リファレンス編 / RADIUS管理

「RADIUS管理」画面は、サブメニューに「一般」「プロキシ設定」「Active Directory設定」「LDAPサーバー設定」があり、それぞれ認証に関連する設定ができます。
ログインしているアカウントに「システム設定の変更を許可する。」の権限が割り当てられている場合にのみ、設定を変更できます。権限が割り当てられていない場合は閲覧のみできます。

一般

RADIUS管理 > 一般
　
「一般」画面では、「User-Name属性設定」と「信頼されたCA証明書」の設定ができます。

User-Name属性設定

RADIUS管理 > 一般 > User-Name属性設定
　
認証時にUser-Name属性のレルム（ドメイン）部分を含めるか・除くかを選択できます。右下の「編集」ボタンをクリックすると、編集モードに移行します。
■ 編集モード

表 1：User-Name属性設定
項目・ボタン名	必須	書式	説明
User-Name属性に'`\`'が含まれる場合 (e.g. DOMAIN`\`user)、レルム（ドメイン）部分を除いて認証する。	－	チェックボックス	チェックボックスにチェックを入れると、User-Name属性に’`\`’が含まれる場合、レルム（ドメイン）部分を除いて認証します。
User-Name属性に'@'が含まれる場合 (e.g. user@domain)、レルム（ドメイン）部分を除いて認証する。	－	チェックボックス	チェックボックスにチェックを入れると、User-Name属性に’@’が含まれる場合、レルム（ドメイン）部分を除いて認証します。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

信頼されたCA証明書

RADIUS管理 > 一般 > 信頼されたCA証明書
　
EAP-TLS認証方式では、パスワードの代わりにSSLクライアント証明書を使用しユーザー認証を行います。認証は受信したSSLクライアント証明書が、AT-RADgateが信頼するCA局によって署名されているかを検証することにより実施されます。このページで、AT-RADgateが信頼するCA局のSSL証明書を管理します。

■ CA証明書のインポート
PEM形式のCA証明書をアップロードできます。「インポート」ボタンをクリックした画面で、CA証明書を選択してください。CA証明書のインポートに成功するとリストに追加され、CA証明書の説明、「詳細」ボタン、「削除」ボタンが表示されます。

表 2：信頼されたCA証明書
項目・ボタン名	説明
一般名称 (CN)	証明書の一般名称フィールドの値です。
発効日	証明書の発行日です。
有効期限	証明書の有効期限です。
「インポート」ボタン	CA証明書をアップロードします。
「詳細」ボタン	「証明書の詳細」ダイアログを表示します。
「削除」ボタン	CA証明書を削除します。

証明書の詳細

「信頼されたCA証明書」画面で「詳細」ボタンをクリックすると、「証明書の詳細」ダイアログを表示します。

表 3：証明書の詳細
項目・ボタン名	説明
一般名称 (CN)	証明書の一般名称フィールドの値です。
サブジェクト	証明書の所有者（ユーザーやサーバー）の識別情報です。
シリアル番号	証明書ごとに割り当てられる一意の番号です。
発効日	証明書の発行日です。
有効期限	証明書の有効期限です。
役割	この証明書を使用するAT-RADgateの機能です。
「閉じる」ボタン	「証明書の詳細」ダイアログを閉じます。

プロキシ設定

RADIUS管理 > プロキシ設定
　
RADIUSプロキシ機能の設定を行うことができます。

Note
RADIUSサーバーがRADIUSプロキシからのパケットを受信するためには、「ポリシー管理」/「NAS / RADIUSプロキシ」画面で、RADIUSプロキシを登録する必要があります。

Note
CoA/Disconnectパケットのプロキシはサポート対象外です。

一般

RADIUS管理 > プロキシ設定 > 一般
　
受信したRADIUSパケットのUser-Name属性が、このサーバーの認証ポリシーに登録していないユーザーだった場合にのみ転送するかどうかを選択できます。右下の「編集」ボタンをクリックすると、編集モードに移行します。
■ 編集モード

表 4：一般
項目・ボタン名	必須	書式	説明
「このサーバーの認証ポリシーに存在しないユーザーのみ転送する。」	○	チェックボックス	チェックボックスにチェックを入れると、受信した認証リクエストのUser-Name属性がこのサーバーの認証ポリシーに存在していない場合のみ転送対象のパケットとして扱います。最終的に転送するかどうかはプロキシルールによるレルム解析の結果によります。 Note 対象となる認証ポリシーは、ユーザーポリシーと端末ポリシーになります。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

プロキシルール

RADIUS管理 > プロキシ設定 > プロキシルール
　
プロキシルールを管理します。
登録されたプロキシルールの一覧が表示されます。
プロキシルールとは、受信したRADIUSパケットを転送するかどうか、転送するとしたらどのサーバーに転送するかを定義したものです。

表 5：プロキシルール
項目・ボタン名	説明
レルム（ドメイン）	登録したレルムの値が表示されます。User-Name属性のレルム部がこのレルムに該当するかどうかを判断する際に使用されます。
プロキシ	「する」の場合、User-Name属性のレルム部がこのレルムに該当した場合にRADIUSパケットを転送することを意味します。「しない」の場合、User-Name属性のレルム部がこのレルムに該当した場合でも、RADIUSパケットを転送しないことを意味します。
「追加」ボタン	「プロキシルール」ダイアログを開きます。

プロキシルール

プロキシルールの右上の「追加」ボタンをクリックすると、「プロキシルール」ダイアログが表示され、プロキシルールを新規追加できます。既に登録しているプロキシルールの右端の「編集」メニューをクリックすると「プロキシルール」ダイアログが表示され、プロキシルールを編集できます。
この2つのダイアログは共通のフォームを使用しています。

表 6：プロキシルール
項目・ボタン名	必須	書式	説明
条件	－	レルム／レルム無し／デフォルト	「レルム無し」は、区切り文字が存在しないことを意味します（詳細はレルム解析ルールをご参照ください）。「デフォルト」は、該当するレルムが存在しないことを意味します。
レルム（ドメイン）	○	文字列（最大63文字）	「条件」項目で「レルム」を選択した場合にのみ表示され入力できます。「レルム」以外を選択した場合、非表示になります。 A-Za-z0-9._-のいずれかの文字を使用可能です。「LOCAL」「DEFAULT」「NULL」は登録できません。
転送先サーバー	－	－	RADIUSパケットの転送先のサーバーです。「転送先サーバー」設定で登録したIPアドレスの中から選択できます。転送先サーバーを選択し、「追加」ボタンをクリックすることで、転送先サーバーのリストに追加できます。複数の転送先サーバーを登録した場合、リストの一番上が最も優先度が高く、下に行くほど優先度は低くなります。
「追加」ボタン	－	－	「プロキシルール」の転送先サーバーリストに転送先サーバーを追加します。
「削除」ボタン	－	－	「プロキシルール」の転送先サーバーリストから転送先サーバーを削除します。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

レルム

RADIUSプロキシは、受信したRADIUSパケットのUser-Name属性のレルム部を見つけ出し、登録しているプロキシルールのレルムと比較します。該当するプロキシルールがあった場合、そのプロキシルールに紐付いている転送先サーバーにRADIUSパケットを転送します。

レルム区切り文字

User-Name属性のレルム部を見つけ出す際に使用するのが区切り文字です。

表 7：レルム区切り文字
区切り文字	説明
`\`	Realm`\`UserのようなUser-Name属性の場合、`\`より前の部分がレルムになります。
@	User@RealmのようなUser-Name属性の場合、@よりあとの部分がレルムになります。

レルム解析ルール

レルムを決める際のルールは次のとおりです。

該当するレルムが存在しない場合は、「デフォルト」レルムとして扱われます。
「デフォルト」レルムの設定が存在しない場合、プロキシせず自身のサーバーで認証します。
レルムが確定しても、転送先サーバーをレルムに紐付けていない場合、プロキシせず自身のサーバーで認証します。

転送先サーバー

RADIUS管理 > プロキシ設定 > 転送先サーバー
　
転送先サーバーを管理します。
登録した転送先サーバーの一覧が表示されます。
転送先サーバーとは、受信したRADIUSパケットを転送する先のサーバーを定義したものです。

表 8：転送先サーバー
項目・ボタン名	説明
サーバーアドレス	登録した転送先サーバーのIPアドレスです。
「追加」ボタン	「転送先サーバー」ダイアログを表示します。

転送先サーバー

転送先サーバーの右上の「追加」ボタンをクリックすると、「転送先サーバー」ダイアログが表示され、転送先サーバーを新規追加できます。既に登録している転送先サーバーの右端の「編集」メニューをクリックすると「転送先サーバー」ダイアログが表示され、転送先サーバーを編集できます。
この2つのダイアログは共通のフォームを使用しています。

表 9：転送先サーバー
項目・ボタン名	必須	書式	説明
IPv4アドレス	○	IPv4アドレス	転送先サーバーのIPアドレスです。
認証ポート番号	－	1-66535	転送先サーバーが認証パケットを受信するためのポート番号です。未入力で保存した場合、デフォルト値の1812を設定します。
アカウンティングポート番号	－	1-66535	転送先サーバーがアカウンティングパケットを受信するためのポート番号です。未入力で保存した場合、デフォルト値の1813を設定します。
「事前共有鍵の設定」ボタン	－	－	「転送先サーバー」を編集する際のダイアログでのみ表示されます。クリックすると「事前共有鍵」項目が表示され、事前共有鍵を変更できます。
事前共有鍵	○	パスワード	転送先サーバーの事前共有鍵です。
タイムアウト	○	5-60	RADIUSパケットを転送する際に、転送先サーバーからの応答を待機する時間です。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

フェイルオーバー・フェイルバック

RADIUSプロキシでは、転送先サーバーの状態を保持しており、複数の転送先サーバーを登録している場合、優先度の高い転送先サーバーがダウンすると、次に優先度の高い転送先サーバーにフェイルオーバーします。また、ダウンしていた転送先サーバーが復旧した場合、元の優先度に基づき、フェイルバックします。条件は以下のとおりです。
転送先サーバーへのRADIUSパケットの転送が失敗する、あるいは転送したが応答がないまま、タイムアウトの設定値に到達した場合、40秒後にダウン状態とみなし、優先度の低い他の転送先サーバーに転送を試みます。
AT-RADgateは、ダウン状態とみなした転送先サーバーを120秒後に復活したとみなし、再度RADIUSパケットの転送を試みます。

表 10：用語解説
用語	説明
フェイルオーバー	RADIUSプロキシが転送先サーバーとRADIUSパケットのやり取りができなくなったと判断した際に、自動的に待機している次に優先度の高い転送先サーバーに切り替えて処理を継続する機能のことです。
フェイルバック	RADIUSパケットをやり取りできなくなっていた優先度の高い転送先サーバーが復旧した場合に、優先度の低い転送先サーバーから元の優先度の高い転送先サーバーに処理を戻す機能のことです。

Active Directory設定

RADIUS管理 > Active Directory設定
　
RADIUS認証のWindows Active Directory連携で連携するActive Directoryドメインの設定を行います。右下の「編集」ボタンをクリックすると、編集モードに移行します。
Active Directoryドメインが未登録の状態では、「Active Directoryドメインが設定されていません。」のメッセージが表示されます。登録がある場合は、現在登録されているActive Directoryドメインの情報が表示されます。

Note
LDAP認証とWindows Active Directory認証の併用はできません。

■ 編集モード

表 11：ADドメイン情報
項目・ボタン名	必須	書式	説明
ドメイン名	○	文字列（最大255文字）	Active Directoryドメイン名を入力します。
NetBIOS名	○	文字列（最大63文字）	NetBIOS名を入力します。例えば、Active Directoryのドメイン名が「example.co.jp」であれば、NetBIOS名は「EXAMPLE」を入力します。
文字セット	○	文字列	ドメインコントローラーの文字コード設定を入力します。デフォルトは「CP1252」（ラテン 1/西ヨーロッパ）です。日本語の場合は「CP932」（日本語/Shift-JIS）を入力します。 Note 本設定はデフォルト「CP1252」を使用してください。変更は本バージョンでは未サポートです。
「編集」ボタン	－	－	編集を開始します。
「キャンセル」ボタン	－	－	編集を中止します。
「参加」ボタン	－	－	編集内容を保存して、Active Directoryドメインに参加します。

LDAPサーバー設定

RADIUS管理 > LDAPサーバー設定
　
LDAPサーバー認証機能を有効にすると、自身の認証データベースのユーザーポリシーではなく、LDAPサーバーに登録されたユーザー情報を利用してユーザー認証を行うことができます。使用する認証プロトコルは、PAPまたはEAP-TTLS（PAP）です。

Note
LDAPサーバーは、Windows Active Directoryサーバーのみ利用可能です。

Note
LDAPサーバーとRADIUSサーバー間の通信時の証明書検証は行いません。

Note
LDAP認証とWindows Active Directory認証の併用はできません。

LDAPサーバー連携と連携するための設定を行います。右下の「編集」ボタンをクリックすると、編集モードに移行します。
LDAPサーバーが未登録の状態では、「LDAPサーバーが設定されていません。」のメッセージが表示されます。登録がある場合は、現在登録されているLDAPサーバーの情報が表示されます。

■ 編集モード

表 12：LDAPサーバー設定
項目・ボタン名	必須	書式	説明
ホスト名／IPアドレス	○	ホスト名／IPアドレス	LDAPサーバーのホスト名またはIPアドレスです。
ポート番号	○	1-65535	LDAPサーバーのポート番号です。デフォルトのポート番号は389番です。
ベースDN	○	文字列（最大255文字）	LDAPディレクトリ内で検索を始める基点となる識別名です。
バインドDN	○	文字列（最大63文字）	LDAPサーバーへ認証（バインド）する際に使用するユーザーの識別名です。
パスワード	○	文字列（最大63文字）	LDAPサーバーにバインドする際、バインドDN（ユーザー識別名）と組み合わせて認証に使うパスワードです。
「接続テスト」ボタン	－	－	LDAPサーバーに接続できるかどうかをテストします。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。