AT-RADgate（AT-VST-APL/AT-VST-VRT版）リファレンスマニュアル 1.1.0

本マニュアルでは、アプライアンスボックス AT-VST-APLまたはAT-Vista Manager EX同梱の仮想化環境対応ソフトウェア AT-VST-VRT上で動作するRADIUSサーバー「AT-RADgate」の機能と設定画面について詳細に解説しています。AT-RADgateを活用するための参考資料としてご利用ください。

なお、設定をはじめる前に済ませておかなければならないこと、例えば、AT-VST-APLまたはAT-VST-VRTの初期設定、AT-RADgateアプリケーションの設定方法などについては説明しておりません。これらに関しては、弊社ホームページに掲載のAT-VST-APLまたはAT-VST-VRTのマニュアルを参照してください。

はじめに

対象製品とバージョン

本マニュアルは、以下の製品のソフトウェアバージョン「1.1.0」を対象に記述されています。ただし、執筆時には開発中のバージョンを用いたため、画面表示などが実際の製品とは異なる場合があります。また、旧バージョンから機能的な変更がない場合は、画面表示などに旧バージョンのものを使っている場合があります。あらかじめご了承ください。

AT-RADgate アプリケーション（AT-VST-APL版）
AT-RADgate アプリケーション（AT-VST-VRT版）

製品のご使用にあたっては、必ず弊社ホームページに掲載のリリースノートや添付書類をお読みになり、最新の情報をご確認ください。リリースノートや添付書類には、製品のバージョンごとの注意事項や最新情報が記載されています。

サポート機能と制限事項

原則として、本マニュアルに記載されていない機能はサポート対象外です。また、本マニュアルに記載されている機能でも、サポート対象外となることがあります。各バージョンにおける新規機能や機能の変更点、制限事項については、弊社ホームページに掲載のリリースノートや添付書類でご確認ください。

マニュアルの提供形態

本マニュアルはHTML（Hyper Text Markup Language）形式のオンラインマニュアルです。弊社Webサイトにて最新バージョンを見ることができます。印刷物としては提供しておりませんので、必要な場合はHTMLファイルをプリンターで出力してご使用ください。

マニュアルの構成

本マニュアルの構成について説明します。

章構成

本マニュアルの章は、「AT-RADgateの概要」「設定画面へのアクセス」「クイックツアー」「リファレンス編」「付録」に分けられています。
画面上部のフレームに表示されている項目が各章へのリンクです。章名をクリックすると、画面左側のフレームに節（サブメニュー）が表示されます。節のリンクをクリックすると、画面右側のフレームに設定画面などの解説が表示されます。

章構成は次のとおりです。

AT-RADgateの概要
AT-RADgateの概要について説明します。

設定画面へのアクセス
設定画面へのログインとログアウト、ナビゲーションと各設定画面における設定の保存方法について説明します。

クイックツアー
AT-RADgateの設定を行う際の作業の流れを紹介します。

リファレンス編
各設定画面を1つのページで詳細に説明しています。

ポリシー管理	認証ポリシーの閲覧、編集などについて説明しています。
ステータス確認	認証済みサプリカントの閲覧、ネットワークからの切断などについて説明しています。
イベント管理	AT-RADgateのイベントログの閲覧などについて説明しています。
アカウント管理	AT-RADgateの管理者アカウントの閲覧、管理などについて説明しています。
システム管理	AT-RADgateのシステム設定の管理などについて説明しています。

付録
補足的な事がらについて説明します。

表記について

本マニュアルにおける各種表記について説明します。

総称

AT-RADgate
本マニュアルでは、アプライアンスボックス AT-VST-APLまたは仮想化環境対応ソフトウェア AT-VST-VRT上で動作するAT-RADgate アプリケーションを「AT-RADgate」と総称します。

AT-VST-APL
本マニュアルでは、アプライアンスボックス AT-VST-APLを「AT-VST-APL」と総称します。

AT-VST-VRT
本マニュアルでは、仮想化環境対応ソフトウェア AT-VST-VRTを「AT-VST-VRT」と総称します。

AVM EX
本マニュアルでは、ネットワークマネージメントソフトウェア AT-Vista Manager EXのプラグインを除く基本機能を「AVM EX」と総称します。

AW+スイッチ
本マニュアルでは、AT-RADgateが管理するAlliedWare Plusスイッチおよびルーターを「AW+スイッチ」と総称します。

例

設定例では、IPアドレス、ドメイン名、ログイン名、パスワードなどに具体的な文字列や値を使用していますが、これらは例として挙げただけの架空の存在です。実際に運用を行う場合は、お客様の環境におけるものをご使用ください。

また、本書の設定例はあくまでも説明のためのサンプルです。お客様の環境に適した設定を行う際の参考としてください。

ご注意

本書に関する著作権等の知的財産権は、アライドテレシス株式会社（弊社）の親会社であるアライドテレシスホールディングス株式会社が所有しています。
アライドテレシスホールディングス株式会社の同意を得ることなく、本書の全体または一部をコピーまたは転載しないでください。
弊社は、予告なく本書の全体または一部を修正・改訂することがあります。
弊社は改良のため製品の仕様を予告なく変更することがあります。

(C) 2025 アライドテレシスホールディングス株式会社

商標について

CentreCOM、CentreNET、SwitchBlade、TELESYN、AlliedView、VCStackロゴ、EPSRingロゴ、LoopGuardロゴ、PoE plusロゴ、AT-UWC、Allied Telesis Unified Wireless Controller、SecureEnterpriseSDNロゴ、AT-VA、AT-Vista Managerはアライドテレシスホールディングス株式会社の登録商標です。
Windows、MS-DOS、Windows NTは、米国Microsoft Corporationの米国およびその他の国における登録商標です。
その他、この文書に記載されているソフトウェアおよび周辺機器の名称は各メーカーの商標または登録商標です。

マニュアルバージョン

2025年2月 Rev.A（Ver.1.0.0）
2025年6月 Rev.B（Ver.1.1.0）

AT-RADgateの概要 / AT-RADgateについて

AT-RADgateの位置づけ

AT-RADgateは、RADIUS認証サーバーです。
IETF標準規格に準拠した一般的なRADIUSサーバー機能に加え、弊社ネットワーク製品と組み合わせて利用することにより、管理下のネットワークに接続されるクライアントの高度な制御が可能となります。

用語解説

AT-RADgateでは以下の用語を使用しています。

表 1：用語解説
用語	説明
RADIUSサーバー	RADIUS（Remote Authentication Dial In User Service）プロトコルを使って、認証サービスを提供するサーバーです。AT-RADgateの基本機能です。
NAS（Network Access Server） RADIUSクライアント	端末を接続するインターフェースを持ち、RADIUSサーバーに対して認証要求を送信する機器です。AT-RADgateではNASと呼びます。弊社製品で構成するネットワークでは、AW+に対応したエッジスイッチ、無線LANアクセスポイントなどがNASとして使用できます。
端末	NASに接続する端末です。サプリカント、エンドポイントとも呼びます。
認証	NASからの認証要求に対して、認証対象のユーザーまたは端末の正当性を確認するRADIUSサーバーの処理を指します。
認可	認証に成功したユーザーまたは端末に対して、割り当てる権限を決定するRADIUSサーバーの処理を指します。
認証ポリシー	正当で承認すべき要求かどうかを判断するために、AT-RADgateが利用するルールを指します。認証ポリシーは、ユーザーポリシー、端末ポリシー、NASポリシー、NASプロファイルポリシー、サプリカントプロファイルポリシーの5つに分類され、認証・認可に使用することができます。

認証方式

AT-RADgateがサポートする認証方式は以下です。

PAP
EAP-MD5
EAP-PEAP
EAP-TLS
EAP-TTLS（PAP, MS-CHAPv2）

Note
常にすべての認証プロトコルが有効になっています。無効にはできません。

ユーザー認証と端末認証

通常のRADIUS認証は、認証要求メッセージのUser-Name属性に格納されたユーザーの認証を行います。なお、AT-RADgateは認証要求メッセージのUser-Name属性に格納された値がMACアドレスを表す文字列の場合は、MACアドレスによるユーザー端末の認証機能が提供されます。

認証・認可と認証ポリシー

AT-RADgateは登録されたユーザーまたは端末の情報に基づき、登録されたNAS（Network Access Server）からの認証要求の処理を行います。NASとの通信にはRADIUSプロトコルが使用されます。この処理は下記の2つのフェーズから構成されています。

表 2
処理	目的
認証	認証対象のユーザーまたは端末の正当性を確認する
認可	認証対象のユーザーまたは端末に割り当てる権限を決定する

これらの処理は、AT-RADgateに登録されている認証ポリシー、または連携している外部システムのデータベースに基づき実施されます。AT-RADgateの認証ポリシーには、下記の種類のポリシーが定義されています。管理者はポリシーを適切に設定し、ユーザーまたは端末のアクセス制御を行います。

表 3
ポリシー名	説明
ユーザー	アクセス制御対象のユーザーを定義します。ユーザー認証で参照されユーザー名とパスワードが一致したユーザーに設定された属性値が割り当てられます。どのポリシーとも一致しないユーザーは認証失敗となります。
端末	アクセス制御対象の端末を定義します。端末認証で参照され、MACアドレスが一致した端末に設定された属性値が割り当てられます。どのポリシーとも一致しない端末は、未登録端末の属性が割り当てられます。
NAS	ユーザーまたは端末のアクセス制御を行う装置を定義します。
NASプロファイル	NASの設定パラメーターを定義します。
サプリカントプロファイル	承認されたサプリカントに割り当てるパラメーターを定義します。

各ポリシーの詳細を説明します。

NASポリシー

AT-RADgateは受信したRADIUSメッセージの送信元の認証を行い、合格したもののみ処理を行います。認証はメッセージの送信元IPアドレスとメッセージに格納されている事前共有鍵が、NASポリシーに登録されているものと一致するかで判断されます。
また、端末認証機能の有効化もNASポリシーで行います。端末認証を有効にするNASに対して、その設定を行ったNASプロファイルを割り当てると、そのNASが送信する認証要求に対してユーザー認証に加え端末認証処理を行います。

ユーザー認証と端末認証のポリシー

AT-RADgateはユーザー認証と端末認証機能を提供します。認証機能はアクセス要求の発信者であるサプリカントの接続先NAS、接続を行うユーザー、ユーザーが操作している端末を検出し、NASとユーザー情報が認証ポリシーに登録されているものと合致した場合は接続許可を与え、それ以外の場合は接続を拒否する処理になります。
ユーザー認証はIETF標準の認証方式で、下記の特殊なケースを除きすべての認証要求メッセージに対してAT-RADgateのユーザーポリシーとの照合を行い実施します。

Windows Active Directoryと連携設定された状態でEAP-PEAP方式の認証要求を受けた場合、自身の認証ポリシーでなく、Windows Active Directoryのデータベースを用いてユーザー認証を行います。
端末認証が有効でMACベース認証要求を受けた場合、ユーザー認証を行わず、端末認証のみを行います。

Note
MACベース認証要求は、受信した認証要求メッセージが下記の要件を満たした要求です。
・PAPまたはEAP-MD5方式のメッセージ
・User-Nameの値がMACアドレスを表す文字列

端末認証は、端末認証設定とMACベース認証設定が有効なNASが送信した認証要求メッセージのUser-Name属性にMACアドレスを表す文字列が格納されていた場合に、AT-RADgateの端末ポリシーとの照合を行い実施します。認証に成功した場合は、端末に対して認証済み端末の属性が割り当てられます。認証に失敗した場合は、未登録端末の属性が割り当てられます。

認可

AT-RADgateは、認証成功したユーザーまたは端末に対して追加の設定を割り当てることができます。追加の設定はサプリカントプロファイルとして認証ポリシーに登録されます。サプリカントプロファイルには優先度が設定されおり、優先度の高い順に認証済みのユーザーまたは端末と、サプリカントプロファイルの照合が行われ、最初に一致したプロファイルの設定情報がユーザーまたは端末に割り当てられます。

サプリカントパラメーター

アクセス要求を行ったサプリカントは認証処理により、接続先NAS、ユーザー、および端末情報が割り当てられます。これらの情報を合算したものがサプリカントパラメーターであり、認可処理におけるサプリカントプロファイルの照合処理では、このサプリカントパラメーターとの比較が行われます。サプリカントパラメーターは下記のとおりです。

端末MACアドレス
端末名
登録済み端末/未登録端末
アクセスレベル
タグ

Note
サプリカントパラメーターの内容はAT-RADgate内部で使用するため確認することはできません。

■ アクセスレベル
ユーザーポリシーと端末ポリシーに設定可能な0から15までの数字で、ポリシーが示す対象のアクセス権限の強さを表します。0はアクセスが不許可であることを表し、1-15はアクセス可能で数字が大きいほど強い権限が与えられていることを表します。サプリカントに割り当てられたユーザーポリシーと、端末ポリシーに設定されているアクセスレベルのうち、小さい値が採用されます。
■ タグ
NASポリシー、ユーザーポリシー、端末ポリシーに設定可能な文字列で、それぞれのポリシーに複数のタグが設定可能です。ポリシーが示す対象が所属するグループを表します。サプリカントに割り当てられたそれぞれのポリシーが持つすべてのタグをまとめたものが、サプリカントパラメーターのタグになります。

サプリカントプロファイル

サプリカントプロファイルは、主に優先度、サプリカントパラメーター一致条件、サプリカント設定で構成されます。
優先度は1-15の数値で、この値の小さいプロファイルから順番にサプリカントパラメーターとの照合が行われます。

Note
サプリカントプロファイルの優先度が同一の場合、どのサプリカントプロファイルから順に照合が行われるかどうかは不定です。そのため条件を明示的に分ける場合は、優先度を別の値で設定するようにしてください。

サプリカントパラメーター一致条件には、このプロファイルを適用するサプリカントの条件が設定されます。設定可能な条件は下記のとおりです。

全ての端末
端末MACアドレス
登録済み端末
未登録端末
端末名
アクセスレベル
タグ

サプリカント設定に設定可能なパラメーターは下記になります。

アクション
VLAN
フィルターID
フィルタールール

設定画面へのアクセス / 設定の開始

AT-RADgateを使用するための準備

AT-RADgateを使用するには、AT-VST-APLまたはAT-VST-VRTでAT-RADgate アプリケーションが使用できる状態になっている必要があります。
AT-VST-APLの設置および設定方法については、弊社ホームページに掲載されている「AT-VST-APL ユーザーマニュアル」および「AT-VST-APL リファレンスマニュアル」をご参照ください。
AT-VST-VRTの設定方法については、弊社ホームページに掲載されている「AT-VST-VRT リファレンスマニュアル」をご参照ください。

AT-RADgateクライアント要件

AT-RADgateに対する設定は、WebブラウザーからGUI（Graphical User Interface）にアクセスして行います。
AT-RADgateは、下記のWebブラウザーでご使用ください。

Microsoft Edge
Google Chrome

Note
リリース済みの最新のバージョンをご利用ください。

Note
Microsoft EdgeはChromiumベースが対象です。
また、Internet Explorerモードは未サポートです。

Note
AT-RADgateの設定画面は、お使いのブラウザーの言語設定に合わせて英語または日本語で表示されます。日本語以外の言語が設定されている場合は、すべて英語で表示されます。

設定画面へのログイン

AT-RADgateの設定画面にログインするには、次の手順に従ってください。

次に示すいずれかの方法で、AT-RADgateの設定画面にログインします。

Note
WebブラウザーとAT-RADgateとの間の通信は、HTTPSで行われます。
- Webブラウザーを起動し、AT-RADgateに設定されたIPアドレスを入力する
  （ここでは 192.168.1.10 と仮定しています）
```
https://192.168.1.10
```
- AT-VST-APLまたはAT-VST-VRTのダッシュボード画面で、「AT-RADgate-app」の「開く」ボタンをクリックする
- AT-VST-APLまたはAT-VST-VRTのAT-RADgate管理画面で、「開く」ボタンをクリックする
AT-RADgateログイン画面が表示されますので、「ユーザー名」と「パスワード」を入力して、「ログイン」ボタンをクリックします。入力したパスワードは、「●」で表示されます。

Note
初期設定の「ユーザー名」は「manager」、「パスワード」は「friend」です。

Note
セキュリティーの警告画面が表示された場合は、画面の指示に従ってサイトの閲覧を続行してください。なお、信頼できる認証局が発行したSSLサーバー証明書を取得している場合は、ログイン後、「システム管理 / ネットワーク設定」画面の「サーバー証明書」で、AT-RADgateにSSLサーバー証明書を登録することができます。
AT-RADgateのログインに成功すると、「ステータス確認」画面の「端末」タブが表示されます。

Note
・各画面で何も操作しない状態が10分続くと自動的にログアウトされ、設定画面に操作を加えようとすると「ユーザー名」と「パスワード」の再入力を促すダイアログが表示されます。
・AT-RADgateログイン画面で「ログイン情報を保持」にチェックを入れると、ログインした状態を保持します。

タイムゾーンの設定

AT-RADgateはAT-VST-APLまたはAT-VST-VRTのシステム時刻を取得して使用しますが、タイムゾーン（時間帯）の設定を取得することはできません。そのため、例えば日本時間（JST：協定世界時（UTC）より9時間早い）で使用するには、次の手順で設定を変更してください。

Note
タイムゾーンの設定を変更するとAT-RADgateが再起動します。

「システム管理」メニュー、「時刻設定」サブメニューの順にクリックして、表示される「時刻設定」画面の「変更」ボタンをクリックします。
「タイムゾーン」ダイアログが表示されますので、地域のドロップダウンリストから「Asia」を、タイムゾーンのドロップダウンリストから「Tokyo」を選択して、「保存」ボタンをクリックします。
確認のダイアログが表示されますので、「OK」ボタンをクリックします。
AT-RADgateが再起動します。
再度ログイン画面が表示されます。ログイン後、「システム管理 / 時刻設定」画面が表示されますので、「Asia/Tokyo」に変更されていることを確認します。

タイムゾーンの設定は以上です。

設定画面へのアクセス / ライセンスのインストール

ライセンスの基本動作

AT-RADgateを利用するには、ライセンスをインストールする必要があります。

ライセンスがインストールされるまで、RADIUS認証機能は動作しません。
ライセンスには所定の数のユーザーまたは端末ポリシーを登録できる権利がバンドルされています。登録可能なユーザー数および端末ポリシー数は、この数を超えることはできません。

ライセンスはRADIUS認証機能と認証ポリシーのユーザーポリシーと端末ポリシーの登録数を制御します。有効なライセンスが1つでもインストールされていれば、RADIUS認証の機能は有効化されます。また各ライセンスにはユニット数が設定されおり、インストールされている有効なライセンスのユニット数の合計と同じ数までユーザーポリシーと端末ポリシーが登録できます。（ユーザーポリシーと端末ポリシーの合計数が総ユニット数を超えないこと）。

Note
ライセンスファイルをお持ちでない場合は、弊社窓口までお問い合わせください。
なお、ライセンスファイルの取得にあたって、「システム管理 / 概要」画面に表示されるシリアル番号が必要となります。

Note
ライセンスについては、「リファレンス編 / システム管理」の「ライセンス」をあわせてご参照ください。

トライアルライセンス

正式版ライセンスが手元に届いていない場合や、AT-RADgateを試用するときには、トライアルライセンスが利用できます。トライアルライセンスに付与されている使用権は下記となります。

表 1：トライアルライセンス
有効期限	90日
ユニット数	200,000

Note
正規ライセンスをインストールすると、インストールしたトライアルライセンス、および未インストールのトライアルライセンスが無効化されます。そのため、正規ライセンスの有効期限が切れたあと、未使用のトライアルライセンスをインストールすることはできません。引き続きAT-RADgateを使用するには、更新用のライセンスをご購入ください。

ライセンスの有効期間

本製品のライセンスには有効期間があります。
ライセンスの有効期限チェックは、AT-RADgateのシステム時刻 00:00:00～00:05:59 の間とAT-RADgateの起動時に行われます。
チェックの結果、ライセンスの有効期限日から28日前、21日前、14日前、7日前、1日前に、期限の警告メッセージがログに表示されます。

Note
期限の警告メッセージをメールで送信することもできます。以下の設定を行ってください。
・SMTPサーバーを設定する（「メール設定」画面）
・アカウントにメールアドレスを登録する（「アカウント管理」画面）
・アカウントに「システム設定の変更を許可する。」の権限を付与する（「アカウント管理」画面）

下記のような状態になった場合、RADIUS認証機能が停止し、設定画面の上部にライセンスが無効状態にあることを通知するメッセージが表示されます。

一部のライセンスの有効期限が切れ、登録中のポリシー数がライセンスにより付与された許容数を超過した場合
すべてのライセンスの有効期限が切れた場合

有効なライセンスをインストールしてライセンスの異常状態が解消すると、停止していた機能は有効になり、メッセージも消えます。

ライセンスのインストール

ライセンスをインストールするには、次の手順に従ってください。

「システム管理 / 時刻設定」画面で、現在日時とタイムゾーンが正しいことを確認します。
次のどちらかの手順で、「システム管理 / ライセンス」画面を開きます。
- ライセンスがインストールされていない場合には、設定画面の上部に表示されるメッセージ中の「ライセンスの追加」をクリックします。
- 「システム管理」メニューをクリックし、「ライセンス」サブメニューをクリックします。
「ライセンスの更新」ボタンをクリックします。
ファイル選択ダイアログが表示されます。ライセンスファイルを選択します。
「OK」ボタンをクリックします。
「システム管理 / ライセンス」画面に、登録したライセンスの「名称」、「有効期限」などが表示されれば、インストールは成功です（下記は例です）。

ライセンスのインストールは以上です。AT-RADgateを利用できるようになります。

トライアルライセンスのインストール

トライアルライセンスをインストールするには、次の手順に従ってください。

「システム管理 / 時刻設定」画面で、現在日時とタイムゾーンが正しいことを確認します。
次のどちらかの手順で、「システム管理 / ライセンス」画面を開きます。
- ライセンスがインストールされていない場合には、設定画面の上部に表示されるメッセージ中の「ライセンスの追加」をクリックします。
- 「システム管理」メニューをクリックし、「ライセンス」サブメニューをクリックします。
「トライアルライセンスのインストール」ボタンをクリックします。
「OK」ボタンをクリックします。
「システム管理 / ライセンス」画面に、トライアルライセンスの情報が表示されれば、インストールは成功です。

トライアルライセンスのインストールは以上です。

ライセンスの再発行

発行したライセンスはAT-RADgateのシリアル番号と紐付けされています。
以下の場合では、AT-RADgateのシリアル番号が変更になるため、発行済みのライセンスは使用できなくなり再発行が必要になりますので、「システム管理 / 概要」画面に表示されるシリアル番号を控えて弊社窓口までお問い合わせください。

AT-VST-APLまたはAT-VST-VRT上でAT-RADgateアプリケーションを削除し、再度インストール
別の筐体のAT-VST-APLにAT-RADgateアプリケーションをリストア（移行）
別の仮想マシン上のAT-VST-VRTにAT-RADgateアプリケーションをリストア（移行）

ただし、「システム管理 / 概要」画面にある「システムのバックアップ」でバックアップしたファイルがある場合は、「システム管理 / 概要」画面にある「システムの復元」を使って、移行前のシステムをライセンス情報も含め完全に復元することができます。
なお、「RADIUS管理 / Active Directory設定」画面で設定したWindows Active Directoryの設定はバックアップしたファイルには含まれないため、システムの復元を実行したあとで、再設定する必要があります。

設定画面へのアクセス / 設定画面の使い方

設定画面の基本的な画面構成と操作方法を説明します。

ウィンドウ構成

基本的な構成は次のとおりです（下記は「ステータス管理」画面の例です）。

「ポリシー管理」画面では、タブをクリックするとコンテンツ欄に各設定画面が表示されます。
「RADIUS管理」画面および「システム管理」画面ではサブメニューをクリックするとコンテンツ欄に各設定画面が表示されます。

メニュー欄
メニュー欄には、メインメニューのアイコンとメニュー名が表示されます。メニュー名をクリックすると、各設定画面が開きます。
コンテンツ欄
各種設定情報やメニューで選択した情報などが表示されます。「システム管理」画面ではサブメニューが表示され、サブメニュー名をクリックすると各設定画面が開きます。

管理欄
画面上部の管理欄には下記が表示されます。

表 1：管理欄
表示例	説明
AT-RADgate	クリックすると「ステータス確認」画面を表示します。
radgate	設定されているホスト名です。クリックすると「システム管理 / 概要」画面を表示します。
manager	ログイン中のユーザー名です。クリックすると「マイアカウント」「ログアウト」サブメニューが表示されます。・「マイアカウント」をクリックすると「マイアカウント」画面が表示されます。・「ログアウト」をクリックすると、設定画面からログアウトし、ログイン画面が表示されます。

マイアカウント

「マイアカウント」画面ではログイン中のユーザーの情報を表示します。「編集」ボタンをクリックすると、設定の変更ができます。

Note
アカウント設定について詳しくは、「リファレンス編 / アカウント管理」を参照してください。

一覧の検索と並べ替え

次に示す設定画面には、一覧の表示項目の絞り込みや並べ替えを行うためのコントロールが用意されています。
検索、絞り込み、並べ替えの対象となる項目については、「リファレンス編」を参照してください。

「ポリシー管理 / ユーザー」画面
「ポリシー管理 / 端末」画面
「ポリシー管理 / NAS / RADIUSプロキシ」画面
「ポリシー管理 / NASプロファイル」画面
「ポリシー管理 / サプリカントプロファイル」画面
「ステータス確認 / 端末」画面

検索フォームを使用した絞り込み

検索フォームにキーワードを入力することで、表示項目を絞り込むことができます。
半角スペース区切りで複数のキーワードを入力すると、すべてのキーワードが該当する項目のみを表示します（AND検索）。

並べ替えの順番

同じボタンをクリックするたびに、昇順→降順→初期状態の順に切り替えることができます。

■ 表示件数
一覧画面下部に、表示項目の範囲と全項目件数を表示します。また、1ページあたりの表示件数をドロップダウンメニューから変更することができます。

設定の適用

各設定画面またはダイアログには「保存」ボタンがあります。各設定画面またはダイアログで設定内容を入力したら、画面を移動する前に必ず「保存」ボタンをクリックしてください。
「保存」ボタンをクリックすると、現在の設定画面またはダイアログにおける設定内容は直ちに適用されます。

Note
ステータスのみを表示する設定画面など、「保存」ボタンを持たない画面もあります。

設定画面へのアクセス / 設定の終了

すべての設定が終わったら画面右上の「manager」（またはログイン中のユーザー名）をクリックし、「ログアウト」をクリックします。
設定画面からログアウトし、ログイン画面が表示されます。

Note
各画面で何も操作しない状態が10分続くと自動的にログアウトされ、設定画面に操作を加えようとするとログイン画面が表示されます。
AT-RADgateログイン画面で「ログイン情報を保持」にチェックを入れると、ログインした状態を保持します。

クイックツアー / AT-RADgateの認証

AT-RADgateの認証

AT-RADgateはRADIUS認証プロトコルに従い認証を行います。
RADIUS認証プロトコルは、サーバーまたはネットワークに対する接続認証の集中管理を行うためのプロトコルです。接続を要求するサプリカントと、接続先のサーバーまたはネットワーク機器（NAS）と、認証サーバー（AT-RADgate）で構成されるネットワークで使用されます。
RADIUS認証は基本的に下記の流れで行われます。

サプリカントがNASに接続する。
NASが認証サーバーにサプリカントの認証要求を送信する。認証要求には、接続してきたサプリカントとNAS自身の情報が格納される。
認証サーバーが認証要求の内容を検証し、その結果をNASに送信する。
NASは受信した認証結果に基づきサプリカント接続処理を行う。

認証サーバーの動作

認証サーバーで行われる認証要求の検証処理は、サプリカントの正当性を評価する認証処理と、サプリカントに割り当てる権限を決定する認可の2つに分けることができます。
認証処理ではNASとサプリカントの正当性の評価が行われます。
NASの正当性は、認証要求メッセージの送信元IPアドレスとメッセージに含まれる事前共有鍵情報の照合によって行われます。
AT-RADgateの場合、接続を許可するNASをNASポリシーとして登録できます。AT-RADgateは、NASポリシーの情報に一致しないNASからの認証要求メッセージをすべて破棄し応答も返しません。
サプリカントの正当性は、認証要求メッセージに格納されたユーザー名とパスワード情報の照合によって行われます。
AT-RADgateの場合、自身が管理するユーザーをユーザーポリシーとして登録できます。RADgateは認証ポリシーの情報に一致しないサプリカントの接続要求に対して拒否メッセージを返します。拒否メッセージを受信したNASは通常、ログインプロンプトを再表示しユーザー情報の再入力を促します。
AT-RADgateは不正な端末によるハッキングを抑制するために拒否メッセージを送信する際に一定の遅延時間を挿入します。
AT-RADgateはサプリカント認証を行う際に使用する認証データベースとして自身の認証ポリシーの代わりに、Windows Active Directoryのアカウント情報を使用することができます。
Windows Active Directoryによる認証を行う場合は、AT-RADgateに連携先のWindowsサーバーを登録し、認証プロトコルとしてEAP-PEAPを使用する必要があります。

端末認証

AT-RADgateには端末認証機能が搭載されています。この機能はRADIUSの標準的なユーザー認証に加え、User-Name属性にMACアドレスを表す文字列が格納されていた場合にはMACアドレスの検証を行う機能で、弊社のAW+スイッチのポート認証機能、無線LANアクセスポイントのクライアント認証機能と併用することが想定されています。
端末認証機能はNAS単位に有効、無効の設定を行うことができ、デフォルトでは無効になっています。
AT-RADgateは自身が管理する端末を端末ポリシーとして登録することができます。AT-RADgateは、端末認証とMACベース認証が有効になっているNASが送信した認証要求メッセージのUser-Name属性にMACアドレスを表す文字列が格納されていた場合、そのMACアドレスが端末ポリシーに登録されているか確認を行います。確認の結果、MACアドレスが未登録の場合でも拒否メッセージの送信は行わず、処理は継続されます。MACアドレスの登録状態は、認可のフェーズで使用されます。

MACベース認証

端末認証とMACベース認証が有効なNASが送信した認証要求メッセージのUser-Name属性にMACアドレスが格納されていた場合、AT-RADgateはユーザー認証を行わず、端末認証のみを行います。

認可処理

AT-RADgateの認証ポリシーには、タグとアクセスレベルという概念が存在します。タグはそのポリシーが属するグループを表す文字列で、アクセスレベルはそのポリシーの権限の強さを表す0から15の数値になります。アクセスレベルを表現する数値は、0は接続が許可されないことを表し、1から15は権限の強さを表し、15が最も強い権限になります。
タグはNASポリシー、ユーザーポリシー、端末ポリシーに設定可能で、アクセスレベルはユーザーポリシー、端末ポリシーに設定可能です。
AT-RADgateは認証処理中に認証対象のサプリカントに適合するNASポリシー、ユーザーポリシー、端末ポリシーを見つけています。これらの情報に加え認証要求メッセージの内容を合わせ、サプリカントパラメーターを作成し、そのサプリカントパラメーターに適合するサプリカントプロファイルポリシーを検索し、見つかったプロファイルに格納されている権限の内容をNASに送信するプロセスが認可処理となります。
認可の処理の過程で作成されるサプリカントパラメーターの内容は下記となります。

デバイスのMACアドレス（認証要求メッセージ User-Name属性）
デバイスの名前（端末ポリシー）
デバイス登録状態（端末ポリシー）
アクセスレベル（ユーザーポリシー、端末ポリシー）
タグ（NASポリシー、ユーザーポリシー、端末ポリシー）

アクセスレベルは設定されているポリシーのうち、最も小さい値が採用されます。もしいずれのポリシーもアクセスレベルが設定されていない場合は1が設定されます。
タグはNASポリシー、ユーザーポリシー、端末ポリシーに設定されているタグをすべて足し合わせたものになります。
作成されたサプリカントパラメーターとサプリカントプロファイルの条件設定を比較し、適用すべきプロファイルを決定します。
サプリカントプロファイルには1から15の優先度が設定されており、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルの内容がサプリカントに与えられる権限になります。
サプリカントプロファイルには下記のアクションが設定されおり、それぞれ下記のように決められた動作を行います。

表 1：アクション
アクション	動作
通過	サプリカントの接続を許可します、VLANが設定されている場合はそのVLANセグメントに接続します。
破棄	サプリカントの接続を拒否します、RADIUSの標準の属性では破棄状態を表現することができないため、現在のAT-RADgateのバージョンでは認証拒否メッセージを送信します。
隔離	サプリカントを隔離状態にします、VLANが設定されている場合はそのVLANセグメントに隔離します。プロファイルにVLAN設定がない場合、システムのデフォルト隔離VLANに隔離します。
未定	サプリカントを未決定状態にします、VLANが設定されている場合はそのVLANセグメントに隔離します。ない場合は破棄と同じ動作を行います。 Note 本バージョンでは未サポートです。
通知	このプロファイルに一致したことを表すイベントログを記録します。このアクションが設定されているプロファイルに一致した場合に限り、プロファイルの評価を継続し、サプリカントに適用すべき権限を探します。

アクションが動作した際に付与できる情報は以下です。

表 2：設定
項目	説明
VLAN	接続先のVLANを設定します。アクションが通過、隔離、未定の場合のみ設定可能です。
フィルターID	サプリカントに適用するトラフィックフィルターのIDを設定します。複数のフィルターを設定する場合は、空白文字で区切ります。
フィルタールール	サプリカントに適用するトラフィックフィルターの内容を設定します。複数のフィルタールールを設定する場合は、改行文字で区切ります。

サプリカントプロファイルポリシーに設定可能な条件は下記となります。

デバイス条件
下記の条件に適合するデバイスに一致します。

表 3：デバイス条件
条件名	説明
全ての端末	すべてのデバイスに一致します。
登録済み端末	端末ポリシーに登録されているデバイスに一致します。
未登録端末	端末ポリシーに未登録のデバイスに一致します。
MACアドレス指定	指定されたMACアドレスを持つデバイスに一致します。
名前指定	指定された名前のデバイスに一致します。

アクセスレベル条件
設定された条件に適合するアクセスレベルを持つサプリカントに一致します。
条件は数値で指定します。

表 4：アクセスレベル条件
設定値の例説明

7 7のみを指定する
タグ条件
設定されたタグをすべて持つサプリカントに一致します。
複数のタグを設定する場合は、空白文字で区切ります。

表 4：アクセスレベル条件
設定値の例	説明
7	7のみを指定する

デフォルトのサプリカントプロファイルポリシー

AT-RADgateでは下記のサプリカントプロファイルポリシーが、ユーザーが設定するプロファイルの優先度より低いポリシーとしてあらかじめ設定されています。ユーザーが登録したサプリカントプロファイルポリシーのいずれとも一致しない場合、これらのポリシーが優先度の小さい順にサプリカントに適用されます。

表 5：デフォルトのポリシー
優先度	条件	アクション
1	未登録デバイス	破棄
2	アクセスレベルが0	破棄
3	アクセスレベルが1以上	通過

クイックツアー / 認証の設定方法

はじめに

RADIUSサーバーはNASが接続要求を行ったユーザーの認証を行います。RADIUSプロトコルにおける認証の基本動作は、認証要求を行ったユーザーがRADIUSサーバーに登録されており、さらに接続要求に含まれる資格情報（パスワード等）がRADIUSサーバーに登録されているものと一致するかどうかを評価するものです。
AT-RADgateはそれに加え弊社製ネットワーク製品を利用したユーザー端末のネットワークアクセス制御ソリューションを効率的に管理できるように、MACアドレスをベースとした端末認証を独自の機能として提供します。この認証の動作は、認証要求に含まれる端末のMACアドレスがAT-RADgateに登録されているかどうかを評価し、ユーザー認証と併用することが可能です。
弊社のAW+スイッチのポート認証機能では、MACベース認証、IEEE 802.1X認証、Web認証の3つの認証モードがあります。これとAT-RADgateの端末認証を組み合わせた場合、どの認証が動作するかは下記のとおりとなります。

表 1：認証の動作
	ユーザー認証	端末認証
MACベース認証	－	○
IEEE 802.1X認証	○	○
Web認証	○	○

Note
AW+には1つのサプリカントに対してユーザー認証と端末認証を強制する2ステップ認証機能がありますが、2ステップ認証の機能は1つのサプリカントに対し、MACベース認証とIEEE 802.1X認証またはWeb認証の計2回認証処理を行う機能で、本機能とは異なります。本機能は、IEEE 802.1X認証またはWeb認証処理の過程で同時に端末認証を行う機能で、AW+側には特別な設定は不要となります。

ユーザー認証、端末認証の設定の流れは下記となります。

ユーザー認証の設定手順

NASの登録

RADIUSサーバーは受信したメッセージの送信元（NAS）の認証を行います。その過程で不正な送信元が送信したメッセージは破棄されます。
そのため、正しく認証システムを構築するには、必ずRADIUSの認証要求を送信するシステムをすべてAT-RADgateに登録しなければなりません。NASの登録は「ポリシー管理 / NAS / RADIUSプロキシ」画面で行います。
また、一度に大量のNASを登録する必要がある場合は、あらかじめNASの情報を記載したCSV形式のファイルを作成しておき、アップロードすることにより登録することもできます。CSVファイルのインポートは、「システム管理 / データベース管理」画面の「インポート」で行います。
NASはデフォルトでユーザー認証のみを行う設定になっていますので、端末認証を行わない場合はNASプロファイルの登録は不要です。
「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 2：設定例
項目	説明
IPv4 アドレス	NASのIPアドレスです。
事前共有鍵(PSK)	事前共有鍵（キー）です。NASに設定したものと同じにする必要があります。
タグ	このNASの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。

ユーザーの登録

RADIUSサーバーはNASが接続要求を行ったユーザーの認証を行います。RADIUSサーバーによる認証の基本動作は認証要求を行ったユーザーがRADIUSサーバーに登録されており、さらに接続要求に含まれる資格情報（パスワード等）がRADIUSサーバーに登録されているものと一致するかどうかを評価するものです。
ユーザーポリシーは、「ポリシー管理 / ユーザー」画面で行います。また、CSVファイルによるインポートも可能です。
「ポリシー管理 / ユーザー」画面の右上の「追加」ボタンをクリックすると、「ユーザー追加」ダイアログが表示されます。

表 3：設定例
項目	説明
ログイン名・パスワード	認証で使用するユーザーのアカウント名とパスワードを入力します。
アクセスレベル	このユーザーの権限の強さを設定することができます。ここで拒否を設定されたユーザーは、認証要求の内容が正しくてもアクセスが拒否されるようになります。 Note サプリカントプロファイルを設定することによって、動作の変更が可能です。
タグ	このユーザーの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。

Note
AT-RADgateはサプリカントプロファイル機能を提供します。この機能を利用することにより、認証済みサプリカントに対して追加の設定を行えます。アクセスレベルとタグはサプリカントプロファイル機能と併用することにより、複数のサプリカントに対し同じ設定を簡単に適用できます。

認証結果の確認

ユーザー認証では認証済みサプリカントの管理は行いません。サプリカントの認証可否の確認は、「イベント管理 / アプリケーションログ」画面で確認してください。

端末認証の設定手順

NASプロファイルとNASの登録

端末認証では、ユーザー端末を収容するエッジスイッチや無線LANアクセスポイントをNASとして登録します。

Note
端末認証のNASとして登録するネットワーク装置は、認証要求メッセージのUser-Name属性にMACアドレスを表す文字列を格納しなければなりません。弊社のAW+スイッチおよび無線LANアクセスポイントはその要件を満たすため、端末認証のNASとして登録することができます。

RADIUSサーバーは受信したメッセージの送信元（NAS）の認証を行います。その過程で不正な送信元が送信したメッセージは破棄されます。
そのため、正しく認証システムを構築するには、必ずRADIUSの認証要求を送信するシステムをすべてAT-RADgateに登録しなければなりません。NASプロファイルとNASの登録は「ポリシー管理 / NASプロファイル」画面で行います。
また、一度に大量のNASを登録する必要がある場合は、あらかじめNASの情報を記載したCSV形式のファイルを作成しておき、アップロードすることにより登録することもできます。CSVファイルのインポートは、「システム管理 / データベース管理」画面の「インポート」で行います。
NASはデフォルトでユーザー認証のみを行う設定になっていますので、新たに端末認証を有効にするNASプロファイルを作成し、登録するNASに設定する必要があります。
以下の2つを作成します。

NASプロファイル
NAS

「ポリシー管理 / NASプロファイル」画面の右上の「追加」ボタンをクリックすると、「NASプロファイル追加」ダイアログが表示されます。

表 4：設定例
項目	説明
名称	NASプロファイルの名前です。
ユーザー認証に加えて、端末認証を有効にする。	チェックボックスにチェックを入れます。
MACベース認証を有効にする。	チェックボックスにチェックを入れます。

「NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 5：設定例
項目	説明
IPv4 アドレス	NASのIPアドレスです。
事前共有鍵(PSK)	事前共有鍵（キー）です。NASに設定したものと同じにする必要があります。
プロファイル	最初に作成した「AW-Plus」のNASプロファイルを選択します。
タグ	このNASの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。

ユーザーの登録

表 6：設定例
項目	説明
ログイン名・パスワード	認証で使用するユーザーのアカウント名とパスワードを入力します。
アクセスレベル	このユーザーの権限の強さを設定することができます。ここで拒否を設定されたユーザーは、認証要求の内容が正しくてもアクセスが拒否されるようになります。 Note サプリカントプロファイルを設定することによって、動作の変更が可能です。
タグ	このユーザーの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。

Note
AT-RADgateはサプリカントプロファイル機能を提供します。この機能を利用することにより、認証済みサプリカントに対して追加の設定を行えます。アクセスレベルとタグはサプリカントプロファイル機能と併用することにより、複数のサプリカントに対し同じ設定を簡単に適用できます。

Note
弊社のAW+スイッチのMACベース認証機能と併用する場合、端末認証とMACベース認証が有効であるときAT-RADgateは認証要求メッセージのUser-Name属性にMACアドレスが格納されるためユーザーの登録は必要ありません。

端末の登録

端末認証とMACベース認証が有効な場合、AT-RADgateは認証要求メッセージに格納されたMACアドレスがRADIUSサーバーに登録されているものと一致するかどうかを評価します。
端末ポリシーは「ポリシー管理 / 端末」画面で行います。また、CSVファイルによるインポートも可能です。
「ポリシー管理 / 端末」画面の右上の「追加」ボタンをクリックすると、「端末追加」ダイアログが表示されます。

表 7：設定例
項目	説明
MACアドレス	認証対象の端末のMACアドレスを入力します。
デバイス名	認証対象の端末のデバイス名を入力します。複数の端末に同じデバイス名を付与することができます。
アクセスレベル	このユーザーの権限の強さを設定することができます。ここで拒否を設定された端末は、認証要求の内容が正しくてもアクセスが拒否されるようになります。 Note サプリカントプロファイルを設定することによって、動作の変更が可能です。
タグ	この端末の所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。

Note
AT-RADgateはサプリカントプロファイル機能を提供します。この機能を利用することにより、認証済みサプリカントに対して追加の設定を行えます。アクセスレベルとタグはサプリカントプロファイル機能と併用することにより、複数のサプリカントに対し同じ設定を簡単に適用できます。

認証結果の確認

端末認証とMACベース認証が有効な場合、認証済み端末の状態が「ステータス確認 / 端末」画面で確認できます。

ダイナミックVLANの設定

弊社のAW+スイッチと端末認証およびMACベース認証を併用した場合、AT-RADgateはデフォルトの状態では認証済み端末の接続先VLANの指定を行いません。サプリカントプロファイルを登録することにより、特定の認証済み端末の接続先VLANを指定することができます。
サプリカントプロファイルの登録は、「ポリシー管理 / サプリカントプロファイル」画面で行います。またCSVファイルによるインポートも可能です。
「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。
名称はサプリカントプロファイルの識別子になります。既に登録済みのプロファイルと重複しない名前を設定してください。優先度はプロファイルを認証済み端末に適用する順番となり、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルが適用されます。

登録済み端末をすべて「vlan10」のネットワークに接続させる場合

登録済み端末をすべて「vlan10」のネットワークに接続させる場合、「サプリカントプロファイル追加」ダイアログで下記のように設定します。

表 8：設定例
項目	設定値
条件 / デバイス	登録済み端末
設定 / アクション	通過
設定 / VLAN	vlan10

アクセスレベル5の端末のみ「vlan100」に接続する場合

特定のグループを別のネットワークに接続したい場合は、アクセスレベルやタグを使用することができます。アクセスレベル5の端末のみ「vlan100」に接続する場合、「サプリカントプロファイル追加」ダイアログで下記のように設定します。

表 9：設定例
項目	設定値
条件 / アクセスレベル	5
設定 / アクション	通過
設定 / VLAN	vlan100

タグに「admin」が設定された端末のみ「vlan200」に接続する場合

特定のグループを別のネットワークに接続したい場合は、アクセスレベルやタグを使用することができます。タグに「admin」が設定された端末のみ「vlan200」に接続する場合、「サプリカントプロファイル追加」ダイアログで下記のように設定します。

表 10：設定例
項目	設定値
条件 / タグ	admin
設定 / アクション	通過
設定 / VLAN	vlan200

Note
「設定 / VLAN」に設定するVLANは、あらかじめネットワーク装置側に設定する必要があります。また設定する値はネットワーク装置側の仕様に依存します。弊社のAW+スイッチの場合はVLAN名またはVLAN IDを指定することができます。

ダイナミックACLの設定

弊社のAW+スイッチと端末認証およびMACベース認証を併用した場合、サプリカントプロファイルを登録することにより、認証済み端末に対してACL（パケットフィルター）を設定することができます。
サプリカントプロファイルの登録は、「ポリシー管理 / サプリカントプロファイル」画面で行います。またCSVファイルによるインポートも可能です。
「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。
ACLの設定方法は、あらかじめAW+スイッチ上で定義されているACLの名前を指定する方法と、ACLの内容そのものを指定する方法の2とおり存在します。

あらかじめAW+スイッチ上で定義されているACLの名前を指定する方法

すべての登録済み端末に対してネットワークスイッチ内に登録されている「acl-100」という名前のACLを適用させるには、「サプリカントプロファイル追加」ダイアログで下記のように設定します。

表 11：設定例
項目	説明・設定値
名称	サプリカントプロファイルの識別子になります。既に登録済みのプロファイルと重複しない名前を設定してください。
優先度	プロファイルを認証済み端末に適用する順番となり、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルが適用されます。
条件 / デバイス	登録済み端末
設定 / アクション	通過
設定 / フィルターID	acl-100

ACLの内容そのものを指定する方法

すべての登録済み端末に対して192.168.10.0/24のサブネットとの通信のみを許可するACLを適用させるには、「サプリカントプロファイル追加」ダイアログで下記のように設定します。

表 12：設定例
項目	説明・設定値
名称	サプリカントプロファイルの識別子になります。既に登録済みのプロファイルと重複しない名前を設定してください。
優先度	プロファイルを認証済み端末に適用する順番となり、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルが適用されます。
条件 / デバイス	登録済み端末
設定 / アクション	通過
設定 / フィルタールール	ip:permit ip any 192.168.10.0/24 ip:deny ip any any

Note
フィルタールールの書式は、ネットワーク装置の仕様に合わせて設定してください。ただし、複数のルールを記述する場合は改行で区切ってください。

クイックツアー / ポート認証の各認証方法の認証ポリシー設定

一般的なポート認証でRADIUSプロトコルにて認証を行うケースは、以下の認証方法が挙げられます。

MACアドレスベース認証（以下、MACベース認証）
MACベース認証は機器のMACアドレスに基づいて機器単位で認証を行います。サプリカント側に特別な機能は不要です。
　
IEEE 802.1X認証（以下、802.1X認証）
802.1X認証は基本的にユーザー単位で認証を行います。サプリカント側が802.1Xに対応している必要があります。
　
Web認証
Web認証はサプリカント側のWebブラウザーからユーザー名とパスワードを入力して、802.1X認証と同様にユーザー単位で認証を行います。

どの認証方法においても正しく認証システムを構築するには、AT-RADgateに認証ポリシーを登録する必要があります。

AT-RADgateの認証ポリシーの登録方法

ここでは以下のケースにおけるAT-RADgateの設定（主に認証ポリシー）の登録方法を記載します。

MACベース認証、802.1X認証、Web認証
Windows Active Directory連携
AlliedWare Plus（Wi-FiルーターのAT-TQRを含む）シリーズと無線LANアクセスポイントのTQシリーズ
インテリジェント・エッジ・セキュリティー（IES）

MACベース認証、802.1X認証、Web認証

各認証方法の認証ポリシーの登録は、以下の流れで行います。

NAS
ユーザー
サプリカントプロファイル

ユーザーの認証ポリシーは、802.1X認証とWeb認証ではログイン名とパスワード、MACベース認証ではログイン名とパスワードにサプリカントのMACアドレスを登録します。MACアドレスを登録する場合の形式（ログイン名とパスワード）は、NASが送信する形式に合わせてください。
　
本設定では以下の構成を想定しています。各製品の基本設定は完了しているものとします。
なおNASにはダイナミックVLANの機能があることを想定しています。
　

NASとサプリカントの情報は以下です。

表 1：情報
NAS1
IPアドレス	192.168.10.10/24
事前共有鍵（キー）	secret1
NAS2
IPアドレス	192.168.10.20/24
事前共有鍵（キー）	secret2
NAS3
IPアドレス	192.168.10.30/24
事前共有鍵（キー）	secret3
サプリカント1（802.1X認証）
ログイン名	user1
パスワード	passwd1
ネットワーク	vlan10
サプリカント2（Web認証）
ログイン名	user2
パスワード	passwd2
ネットワーク	vlan20
サプリカント3（MACベース認証）
ログイン名	00-00-00-00-00-01
パスワード	00-00-00-00-00-01
ネットワーク	vlan30

NASの登録

「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 2：NASの登録
IPv4 アドレス	NAS1のIPアドレス「192.168.10.10」を設定します。
事前共有鍵(PSK)	事前共有鍵（キー）です。NAS1に設定した「secret1」を設定します。

NAS1と同様にNAS2とNAS3も登録します。

ユーザーの登録

各サプリカントの情報を設定します。サプリカントごとに接続させるネットワーク（VLAN）を指定しますが、実際にネットワークを指定するのは「サプリカントプロファイル」で行います。ここでは「ユーザー」と「サプリカントプロファイル」を紐付けるために「タグ」を使用します。
「ポリシー管理 / ユーザー」画面の右上の「追加」ボタンをクリックすると、「ユーザー追加」ダイアログが表示されます。

表 3：ユーザーの登録
ログイン名	サプリカント1のログイン名「user1」を設定します。
パスワード	サプリカント1のパスワード「passwd1」を設定します。
タグ	サプリカント1が接続するネットワークの「vlan10」を設定します。この「vlan10」は「サプリカントプロファイル」にも設定します。

サプリカント1と同様にサプリカント2とサプリカント3も登録します。

サプリカントプロファイルの登録

サプリカントプロファイルを登録して各サプリカントが接続するネットワーク（VLAN）を指定します。
前述のとおり「ユーザー」と「サプリカントプロファイル」を紐付けるために「タグ」を使用します。

Note
今回のケースでは、優先度は同じ数値でも意図した動作になりますが、明解にするために別々の数値にしています。

「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。サプリカント1用のサプリカントプロファイルを設定します。

表 4：サプリカントプロファイルの登録
サプリカント1用
名称	Network10
優先度	10
条件 / デバイス	全ての端末
条件 / タグ	vlan10
設定 / アクション	通過
設定 / VLAN	10

　
サプリカント1用と同様にサプリカント2用とサプリカント3用も登録します。

表 5：サプリカントプロファイルの登録
サプリカント2用
名称	Network20
優先度	11
条件 / デバイス	全ての端末
条件 / タグ	vlan20
設定 / アクション	通過
設定 / VLAN	20
サプリカント3用
名称	Network30
優先度	12
条件 / デバイス	全ての端末
条件 / タグ	vlan30
設定 / アクション	通過
設定 / VLAN	30

設定は以上です。

Windows Active Directory連携

AT-RADgateはRADIUS認証において、自身のユーザーの認証ポリシーではなくWindows Active Directory連携でWindows Serverに問い合わせを行い、Windows Serverのデータベースを用いてユーザー認証を行うことができます。

Note
Windows Active Directory連携で認証を行ったサプリカントが接続するネットワークを、サプリカントごとに分けることはできません。

設定は、以下の流れで行います。

AT-RADgateの「RADIUS管理 / Active Directory設定」画面でWindows Active Directoryの設定
AT-RADgateの「ポリシー管理」画面でNASのポリシーを登録
AT-RADgateの「ポリシー管理」画面でサプリカントプロファイルのポリシーを登録

本設定では以下の構成を想定しています。各製品の基本設定は完了しているものとします。
なおNASにはダイナミックVLANの機能があることを想定しています。
　

Windows Server、NAS、各認証方法のサプリカントの情報は以下です。

表 6：情報
ドメイン名	radgate.co.jp
NetBIOS名	radgate
文字セット	CP1252
ユーザー名	administrator
パスワード	Password1!

Note
本設定はデフォルトの「CP1252」を使用してください。変更は本バージョンでは未サポートです。

表 7：設定例
NAS1
IPアドレス	192.168.10.10/24
事前共有鍵（キー）	secret1
NAS2
IPアドレス	192.168.10.20/24
事前共有鍵（キー）	secret2

表 8：設定例
サプリカント1（802.1X認証）
ログイン名	user1
パスワード	passwd1
ネットワーク	vlan10
サプリカント2（Web認証）
ログイン名	user2
パスワード	passwd2
ネットワーク	vlan10

Windows Active Directoryの設定

「RADIUS管理 / Active Directory設定」画面の右の「編集」ボタンをクリックすると、ADドメイン情報を設定する画面が表示されます。

以下の情報を設定し、「参加」ボタンをクリックします。

表 9：ADドメイン情報の設定
ドメイン名	radgate.co.jp
NetBIOS名	radgate
文字セット	CP1252（デフォルト）

「ドメインコントローラー管理者アカウント」ダイアログが表示されます。

ユーザー名とパスワードに以下の情報を入力し、「参加」→「OK」ボタンをクリックします。
なお、パスワードは画面に表示されません。

表 10：入力内容
ユーザー名	administrator
パスワード	Password1!

NASの登録

「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 11：NASの登録
IPv4 アドレス	NAS1のIPアドレス「192.168.10.10」を設定します。
事前共有鍵(PSK)	事前共有鍵（キー）です。NAS1に設定した「secret1」を設定します。

NAS1と同様にNAS2も登録します。

サプリカントプロファイルの登録

サプリカントプロファイルを登録してサプリカントが接続するネットワーク（VLAN）を指定します。

Note
Windows Active Directory連携で認証を行ったサプリカントが接続するネットワークをサプリカントごとに分けることはできないため、サプリカントプロファイルの登録は1つです。

「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。

表 12：サプリカントプロファイルの登録
名称	Network10
優先度	7（デフォルト）
条件 / デバイス	全ての端末
設定 / アクション	通過
設定 / VLAN	10

設定は以上です。

AlliedWare Plus（Wi-FiルーターのAT-TQRを含む）シリーズと無線LANアクセスポイントのTQシリーズ

弊社製品のAlliedWare Plus（Wi-FiルーターのAT-TQRを含む）シリーズと無線LANアクセスポイントのTQシリーズは、認証要求メッセージのUser-Name属性にMACアドレスが格納されるため、端末認証とMACベース認証が有効の場合は端末認証を行います。端末認証を行うためには「ポリシー管理 / NASプロファイル」画面で登録するNASプロファイルに「ユーザー認証に加えて、端末認証を有効にする。」と「MACベース認証を有効にする。」の双方のチェックボックスにチェックがあり、かつそのNASプロファイルがサプリカントの認証を行うNASに設定されている必要があります。端末認証を行うと「ステータス確認 / 端末」画面でサプリカントの認証の状態が確認できます。なお、MACベース認証要求を受けた場合は、ユーザー認証を行わず端末認証のみを行います。

Note
「ステータス確認 / 端末」画面ではサプリカントの認証状態の確認以外にサプリカントの切断も行えます。サプリカントの切断はAT-RADgateがRADIUS Dynamic AuthorizationのDisconnectメッセージをNASに送信して行います。サプリカントの切断に対応している製品・機能は以下です。

　AlliedWare Plus（Wi-FiルーターのAT-TQR以外）シリーズ：MACベース認証、802.1X認証、Web認証（radius dynamic-authorization-clientの設定が必要）
　AlliedWare Plus（Wi-FiルーターのAT-TQR）シリーズ：MACベース認証（MAC認証）のみ（mac-auth radius dynamic-authorization-clientの設定が必要）

各認証方法における認証ポリシーの確認順は以下のとおりです。

MACベース認証
NAS → 端末認証 → サプリカントプロファイル
　
802.1X認証、Web認証
NAS → 端末認証 → ユーザー認証 → サプリカントプロファイル

Note
各認証方式の説明や認証ポリシーの登録方法は「クイックツアー / ポート認証の各認証方法の認証ポリシー設定」もあわせてご確認ください。

MACベース認証、802.1X認証、Web認証

各認証方法の認証ポリシーの登録は、以下の流れで行います。

NASプロファイル
NAS
ユーザー
端末
サプリカントプロファイル

ユーザーの認証ポリシーは、802.1X認証とWeb認証ではログイン名とパスワードを登録します。MACベース認証ではユーザーの認証ポリシーの登録は不要です。
本設定では以下の構成を想定しています。各製品の基本設定は完了しているものとします。
なおNASにはダイナミックVLANの機能があることを想定しています。
　

NASと各認証方法のサプリカントの情報は以下です。

表 13：情報
NAS1
IPアドレス	192.168.10.10/24
事前共有鍵（キー）	secret1
NAS2
IPアドレス	192.168.10.20/24
事前共有鍵（キー）	secret2
NAS3
IPアドレス	192.168.10.30/24
事前共有鍵（キー）	secret3
サプリカント1（802.1X認証）
MACアドレス	00-00-00-00-00-01
ログイン名	user1
パスワード	passwd1
ネットワーク	vlan10
サプリカント2（Web認証）
MACアドレス	00-00-00-00-00-02
ログイン名	user2
パスワード	passwd2
ネットワーク	vlan20
サプリカント3（MACベース認証）
MACアドレス	00-00-00-00-00-03
ネットワーク	vlan30

NASプロファイルの登録

「ポリシー管理 / NASプロファイル」画面の右上の「追加」ボタンをクリックすると、「NASプロファイル追加」ダイアログが表示されます。

表 14：NASプロファイルの登録
名称	NASプロファイルの名称です。「AlliedTelesis」を設定します。
ユーザー認証に加えて、端末認証を有効にする。	チェックボックスにチェックを入れます。
MACベース認証を有効にする。	チェックボックスにチェックを入れます。

NASの登録

「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 15：NASの登録
IPv4 アドレス	NAS1のIPアドレス「192.168.10.10」を設定します。
事前共有鍵(PSK)	事前共有鍵（キー）です。NAS1に設定した「secret1」を設定します。
プロファイル	割り当てするNASプロファイルです。設定した「AlliedTelesis」を選択します。

NAS1と同様にNAS2とNAS3も登録します。

ユーザーの登録

各サプリカントの情報を設定します。サプリカントごとに接続させるネットワーク（VLAN）を指定しますが、実際にネットワークを指定するのは「サプリカントプロファイル」で行います。各サプリカントと「サプリカントプロファイル」を紐付けるために「タグ」を使用しますが、端末認証を行うため各サプリカントのMACアドレスは端末の認証ポリシーを登録します。そのため、今回のケースではユーザーの認証ポリシーに「タグ」は設定せずに端末の認証ポリシーで「タグ」を設定します。
　
なお、MACベース認証を行うサプリカント3は、ユーザー認証を行わず端末認証のみを行うためユーザーの登録は不要です。
　
「ポリシー管理 / ユーザー」画面の右上の「追加」ボタンをクリックすると、「ユーザー追加」ダイアログが表示されます。

表 16：ユーザーの登録
ログイン名	サプリカント1のログイン名「user1」を設定します。
パスワード	サプリカント1のパスワード「passwd1」を設定します。

サプリカント1と同様にサプリカント2も登録します。

端末の登録

「ポリシー管理 / 端末」画面の右上の「追加」ボタンをクリックすると、「端末追加」ダイアログが表示されます。

表 17：端末の登録
MAC アドレス	サプリカント1のMACアドレス「00-00-00-00-00-01」を設定します。なお、MACアドレスの書式は以下が入力可能です。　00:00:00:00:00:01 　00-00-00-00-00-01 　0000.0000.0001 　000000000001
タグ	サプリカント1が接続するネットワークの「vlan10」を設定します。この「vlan10」は「サプリカントプロファイル」にも設定します。

サプリカント1と同様にサプリカント2とサプリカント3も登録します。

サプリカントプロファイルの登録

サプリカントプロファイルを登録して各サプリカントが接続するネットワーク（VLAN）を指定します。
前述のとおり「端末」と「サプリカントプロファイル」を紐付けるために「タグ」を使用します。
　
なお、端末の認証ポリシーに各サプリカントを登録していますので、サプリカントプロファイルの条件は「登録済み端末」を設定します。

Note
今回のケースでは、優先度は同じ数値でも意図した動作になりますが、明解にするために別々の数値にしています。

表 18：サプリカントプロファイルの登録
サプリカント1用
名称	Network10
優先度	10
条件 / デバイス	登録済み端末
条件 / タグ	vlan10
設定 / アクション	通過
設定 / VLAN	10

サプリカント1用と同様にサプリカント2用とサプリカント3用も登録します。

表 19：サプリカントプロファイルの登録
サプリカント2用
名称	Network20
優先度	11
条件 / デバイス	登録済み端末
条件 / タグ	vlan20
設定 / アクション	通過
設定 / VLAN	20
サプリカント3用
名称	Network30
優先度	12
条件 / デバイス	登録済み端末
条件 / タグ	vlan30
設定 / アクション	通過
設定 / VLAN	30

設定は以上です。
　
端末認証とMACベース認証を有効にしているため「ステータス確認 / 端末」画面でサプリカントの認証状態を確認できます。

インテリジェント・エッジ・セキュリティー（IES）

インテリジェント・エッジ・セキュリティー（IES）は弊社製品のAlliedWare Plus（Wi-FiルーターのAT-TQRを含む）シリーズがサポートするMACベース認証を使用して、Vista Manager EXにてサプリカント（エンドポイント）の通信の可否を一元的に管理できます。なお、AT-RADgateはインテリジェント・エッジ・セキュリティーの認証サーバー（RADIUSサーバー）として使用することができます。
　
インテリジェント・エッジ・セキュリティーはVista Manager EXで操作を行いますが、以下の認証ポリシーはAT-RADgateの「ポリシー管理」側で登録する必要があります。なお、構成にNASを追加する場合もAT-RADgate側で登録を行ってください。

NASプロファイル
NAS

Note
インテリジェント・エッジ・セキュリティーではAT-RADgateの端末認証を使用します。そのためNASプロファイルの「ユーザー認証に加えて、端末認証を有効にする。」と「MACベース認証を有効にする。」の双方のチェックボックスにチェックし、そのNASプロファイルをサプリカントの認証を行うNASに設定します。

Note
インテリジェント・エッジ・セキュリティーの操作は、Vista Manager EXのリファレンスマニュアルをご参照ください。

AT-RADgateの「ポリシー管理」画面で「端末」と「サプリカントプロファイル」の登録は行わないでください。これらはVista Manager EXの「資産管理」画面の「エンドポイント」タブでの操作や「ネットワークサービス / RADIUS」画面の「ユーザー」と「グループ」で追加されたものがAT-RADgateに登録されます。
なお、Vista Manager EXとAT-RADgateでは項目名が異なりますが、それぞれの対応は以下です。

表 20：対応表
Vista Manager EX 「ネットワークサービス / RADIUS」画面	AT-RADgate 「ポリシー管理」画面
ユーザー	端末
グループ	サプリカントプロファイル

Note
Vista Manager EXの操作によって追加された「ユーザー」と「グループ」はAT-RADgateの「端末」と「サプリカントプロファイル」に登録されますが、AT-RADgateに登録されたあとにVista Manager EXやAT-RADgateで再起動等が発生しても再度登録する必要はありません。

設定は、以下の流れで行います。

Vista Manager EXの「システム管理 / 設定」画面でAT-RADgateを有効
Vista Manager EXの「ネットワークサービス / RADIUS」画面でAT-RADgateを登録
Vista Manager EXの「ネットワークサービス / RADIUS」画面で共有パスワードを設定
AT-RADgateの「ポリシー管理」画面でNASプロファイルのポリシーを登録
AT-RADgateの「ポリシー管理」画面でNASのポリシーを登録

Note
実際にインテリジェント・エッジ・セキュリティーを使用する場合は、上記の設定後にVista Manager EXで操作を行います。

本設定では以下の構成を想定しています。各製品の基本設定は完了しているものとします。
　

NASとAT-RADgateの情報は以下です。

表 21：情報
NAS1
IPアドレス	192.168.10.10/24
事前共有鍵（キー）	secret
NAS2
IPアドレス	192.168.10.20/24
事前共有鍵（キー）	secret
AT-RADgate
ユーザー名	manager
パスワード	friend
IP アドレス	192.168.10.100/24

Vista Manager EXの「システム管理 / 設定」画面でAT-RADgateを有効

Vista Manager EXの「システム管理 / 設定」画面のオプション機能で、AT-RADgateを「有効」に設定します。

Vista Manager EXの「ネットワークサービス / RADIUS」画面でAT-RADgateを登録

Vista Manager EXの「ネットワークサービス / RADIUS」画面の「外部サーバーを追加」ボタンをクリックすると「外部サーバーを追加」ダイアログが表示されます。
以下の情報を設定し、「サーバーを登録」ボタンをクリックします。

表 22：外部サーバーの登録
ユーザー名	manager
パスワード	friend
IP アドレス	192.168.10.100

Vista Manager EXの「ネットワークサービス / RADIUS」画面で共有パスワードを設定

Vista Manager EXの「ネットワークサービス / RADIUS」画面の「共有パスワード」ボタンをクリックすると「認証共有パスワード」ダイアログが表示されます。

表 23：共有パスワードの登録
共有パスワード	事前共有鍵（キー）です。NAS1とNAS2に設定した「secret」を設定します。

NASプロファイルの登録

「ポリシー管理 / NASプロファイル」画面の右上の「追加」ボタンをクリックすると、「NASプロファイル追加」ダイアログが表示されます。

表 24：NASプロファイルの登録
名称	NASプロファイルの名称です。「AlliedTelesis」を設定します。
ユーザー認証に加えて、端末認証を有効にする。	チェックボックスにチェックを入れます。
MACベース認証を有効にする。	チェックボックスにチェックを入れます。

NASの登録

「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。

表 25：NASの登録
IPv4 アドレス	NAS1のIPアドレス「192.168.10.10」を設定します。
事前共有鍵(PSK)	事前共有鍵（キー）です。NAS1に設定した「secret」を設定します。
プロファイル	割り当てするNASプロファイルです。設定した「AlliedTelesis」を選択します。

NAS1と同様にNAS2も登録します。

設定は以上です。
　
実際のサプリカントの登録は、Vista Manager EXの「資産管理」画面の「エンドポイント」タブでの操作や「ネットワークサービス / RADIUS」画面の「ユーザー」と「グループ」で行います。
　
なお、AT-RADgateで端末認証とMACベース認証を有効にしているため、AT-RADgateの「ステータス確認 / 端末」画面でサプリカントの認証状態を確認できます。

クイックツアー / AT-RADgateのバックアップとリストア

AT-RADgateのバックアップとリストア方法を説明します。

ライセンスについてのご注意

本バージョンのAT-RADgateのリストアを行う場合、「システム管理 / 概要」画面にある「システムのバックアップ」でバックアップしたファイルがある場合は、「システム管理 / 概要」画面にある「システムの復元」を使って、移行前のシステムをライセンス情報も含め復元することができます。

Note
バックアップされる情報は「システムのバックアップ」をご参照ください。
なお、「RADIUS管理 / Active Directory設定」画面のActive Directoryで設定したWindows Active Directoryの設定はバックアップしたファイルには含まれないため、システムの復元を実行したあとで再設定する必要があります。

Note
「システム管理 / 概要」画面にある「システムの復元」を使用しない場合にはライセンスの再発行が必要になりますので、新しくインストールしたAT-RADgateの「システム管理 / 概要」画面に表示されるシリアル番号を控えて弊社窓口までお問い合わせください。

AT-RADgateのバックアップ

AT-RADgateをバックアップする方法は、以下の2種類があります

「システム管理 / 概要」画面の「システムのバックアップ」でバックアップ
AT-RADgateの各項目を個別にバックアップ

Note
上記の2種類とも、「RADIUS管理 / Active Directory設定」画面のActive Directoryで設定したWindows Active Directoryの設定はバックアップできませんので、リストア後に再設定する必要があります。

それぞれのバックアップの手順を説明します。

「システム管理 / 概要」画面の「システムのバックアップ」でバックアップ

「システム管理 / 概要」画面のシステムのバックアップで「バックアップ」ボタンをクリックして、バックアップファイルを取得してください。
「RADIUS管理 / Active Directory設定」画面のActive Directoryで設定したWindows Active Directoryの設定は、お手元にある情報で再設定してください。

AT-RADgateの各項目を個別にバックアップ

各項目を個別に取得する項目は以下です。

「イベント管理」画面のアプリケーションログを「テキストで出力」でダウンロード
「システム管理 / システム設定管理」画面のバックアップで「バックアップ」ボタンをクリックして、システム設定のファイルを取得
「システム管理 / データベース管理」画面のバックアップで「バックアップ」ボタンをクリックして、認証ポリシー情報のファイルを取得

ただし、上記で取得したファイルには以下の項目は含まれませんので、リストア後に再設定が必要になります。ファイルやライセンスの再発行、設定内容を控えておいてください。

「システム管理 / ネットワーク設定」画面の「サーバー証明書」
「RADIUS管理 / 一般」画面でインポートした「信頼されたCA証明書」
「RADIUS管理 / Active Directory設定」画面のActive Directoryで設定したWindows Active Directoryの設定
「システム管理 / ライセンス」画面で登録したライセンス

なお「イベント管理」画面のアプリケーションログは、バックアップはできますがリストアできません。

AT-RADgateのリストア

AT-RADgateのリストア方法を説明します。
AT-RADgateのリストアの方法は、以下の2種類があります

「システム管理 / 概要」画面の「システムの復元」でリストア
AT-RADgateの各設定を個別にリストア

Note
ライセンスについてのご注意
「システム管理 / 概要」画面にある「システムの復元」を使用しない場合にはライセンスの再発行が必要になりますので、新しくインストールしたAT-RADgateの「システム管理 / 概要」画面に表示されるシリアル番号を控えて弊社窓口までお問い合わせください。

「システム管理 / 概要」画面の「システムの復元」でリストア

「システム管理 / 概要」画面のシステムの復元で「復元」ボタンをクリックして、バックアップしたファイルをリストアします。
「RADIUS管理 / Active Directory設定」画面のActive DirectoryでWindows Active Directoryの設定をしてください（使用時のみ）。

AT-RADgateのリストアは以上です。

AT-RADgateの各設定を個別にリストア

ライセンス
「システム管理 / ライセンス」画面のライセンスで「ライセンスの更新」ボタンをクリックして、ライセンスを登録してください。
サーバー証明書（使用時のみ）
「システム管理 / ネットワーク設定」画面のサーバー証明書で「インポート」ボタンをクリックして、サーバー（SSL）証明書をインポートしてください。
信頼されたCA証明書（使用時のみ）
「RADIUS管理 / 一般」画面の「信頼されたCA証明書」設定で「インポート」ボタンをクリックして、信頼されたCA証明書をインポートしてください。
システム設定
「システム管理 / システム設定管理」画面の復元で「復元」ボタンをクリックして、システム設定をリストアします。
Windows Active Directory設定（使用時のみ）
「RADIUS管理 / Active Directory設定」画面のActive DirectoryでWindows Active Directoryの設定をしてください。
データベース管理
「システム管理 / データベース管理」画面のインポートで「インポート」ボタンをクリックして、認証ポリシー情報をリストアします。

AT-RADgateのリストアは以上です。

クイックツアー / 冗長構成の注意点

冗長構成の注意点

RADIUSサーバーは認証サービスを提供するサーバーのため、RADIUSサーバーがNASからの認証要求に対して応答できない状態になると、サプリカントがネットワークに接続できなくなる可能性が高くなります。
　
AT-RADgateには認証ポリシーを登録しますが、その認証ポリシーを別のAT-RADgateに同期する（認証ポリシーをコピーする）機能はありません。そのためAT-RADgateを複数台（例：プライマリーとセカンダリー）設置した場合は、認証ポリシーをそれぞれのAT-RADgateに登録する必要があります。
　
プライマリーとセカンダリーのRADIUSサーバーへの認証要求の送信は、NAS側で設定する必要があります。詳細はNASのマニュアル等をご確認ください。

リファレンス編 / データ書式

データ書式

AT-RADgateのポリシーデータやシステム設定は、決められた書式で入力する必要があります。そのうち、各設定で頻繁に使用する書式名と入力ルールを説明します。

表 1：書式名と入力ルール
書式名	入力ルール
識別子	最大63文字までの文字列で、日本語も使用できます。空白、タブ文字、下記の記号は使用できません。　! " # $ % & ' * + , / : ; < = > ? [ ] ^ ` `\` \| { } ~
パスワード	ASCIIコードの範囲内の英数字と記号が入力可能です。
MACアドレス	MACアドレスを表す文字列で、下記の書式で入力可能です。xは16進数の数値で、アルファベットの大文字・小文字は問いません。　xx:xx:xx:xx:xx:xx 　xx-xx-xx-xx-xx-xx 　xxxx.xxxx.xxxx 　xxxxxxxxxxxx
IPv4アドレス	IPv4アドレスを表す文字列で、次の書式で入力可能です。nは0から255までの数値で、ゼロ以外は先頭にゼロを付けることができません。　n.n.n.n
タグ	各タグは最大63文字の文字列で、全体で最大255文字です。使用可能文字は「識別子」と同じです。

リファレンス編 / ポリシー管理

「ポリシー管理」画面では、ユーザー、端末、NASなどのポリシーを管理します。

ユーザー

ポリシー管理 > ユーザー
　
AT-RADgateのユーザーポリシーを管理します。
「ユーザー」タブをクリックすると、AT-RADgateに登録されたユーザーポリシー一覧が表示されます。

Note
ユーザーポリシーはMACアドレスベース認証（MACベース認証、MACアクセス制御）の場合にはMACアドレスを登録します。AT-RADgateにMACアドレスを登録する場合の形式（ログイン名とパスワード）は、NASが送信する形式に合わせてください。

表 1：ユーザーポリシー一覧
項目	表示	検索	並べ替え	説明
ログイン名	○	○	○	ユーザーのアカウント名です。この値はユーザーポリシーの識別とサプリカントの認証で使用されます。
フルネーム	○	○	○	ユーザーのフルネームです。この値はサプリカントの認証には使用されません。
アクセスレベル	○	－	○	ユーザーのアクセスレベルを表す0から15の整数値です。0はアクセス拒否を表し、それ以外の値はアクセス許可を表します。大きい値ほど高いアクセスレベルを持つことを表します。
タグ	○	○	－	ユーザーに付与されたタグのリストです。ユーザーを特定のグループに分類するために使用します。
備考	○	○	○	ユーザーの説明です。この値はサプリカントの認証には使用されません。

ページの右上にある各ボタンの機能は下記となります。

表 2：各ボタンの機能
ボタン名	機能
CSVで出力	現在登録されているユーザーポリシーをCSV（カンマ区切りテキスト）形式でダウンロードします。 CSVファイルについては、「付録 / CSVファイル」を参照してください。
列を管理	表の各列の表示状態を変更します。
再読み込み	ユーザーポリシー一覧を再読み込みします。
追加	ユーザーポリシーを追加します（「ユーザー追加」ダイアログが表示されます）。

一覧の各行の右端にメニューボタンがあり、その行のポリシーの管理ができます。

表 3：各メニューの機能
メニュー名	機能
編集	ユーザーポリシーの内容を更新します（「ユーザー更新」ダイアログが表示されます）。
削除	ユーザーポリシーを削除します。

ユーザー追加・ユーザー更新

ポリシー管理 > ユーザー > ユーザー追加・ユーザー更新
　
「ユーザー」画面右上の「追加」ボタンをクリックすると「ユーザー追加」ダイアログが表示され、ユーザーポリシーの新規追加ができます。また、既に登録されているユーザーポリシーの右端の「編集」メニューをクリックすると「ユーザー更新」ダイアログが表示され、ユーザーポリシーの編集ができます。
この2つのダイアログは共通のフォームを使用しています。

表 4：ユーザー追加・ユーザー更新
項目・ボタン名	必須	書式	説明
ログイン名	○	識別子	ユーザーのアカウント名です。
「パスワード設定」ボタン	－	－	「ユーザー更新」ダイアログでのみ表示されます。クリックすると「パスワード」項目が表示され、パスワードの変更ができます。
パスワード	○	パスワード	ユーザーのアカウントパスワードです。英数字、記号が使用可能です。
フルネーム	－	文字列（最大63文字）	ユーザーのフルネームです。
アクセスレベル	－	整数値（0-15）（「数値」選択時）	ユーザーのアクセスレベルです。　許可：アクセスを許可します。　拒否：アクセスを拒否します。　数値：0から15の整数値で設定します。0はアクセス拒否を、それ以外の値はアクセス許可を表し、大きい値ほど高いアクセスレベルを持つことを表します。
タグ	－	タグ	ユーザーに付与するタグのリストです。複数指定する場合は、空白文字で区切ります。
備考	－	文字列（最大63文字）	ユーザーの説明です。
「キャンセル」ボタン	－	－	ポリシーの追加または更新をキャンセルします。
「保存」ボタン	－	－	新しいポリシー情報を登録、またはポリシー情報を更新します。

端末

ポリシー管理 > 端末
　
AT-RADgateの端末ポリシーを管理します。
「端末」タブをクリックすると、AT-RADgateに登録された端末ポリシー一覧が表示されます。
端末とは、PCやスマートフォンなどの装置に搭載されたネットワークインターフェースを指します。1つの装置に有線と無線の2つのインターフェースを持つ場合、その装置のすべてのインターフェース接続を管理するには、2つの端末ポリシーを登録する必要があります。

表の各列の内容は下記となります。

表 5：端末ポリシー一覧
項目	表示	検索	並べ替え	説明
MACアドレス	○	○	○	端末のMACアドレスです。この値は端末ポリシーの識別とサプリカントの認証で使用されます。
デバイス名	○	○	○	端末のデバイス名です。複数の端末に同じデバイス名を付与することができます。同じデバイス名を持つ複数の端末は、同一の装置が複数のネットワークインターフェースを持つ状態を表します。この値はサプリカントの認証時の「サプリカントプロファイル」の適用条件に使用することができます。
アクセスレベル	○	－	○	ユーザーのアクセスレベルを表す0から15の整数値です。0はアクセス拒否を表し、それ以外の値はアクセス許可を表します。大きい値ほど高いアクセスレベルを持つことを表します。
タグ	○	○	－	端末に付与されたタグのリストです。端末を特定のグループに分類するために使用します。
備考	○	○	○	端末の説明です。この値はサプリカントの認証には使用されません。

ページの右上にある各ボタンの機能は下記となります。

表 6：各ボタンの機能
ボタン名	機能
CSVで出力	現在登録されている端末ポリシーをCSV（カンマ区切りテキスト）形式でダウンロードします。 CSVファイルについては、「付録 / CSVファイル」を参照してください。
列を管理	表の各列の表示状態を変更します。
再読み込み	端末ポリシー一覧を再読み込みします。
追加	端末ポリシーを追加します（「端末追加」ダイアログが表示されます）。

一覧の各行の右端にメニューボタンがあり、その行のポリシーの管理ができます。

表 7：各メニューの機能
メニュー名	機能
編集	端末ポリシーの内容を更新します（「端末更新」ダイアログが表示されます）。
削除	端末ポリシーを削除します。

端末追加・端末更新

ポリシー管理 > 端末 > 端末追加・端末更新
　
「端末」画面右上の「追加」ボタンをクリックすると「端末追加」ダイアログが表示され、端末ポリシーの新規追加ができます。また、既に登録されている端末ポリシーの「編集」メニューをクリックすると「端末更新」ダイアログが表示され、端末ポリシーの編集ができます。
この2つのダイアログは共通のフォームを使用しています。

表 8：端末ポリシー
項目・ボタン名	必須	書式	説明
MACアドレス	○	MACアドレス	端末のMACアドレスです。
デバイス名	○	識別子	端末のデバイス名です。
アクセスレベル	－	整数値（0-15）	端末のアクセスレベルです。
タグ	－	タグ	端末に付与するタグのリストです。複数指定する場合は空白文字で区切ります。
備考	－	文字列（最大63文字）	端末の説明です。
「キャンセル」ボタン	－	－	ポリシーの追加または更新をキャンセルします。
「保存」ボタン	－	－	新しいポリシー情報を登録、またはポリシー情報を更新します。

NAS / RADIUSプロキシ

ポリシー管理 > NAS / RADIUSプロキシ
　
AT-RADgateのNASポリシーおよびRADIUSプロキシポリシーを管理します。
「NAS / RADIUSプロキシ」タブをクリックすると、AT-RADgateに登録されたNASポリシーおよびRADIUSプロキシポリシー一覧が表示されます。

表の各列の内容は下記となります。

表 9：NASポリシー一覧
項目	表示	検索	並べ替え	説明
IPアドレス	○	○	○	NAS / RADIUSプロキシのIPアドレスです。この値はNASポリシーの識別とサプリカントの認証で使用されます。
名称	○	○	○	NAS / RADIUSプロキシの名前です。この値はサプリカントの認証には使用されません。
プロファイル	○	－	－	このNAS / RADIUSプロキシに割り当てられたプロファイル名です。プロファイルはNAS / RADIUSプロキシの設定が格納されたデータで、多数のNAS / RADIUSプロキシに同じ設定を適用する必要がある場合に活用できます。この値が空の場合、デフォルトのプロファイルが割り当てられます。デフォルトのプロファイルについては「デフォルトのNASプロファイル」を参照してください。
タグ	○	○	－	NAS / RADIUSプロキシに付与されたタグのリストです。NASを特定のグループに分類するために使用します。
備考	○	○	○	NAS / RADIUSプロキシの説明です。この値はサプリカントの認証には使用されません。

ページ右上にある各ボタンの機能は下記となります。

表 10：各ボタンの機能
ボタン名	機能
CSVで出力	現在登録されているNAS / RADIUSプロキシポリシーをCSV（カンマ区切りテキスト）形式でダウンロードします。 CSVファイルについては、「付録 / CSVファイル」を参照してください。
列を管理	表の各列の表示状態を変更します。
再読み込み	NAS / RADIUSプロキシポリシー一覧を再読み込みします。
追加	NAS / RADIUSプロキシポリシーを追加します（「NAS / RADIUSプロキシ追加」ダイアログが表示されます）。

一覧の各行の右端にメニューボタンがあり、その行のポリシーの管理ができます。

表 11：各メニューの機能
メニュー名	機能
編集	NAS / RADIUSプロキシポリシーの内容を更新します（「NAS / RADIUSプロキシ更新」ダイアログが表示されます）。
削除	NAS / RADIUSプロキシポリシーを削除します。

NAS / RADIUSプロキシ追加・NAS / RADIUSプロキシ更新

ポリシー管理 > NAS / RADIUSプロキシ > NAS / RADIUSプロキシ追加・NAS / RADIUSプロキシ更新
　
「NAS / RADIUSプロキシ」画面右上の「追加」ボタンをクリックすると「NAS / RADIUSプロキシ追加」ダイアログが表示され、NASポリシーの新規追加ができます。また、既に登録されているNASポリシーの右端の「編集」メニューをクリックすると「NAS / RADIUSプロキシ更新」ダイアログが表示され、NASポリシーの編集ができます。
この2つのダイアログは共通のフォームを使用しています。

表 12：NAS / RADIUSプロキシ追加・NAS / RADIUSプロキシ更新ダイアログ
項目・ボタン名	必須	書式	説明
IPv4アドレス	○	IPv4アドレス	NAS / RADIUSプロキシのIPアドレスです。
「プロキシ経由の接続のみ許可します。」	－	チェックボックス	チェックボックスにチェックを入れると、事前共有鍵の入力を省略します。この設定により、このNAS / RADIUSプロキシが送信する認証リクエストは、他のRADIUSプロキシを経由している場合のみ受け付けます。
「事前共有鍵の設定」ボタン	－	－	「NAS / RADIUSプロキシ更新」ダイアログでのみ表示されます。クリックすると「事前共有鍵(PSK)」項目が表示され、事前共有鍵の変更ができます。
事前共有鍵(PSK)	○	パスワード	NAS / RADIUSプロキシの事前共有鍵です。
名称	○	識別子	NAS / RADIUSプロキシの名前です。
プロファイル	－	－	プロファイル名です。「NASプロファイル」で登録したプロファイルを選択します。
タグ	－	タグ	NAS / RADIUSプロキシに付与するタグのリストです。複数指定する場合は空白文字で区切ります。
備考	－	文字列（最大63文字）	NAS / RADIUSプロキシの説明です。
「キャンセル」ボタン	－	－	ポリシーの追加または更新をキャンセルします。
「保存」ボタン	－	－	新しいポリシー情報を登録、またはポリシー情報を更新します。

NASプロファイル

ポリシー管理 > NASプロファイル
　
AT-RADgateのNASプロファイルポリシーを管理します。
「NASプロファイル」をクリックすると、AT-RADgateに登録されたNASプロファイルポリシー一覧が表示されます。

表の各列の内容は下記となります。

表 13：NASプロファイルポリシー一覧
項目	表示	検索	並べ替え	説明
名称	○	○	○	NASプロファイルの名前です。
備考	○	○	○	NASプロファイルの説明です。

ページの右上にある各ボタンの機能は下記となります。

表 14：各ボタンの機能
ボタン名	機能
CSVで出力	現在登録されているNASプロファイルポリシーをCSV（カンマ区切りテキスト）形式でダウンロードします。 CSVファイルについては、「付録 / CSVファイル」を参照してください。
列を管理	表の各列の表示状態を変更します。
再読み込み	NASプロファイルポリシー一覧を再読み込みします。
追加	NASプロファイルポリシーを追加します（「NASプロファイル追加」ダイアログが表示されます）。

一覧の各行の右端にメニューボタンがあり、その行のポリシーの管理ができます。

表 15：各メニューの機能
メニュー名	機能
編集	NASプロファイルポリシーの内容を更新します（「NASプロファイル更新」ダイアログが表示されます）。
削除	NASプロファイルポリシーを削除します。

NASプロファイル追加・NASプロファイル更新

ポリシー管理 > NASプロファイル > NASプロファイル追加・NASプロファイル更新
　
「NASプロファイル」画面右上の「追加」ボタンをクリックすると「NASプロファイル追加」ダイアログが表示され、NASプロファイルポリシーの新規追加ができます。また、既に登録されているNASポリシーの右端の「編集」メニューをクリックすると「NASプロファイル更新」ダイアログが表示され、NASプロファイルポリシーの編集ができます。
この2つのダイアログは共通のフォームを使用しています。

表 16：NASプロファイル追加・NASプロファイル更新ダイアログ
項目・ボタン名	必須	書式	説明
名称	○	識別子	NASプロファイルの名前です。
備考	－	文字列（最大63文字）	NASプロファイルの説明です。
「ユーザー認証に加えて、端末認証を有効にする。」	－	チェックボックス	チェックボックスにチェックを入れると、受信した認証要求メッセージのUser-Name属性にMACアドレスが格納されている場合、ユーザー名による認証に加え、MACアドレスによる端末認証も行います。
「MACベース認証を有効にする。」	－	チェックボックス	チェックボックスにチェックを入れると、受信した認証メッセージのUser-Name属性にMACアドレスが格納されている場合、ユーザー認証の代わりにMACアドレスによる端末認証を行います。ユーザー名に格納されている文字列がMACアドレスかどうか判断する処理は、「User-Name属性設定」によるレルム（ドメイン）部分の削除のあとに実施されます。RADIUSプロキシ処理のためにMACアドレスにレルム（ドメイン）情報を追加している場合は、「User-Name属性設定」を行い、その情報の削除を行う必要があります。 Note RADIUSプロキシを通してMACベース認証する場合、NASプロファイルはサプリカントにつながっているNASに割り当てる必要があります。
「キャンセル」ボタン	－	－	ポリシーの追加または更新をキャンセルします。
「保存」ボタン	－	－	新しいポリシー情報を登録、またはポリシー情報を更新します。

デフォルトのNASプロファイル

NASポリシーに明示的にプロファイルを割り当てなかった場合、そのNASにはデフォルトのNASプロファイルが適用されます。デフォルトのNASプロファイルの設定は下記となります。

表 17：デフォルトのNASプロファイル
設定項目	デフォルト値
「ユーザー認証に加えて、端末認証を有効にする。」	未選択状態
「MACベース認証を有効にする。」	未選択状態

サプリカントプロファイル

ポリシー管理 > サプリカントプロファイル
　
AT-RADgateのサプリカントプロファイルポリシーを管理します。
「サプリカントプロファイル」をクリックすると、AT-RADgateに登録されたサプリカントプロファイルポリシー一覧が表示されます。

Note
サプリカントプロファイルポリシーを登録しない場合、デフォルトのポリシーがサプリカントに適用されます。「デフォルトのサプリカントプロファイルポリシー」を参照してください。

表 18：サプリカントプロファイルポリシー一覧
項目	表示	検索	並べ替え	説明
名称	○	○	○	サプリカントプロファイルの名前です。
優先度	○	－	○	サプリカントプロファイルの適用優先度です。値が小さいほど優先度が高くなります。
アクション	○	－	○	サプリカントに適用されるアクションです。
原因	○	○	○	このアクションが登録された要因です。
備考	○	○	○	サプリカントプロファイルの説明です。

ページの右上にある各ボタンの機能は下記となります。

表 19：各ボタンの機能
ボタン名	機能
CSVで出力	現在登録されているサプリカントプロファイルポリシーをCSV（カンマ区切りテキスト）形式でダウンロードします。 CSVファイルについては、「付録 / CSVファイル」を参照してください。
列を管理	表の各列の表示状態を変更します。
再読み込み	サプリカントプロファイルポリシー一覧を再読み込みします。
追加	サプリカントプロファイルポリシーを追加します（「サプリカントプロファイル追加」ダイアログが表示されます）。

一覧の各行の右端にメニューボタンがあり、その行のポリシーの管理ができます。

表 20：各メニューの機能
メニュー名	機能
編集	サプリカントプロファイルポリシーの内容を更新します（「サプリカントプロファイル更新」ダイアログが表示されます）。
削除	サプリカントプロファイルポリシーを削除します。

サプリカントプロファイル追加・サプリカントプロファイル更新

ポリシー管理 > サプリカントプロファイル > サプリカントプロファイル追加・サプリカントプロファイル更新
　
「サプリカントプロファイル」画面右上の「追加」ボタンをクリックすると「サプリカントプロファイル追加」ダイアログが表示され、サプリカントプロファイルの新規追加ができます。また、既に登録されているサプリカントプロファイルの右端の「編集」メニューをクリックすると「サプリカントプロファイル更新」ダイアログが表示され、サプリカントプロファイルの編集ができます。
この2つのダイアログは共通のフォームを使用しています。

表 21：サプリカントプロファイル追加・サプリカントプロファイル更新ダイアログ
項目・ボタン名	必須	書式	説明
名称	○	識別子	サプリカントプロファイルの名前です。
優先度	○	整数値（0-15）	プロファイルの適用優先度です。
条件	－	－	このプロファイルの適用対象となるサプリカントの条件を設定します。詳細は「条件」を参照してください。
設定	－	－	このプロファイルの条件に適合したサプリカントに対して適用されるパラメーターを設定します。詳細は「設定」を参照してください。
追加情報	－	－	このプロファイルの追加情報を設定します。詳細は「追加情報」を参照してください。
「キャンセル」ボタン	－	－	ポリシーの追加または更新をキャンセルします。
「保存」ボタン	－	－	新しいポリシー情報を登録、またはポリシー情報を更新します。

条件

表 22：条件
項目	必須	書式	説明
デバイス	－	－	サプリカントの端末情報に関する条件です。詳細は「デバイス条件」を参照してください。
アクセスレベル	－	文字列	サプリカントのアクセスレベルに対する一致条件です。詳細は「アクセスレベル条件」を参照してください。
タグ	－	文字列（最大255文字）	サプリカントのタグに対する一致条件です。詳細は「タグ条件」を参照してください。

デバイス条件

デバイス条件では、「全ての端末」、「登録済み端末」、「未登録端末」、「MACアドレス指定」、「名前指定」のいずれかを選択します。それぞれのパラメーターの動作は下記のとおりとなります。

表 23：デバイス条件
デバイス条件名	動作
全ての端末	すべてのサプリカントと一致します。
登録済み端末	MACアドレスが「端末」ポリシーとしてAT-RADgateに登録されているサプリカントと一致します。
未登録端末	MACアドレスが「端末」ポリシーとしてAT-RADgateに登録されていないサプリカントと一致します。
MACアドレス指定	MACアドレスが設定されたアドレスと一致するサプリカントと一致します。この条件を選択した場合、追加でMACアドレスを入力するフィールドが表示されます。
名前指定	デバイス名が設定されたデバイス名と一致するサプリカントと一致します。この条件を選択した場合、デバイス名を入力する追加項目が表示されます。

表 24：追加項目
追加フィールド名	必須	書式	説明
MACアドレス	○	MACアドレス	デバイス条件で「MACアドレス指定」を選択した場合に表示されます。
デバイス名	○	識別子	デバイス条件で「名前指定」を選択した場合に表示されます。

アクセスレベル条件

アクセスレベル条件の表記方法は、下記の書式となります。

表 25：アクセスレベル条件
名前	書式	例	動作
値指定	NUM	3	NUMは整数値を表します。指定された数値と同じ値を持つサプリカントと一致します。

タグ条件

タグ条件の指定方法は下記の書式となります。

表 26：タグ条件
タグ条件名	動作
名前指定	指定されたタグ条件名を持つサプリカントと一致します。

設定

表 27：設定
項目	必須	書式	説明
アクション	○	－	サプリカントに適用されるアクションです。詳細は「アクション」を参照してください。
フィルターID	－	文字列（最大255文字）	サプリカントに適用されるパケットフィルターのIDです。詳細は「パケットフィルター」を参照してください。
フィルタールール	－	文字列（最大1024文字）	サプリカントに適用されるパケットフィルターのルールです。詳細は「パケットフィルター」を参照してください。

アクション

アクション設定は、基本的にポート認証など主にユーザー端末（サプリカント）のネットワーク接続を制御する機能と併用され、ユーザー端末を収容するネットワークスイッチが、ユーザー端末が送信したパケットに対して行う制御内容を指定します。それ以外のケースでは、アクションを「通過」、VLANを空白に設定してください。
アクション設定フィールドは「通過」、「破棄」、「隔離」、「未定」、「通知」のいずれかを選択します。それぞれのパラメーターの動作は下記のとおりです。

表 28：アクション
アクション名	動作
通過	サプリカントが送信したパケットを適切なネットワークセグメントに転送します。この条件を選択した場合、追加で接続先VLAN名を入力するフィールドが表示されます。VLAN名が設定された場合、パケットは指定されたVLANに転送されます。未設定の場合はベースVLANに転送されます。
破棄	サプリカントが送信したパケットを破棄します。
隔離	サプリカントが送信したパケットを隔離ネットワークセグメントに転送します。この条件を選択した場合、追加で接続先VLAN名を入力するフィールドが表示されます。VLAN名が設定された場合、パケットは指定されたVLANに転送されます。未設定の場合は、「全般」ポリシーの「デフォルトの隔離VLAN」に設定されているVLANに転送されます。「デフォルトの隔離VLAN」も未設定の場合、ベースVLANに転送されます。
未定	サプリカントの接続状態を未定に設定します。この条件を選択した場合、追加で接続先VLAN名を入力するフィールドが表示されます。VLAN名が設定された場合、パケットは指定されたVLANに転送されます。未設定の場合は、廃棄されます。 Note 本バージョンでは未サポートのため、選択しないでください。
通知	イベントログを出力します。このアクションが設定されたプロファイルがサプリカントに適用された場合、他の設定パラメーターはサプリカントに適用されず無視され、サプリカントに適用すべきアクションを確定させるため優先度の低いプロファイルの評価が継続されます。

パケットフィルター

パケットフィルター設定は、基本的にポート認証など主にユーザー端末（サプリカント）のネットワーク接続を制御する機能と併用され、ユーザー端末を収容するネットワークスイッチが、ユーザー端末が送信したパケットに対して行う追加のフィルター処理を指定します。それ以外のケースでは本設定は行わないでください。

表 29：パケットフィルター
項目	書式
フィルターID	あらかじめネットワークスイッチに設定されているフィルター名（ACL名）を指定します。空白文字で区切ることにより複数のフィルターを指定可能です。
フィルタールール	ネットワークスイッチに設定するフィルタールール自体を指定します。フィルタールールは設定が投入されるネットワークスイッチが定める文法に従って記述します。改行で区切ることにより複数のルールを指定可能です。

追加情報

表 30：追加情報
フィールド名	必須	書式	説明
原因	－	文字列（最大63文字）	NASプロファイルの説明です。
備考	－	文字列（最大63文字）	NASプロファイルの説明です。

デフォルトのサプリカントプロファイルポリシー

表 31：デフォルトのポリシー
優先度	条件	アクション
1	未登録デバイス	破棄
2	アクセスレベルが0	破棄
3	アクセスレベルが1以上	通過

全般

ポリシー管理 > 全般
　
AT-RADgateの全般的なポリシー設定を管理します。
「全般」タブをクリックすると、AT-RADgateの現在の全般的なポリシー設定が表示されます。

一般

ポリシー管理 > 全般 > 一般
　
一般ではデフォルトの隔離VLANの設定ができます。右下の「編集」ボタンをクリックすると、編集モードに移行します。

■ 編集モード

表 32：一般
項目・ボタン名	必須	書式	説明
デフォルトの隔離VLAN	－	識別子	「サプリカントプロファイル」でVLAN指定のない隔離アクションが設定される場合に、NASに送信される隔離先VLAN名です。設定がない場合はベースVLANに隔離されます。デフォルトは設定なしです。
「編集」ボタン	－	－	デフォルトの隔離VLANを設定する編集モードに移行します。
「キャンセル」ボタン	－	－	デフォルトの隔離VLANの設定をキャンセルします。
「保存」ボタン	－	－	デフォルトの隔離VLANの設定を登録、または情報を更新します。

リファレンス編 / ステータス確認

「ステータス確認」画面では、AT-RADgateが認証処理を行った端末の状態を管理します。

端末

ステータス確認 > 端末
　
AT-RADgateが認証した端末の状態一覧が表示されます。この画面は、AW+デバイスのポート認証機能で認証された端末を管理する目的で用意されており、それ以外での動作は未サポートです。

この画面で表示される端末の状態には、下記の制限事項があります。

端末認証が有効な「NASプロファイル」が割り当てられたNAS経由で認証を行った端末のみが表示されます。
NASでRADIUSアカウンティングの設定を有効にしていない場合、端末の切断を検知できないため、既にネットワークから離脱している端末が表示され続けます。
RADIUSアカウンティングパケットがネットワーク上でロストした場合、既にネットワークから離脱している端末が表示され続ける可能性があります。
NASが再起動した場合、そのNASに接続している端末が表示され続けます。

表 1：ステータス確認
項目	表示	検索	並べ替え	説明
MACアドレス	○	○	○	端末のMACアドレスです。
タグ	○	－	－	端末に割り当てられたタグです。
状況	○	○	○	端末の状態です。
VLAN	○	－	○	接続先のVLANです。
デバイス名	○	○	○	端末のデバイス名です。
接続NAS IPアドレス	○	○	○	NAS経由で認証を行った場合にNASのIPアドレスが表示されます。

ページの右上にある各ボタンの機能は下記となります。

表 2：各ボタンの機能
ボタン名	機能
列を管理	表の各列の表示状態を変更します。
再読み込み	端末の状態一覧を再読み込みします。

表の各行の右端にメニューボタンがあり、その行のポリシーの管理が行えます。各メニューの機能は下記となります。

表 3：各ボタンの機能
ボタン名	機能
切断	NASに端末の切断要求を送信します。

リファレンス編 / イベント管理

アプリケーションログ

イベント管理 > アプリケーションログ
　
AT-RADgateのアプリケーションログを管理します。
このページにアクセスするとAT-RADgateのイベントログ一覧が表示されます。

表の各列の内容は下記となります。

表 1：イベントログ一覧
項目	表示	説明
カラーコード	○	イベントログの重要度を表します。色で表現されます。詳細は「ログレベル」を参照してください。
日時	○	イベントの発生日時です。ローカル時間で表示されます。
レベル	○	イベントの重要度を表します。一般的なログシステムで使用されるレベル名で表示されます。詳細は「ログレベル」を参照してください。
タイプ	○	イベントの種別を表します。「リファレンス編 / システム管理」の「ログレベル」で一覧されている種別と対応します。
メッセージ	○	イベントの内容です。

ページの右上にある各ボタンの機能は下記となります。

表 2：各ボタンの機能
ボタン名	機能
ログの全削除	現在保存されているイベントログをすべて削除します。
テキストで出力	現在保存されているイベントログをテキスト形式でダウンロードします。
列を管理	表の各列の表示状態を変更します。
再読み込み	イベントログを再読み込みします。

ログレベル

イベント管理 > アプリケーションログ > ログレベル
　
ログで記録される各イベントにはレベルが設定されています。AT-RADgateで定義されているレベルは重要度の高い順に下記のとおりとなります。

表 3：ログレベル
ログレベル名	色	説明
エラー（ERROR）	赤	AT-RADgate内でエラーが発生した場合に記録されるログです。
警告（WARNING）	黄	AT-RADgateが通信している装置が異常な状態になった場合、またはAT-RADgate内で注視すべき事象が発生し場合に記録されるログです。
情報（INFO）	緑	一般的なイベントに割り当てられる重要度です。
デバッグ（DEBUG）	灰	AT-RADgateの詳細な動作を確認するために使用するログに割り当てられる重要度です。 Note デバッグのログレベルは、トラブルシューティング時など内部情報の確認が必要な場合を想定したものですので、ご使用に際しては弊社技術担当にご相談ください。デバッグのログレベルを設定するとイベントログに大量のログが記録されるため、通常運用時には設定しないでください。

リファレンス編 / アカウント管理

AT-RADgateのアカウントを管理します。
「アカウント管理」画面では、左側の表示領域にアカウント一覧が、右側の表示領域に現在選択中のアカウントの詳細情報が表示されます。

ページの右上にあるボタンの機能は下記となります。

表 1：ボタンの機能
ボタン名	機能
アカウント追加	アカウントを追加します。クリックすると「新規アカウント」画面に変わります。

アカウントの詳細情報に表示される項目は下記となります。

表 2：アカウントの詳細情報
項目	説明
ユーザー名	ログインアカウント名です。設定画面にログインするときに使用します。
メールアドレス	アカウントに関連付けられているメールアドレスです。 Note アカウントにメールアドレスを登録して、「システム管理 / メール設定」画面でメール通知の設定を行っておくことで、パスワードを忘れた場合にメールによるパスワードの復旧が可能です。メールによるパスワードの復旧手順については、「付録 / パスワードを忘れた場合」を参照してください。
権限	アカウントに割り当てられる権限です。権限の種類は下記となります。それぞれの権限により許可されるアクションは、「付録 / 管理者の権限」を参照してください。　「システム設定の変更を許可する。」　「認証データベースの編集を許可する。」

詳細表示の下にある各ボタンの機能は下記となります。

表 3：各ボタンの機能
メニュー名	機能
削除	選択中のアカウントを削除します。ログイン中のアカウント、および初期設定アカウント「manager」は削除できません。
編集	選択中のアカウントの情報を更新します。クリックすると「アカウント編集」画面に変わります。

新規アカウント

アカウント管理 > 新規アカウント
　
新規アカウントを作成します。

表 4：新規アカウント
項目	必須	書式	説明
ユーザー名	○	文字列（最大64文字）	ログインアカウント名です。 64文字以内で下記の文字が使用可能です。 a-z, A-Z, 0-9, - . _
メールアドレス	－	メールアドレス	アカウントに関連付けるメールアドレスを入力します。イベント通知や、パスワードを忘れた場合にメールによるパスワードの復旧が可能です。
パスワード	○	パスワード	ログインアカウントのパスワードです。英数字、記号が使用可能です。
パスワード確認	○	パスワード	パスワードの確認のため、パスワードをもう一度入力してください。
権限	－	チェックボックス	アカウントに割り当てられる権限です。権限の種類は下記となります。それぞれの権限により許可されるアクションは、「付録 / 管理者の権限」を参照してください。　「システム設定の変更を許可する。」　「認証データベースの編集を許可する。」
「キャンセル」ボタン	－	－	アカウントの新規追加をキャンセルします。
「保存」ボタン	－	－	入力したアカウントを新規に登録します。

アカウント編集

アカウント管理 > アカウント編集
　
登録されているアカウントの情報を変更できます。

表 5：アカウント編集
フィールド名	必須	書式	説明
ユーザー名	－	－	ログインアカウント名です。登録済みのユーザー名を変更することはできません。
メールアドレス	－	メールアドレス	アカウントに関連付けるメールアドレスを入力します。イベント通知や、パスワードを忘れた場合にメールによるパスワードの復旧が可能です。
「パスワード設定」ボタン	－	－	クリックすると「パスワード」「パスワード確認」項目が表示され、パスワードの変更ができます。
パスワード	○	パスワード	ログインアカウントのパスワードです。英数字、記号が使用可能です。
パスワード確認	○	パスワード	パスワードの確認のため、パスワードをもう一度入力してください。
権限	－	チェックボックス	アカウントに割り当てられる権限です。権限の種類は下記となります。それぞれの権限により許可されるアクションは、「付録 / 管理者の権限」を参照してください。　「システム設定の変更を許可する。」　「認証データベースの編集を許可する。」
「キャンセル」ボタン	－	－	アカウント情報の更新をキャンセルします。
「保存」ボタン	－	－	入力したアカウント情報に更新します。

リファレンス編 / RADIUS管理

「RADIUS管理」画面は、サブメニューに「一般」「プロキシ設定」「Active Directory設定」「LDAPサーバー設定」があり、それぞれ認証に関連する設定ができます。
ログインしているアカウントに「システム設定の変更を許可する。」の権限が割り当てられている場合にのみ、設定を変更できます。権限が割り当てられていない場合は閲覧のみできます。

一般

RADIUS管理 > 一般
　
「一般」画面では、「User-Name属性設定」と「信頼されたCA証明書」の設定ができます。

User-Name属性設定

RADIUS管理 > 一般 > User-Name属性設定
　
認証時にUser-Name属性のレルム（ドメイン）部分を含めるか・除くかを選択できます。右下の「編集」ボタンをクリックすると、編集モードに移行します。
■ 編集モード

表 1：User-Name属性設定
項目・ボタン名	必須	書式	説明
User-Name属性に'`\`'が含まれる場合 (e.g. DOMAIN`\`user)、レルム（ドメイン）部分を除いて認証する。	－	チェックボックス	チェックボックスにチェックを入れると、User-Name属性に’`\`’が含まれる場合、レルム（ドメイン）部分を除いて認証します。
User-Name属性に'@'が含まれる場合 (e.g. user@domain)、レルム（ドメイン）部分を除いて認証する。	－	チェックボックス	チェックボックスにチェックを入れると、User-Name属性に’@’が含まれる場合、レルム（ドメイン）部分を除いて認証します。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

信頼されたCA証明書

RADIUS管理 > 一般 > 信頼されたCA証明書
　
EAP-TLS認証方式では、パスワードの代わりにSSLクライアント証明書を使用しユーザー認証を行います。認証は受信したSSLクライアント証明書が、AT-RADgateが信頼するCA局によって署名されているかを検証することにより実施されます。このページで、AT-RADgateが信頼するCA局のSSL証明書を管理します。

■ CA証明書のインポート
PEM形式のCA証明書をアップロードできます。「インポート」ボタンをクリックした画面で、CA証明書を選択してください。CA証明書のインポートに成功するとリストに追加され、CA証明書の説明、「詳細」ボタン、「削除」ボタンが表示されます。

表 2：信頼されたCA証明書
項目・ボタン名	説明
一般名称 (CN)	証明書の一般名称フィールドの値です。
発効日	証明書の発行日です。
有効期限	証明書の有効期限です。
「インポート」ボタン	CA証明書をアップロードします。
「詳細」ボタン	「証明書の詳細」ダイアログを表示します。
「削除」ボタン	CA証明書を削除します。

証明書の詳細

「信頼されたCA証明書」画面で「詳細」ボタンをクリックすると、「証明書の詳細」ダイアログを表示します。

表 3：証明書の詳細
項目・ボタン名	説明
一般名称 (CN)	証明書の一般名称フィールドの値です。
サブジェクト	証明書の所有者（ユーザーやサーバー）の識別情報です。
シリアル番号	証明書ごとに割り当てられる一意の番号です。
発効日	証明書の発行日です。
有効期限	証明書の有効期限です。
役割	この証明書を使用するAT-RADgateの機能です。
「閉じる」ボタン	「証明書の詳細」ダイアログを閉じます。

プロキシ設定

RADIUS管理 > プロキシ設定
　
RADIUSプロキシ機能の設定を行うことができます。

Note
RADIUSサーバーがRADIUSプロキシからのパケットを受信するためには、「ポリシー管理」/「NAS / RADIUSプロキシ」画面で、RADIUSプロキシを登録する必要があります。

Note
CoA/Disconnectパケットのプロキシはサポート対象外です。

一般

RADIUS管理 > プロキシ設定 > 一般
　
受信したRADIUSパケットのUser-Name属性が、このサーバーの認証ポリシーに登録していないユーザーだった場合にのみ転送するかどうかを選択できます。右下の「編集」ボタンをクリックすると、編集モードに移行します。
■ 編集モード

表 4：一般
項目・ボタン名	必須	書式	説明
「このサーバーの認証ポリシーに存在しないユーザーのみ転送する。」	○	チェックボックス	チェックボックスにチェックを入れると、受信した認証リクエストのUser-Name属性がこのサーバーの認証ポリシーに存在していない場合のみ転送対象のパケットとして扱います。最終的に転送するかどうかはプロキシルールによるレルム解析の結果によります。 Note 対象となる認証ポリシーは、ユーザーポリシーと端末ポリシーになります。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

プロキシルール

RADIUS管理 > プロキシ設定 > プロキシルール
　
プロキシルールを管理します。
登録されたプロキシルールの一覧が表示されます。
プロキシルールとは、受信したRADIUSパケットを転送するかどうか、転送するとしたらどのサーバーに転送するかを定義したものです。

表 5：プロキシルール
項目・ボタン名	説明
レルム（ドメイン）	登録したレルムの値が表示されます。User-Name属性のレルム部がこのレルムに該当するかどうかを判断する際に使用されます。
プロキシ	「する」の場合、User-Name属性のレルム部がこのレルムに該当した場合にRADIUSパケットを転送することを意味します。「しない」の場合、User-Name属性のレルム部がこのレルムに該当した場合でも、RADIUSパケットを転送しないことを意味します。
「追加」ボタン	「プロキシルール」ダイアログを開きます。

プロキシルール

プロキシルールの右上の「追加」ボタンをクリックすると、「プロキシルール」ダイアログが表示され、プロキシルールを新規追加できます。既に登録しているプロキシルールの右端の「編集」メニューをクリックすると「プロキシルール」ダイアログが表示され、プロキシルールを編集できます。
この2つのダイアログは共通のフォームを使用しています。

表 6：プロキシルール
項目・ボタン名	必須	書式	説明
条件	－	レルム／レルム無し／デフォルト	「レルム無し」は、区切り文字が存在しないことを意味します（詳細はレルム解析ルールをご参照ください）。「デフォルト」は、該当するレルムが存在しないことを意味します。
レルム（ドメイン）	○	文字列（最大63文字）	「条件」項目で「レルム」を選択した場合にのみ表示され入力できます。「レルム」以外を選択した場合、非表示になります。 A-Za-z0-9._-のいずれかの文字を使用可能です。「LOCAL」「DEFAULT」「NULL」は登録できません。
転送先サーバー	－	－	RADIUSパケットの転送先のサーバーです。「転送先サーバー」設定で登録したIPアドレスの中から選択できます。転送先サーバーを選択し、「追加」ボタンをクリックすることで、転送先サーバーのリストに追加できます。複数の転送先サーバーを登録した場合、リストの一番上が最も優先度が高く、下に行くほど優先度は低くなります。
「追加」ボタン	－	－	「プロキシルール」の転送先サーバーリストに転送先サーバーを追加します。
「削除」ボタン	－	－	「プロキシルール」の転送先サーバーリストから転送先サーバーを削除します。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

レルム

RADIUSプロキシは、受信したRADIUSパケットのUser-Name属性のレルム部を見つけ出し、登録しているプロキシルールのレルムと比較します。該当するプロキシルールがあった場合、そのプロキシルールに紐付いている転送先サーバーにRADIUSパケットを転送します。

レルム区切り文字

User-Name属性のレルム部を見つけ出す際に使用するのが区切り文字です。

表 7：レルム区切り文字
区切り文字	説明
`\`	Realm`\`UserのようなUser-Name属性の場合、`\`より前の部分がレルムになります。
@	User@RealmのようなUser-Name属性の場合、@よりあとの部分がレルムになります。

レルム解析ルール

レルムを決める際のルールは次のとおりです。

該当するレルムが存在しない場合は、「デフォルト」レルムとして扱われます。
「デフォルト」レルムの設定が存在しない場合、プロキシせず自身のサーバーで認証します。
レルムが確定しても、転送先サーバーをレルムに紐付けていない場合、プロキシせず自身のサーバーで認証します。

転送先サーバー

RADIUS管理 > プロキシ設定 > 転送先サーバー
　
転送先サーバーを管理します。
登録した転送先サーバーの一覧が表示されます。
転送先サーバーとは、受信したRADIUSパケットを転送する先のサーバーを定義したものです。

表 8：転送先サーバー
項目・ボタン名	説明
サーバーアドレス	登録した転送先サーバーのIPアドレスです。
「追加」ボタン	「転送先サーバー」ダイアログを表示します。

転送先サーバー

転送先サーバーの右上の「追加」ボタンをクリックすると、「転送先サーバー」ダイアログが表示され、転送先サーバーを新規追加できます。既に登録している転送先サーバーの右端の「編集」メニューをクリックすると「転送先サーバー」ダイアログが表示され、転送先サーバーを編集できます。
この2つのダイアログは共通のフォームを使用しています。

表 9：転送先サーバー
項目・ボタン名	必須	書式	説明
IPv4アドレス	○	IPv4アドレス	転送先サーバーのIPアドレスです。
認証ポート番号	－	1-66535	転送先サーバーが認証パケットを受信するためのポート番号です。未入力で保存した場合、デフォルト値の1812を設定します。
アカウンティングポート番号	－	1-66535	転送先サーバーがアカウンティングパケットを受信するためのポート番号です。未入力で保存した場合、デフォルト値の1813を設定します。
「事前共有鍵の設定」ボタン	－	－	「転送先サーバー」を編集する際のダイアログでのみ表示されます。クリックすると「事前共有鍵」項目が表示され、事前共有鍵を変更できます。
事前共有鍵	○	パスワード	転送先サーバーの事前共有鍵です。
タイムアウト	○	5-60	RADIUSパケットを転送する際に、転送先サーバーからの応答を待機する時間です。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

フェイルオーバー・フェイルバック

RADIUSプロキシでは、転送先サーバーの状態を保持しており、複数の転送先サーバーを登録している場合、優先度の高い転送先サーバーがダウンすると、次に優先度の高い転送先サーバーにフェイルオーバーします。また、ダウンしていた転送先サーバーが復旧した場合、元の優先度に基づき、フェイルバックします。条件は以下のとおりです。
転送先サーバーへのRADIUSパケットの転送が失敗する、あるいは転送したが応答がないまま、タイムアウトの設定値に到達した場合、40秒後にダウン状態とみなし、優先度の低い他の転送先サーバーに転送を試みます。
AT-RADgateは、ダウン状態とみなした転送先サーバーを120秒後に復活したとみなし、再度RADIUSパケットの転送を試みます。

表 10：用語解説
用語	説明
フェイルオーバー	RADIUSプロキシが転送先サーバーとRADIUSパケットのやり取りができなくなったと判断した際に、自動的に待機している次に優先度の高い転送先サーバーに切り替えて処理を継続する機能のことです。
フェイルバック	RADIUSパケットをやり取りできなくなっていた優先度の高い転送先サーバーが復旧した場合に、優先度の低い転送先サーバーから元の優先度の高い転送先サーバーに処理を戻す機能のことです。

Active Directory設定

RADIUS管理 > Active Directory設定
　
RADIUS認証のWindows Active Directory連携で連携するActive Directoryドメインの設定を行います。右下の「編集」ボタンをクリックすると、編集モードに移行します。
Active Directoryドメインが未登録の状態では、「Active Directoryドメインが設定されていません。」のメッセージが表示されます。登録がある場合は、現在登録されているActive Directoryドメインの情報が表示されます。

Note
LDAP認証とWindows Active Directory認証の併用はできません。

■ 編集モード

表 11：ADドメイン情報
項目・ボタン名	必須	書式	説明
ドメイン名	○	文字列（最大255文字）	Active Directoryドメイン名を入力します。
NetBIOS名	○	文字列（最大63文字）	NetBIOS名を入力します。例えば、Active Directoryのドメイン名が「example.co.jp」であれば、NetBIOS名は「EXAMPLE」を入力します。
文字セット	○	文字列	ドメインコントローラーの文字コード設定を入力します。デフォルトは「CP1252」（ラテン 1/西ヨーロッパ）です。日本語の場合は「CP932」（日本語/Shift-JIS）を入力します。 Note 本設定はデフォルト「CP1252」を使用してください。変更は本バージョンでは未サポートです。
「編集」ボタン	－	－	編集を開始します。
「キャンセル」ボタン	－	－	編集を中止します。
「参加」ボタン	－	－	編集内容を保存して、Active Directoryドメインに参加します。

LDAPサーバー設定

RADIUS管理 > LDAPサーバー設定
　
LDAPサーバー認証機能を有効にすると、自身の認証データベースのユーザーポリシーではなく、LDAPサーバーに登録されたユーザー情報を利用してユーザー認証を行うことができます。使用する認証プロトコルは、PAPまたはEAP-TTLS（PAP）です。

Note
LDAPサーバーは、Windows Active Directoryサーバーのみ利用可能です。

Note
LDAPサーバーとRADIUSサーバー間の通信時の証明書検証は行いません。

Note
LDAP認証とWindows Active Directory認証の併用はできません。

LDAPサーバー連携と連携するための設定を行います。右下の「編集」ボタンをクリックすると、編集モードに移行します。
LDAPサーバーが未登録の状態では、「LDAPサーバーが設定されていません。」のメッセージが表示されます。登録がある場合は、現在登録されているLDAPサーバーの情報が表示されます。

■ 編集モード

表 12：LDAPサーバー設定
項目・ボタン名	必須	書式	説明
ホスト名／IPアドレス	○	ホスト名／IPアドレス	LDAPサーバーのホスト名またはIPアドレスです。
ポート番号	○	1-65535	LDAPサーバーのポート番号です。デフォルトのポート番号は389番です。
ベースDN	○	文字列（最大255文字）	LDAPディレクトリ内で検索を始める基点となる識別名です。
バインドDN	○	文字列（最大63文字）	LDAPサーバーへ認証（バインド）する際に使用するユーザーの識別名です。
パスワード	○	文字列（最大63文字）	LDAPサーバーにバインドする際、バインドDN（ユーザー識別名）と組み合わせて認証に使うパスワードです。
「接続テスト」ボタン	－	－	LDAPサーバーに接続できるかどうかをテストします。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

リファレンス編 / システム管理

「システム管理」画面は、「概要」「ネットワーク設定」「ログ設定」などの各設定画面に分かれています。

概要

システム管理 > 概要
　
「概要」画面では、システム情報の確認、ホスト名の変更、システムのバックアップと復元ができます。

表 1：ボタンの機能
ボタン名	機能
「テクニカルサポート」ボタン	テクニカルサポート用のファイルが出力されます。トラブルシューティング時など、内部情報の確認が必要な場合を想定したものですので、ご使用に際しては弊社技術担当にご相談ください。テクニカルサポート情報にはデフォルトで認証ポリシーデータも含まれます。ポリシーデータを添付したくない場合は、「テクニカルサポート」ボタンをクリックしたあとに表示されるダイアログで、「技術サポート情報に認証ポリシーデータを含めます。」のチェックを外してください。

システム情報

システム管理 > 概要 > システム情報
　
シリアル番号などの確認ができます。また、このシステムが動作しているノードのホスト名の変更もできます。

表 2：システム情報
項目	説明
ホスト名	このシステムが動作しているノードのホスト名です。デフォルトのホスト名は「radgate」です。「編集」ボタンをクリックすると「ホスト名」ダイアログが開き、ホスト名の変更ができます。
バージョン	現在動作しているAT-RADgateソフトウェアのバージョンです。
ビルド日時	現在動作しているAT-RADgateソフトウェアの作成日時です。
シリアル番号	このシステムのシリアル番号です。AT-RADgateのライセンス発行時に必要となります。

ホスト名

「ホスト名」ダイアログでは、ホスト名の変更ができます。

表 3：「ホスト名」ダイアログ
項目・ボタン名	必須	書式	説明
ホスト名	○	文字列（最大15文字）	このシステムが動作しているノードのホスト名です。英数字（小文字）とハイフンのみ使用できます（ハイフンは先頭と末尾では使用できません）。何も入力せずに保存すると、デフォルトのホスト名（radgate）が設定されます。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

システムのバックアップ

システム管理 > 概要 > システムのバックアップ
　
現在稼働中のシステムの全体を外部イメージファイルに保存します。「システムの復元」で、保存したときの状態に戻すことができます。

ダウンロードされたファイルには下記の情報が含まれます。

システムのシリアル番号（「システム管理 / 概要」画面）
システム設定（「システム管理」画面の各設定）
管理者アカウント情報（「アカウント管理」画面）
認証ポリシーデータ（「ポリシー管理」画面の各タブでの設定）
RADIUS設定 (「RADIUS管理」画面の各設定）
イベントログ（「イベント管理」画面）
ソフトウェアライセンス（「システム管理 / ライセンス」画面）

ダウンロードされたファイルには下記の情報は含まれないため、システムの復元を実行したあとで、再設定する必要があります。

Windows Active Directoryの設定

表 4：システムのバックアップ
ボタン名	説明
「バックアップ」ボタン	システムのバックアップを実行します。

システムの復元

システム管理 > 概要 > システムの復元
　
「システムのバックアップ」でダウンロードした外部イメージファイルを使って、保存されているシステムの状態に復元します。

Note
システムの復元を実行すると、AT-RADgateが動作しているノードが自動的に再起動します。

表 5：システムの復元
ボタン名	説明
「復元」ボタン	システムの復元を実行します。クリックするとファイル選択ダイアログが表示されますので、イメージファイルを選択してアップロードします。保存されているシステムの状態に戻ります。

ネットワーク設定

システム管理 > ネットワーク設定
　
「ネットワーク設定」画面では、Webサービスとサーバー証明書（SSL証明書）の設定ができます。

Webサービス

システム管理 > ネットワーク設定 > Webサービス
　
Web UI/Web APIサービスのプロトコルと、待ち受けポート番号を変更できます。右下の「編集」ボタンをクリックすると、編集モードに移行します。
Webサービスの設定を変更すると、自動的に新しいWebサービスに再接続されます。その際、ブラウザーのセキュリティー警告機能により接続が遮断される場合があります。

■ 編集モード

表 6：Webサービス
項目・ボタン名	必須	書式	説明
プロトコル	○	－	Webサービスの通信プロトコルです。HTTPまたはHTTPSが選択できます。
ポート番号	○	1-65535	Webサービスの待ち受けTCPポート番号です。AT-RADgateの他のサービスが使用しているポート番号は設定できません。
「編集」ボタン	－	－	編集を開始します。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

サーバー証明書

システム管理 > ネットワーク設定 > サーバー証明書
　
AT-RADgateの各サービスが使用する証明書の確認と変更ができます。各サービスの行の右側の「インポート」ボタンをクリックすると、証明書ファイルをアップロードするダイアログが表示されます。
デフォルトの証明書から変更している場合、「削除」ボタンが表示されます。このボタンをクリックすると現在の証明書が削除されます。

表 7：サーバー証明書
項目	説明
役割	証明書を使用するサービス名です。
一般名称 (CN)	証明書の一般名称フィールドの値です。
組織 (O)	証明書の組織フィールドの値です。
有効期限	証明書の有効期限です。

証明書を使用するサービスは下記となります。

表 8：証明書を使用するサービス
サービス名	説明
Web	Web UI / Web APIを提供するサービスです。プロトコルにHTTPSを設定している場合のみ証明書を使用します。
RADIUS	RADIUS認証機能を提供するサービスです。EAP-PEAP認証に証明書を使用します。

証明書のインポート

PEM形式のSSL証明書ファイルをアップロードできます。証明書ファイルと秘密鍵ファイルを選択し、「インポート」ボタンをクリックしてください。Webの証明書を変更した場合、Web UIサーバーへの再接続が行われます（HTTPプロトコルを使用している場合を含む）。その際、ブラウザーのセキュリティー警告機能により接続が遮断される場合があります。

ログ設定

システム管理 > ログ設定
　

ログレベル

システム管理 > ログ設定 > ログレベル
　
各イベントログの出力抑制レベルを変更できます。各イベントログは、ここで設定されたレベルを含め重要度が大きいイベントをログに記録します。ログレベルについては、「イベントログ管理 / アプリケーションログ」の「ログレベル」を参照してください。右下の「編集」ボタンをクリックすると、編集モードに移行します。

Note
「ログレベル」で「無効」に設定すると、ログに記録することができず「イベント管理」/「アプリケーションログ」画面でも確認できません。

■ 編集モード

Syslog

システム管理 > ログ設定 > Syslog
　
イベントログは外部のSyslogサーバー（UDP）に転送することができます。「編集」ボタンをクリックすると、編集モードに移行します。

■ 編集モード

表 9：Syslogサーバー
項目・ボタン名	必須	書式	説明
Syslog サーバー	－	文字列（最大255文字）	イベントログの転送先の外部Syslogサーバーのリストです。「ホスト名またはIPv4アドレス:ポート番号」の形式で設定します（例：192.0.2.10:3000）。ポート番号を省略した場合は514が使用されます。また、空白文字で区切ることで複数のサーバーが登録可能です。登録可能なサーバーの数についてはリリースノートを参照してください。
「編集」ボタン	－	－	編集を開始します。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

時刻設定

システム管理 > 時刻設定

システム時刻

システム管理 > 時刻設定 > システム時刻
　
現在の時刻情報の確認とタイムゾーンの変更ができます。タイムゾーンを変更すると、AT-RADgateが動作しているノードが自動的に再起動します。

表 10：システム時刻
項目	説明
現在日時	設定されているタイムゾーンのローカル時間で、現在時刻を表示します。
タイムゾーン	現在のタイムゾーンを「地域/タイムゾーン」の形式で表示します。「変更」ボタンをクリックすると「タイムゾーン」ダイアログが表示され、タイムゾーンの変更ができます。

タイムゾーン

「タイムゾーン」ダイアログでは、タイムゾーンの変更ができます。

表 11：タイムゾーン
項目・ボタン名	説明
地域	地域をドロップダウンリストから選択します。デフォルトは「Etc」です。
タイムゾーン	タイムゾーンをドロップダウンリストから選択します。デフォルトは「UTC」です。
「キャンセル」ボタン	タイムゾーンの変更をキャンセルします。
「保存」ボタン	タイムゾーンの変更を保存します。

メール設定

システム管理 > メール設定
　

SMTP サーバー

システム管理 > メール設定 > SMTP サーバー
　
メール送信を行うSMTPサーバーの設定を行います。「編集」ボタンをクリックすると、編集モードに移行します。
SMTPサーバー設定は、管理者アカウントのパスワードリカバリー機能、ライセンス期限切れ警告などの機能に不可欠であるため、設定を行うことをおすすめします。
SMTPサーバーが未登録の状態では、「SMTPサーバーの設定がありません。」のメッセージが表示されます。登録がある場合は、現在登録されているSMTPサーバーの情報が表示されます。

■ 編集モード（未登録）

■ 編集モード（登録済み）

表 12：SMTP サーバー
項目・ボタン名	必須	書式	説明
送信元メールアドレス	○	メールアドレス	このSMTPサーバーを利用して送信するメールの送信元メールアドレスです
ホスト名 / IP アドレス	○	FQDN/IPv4アドレス	SMTPサーバーのホスト名またはIPv4アドレスです。
ポート番号	○	整数値（1-65535）	SMTPサービスの待ち受けTCPポート番号です。
暗号化	○	－	使用する暗号化プロトコルです。「なし」、「STARTTLS」、「SMTPS」から選択します。
ユーザー名	－	－	SMTPサーバーのログインアカウントのユーザー名です。
「パスワード設定」ボタン	－	－	クリックすると「パスワード」「パスワード確認」項目が表示され、SMTPサーバーのログインアカウントのパスワードを変更できます。
パスワード	－	－	SMTPサーバーのログインアカウントのパスワードです。
「テストメールを送信」ボタン	－	－	現在表示されている設定でテストメールを送信します。メールの送信元および宛先は、どちらも「送信元メールアドレス」で入力したメールアドレスを使用します。
「編集」ボタン	－	－	編集を開始します。
「削除」ボタン	－	－	現在登録されているSMTPサーバーの設定を削除します。
「キャンセル」ボタン	－	－	編集を中止します。
「保存」ボタン	－	－	編集内容を保存します。

システム設定管理

システム管理 > システム設定管理
　

バックアップ

システム管理 > システム設定管理 > バックアップ
　
管理者アカウント情報およびシステム設定を外部ファイルに保存します。バックアップファイルには認証ポリシーデータ等の情報が含まれないため、このバックアップファイルから稼働中のシステム全体の完全な復元はできません。
システムの完全なバックアップを行う場合は、「システム管理 / 概要」画面の「システムのバックアップ」を使用してください。

復元

システム管理 > システム設定管理 > 復元
　
管理者アカウント情報およびシステム設定を外部ファイルから復元します。現在の情報をいったん工場出荷状態に戻した上で、復元を行います。

初期化

システム管理 > システム設定管理 > 初期化
　
管理者アカウント情報およびシステム設定を工場出荷状態に戻します。

データベース管理

システム管理 > データベース管理
　

バックアップ

システム管理 > データベース管理 > バックアップ
　
認証ポリシーデータを外部ファイルにCSV形式で保存します。

表 13：バックアップ
ボタン名	説明
「バックアップ」ボタン	認証ポリシーデータのバックアップを実行します。

インポート

システム管理 > データベース管理 > インポート
　
認証ポリシーデータをCSVファイルからインポートします。インポートされたデータは現在のデータとマージされます。

表 14：インポート
ボタン名	説明
「インポート」ボタン	認証ポリシーデータのインポートを実行します。

初期化

システム管理 > データベース管理 > 初期化
　
認証ポリシーデータをすべて削除します。削除する前にバックアップを行うことをおすすめします。

表 15：初期化
ボタン名	説明
「初期化」ボタン	認証ポリシーデータの初期化を実行します。

最適化

システム管理 > データベース管理 > 最適化
　
認証ポリシーデータを最適化し、ストレージの空き容量を増やします。最適化する前にバックアップを行うことをおすすめします。

表 16：最適化
ボタン名	説明
「最適化」ボタン	認証ポリシーデータの最適化を実行します。

ライセンス

システム管理 > ライセンス
　
AT-RADgateのソフトウェアライセンスの確認とインストールができます（下記はトライアルライセンスがインストールされた状態の例です）。

Note
ライセンスについては、「設定画面へのアクセス / ライセンスのインストール」をあわせてご参照ください。

表 17：ライセンス
項目・ボタン名	説明
最大ユニット数	すべての有効なライセンスのユニット数の合計です。
名称	ライセンスの名称です。
状況	ライセンスの状態です。
ユニット数	ライセンスが提供するユニット数です。
有効期限	ライセンスの有効期限です。
「トライアルライセンスのインストール」ボタン	トライアルライセンスをインストールします。
「ライセンスの更新」ボタン	新規または更新ライセンスをインストールします。クリックするとファイル選択ダイアログが表示されるので、ライセンスファイルを選択してアップロードします。ライセンスの情報が更新されます。

付録 / パスワードを忘れた場合

AT-RADgateのログイン情報を忘れたとき、AT-RADgateにSMTPサーバーが登録されていれば、アカウントに関連付けられたメールアドレスを使用してログイン情報を復旧させることができます。

Note
アカウント名やメールアドレスを忘れた場合、SMTPサーバーを登録していない場合、アカウントにメールアドレスを関連付けていない場合には、メールによるパスワードの復旧はできません。
AT-VST-APLまたはAT-VST-VRTの設定画面で、AT-RADgateアプリケーションの初期化（削除→再作成）が必要となります。なお、操作方法は弊社ホームページに掲載されているAT-VST-APLまたはAT-VST-VRTの「リファレンスマニュアル」をご参照ください。

ログイン画面の左下の「パスワードを忘れましたか?」をクリックします。
「メールアドレス」に管理者アカウントに設定されているメールアドレスを入力して、「メールを送信」ボタンをクリックします。
有効なSMTP設定が登録されている場合、「（メールアドレス）宛てにパスワードリセットメールを送信しました。」メッセージが表示されます。

入力したメールアドレス宛てに「AT-RADgate パスワード再設定ページ」という件名のメールが届きますので、メール本文に記載されたリンクをクリックします。
■ 件名

AT-RADgateパスワード再設定ページ

■ 本文

下記のリンクからAT-RADgateのパスワード再設定ページにアクセス出来ます。このページでパスワードを再設定して下さい。
　
https://（AT-RADgateのIPアドレス）/public/page/password-reset/reset/xxxxxxxxxxxxxxxxxxx
　
このページは10分間有効です。期限内に再設定を行って下さい。もしお心当たりがない場合はこのメールを無視して下さい。パスワードは変更されません。

「AT-RADgate パスワードのリセット」画面が表示されますので、新しいパスワード、パスワード確認を入力し、「保存」ボタンをクリックします。
「パスワードを更新しました。」というメッセージが表示され、その後にAT-RADgateログイン画面が表示されます。

入力したメールアドレス宛てに「AT-RADgateのパスワードが変更されました」という件名のメールが届きますので、メール本文に記載されたリンクをクリックします。
■ 件名

AT-RADgateのパスワードが変更されました

■ 本文

あなたのAT-RADgateアカウントのパスワードが変更されました。
下記のリンクからAT-RADgateに再ログインすることが出来ます。
　
https://（AT-RADgateのIPアドレス）/public/page/login

AT-RADgateログイン画面が表示されますので、アカウント名と変更後のパスワードを入力して、ログインします。

付録 / AT-RADgateが使用する待ち受けポート番号

AT-RADgateが使用する待ち受けポート番号

AT-RADgateが提供するサービスは、下記のポート番号で待ち受けを行います。サービスの中には待ち受けポート番号を設定で変更できるものがありますが、変更する際は各サービスの待ち受けポート番号が重複しないように設定してください。

表 1：待ち受けポート番号
サービス名	ポート番号	通信方向	備考
Web設定画面	443/TCP	双方向	「ネットワーク設定」画面の「Webサービス」で変更できます。
Web管理画面リダイレクト	80/TCP	双方向	Web設定画面の待ち受けポート番号が80以外のときに、この番号で受信したメッセージをWeb管理画面の待ち受けポート番号に転送するために使用します。
内部用DNS サーバー	53/TCP 53/UDP	－	外部のホストとの通信はありません。
RADIUS認証	1812/UDP	双方向
RADIUSアカウンティング	1813/UDP	双方向
サービス管理	30001 - 30032 /TCP 30001 - 30032/UDP	－	AT-RADgateの各サービス間の情報交換用に予約されたポートです。

AT-RADgateが送信するパケット

AT-RADgateが提供する機能は、下記の宛先に向けてパケット送信する可能性があります。宛先サーバーとの間にファイアウォールなどがある場合は、適切なフィルタリング設定を行う必要があります。

表 2：各機能が送信するパケット
機能名	宛先ホスト	ポート番号	通信方向	備考
イベントログ	設定したホスト	514/UDP	送信方向	「ログ設定」画面の「Syslog」で外部Syslogサーバーを設定した場合、そのホスト宛てのパケットが送信されます。ここで例示されているポート番号は、ポート番号が省略された場合に使用されるデフォルト値です。
SMTPクライアント	設定したホスト	設定したポート/TCP	双方向	「メール設定」画面でSMTPサーバーを設定した場合、メール送信を行う際に設定されたホストにパケットが送信されます。
DNSクライアント	設定したホスト	53/UDP	双方向	DNS名の解決のためのパケットを送信します。宛先アドレスは、AT-VST-APLまたはAT-VST-VRT「AT-RADgate」の「アプリケーション設定」で設定したDNSサーバーです。
Windows Active Directory連携	－	－	－	Windows Active Directory Domainを設定した場合、Windows Domain Controllerの通信のためのパケットが送信されます。送信されるパケットの情報については、Windows Serverのドキュメントを参照してください。
RADIUSプロキシ	設定したホスト	設定したポート/UDP	双方向	「プロキシ設定」画面でRADIUSプロキシの転送先サーバーを設定した場合、RADIUSリクエストの転送を行う際に設定されたホストにパケットが送信されます。
LDAPクライアント	設定したホスト	設定したポート/TCP	双方向	「LDAPサーバー設定」画面でLDAPサーバーを設定した場合、LDAPサーバーとの通信の際に設定されたホストにパケットが送信されます。

付録 / CSVファイル

各一覧画面の「CSVで出力」ボタンをクリックすると、一覧の内容をCSV（カンマ区切りテキスト）形式でダウンロードすることができます。
また、これらをテキストエディターなどで編集して、「システム管理 / データベース管理」画面から認証ポリシーデータとしてインポートすることもできます。

データ書式

文字コード

各一覧画面でダウンロードしたCSVファイルと、「システム管理 / データベース管理」画面からダウンロードした認証ポリシーデータのCSVファイルの、テキストの文字コードは「UTF-8」です。

Note
CSVファイルをAT-RADgateにアップロードする場合、CSVファイルに日本語などのマルチバイト文字が含まれている場合、文字コードが「UTF-8」であることを確認してください。「UTF-8」以外の文字コードを使用した場合、アップロード時にエラーが表示されてアップロードができません。

データの書式

CSVファイルに含まれるデータの書式を説明します。

表 1：データの書式
書式	例	説明
"予約語"	endpoints	二重引用符（" "）で囲まれた文字列は、文字列自体をこの列に設定できることを表します。複数の単語がパイプ（\|）で区切られている場合は、この列にいずれかを設定できることを表します。
数値	100	10進数で表される数値。設定できる値に制限がある場合は、括弧内にその旨を記載しています。
識別子	device1	特定のデータを識別するための文字列。空白、タブ文字、下記の記号は使用できません。　~ ! # $ % ^ & ’ * = + [ ] { } `\` \| ; : ’ ” , < > / ?
識別子のリスト	student teacher guest	スペース文字で区切られた識別子のリスト。スペースで区切られた各トークンは、識別子の構文に従います。
JSON	{“mac”: “0000.0000.0001”, “ip”: “192.168.10.1”}	「key=value」などのキー値型パラメーターのリストはセミコロン（;）で区切られます。
MACアドレス	aa:bb:cc:00:00:10 aa-bb-cc-00-00-10 aabb.cc00.0010 aabbcc000010	MACアドレス。次の形式がサポートされています（大文字と小文字の両方を使用できます）。　xx:xx:xx:xx:xx:xx 　xx-xx-xx-xx-xx-xx 　xxxx.xxxx.xxxx 　xxxxxxxxxxxx
IPv4アドレス	192.168.0.1	IPv4アドレスです。

表示例

カンマ（,）で区切られた項目を、先頭から"#1"（A列）、"#2"（B列）の順に説明します。ポリシーによって長さ（列の数）は異なります。

"#1","#2","#3","#4","#5","#6","#7","#8","#9","#10","#11","#12" ↓

ユーザーポリシー

ユーザーポリシーの例を示します。

"+","users","1","test_user","","","","","","","","" ↓

ユーザーポリシーの追加または更新

ユーザーポリシーを追加または更新するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 2：ユーザーポリシーの追加または更新
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に "+"	（省略不可）	この行に適用される操作を指定します。「+」はこの行のデータを認証ポリシーデータベースに追加することを示します。Nameの値が同じポリシーが既に登録されている場合、この行は既存のポリシーを上書きします。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。「#」はコメント行を示し、無視されます。
#2	B	Type	"users"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	Name	識別子（最大63文字）	重複不可	（省略不可）	ユーザーアカウント名。ユーザーポリシーの識別とサプリカント認証に使用されます。
#5	E	Encrypted Password	文字列	－	（値なし）	暗号化されたパスワード。サプリカントの認証に使用されます。この列はAT-RADgateからエクスポートしたCSVファイルに含まれます。 Note この列を手動で編集しないでください。
#6	F	Password	文字列（最大63文字）	－	（値なし）	平文のパスワード。サプリカントの認証に使用されます。パスワードを手動で設定する場合は、この列にパスワード列を入力してください。
#7	G	Full Name	文字列（最大63文字）	－	（空文字列）	ユーザーのフルネーム。サプリカントの認証には使用されず、ネットワーク管理者に対するヒントとしてのみ使用されます。
#8	H	（reserved）	－	－	－	この列は将来の使用のために予約されています。
#9	I	Access Level	整数値（0-15）	－	（値なし）	アクセスレベルを表す整数。0はアクセスを拒否することを示し、他の値はアクセスを許可することを示します。値が大きいほど与えられる権限が強いことを示します。
#10	J	（reserved）	－	－	－	この列は将来の使用のために予約されています。
#11	K	Tags	識別子リスト（最大255文字）	－	（値なし）	スペース文字で区切られたタグのリスト。タグはこのポリシーを適用するサプリカントをグループ化するために使用され、サプリカントプロファイルを複数のサプリカントに一度に適用するのに役立ちます。
#12	L	Note	文字列（最大63文字）	－	（空文字列）	このポリシーの説明。サプリカントの認証には使用されず、ネットワーク管理者に対するヒントとしてのみ使用されます。

ユーザーポリシーの削除

ユーザーポリシーを削除するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 3：ユーザーポリシーの削除
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に"-"	（省略不可）	この行に適用される操作を指定します。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。
#2	B	Type	"user"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	Name	識別子（最大63文字）	重複不可	（省略不可）	ユーザーアカウント名。削除するポリシーを検索するために使用されます。

端末ポリシー

端末ポリシーの例を示します。

"+","endpoints","1","aa-bb-cc-00-00-10","Wireless_Devices_100","","","","" ↓

端末ポリシーの追加または更新

端末ポリシーを加または更新するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 4：端末ポリシーの追加または更新
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に "+"	（省略不可）	この行に適用される操作を指定します。「+」はこの行のデータを認証ポリシーデータベースに追加することを示します。MAC Addressの値が同じポリシーが既に登録されている場合、この行は既存のポリシーを上書きします。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。「#」はコメント行を示し、無視されます。
#2	B	Type	"endpoints"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	MAC Address	MACアドレス	重複不可	（省略不可）	MACアドレス。端末ポリシーの識別とサプリカント認証のために使用されます。
#5	E	Device Name	識別子（最大63文字）	－	（値なし）	デバイス名。複数の端末ポリシーに同じ名前を割り当てることができます。同じ名前を持つ端末ポリシーは、1つのデバイスに複数のネットワークインターフェースが搭載された状態を表します。この値はサプリカントプロファイルと端末ポリシーをリンクすることにも使用されます。
#6	F	Access Level	整数値（0-15）	－	（値なし）	アクセスレベルを表す整数。0はアクセスを拒否することを示し、他の値はアクセスを許可することを示します。値が大きいほど与えられる権限が強いことを示します。
#7	G	（reserved）	－	－	－	この列は将来の使用のために予約されています。
#8	H	Tags	識別子リスト（最大255文字）	－	（値なし）	スペース文字で区切られたタグのリスト。タグはこのポリシーを適用するサプリカントをグループ化するために使用され、サプリカントプロファイルを複数のサプリカントに一度に適用するのに役立ちます。
#9	I	Note	文字列（最大63文字）	－	（空文字列）	このポリシーの説明。サプリカントの認証には使用されず、ネットワーク管理者に対するヒントとしてのみ使用されます。

端末ポリシーの削除

端末ポリシーを削除するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 5：端末ポリシーの削除
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に"-"	（省略不可）	この行に適用される操作を指定します。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。
#2	B	Type	"endpoints"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	MAC Address	MACアドレス	－	（省略不可）	MACアドレス。削除するポリシーを検索するために使用されます。

NAS / RADIUSプロキシポリシー

NAS / RADIUSプロキシポリシーの例を示します。

"+","nas","1","192.168.0.1","","","","","","" ↓

NAS / RADIUSプロキシポリシーの追加または更新

NAS / RADIUSプロキシポリシーを追加または更新するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 6：NAS / RADIUSプロキシポリシーの追加または更新
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に "+"	（省略不可）	この行に適用される操作を指定します。「+」はこの行のデータを認証ポリシーデータベースに追加することを示します。IP Addressの値が同じポリシーが既に登録されている場合、この行は既存のポリシーを上書きします。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。「#」はコメント行を示し、無視されます。
#2	B	Type	"nas"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	IP Address	IPv4アドレス	重複不可	（省略不可）	NASのIPアドレス。NAS / RADIUSプロキシポリシーの識別とNAS認証に使用されます。
#5	E	Encrypted Key	文字列	－	（値なし）	暗号化された事前共有キー。NAS認証に使用されます。この列はAT-RADgateからエクスポートしたCSVファイルに含まれます。 Note この列を手動で編集しないでください。
#6	F	Key	文字列（最大63文字）	－	（値なし）	平文の事前共有キー。NAS認証に使用されます。事前共有キーを手動で設定する場合は、この列に平文の事前共有キーを入力してください。
#7	G	Name	識別子（最大63文字）	重複不可	（値なし）	NAS名。NASの認証には使用されず、ネットワーク管理者へのヒントとしてのみ使用されます。
#8	H	Profile	識別子（最大63文字）	－	（値なし）	このポリシーに適用されるプロファイルの名前。
#9	I	Tags	識別子リスト（最大255文字）	－	（値なし）	スペース文字で区切られたタグのリスト。タグはこのポリシーを適用するサプリカントをグループ化するために使用され、サプリカントプロファイルを複数のサプリカントに一度に適用するのに役立ちます。
#10	J	Note	文字列（最大63文字）	－	（空文字列）	このポリシーの説明。サプリカントの認証には使用されず、ネットワーク管理者に対するヒントとしてのみ使用されます。

NAS / RADIUSプロキシポリシーの削除

NAS / RADIUSプロキシポリシーを削除するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 7：NAS / RADIUSプロキシポリシーの削除
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に"-"	（省略不可）	この行に適用される操作を指定します。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。
#2	B	Type	"nas"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	IP Address	IPv4アドレス	－	（省略不可）	NASのIPアドレス。削除するポリシーを検索するために使用されます。

NASプロファイルポリシー

NASプロファイルポリシーの例を示します。

"+","nas_profiles","1","AW-Plus-Profile-001","","","","","" ↓

NASプロファイルポリシーの追加または更新

NASプロファイルポリシーを追加または更新するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 8：NASプロファイルポリシーの追加または更新
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に "+"	（省略不可）	この行に適用される操作を指定します。「+」はこの行のデータを認証ポリシーデータベースに追加することを示します。Nameの値が同じポリシーが既に登録されている場合、この行は既存のポリシーを上書きします。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。「#」はコメント行を示し、無視されます。
#2	B	Type	"nas_profiles"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	Name	識別子（最大63文字）	重複不可	（省略不可）	NASプロファイル名。NASプロファイルを識別し、これをNASポリシーに適用するために使用されます。
#5	E	Note	文字列（最大63文字）	－	（空文字列）	このポリシーの説明。サプリカントの認証には使用されず、ネットワーク管理者に対するヒントとしてのみ使用されます。
#6	F	（reserved）	－	－	－	この列は将来の使用のために予約されています。
#7	G	（reserved）	－	－	－	この列は将来の使用のために予約されています。
#8	H	（reserved）	－	－	－	この列は将来の使用のために予約されています。
#9	I	Properties	JSON	－	－	このNASプロファイルで適用される設定。この値はJSONでフォーマットされます。この列に設定できるパラメーターについては、「プロパティ列のパラメーター」を参照してください。

プロパティ列のパラメーター

表 9：プロパティ列のパラメーター
パラメーター名	書式	制約	規定値	説明
authDevice	"true" \| "false"	－	－	デバイス認証設定。この値が「true」の場合、ユーザー名による認証に加え、MACアドレスによる端末認証も行います。
authMac	"true" \| "false"	－	－	MAC認証設定。この値が「true」の場合、受信した認証メッセージのUser-Name属性にMACアドレスが格納されているときに、ユーザー認証の代わりにMACアドレスによる端末認証を行います。

NASプロファイルポリシーの削除

NASプロファイルポリシーを削除するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 10：NASプロファイルポリシーの削除
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に"-"	（省略不可）	この行に適用される操作を指定します。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。
#2	B	Type	"nas_profiles"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	Name	識別子（最大63文字）	－	（省略不可）	NASプロファイル名。削除するポリシーを検索するために使用されます。

サプリカントプロファイルポリシー

サプリカントプロファイルポリシーの例を示します。

"+","supplicant_profiles","1","AW-Plus-Profile-001","7","","","pass","","" ↓

サプリカントプロファイルポリシーの追加または更新

サプリカントプロファイルポリシーを追加または更新するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 11：サプリカントプロファイルポリシーの追加または更新
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に "+"	（省略不可）	この行に適用される操作を指定します。「+」はこの行のデータを認証ポリシーデータベースに追加することを示します。Nameの値が同じポリシーが既に登録されている場合、この行は既存のポリシーを上書きします。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。「#」はコメント行を示し、無視されます。
#2	B	Type	"supplicant_profiles"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	Name	識別子（最大63文字）	重複不可	（省略不可）	サプリカントプロファイル名。サプリカントプロファイルを識別するために使用されます。
#5	E	Priority	整数値（0-15）	－	7	このプロファイルが適用される優先度。小さい値を持つプロファイルが優先的に適用されます。
#6	F	Reason	文字列（最大63文字）	－	（空文字列）	このルールが作成された理由。
#7	G	Note	文字列（最大63文字）	－	（空文字列）	このポリシーの説明。サプリカントの認証には使用されず、ネットワーク管理者に対するヒントとしてのみ使用されます。
#8	H	Action	"pass" \| "drop" \| "isolate" \| "notice"	－	（省略不可）	このルールに一致するデバイスに適用されるアクション。各アクションの実際の動作は以下のとおりです。　pass：サプリカントが送信したパケットを通過させます。　drop：サプリカントが送信したパケットを廃棄します。　isolate：サプリカントが送信したパケットを指定されたVLANセグメントに転送します。　notice：このプロファイルがサプリカントに適用されたことを示すイベントログを出力します。
#9	I	Conditions	JSON	－	条件なし（すべてのサプリカントに一致）	このプロファイルに一致するサプリカントの条件。この値はJSONでフォーマットされます。この値が空のプロファイルは、すべてのサプリカントに一致します。この列に設定できるパラメーターについては、「条件列のパラメーター」を参照してください。
#10	J	Properties	JSON	－	（値なし）	このプロファイルに一致したサプリカントに適用される設定。この値はJSONでフォーマットされます。この列に設定できるパラメーターについては、「プロパティ列のパラメーター」を参照してください。

条件列のパラメーター

表 12：条件列のパラメーター
パラメーター名	書式	制約	規定値	説明
deviceRegistered	"true" \| "false"	－	（値なし）	デバイスの登録状態。この値が「true」の場合、デバイスのMACアドレスが「端末ポリシー」に登録されているサプリカントが一致します。この値が「false」の場合、デバイスのMACアドレスが「端末ポリシー」に登録されていないサプリカントが一致します。
deviceMac	MACアドレス	－	（値なし）	MACアドレス条件。このパラメーターが設定されている場合、この値と同じMACアドレスを持つサプリカントが一致します。
deviceName	識別子（最大63文字）	－	（値なし）	デバイス名条件。このパラメーターが設定されている場合、この値と同じ名前のデバイス名を持つサプリカントが一致します。サプリカントのデバイス名は「端末ポリシー」で設定します。
accessLevel	文字列	－	（値なし）	アクセスレベルの条件。単一の数値または数値範囲の形式で値を設定できます。数値範囲の形式は、「..」で連結された 2つの数値で構成されます。例えば「3..5」は3から5までの数値を意味します。両端の数値のどちらかは省略可能で、例えば「..8」は8以下の数値、「7..」は7以上の数値を意味します。この条件とサプリカントのアクセスレベルの値が一致する場合、サプリカントはこの条件に一致します。
tags	文字列	－	（値なし）	タグ条件の表現。このパラメーターが設定されている場合、この値のタグを持つサプリカントが一致します。「cat fox」のように空白文字で区切って複数のタグを設定した場合、それらのタグをすべて持つサプリカントが一致します。

プロパティ列のパラメーター

表 13：プロパティ列のパラメーター
パラメーター名	書式	制約	規定値	説明
vlan	識別子（最大63文字）	－	（値なし）	サプリカントが接続する VLANセグメントの名前またはID。
filterIds	文字列配列	－	（値なし）	サプリカントに適用されるパケットフィルターのID。パケットフィルターはNAS上であらかじめ設定されている必要があります。複数のIDを指定することができます。
filterRules	文字列配列	－	（値なし）	サプリカントに適用されるパケットフィルター。filterIdsとは異なり、フィルタリングルール自体を指定することができます。

サプリカントプロファイルポリシーの削除

サプリカントプロファイルポリシーを削除するには、次のルールでフォーマットされた認証ポリシーデータを含むCSVファイルをアップロードします。

表 14：サプリカントプロファイルポリシーの削除
項番	列名	フィールド名	書式	制約	規定値	説明
#1	A	Operator	"+" \| "-" \| "#"	常に"-"	（省略不可）	この行に適用される操作を指定します。「-」は指定されたポリシーを認証ポリシーデータベースから削除することを示します。
#2	B	Type	"supplicant_profiles"	－	（省略不可）	データ型。この行のデータ型を示します。
#3	C	Version	数値	常に"1"	（省略不可）	CSV形式のバージョン。この行で使用されている書式のバージョンを示します。現在のバージョンは「1」です。
#4	D	Name	識別子（最大63文字）	－	（省略不可）	サプリカントプロファイル名。削除するポリシーを検索するために使用されます。

付録 / 管理者の権限

「アカウント管理」画面でアカウントに割り当てることができる権限の詳細について説明します。

　
■ 「システム設定の変更を許可する。」にチェックを入れた場合
次に示すシステム設定の変更ができます。

表 1：システム設定の変更
設定画面	内容
「アカウント管理」画面	自分以外のアカウントの情報の参照・変更
「アカウント管理」画面	自分のアカウントの権限の変更
「システム管理」画面の各設定画面	システム設定の変更
「システム管理 / 概要」画面	システムのバックアップ・復元
「システム管理 / システム設定管理」画面	システム設定のバックアップ・復元・初期化
「システム管理 / ネットワーク設定」画面	SSL証明書の追加・削除
「システム管理 / ライセンス」画面	ライセンスのインストール
「システム管理」画面の「テクニカルサポート」ボタン	テクニカルサポート用のファイルの取得（テクニカルサポート情報に認証ポリシーデータを追加するには、「認証データベースの編集を許可する。」にチェックを入れる必要があります）

　
■ 「認証データベースの編集を許可する。」にチェックを入れた場合
次に示す認証データベースの編集ができます。

表 2：認証データベースの編集
設定画面	内容
「ポリシー管理」画面の各設定画面	認証ポリシーの編集
「システム管理 / データベース管理」画面	認証ポリシーのバックアップ・復元・初期化・最適化
「システム管理」画面の「テクニカルサポート」ボタン	テクニカルサポート情報に認証ポリシーデータを追加（テクニカルサポート用のファイルを取得するには、「システム設定の変更を許可する。」にチェックを入れる必要があります）

AT-RADgate（AT-VST-APL/AT-VST-VRT版） リファレンスマニュアル 1.1.0

はじめに

対象製品とバージョン

サポート機能と制限事項

マニュアルの提供形態

マニュアルの構成

章構成

表記について

総称

例

最新情報

ご注意

商標について

マニュアルバージョン

AT-RADgateの概要 / AT-RADgateについて

AT-RADgateの位置づけ

用語解説

認証方式

ユーザー認証と端末認証

認証・認可と認証ポリシー

NASポリシー

ユーザー認証と端末認証のポリシー

認可

サプリカントパラメーター

サプリカントプロファイル

設定画面へのアクセス / 設定の開始

AT-RADgateを使用するための準備

AT-RADgateクライアント要件

設定画面へのログイン

タイムゾーンの設定

設定画面へのアクセス / ライセンスのインストール

ライセンスの基本動作

トライアルライセンス

ライセンスの有効期間

ライセンスのインストール

トライアルライセンスのインストール

ライセンスの再発行

設定画面へのアクセス / 設定画面の使い方

ウィンドウ構成

マイアカウント

一覧の検索と並べ替え

検索フォームを使用した絞り込み

並べ替えの順番

設定の適用

設定画面へのアクセス / 設定の終了

クイックツアー / AT-RADgateの認証

AT-RADgateの認証

認証サーバーの動作

端末認証

MACベース認証

認可処理

デフォルトのサプリカントプロファイルポリシー

クイックツアー / 認証の設定方法

はじめに

ユーザー認証の設定手順

NASの登録

ユーザーの登録

認証結果の確認

端末認証の設定手順

NASプロファイルとNASの登録

ユーザーの登録

端末の登録

認証結果の確認

ダイナミックVLANの設定

登録済み端末をすべて「vlan10」のネットワークに接続させる場合

アクセスレベル5の端末のみ「vlan100」に接続する場合

タグに「admin」が設定された端末のみ「vlan200」に接続する場合

ダイナミックACLの設定

あらかじめAW+スイッチ上で定義されているACLの名前を指定する方法

ACLの内容そのものを指定する方法

クイックツアー / ポート認証の各認証方法の認証ポリシー設定

AT-RADgateの認証ポリシーの登録方法

MACベース認証、802.1X認証、Web認証

NASの登録

ユーザーの登録

サプリカントプロファイルの登録

Windows Active Directory連携

Windows Active Directoryの設定

NASの登録

サプリカントプロファイルの登録

AT-RADgate（AT-VST-APL/AT-VST-VRT版）リファレンスマニュアル 1.1.0