クイックツアー / 認証の設定方法
はじめに
RADIUSサーバーはNASが接続要求を行ったユーザーの認証を行います。RADIUSプロトコルにおける認証の基本動作は、認証要求を行ったユーザーがRADIUSサーバーに登録されており、さらに接続要求に含まれる資格情報(パスワード等)がRADIUSサーバーに登録されているものと一致するかどうかを評価するものです。
AT-RADgateはそれに加え弊社製ネットワーク製品を利用したユーザー端末のネットワークアクセス制御ソリューションを効率的に管理できるように、MACアドレスをベースとした端末認証を独自の機能として提供します。この認証の動作は、認証要求に含まれる端末のMACアドレスがAT-RADgateに登録されているかどうかを評価し、ユーザー認証と併用することが可能です。
弊社のAW+スイッチのポート認証機能では、MACベース認証、IEEE 802.1X認証、Web認証の3つの認証モードがあります。これとAT-RADgateの端末認証を組み合わせた場合、どの認証が動作するかは下記のとおりとなります。
表 1:認証の動作
| |
ユーザー認証
|
端末認証
|
| MACベース認証
|
-
|
○
|
| IEEE 802.1X認証
|
○
|
○
|
| Web認証
|
○
|
○
|
AW+には1つのサプリカントに対してユーザー認証と端末認証を強制する2ステップ認証機能がありますが、2ステップ認証の機能は1つのサプリカントに対し、MACベース認証とIEEE 802.1X認証またはWeb認証の計2回認証処理を行う機能で、本機能とは異なります。本機能は、IEEE 802.1X認証またはWeb認証処理の過程で同時に端末認証を行う機能で、AW+側には特別な設定は不要となります。
ユーザー認証、端末認証の設定の流れは下記となります。
ユーザー認証の設定手順
NASの登録
RADIUSサーバーは受信したメッセージの送信元(NAS)の認証を行います。その過程で不正な送信元が送信したメッセージは破棄されます。
そのため、正しく認証システムを構築するには、必ずRADIUSの認証要求を送信するシステムをすべてAT-RADgateに登録しなければなりません。NASの登録は「ポリシー管理 / NAS / RADIUSプロキシ」画面で行います。
また、一度に大量のNASを登録する必要がある場合は、あらかじめNASの情報を記載したCSV形式のファイルを作成しておき、アップロードすることにより登録することもできます。CSVファイルのインポートは、「システム管理 / データベース管理」画面の「インポート」で行います。
NASはデフォルトでユーザー認証のみを行う設定になっていますので、端末認証を行わない場合はNASプロファイルの登録は不要です。
「ポリシー管理 / NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。
表 2:設定例
| 項目
|
説明
|
| IPv4 アドレス
|
NASのIPアドレスです。
|
| 事前共有鍵(PSK)
|
事前共有鍵(キー)です。NASに設定したものと同じにする必要があります。
|
| タグ
|
このNASの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。
|
ユーザーの登録
RADIUSサーバーはNASが接続要求を行ったユーザーの認証を行います。RADIUSサーバーによる認証の基本動作は認証要求を行ったユーザーがRADIUSサーバーに登録されており、さらに接続要求に含まれる資格情報(パスワード等)がRADIUSサーバーに登録されているものと一致するかどうかを評価するものです。
ユーザーポリシーは、「ポリシー管理 / ユーザー」画面で行います。また、CSVファイルによるインポートも可能です。
「ポリシー管理 / ユーザー」画面の右上の「追加」ボタンをクリックすると、「ユーザー追加」ダイアログが表示されます。
表 3:設定例
| 項目
|
説明
|
| ログイン名・パスワード
|
認証で使用するユーザーのアカウント名とパスワードを入力します。
|
| アクセスレベル
|
このユーザーの権限の強さを設定することができます。ここで拒否を設定されたユーザーは、認証要求の内容が正しくてもアクセスが拒否されるようになります。
サプリカントプロファイルを設定することによって、動作の変更が可能です。
|
| タグ
|
このユーザーの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。
|
AT-RADgateはサプリカントプロファイル機能を提供します。この機能を利用することにより、認証済みサプリカントに対して追加の設定を行えます。アクセスレベルとタグはサプリカントプロファイル機能と併用することにより、複数のサプリカントに対し同じ設定を簡単に適用できます。
認証結果の確認
ユーザー認証では認証済みサプリカントの管理は行いません。サプリカントの認証可否の確認は、「イベント管理 / アプリケーションログ」画面で確認してください。
端末認証の設定手順
NASプロファイルとNASの登録
端末認証では、ユーザー端末を収容するエッジスイッチや無線LANアクセスポイントをNASとして登録します。
端末認証のNASとして登録するネットワーク装置は、認証要求メッセージのCalling-Station-Id属性フィールドに認証要求元の端末のMACアドレスを格納しなければなりません。弊社のAW+スイッチおよび無線LANアクセスポイントはその要件を満たすため、端末認証のNASとして登録することができます。
RADIUSサーバーは受信したメッセージの送信元(NAS)の認証を行います。その過程で不正な送信元が送信したメッセージは破棄されます。
そのため、正しく認証システムを構築するには、必ずRADIUSの認証要求を送信するシステムをすべてAT-RADgateに登録しなければなりません。NASプロファイルとNASの登録は「ポリシー管理 / NASプロファイル」画面で行います。
また、一度に大量のNASを登録する必要がある場合は、あらかじめNASの情報を記載したCSV形式のファイルを作成しておき、アップロードすることにより登録することもできます。CSVファイルのインポートは、「システム管理 / データベース管理」画面の「インポート」で行います。
NASはデフォルトでユーザー認証のみを行う設定になっていますので、新たに端末認証を有効にするNASプロファイルを作成し、登録するNASに設定する必要があります。
以下の2つを作成します。
「ポリシー管理 / NASプロファイル」画面の右上の「追加」ボタンをクリックすると、「NASプロファイル追加」ダイアログが表示されます。
表 4:設定例
| 項目
|
説明
|
| 名称
|
NASプロファイルの名前です。
|
| ユーザー認証に加えて、端末認証を有効にする。
|
チェックボックスにチェックを入れます。
|
「NAS / RADIUSプロキシ」画面の右上の「追加」ボタンをクリックすると、「NAS / RADIUSプロキシ追加」ダイアログが表示されます。
表 5:設定例
| 項目
|
説明
|
| IPv4 アドレス
|
NASのIPアドレスです。
|
| 事前共有鍵(PSK)
|
事前共有鍵(キー)です。NASに設定したものと同じにする必要があります。
|
| プロファイル
|
最初に作成した「AW-Plus」のNASプロファイルを選択します。
|
| タグ
|
このNASの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。
|
ユーザーの登録
RADIUSサーバーはNASが接続要求を行ったユーザーの認証を行います。RADIUSサーバーによる認証の基本動作は認証要求を行ったユーザーがRADIUSサーバーに登録されており、さらに接続要求に含まれる資格情報(パスワード等)がRADIUSサーバーに登録されているものと一致するかどうかを評価するものです。
ユーザーポリシーは、「ポリシー管理 / ユーザー」画面で行います。また、CSVファイルによるインポートも可能です。
「ポリシー管理 / ユーザー」画面の右上の「追加」ボタンをクリックすると、「ユーザー追加」ダイアログが表示されます。
表 6:設定例
| 項目
|
説明
|
| ログイン名・パスワード
|
認証で使用するユーザーのアカウント名とパスワードを入力します。
|
| アクセスレベル
|
このユーザーの権限の強さを設定することができます。ここで拒否を設定されたユーザーは、認証要求の内容が正しくてもアクセスが拒否されるようになります。
サプリカントプロファイルを設定することによって、動作の変更が可能です。
|
| タグ
|
このユーザーの所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。
|
AT-RADgateはサプリカントプロファイル機能を提供します。この機能を利用することにより、認証済みサプリカントに対して追加の設定を行えます。アクセスレベルとタグはサプリカントプロファイル機能と併用することにより、複数のサプリカントに対し同じ設定を簡単に適用できます。
弊社のAW+スイッチのMACベース認証機能と併用する場合、ユーザーの登録は必要ありません。また端末認証が有効であるときAT-RADgateは認証要求メッセージを解析し、それがMACベース認証要求かどうかの判別を自動で行うので、MACベース認証を有効にするための追加の設定も不要です。
端末の登録
端末認証が有効な場合、AT-RADgateは認証要求メッセージに格納されたMACアドレスがRADIUSサーバーに登録されているものと一致するかどうかを評価します。
端末ポリシーは「ポリシー管理 / 端末」画面で行います。また、CSVファイルによるインポートも可能です。
「ポリシー管理 / 端末」画面の右上の「追加」ボタンをクリックすると、「端末追加」ダイアログが表示されます。
表 7:設定例
| 項目
|
説明
|
| MACアドレス
|
認証対象の端末のMACアドレスを入力します。
|
| デバイス名
|
認証対象の端末のデバイス名を入力します。複数の端末に同じデバイス名を付与することができます。
|
| アクセスレベル
|
このユーザーの権限の強さを設定することができます。ここで拒否を設定された端末は、認証要求の内容が正しくてもアクセスが拒否されるようになります。
サプリカントプロファイルを設定することによって、動作の変更が可能です。
|
| タグ
|
この端末の所属するグループを設定することができます。タグはスペースで区切ることにより複数設定することできます。
|
AT-RADgateはサプリカントプロファイル機能を提供します。この機能を利用することにより、認証済みサプリカントに対して追加の設定を行えます。アクセスレベルとタグはサプリカントプロファイル機能と併用することにより、複数のサプリカントに対し同じ設定を簡単に適用できます。
認証結果の確認
端末認証が有効な場合、認証済み端末の状態が「ステータス確認 / 端末」画面で確認できます。
ダイナミックVLANの設定
弊社のAW+スイッチと端末認証を併用した場合、AT-RADgateはデフォルトの状態では認証済み端末の接続先VLANの指定を行いません。
サプリカントプロファイルの登録は、「ポリシー管理 / サプリカントプロファイル」画面で行います。またCSVファイルによるインポートも可能です。
「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。
名称はサプリカントプロファイルの識別子になります。既に登録済みのプロファイルと重複しない名前を設定してください。 優先度はプロファイルを認証済み端末に適用する順番となり、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルが適用されます。
登録済み端末をすべて「vlan10」のネットワークに接続させる場合
登録済み端末をすべて「vlan10」のネットワークに接続させる場合、「サプリカントプロファイル追加」ダイアログで下記のように設定します。
表 8:設定例
| 項目
|
設定値
|
| 条件 / デバイス
|
登録済み端末
|
| 設定 / アクション
|
通過
|
| 設定 / VLAN
|
vlan10
|
アクセスレベル5の端末のみ「vlan100」に接続する場合
特定のグループを別のネットワークに接続したい場合は、アクセスレベルやタグを使用することができます。アクセスレベル5の端末のみ「vlan100」に接続する場合、「サプリカントプロファイル追加」ダイアログで下記のように設定します。
表 9:設定例
| 項目
|
設定値
|
| 条件 / アクセスレベル
|
5
|
| 設定 / アクション
|
通過
|
| 設定 / VLAN
|
vlan100
|
タグに「admin」が設定された端末のみ「vlan200」に接続する場合
特定のグループを別のネットワークに接続したい場合は、アクセスレベルやタグを使用することができます。タグに「admin」が設定された端末のみ「vlan200」に接続する場合、「サプリカントプロファイル追加」ダイアログで下記のように設定します。
表 10:設定例
| 項目
|
設定値
|
| 条件 / タグ
|
admin
|
| 設定 / アクション
|
通過
|
| 設定 / VLAN
|
vlan200
|
「設定 / VLAN」に設定するVLANは、あらかじめネットワーク装置側に設定する必要があります。また設定する値はネットワーク装置側の仕様に依存します。弊社のAW+スイッチの場合はVLAN名またはVLAN IDを指定することができます。
ダイナミックACLの設定
弊社のAW+スイッチと端末認証を併用した場合、サプリカントプロファイルを登録することにより、認証済み端末に対してACL(パケットフィルター)を設定することができます。
サプリカントプロファイルの登録は、「ポリシー管理 / サプリカントプロファイル」画面で行います。またCSVファイルによるインポートも可能です。
「ポリシー管理 / サプリカントプロファイル」画面の右上の「追加」ボタンをクリックすると、「サプリカントプロファイル追加」ダイアログが表示されます。
ACLの設定方法は、あらかじめAW+スイッチ上で定義されているACLの名前を指定する方法と、ACLの内容そのものを指定する方法の2とおり存在します。
あらかじめAW+スイッチ上で定義されているACLの名前を指定する方法
すべての登録済み端末に対してネットワークスイッチ内に登録されている「acl-100」という名前のACLを適用させるには、「サプリカントプロファイル追加」ダイアログで下記のように設定します。
表 11:設定例
| 項目
|
説明・設定値
|
| 名称
|
サプリカントプロファイルの識別子になります。既に登録済みのプロファイルと重複しない名前を設定してください。
|
| 優先度
|
プロファイルを認証済み端末に適用する順番となり、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルが適用されます。
|
| 条件 / デバイス
|
登録済み端末
|
| 設定 / アクション
|
通過
|
| 設定 / フィルターID
|
acl-100
|
ACLの内容そのものを指定する方法
すべての登録済み端末に対して192.168.10.0/24のサブネットとの通信のみを許可するACLを適用させるには、「サプリカントプロファイル追加」ダイアログで下記のように設定します。
表 12:設定例
| 項目
|
説明・設定値
|
| 名称
|
サプリカントプロファイルの識別子になります。既に登録済みのプロファイルと重複しない名前を設定してください。
|
| 優先度
|
プロファイルを認証済み端末に適用する順番となり、この値が小さいプロファイルから順に評価され、最初に一致したプロファイルが適用されます。
|
| 条件 / デバイス
|
登録済み端末
|
| 設定 / アクション
|
通過
|
| 設定 / フィルタールール
|
ip:permit ip any 192.168.10.0/24
ip:deny ip any any
|
フィルタールールの書式は、ネットワーク装置の仕様に合わせて設定してください。ただし、複数のルールを記述する場合は改行で区切ってください。