にMACアドレスが格納されるため、端末認証とMACベース認証が有効の場合は端末認証を行います。端末認証を行うためには「ポリシー管理 / NASプロファイル」画面で登録するNASプロファイルに「ユーザー認証に加えて、端末認証を有効にする。」と「MACベース認証を有効にする。」の双方のチェックボックスにチェックがあり、かつそのNASプロファイルがサプリカントの認証を行うNASに設定されている必要があります。端末認証を行うと「ステータス確認 / 端末」画面でサプリカントの認証の状態が確認できます。なお、MACベース認証要求を受けた場合は、ユーザー認証を行わず端末認証のみを行います。
Note
「ステータス確認 / 端末」画面ではサプリカントの認証状態の確認以外にサプリカントの切断も行えます。サプリカントの切断はAT-RADgateがRADIUS Dynamic AuthorizationのDisconnectメッセージをNASに送信して行います。サプリカントの切断に対応している製品・機能は以下です。

 AlliedWare Plus(Wi-FiルーターのAT-TQR以外)シリーズ:MACベース認証、802.1X認証、Web認証(radius dynamic-authorization-clientの設定が必要)
 AlliedWare Plus(Wi-FiルーターのAT-TQR)シリーズ:MACベース認証(MAC認証)のみ(mac-auth radius dynamic-authorization-clientの設定が必要)
各認証方法における認証ポリシーの確認順は以下のとおりです。
Note
各認証方式の説明や認証ポリシーの登録方法は「クイックツアー / ポート認証の各認証方法の認証ポリシー設定」もあわせてご確認ください。

MACベース認証、802.1X認証、Web認証

各認証方法の認証ポリシーの登録は、以下の流れで行います。
ユーザーの認証ポリシーは、802.1X認証とWeb認証ではログイン名とパスワードを登録します。MACベース認証ではユーザーの認証ポリシーの登録は不要です。
本設定では以下の構成を想定しています。各製品の基本設定は完了しているものとします。
なおNASにはダイナミックVLANの機能があることを想定しています。
 

NASと各認証方法のサプリカントの情報は以下です。
表 13:情報
NAS1
IPアドレス 192.168.10.10/24
事前共有鍵(キー) secret1
NAS2
IPアドレス 192.168.10.20/24
事前共有鍵(キー) secret2
NAS3
IPアドレス 192.168.10.30/24
事前共有鍵(キー) secret3
サプリカント1(802.1X認証)
MACアドレス 00-00-00-00-00-01
ログイン名 user1
パスワード passwd1
ネットワーク vlan10
サプリカント2(Web認証)
MACアドレス 00-00-00-00-00-02
ログイン名 user2
パスワード passwd2
ネットワーク vlan20
サプリカント3(MACベース認証)
MACアドレス 00-00-00-00-00-03
ネットワーク vlan30

NASプロファイルの登録

「ポリシー管理 / NASプロファイル」画面の右上の「追加」ボタンをクリックすると、「NASプロファイル追加」ダイアログが表示されます。

表 14:NASプロファイルの登録
名称 NASプロファイルの名称です。「AlliedTelesis」を設定します。
ユーザー認証に加えて、端末認証を有効にする。 チェックボックスにチェックを入れます。
MACベース認証を有効にする。 チェックボックスにチェックを入れます。

NASの登録

「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 15:NASの登録
IPv4 アドレス NAS1のIPアドレス「192.168.10.10」を設定します。
事前共有鍵(PSK) 事前共有鍵(キー)です。NAS1に設定した「secret1」を設定します。
プロファイル 割り当てするNASプロファイルです。設定した「AlliedTelesis」を選択します。
NAS1と同様にNAS2とNAS3も登録します。

ユーザーの登録

各サプリカントの情報を設定します。サプリカントごとに接続させるネットワーク(VLAN)を指定しますが、実際にネットワークを指定するのは「サプリカントプロファイル」で行います。各サプリカントと「サプリカントプロファイル」を紐付けるために「タグ」を使用しますが、端末認証を行うため各サプリカントのMACアドレスは端末の認証ポリシーを登録します。そのため、今回のケースではユーザーの認証ポリシーに「タグ」は設定せずに端末の認証ポリシーで「タグ」を設定します。
 
なお、MACベース認証を行うサプリカント3は、ユーザー認証を行わず端末認証のみを行うためユーザーの登録は不要です。
 
「ポリシー管理 / ユーザー」画面の右上の「追加」ボタンをクリックすると、「ユーザー追加」ダイアログが表示されます。

表 16:ユーザーの登録
ログイン名 サプリカント1のログイン名「user1」を設定します。
パスワード サプリカント1のパスワード「passwd1」を設定します。
サプリカント1と同様にサプリカント2も登録します。

端末の登録

「ポリシー管理 / 端末」画面の右上の「追加」ボタンをクリックすると、「端末追加」ダイアログが表示されます。

表 17:端末の登録
MAC アドレス サプリカント1のMACアドレス「00-00-00-00-00-01」を設定します。
なお、MACアドレスの書式は以下が入力可能です。
 00:00:00:00:00:01
 00-00-00-00-00-01
 0000.0000.0001
 000000000001
タグ サプリカント1が接続するネットワークの「vlan10」を設定します。この「vlan10」は「サプリカントプロファイル」にも設定します。
サプリカント1と同様にサプリカント2とサプリカント3も登録します。

サプリカントプロファイルの登録

サプリカントプロファイルを登録して各サプリカントが接続するネットワーク(VLAN)を指定します。
前述のとおり「端末」と「サプリカントプロファイル」を紐付けるために「タグ」を使用します。
 
なお、端末の認証ポリシーに各サプリカントを登録していますので、サプリカントプロファイルの条件は「登録済み端末」を設定します。
Note
今回のケースでは、優先度は同じ数値でも意図した動作になりますが、明解にするために別々の数値にしています。
「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。サプリカント1用のサプリカントプロファイルを設定します。

表 18:サプリカントプロファイルの登録
サプリカント1用
名称 Network10
優先度 10
条件 / デバイス 登録済み端末
条件 / タグ vlan10
設定 / アクション 通過
設定 / VLAN 10
サプリカント1用と同様にサプリカント2用とサプリカント3用も登録します。
表 19:サプリカントプロファイルの登録
サプリカント2用
名称 Network20
優先度 11
条件 / デバイス 登録済み端末
条件 / タグ vlan20
設定 / アクション 通過
設定 / VLAN 20
サプリカント3用
名称 Network30
優先度 12
条件 / デバイス 登録済み端末
条件 / タグ vlan30
設定 / アクション 通過
設定 / VLAN 30

設定は以上です。
 
端末認証とMACベース認証を有効にしているため「ステータス確認 / 端末」画面でサプリカントの認証状態を確認できます。

インテリジェント・エッジ・セキュリティー(IES)

インテリジェント・エッジ・セキュリティー(IES)は弊社製品のAlliedWare Plus(Wi-FiルーターのAT-TQRを含む)シリーズがサポートするMACベース認証を使用して、Vista Manager EXにてサプリカント(エンドポイント)の通信の可否を一元的に管理できます。なお、AT-RADgateはインテリジェント・エッジ・セキュリティーの認証サーバー(RADIUSサーバー)として使用することができます。
 
インテリジェント・エッジ・セキュリティーはVista Manager EXで操作を行いますが、以下の認証ポリシーはAT-RADgateの「ポリシー管理」側で登録する必要があります。なお、構成にNASを追加する場合もAT-RADgate側で登録を行ってください。
Note
インテリジェント・エッジ・セキュリティーではAT-RADgateの端末認証を使用します。そのためNASプロファイルの「ユーザー認証に加えて、端末認証を有効にする。」と「MACベース認証を有効にする。」の双方のチェックボックスにチェックし、そのNASプロファイルをサプリカントの認証を行うNASに設定します。
Note
インテリジェント・エッジ・セキュリティーの操作は、Vista Manager EXのリファレンスマニュアルをご参照ください。
AT-RADgateの「ポリシー管理」画面で「端末」と「サプリカントプロファイル」の登録は行わないでください。これらはVista Manager EXの「資産管理」画面の「エンドポイント」タブでの操作や「ネットワークサービス / RADIUS」画面の「ユーザー」と「グループ」で追加されたものがAT-RADgateに登録されます。
なお、Vista Manager EXとAT-RADgateでは項目名が異なりますが、それぞれの対応は以下です。
表 20:対応表
Vista Manager EX
「ネットワークサービス / RADIUS」画面 		AT-RADgate
「ポリシー管理」画面
ユーザー 端末
グループ サプリカントプロファイル
Note
Vista Manager EXの操作によって追加された「ユーザー」と「グループ」はAT-RADgateの「端末」と「サプリカントプロファイル」に登録されますが、AT-RADgateに登録されたあとにVista Manager EXやAT-RADgateで再起動等が発生しても再度登録する必要はありません。
設定は、以下の流れで行います。
Note
実際にインテリジェント・エッジ・セキュリティーを使用する場合は、上記の設定後にVista Manager EXで操作を行います。
本設定では以下の構成を想定しています。各製品の基本設定は完了しているものとします。
 

NASとAT-RADgateの情報は以下です。
表 21:情報
NAS1
IPアドレス 192.168.10.10/24
事前共有鍵(キー) secret
NAS2
IPアドレス 192.168.10.20/24
事前共有鍵(キー) secret
AT-RADgate
ユーザー名 manager
パスワード friend
IP アドレス 192.168.10.100/24

Vista Manager EXの「システム管理 / 設定」画面でAT-RADgateを有効

Vista Manager EXの「システム管理 / 設定」画面のオプション機能で、AT-RADgateを「有効」に設定します。

Vista Manager EXの「ネットワークサービス / RADIUS」画面でAT-RADgateを登録

Vista Manager EXの「ネットワークサービス / RADIUS」画面の「外部サーバーを追加」ボタンをクリックすると「外部サーバーを追加」ダイアログが表示されます。
以下の情報を設定し、「サーバーを登録」ボタンをクリックします。
表 22:外部サーバーの登録
ユーザー名 manager
パスワード friend
IP アドレス 192.168.10.100



Vista Manager EXの「ネットワークサービス / RADIUS」画面で共有パスワードを設定

Vista Manager EXの「ネットワークサービス / RADIUS」画面の「共有パスワード」ボタンをクリックすると「認証共有パスワード」ダイアログが表示されます。

表 23:共有パスワードの登録
共有パスワード 事前共有鍵(キー)です。NAS1とNAS2に設定した「secret」を設定します。

NASプロファイルの登録

「ポリシー管理 / NASプロファイル」画面の右上の「追加」ボタンをクリックすると、「NASプロファイル追加」ダイアログが表示されます。

表 24:NASプロファイルの登録
名称 NASプロファイルの名称です。「AlliedTelesis」を設定します。
ユーザー認証に加えて、端末認証を有効にする。 チェックボックスにチェックを入れます。
MACベース認証を有効にする。 チェックボックスにチェックを入れます。

NASの登録

「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 25:NASの登録
IPv4 アドレス NAS1のIPアドレス「192.168.10.10」を設定します。
事前共有鍵(PSK) 事前共有鍵(キー)です。NAS1に設定した「secret」を設定します。
プロファイル 割り当てするNASプロファイルです。設定した「AlliedTelesis」を選択します。
NAS1と同様にNAS2も登録します。

設定は以上です。
 
実際のサプリカントの登録は、Vista Manager EXの「資産管理」画面の「エンドポイント」タブでの操作や「ネットワークサービス / RADIUS」画面の「ユーザー」と「グループ」で行います。
 
なお、AT-RADgateで端末認証とMACベース認証を有効にしているため、AT-RADgateの「ステータス確認 / 端末」画面でサプリカントの認証状態を確認できます。

(C) 2025 アライドテレシスホールディングス株式会社

PN: 613-003358 Rev.B