このリリースノートは、リファレンスマニュアルに記載されていない内容や、ご使用の前にご理解いただきたい注意点など、お客様に最新の情報をお知らせするものです。最初にこのリリースノートをよくお読みになり、本製品を正しくご使用ください。
1. 対象製品とファームウェアバージョン
本リリースノートは、下記の製品・バージョンを対象としています。各項目がどの製品に該当するかは次のアイコンで示します。
| アイコン | 対象製品 | 対象バージョン | 旧バージョン | |
|---|---|---|---|---|
| 該当 | 非該当 | |||
| VST-APL | VST-APL | AT-RADgate(AT-VST-APL版) | 1.3.0 | 1.2.0 |
| VST-VRT | VST-VRT | AT-RADgate(AT-VST-VRT版) | 1.3.0 | 1.2.0 |
2. 重要:注意事項
2.1. 一般
- 2.1.1
VST-APL VST-VRT
AT-RADgateはRADIUSクライアントが送信するAccess-RequestにMessage-Authenticator属性が付与されていない場合には、応答せず何も送信しません。なお「イベント管理」/「アプリケーションログ」画面にログは出力します。
AW+(TQRを除く)のMACベース認証とWeb認証でPAP(デフォルト設定)を使用した場合は、AW+のバージョンによって動作が異なります。
- 5.5.4-2.x以前: RADIUSクライアントとしてAW+を使用する場合には送信するAccess-RequestにMessage-Authenticator属性は付与されていないため、以下を設定してください。
- MACベース認証:auth-mac method eap-md5
- Web認証:auth-web method eap-md5
- 5.5.5-0.1以降: RADIUSクライアントとしてAW+を使用する場合には送信するAccess-RequestにMessage-Authenticator属性が付与されるため、デフォルト設定(PAP)で認証できます。
TQRとTQのキャプティブポータル(Web認証)でRADIUSサーバーへ問い合わせをする設定の場合、デフォルト設定では送信するAccess-RequestにMessage-Authenticator属性は付与されていません。なお以下に記載したバージョンではRADIUSパケットの検証機能をサポートしているため、これらのバージョン以降では設定変更をしてください。
- TQ:「RADIUSパケットの検証」で「必須」を設定
- TQR:「キャプティブポータル設定モード」で「verify-radius-packet enable」を設定
製品名 バージョン AT-TQ5403/AT-TQm5403/AT-TQ5403e 6.0.4-0.2以降 AT-TQ6602 GEN2/AT-TQm6602 GEN2/AT-TQ6702 GEN2/AT-TQm6702 GEN2 8.0.4-1.1以降 AT-TQ6403 GEN2/AT-TQm6403 GEN2/AT-TQ6702e GEN2 9.0.4-3.1以降 AT-TQ7403 10.0.4-3.1以降 AT-TQ3403/AT-TQm3403 11.0.5-0.1以降 AT-TQ7613 12.0.5-0.1以降 AT-TQ1402/AT-TQm1402 6.0.2-1.1以降 製品名 バージョン AT-TQ7403-R 5.5.4-2.1以降 AT-TQ6702 GEN2-R 5.5.4-2.3以降 AT-TQ6702e GEN2-R 5.5.5-1.3以降 - 2.1.2
VST-APL VST-VRTバージョン更新について
AT-RADgateのバージョン更新(バージョンアップ)は、お使いのAT-VST-APL/VRTで行いますが、AT-RADgate 1.0.0から本バージョンへのバージョン更新はサポートしていません。AT-RADgate 1.0.0から本バージョンへバージョン更新する場合は、AT-RADgate 1.1.1にしてから本バージョンへバージョン更新してください。
- サポートするバージョン更新の順
- AT-RADgate 1.0.0 → AT-RADgate 1.1.1 → 本バージョン
- AT-RADgate 1.1.0 → 本バージョン
- AT-RADgate 1.1.1 → 本バージョン
2.2. ポリシー管理
- 2.2.1
VST-APL VST-VRT
NASプロファイルの「端末認証を有効にする。」のチェックボックスにチェックがある状態(端末認証が有効の状態)でAT-RADgate 1.0.0から本バージョンへバージョン更新を行うと、バージョン更新後にNASプロファイルの「ユーザー認証に加えて、端末認証を有効にする。」と「MACベース認証を有効にする。」の双方のチェックボックスにチェックが入ります。
これはAT-RADgate 1.0.0の「端末認証を有効にする。」のチェックボックスにチェックが入っている動作と同じにするために、双方のチェックボックスにチェックが入ります。
2.3. システム管理
- 2.3.1
VST-APL VST-VRT
AT-VST-APL/AT-VST-VRT版のAT-RADgate 1.0.0で取得したバックアップファイル(外部イメージファイル)は、本バージョンで復元(リストア)することはできません。
バージョン更新ではAT-RADgate 1.0.0の情報はすべて引き継がれますので、本バージョンでバックアップファイルを使用する場合はAT-VST-APL/AT-VST-VRT版のAT-RADgateで1.1.0以降にバージョン更新後に取得したバックアップファイルをご使用ください。
なお、バックアップ・復元(リストア)は以下の画面で行えます。
- バックアップ:「システム管理 / 概要」画面の「システムのバックアップ」
- 復元(リストア):「システム管理 / 概要」画面の「システムの復元」
Note AT-VST-APL/AT-VST-VRT版およびAllied Telesis コンテナプラットフォーム版で取得したバックアップファイルは、取得したバージョン以降であればそれぞれで復元(リストア)することができますが、AT-VST-APL/AT-VST-VRT版のAT-RADgate 1.0.0で取得したバックアップファイルは上記に該当するためバージョン 1.1.0以降のバックアップをご使用ください。 - 2.3.2
VST-APL VST-VRTレプリカ設定(冗長構成)
レプリカの設定はレプリカ側の「システム管理 / ネットワーク設定」画面で行いますが、設定を行うとレプリカ側で保持していた認証ポリシーデータはすべて削除されます。
また、レプリカ側のAT-RADgateにもライセンスが必要です。例としてプライマリに2,000台分のライセンス(基本ライセンス1つと追加ライセンス1つ)がある場合は、レプリカにも2,000台分のライセンス(基本ライセンス1つと追加ライセンス1つ)が必要です。
Note レプリカの設定の前には、必要に応じてプライマリ側になるAT-RADgateを含めて「システム管理 / データベース管理」画面にて認証ポリシーデータのダウンロードを行い、バックアップを作成しておくことをおすすめします。
3. 本バージョンで追加・拡張された機能
3.1. ポリシー管理
- 3.1.1
VST-APL VST-VRTポリシー管理
「ポリシー管理」画面の各行の右端のメニューボタンに「詳細」を追加しました。
AT-RADgateがレプリカになっている場合は「詳細」のみを選択できます。
3.2. ステータス確認
- 3.2.1
VST-APL VST-VRTMACアドレスのベンダー名のリスト(OUIリスト)の更新
「ステータス確認」画面に表示される端末のMACアドレスのベンダー名のリスト(OUIリスト)を更新しました。
Note 「ベンダ」のチェックボックスには初期状態ではチェックがありません。3.3. CA管理
- 3.3.1
VST-APL VST-VRT証明書の失効
ローカルCA機能で発行した証明書の失効機能をサポートしました。
証明書の失効は「CA管理」画面の証明書タブで行います。なお「CA管理 / CAについて」画面とAT-RADgate 証明書のダウンロード画面の「証明書失効リスト(CRL)」もサポートしました。
Note AT-RADgate 1.2.0で作成した証明書も失効できます。 - 3.3.2
VST-APL VST-VRTクライアント証明書のパスワード
AT-RADgateが発行するクライアント証明書にパスワードを設定できるようになりました。
クライアント証明書の発行は「CA管理」画面のユーザー証明書発行ツールタブで行います。クライアント証明書発行時に設定できる証明書のパスワードは以下です。
- 設定しない(パスワード無し)
- ユーザーのパスワードを使用する(「ポリシー管理 / ユーザー」画面で作成したユーザーのパスワード)
- パスワードを設定する(任意のパスワード)
Note AT-RADgate 1.2.0で発行したクライアント証明書は設定しない(パスワード無し)と同じです。
複数のエントリー選択してクライアント証明書発行時に「パスワードを設定する」を指定した場合は、選択したすべてのエントリーに対して発行されるクライアント証明書に同じパスワードが使用されます。- 3.3.3
VST-APL VST-VRTOCSP設定AT-RADgateで認証局(ローカルCA)作成時にOCSPレスポンダの項目を追加しました。
OCSPレスポンダのドメイン名またはIPアドレスを設定できます。Note OCSPレスポンダは証明書の失効情報をリアルタイムで提供することができます。AT-RADgateで認証局(ローカルCA)を作成するとAT-RADgateはOCSPレスポンダとしても動作するため、その場合はこの項目に自身のドメイン名またはIPアドレスを設定する必要はありません。3.4. システム管理
- 3.4.1
VST-APL VST-VRT認証ポリシーデータの冗長性
認証ポリシーデータの冗長性をサポートしました。冗長構成では、認証ポリシーを保持するAT-RADgateがプライマリとなり、その認証ポリシーデータを複製するAT-RADgateがレプリカとして動作します。認証ポリシーデータの追加・削除はプライマリのみで行います。
設定はレプリカになるAT-RADgateの「システム管理 / ネットワーク設定」画面で行います。設定を行うとレプリカ側で保持していた認証ポリシーデータはすべて削除されます。
また、「システム管理 / ログ設定」画面の「ログレベル」にも「レプリカ」を追加しました。
Note 冗長化の対象は認証ポリシーデータのみです(AT-RADgateのシステム設定や証明書等は冗長化できません)。
レプリカ側のAT-RADgateにもライセンスが必要です。例としてプライマリに2,000台分のライセンス(基本ライセンス1つと追加ライセンス1つ)がある場合はレプリカにも2,000台分のライセンス(基本ライセンス1つと追加ライセンス1つ)が必要です。 - 3.4.2
VST-APL VST-VRTSMTP OAuth 2.0
メールのSMTP認証方式でOAuth 2.0をサポートしました。
設定は「システム管理 / メール設定」画面で行います。メール設定では既存の認証方式(Basic認証:一般的なSMTPサーバー)に追加して、プロバイダの項目で「Gmail (OAuth2.0)」と「Microsoft Exchange Online」が選択できます。
Note メール設定のプロバイダの項目で「Gmail (OAuth2.0)」と「Microsoft Exchange Online」を使用する場合は以下の条件を満たす必要があります。
- プロバイダに設定した有償のアカウントを使用している
- 「システム管理 / ネットワーク設定」画面の「Webサービス」でプロトコルがHTTPSに設定されている
- AT-RADgateは完全修飾ドメイン名(FQDN)を用いてアクセスされている
- AT-RADgateからインターネットへの接続が可能である
4. 本バージョンで修正された項目
本バージョンでは、以下の項目が修正されました。
- 4.1
[R439239]
VST-APL VST-VRT「CA管理」画面の「ユーザー証明書発行ツール」タブで証明書配布サイトのURLを通知するメールを送信すると、「システム管理 / メール設定」画面で既存のメール設定を削除・編集しても、削除・編集前の「システム管理 / メール設定」画面の設定に従って証明書配布サイトのURLを通知するメールを送信していましたが、これを修正しました。
- 4.2
[R442231]
VST-APL VST-VRTブラウザーの言語設定を日本語以外にした際に「System Management」画面の項目に誤字がありましたが、これを修正しました。
5. 本バージョンでの制限事項
本バージョンには、以下の制限事項があります。
5.1. 一般
- 5.1.1
[R338985]
VST-APL VST-VRTエントリーが表示される各画面で、複数のエントリーを選択することはできません。なお「イベント管理」画面では複数のエントリーを選択することは対象外です。
- 5.1.2
[R373685]
VST-APL VST-VRTAT-RADgateに登録されていない複数のNASからの認証の問い合わせを同時に受信した際に、1台のNASに対してのログしか出力されないことがあります。なお、ログが出力されたNASの登録後は、別のNASのログが出力されます。
5.2. 設定画面へのアクセス
- 5.2.1
[R374741]
VST-APL VST-VRTログイン画面の「ログイン情報を保持」のチェックの有無にかかわらず、各画面で何も操作しない状態が続くと、再ログインのダイアログではなくエラーメッセージが表示される場合があります。その場合は、Webブラウザーの再読み込みをしたあと、再ログインしてください。
5.3. イベント管理
- 5.3.1
[R360554]
VST-APL VST-VRTAT-RADgateが表示するエラーメッセージに、内部ソフトウェアのメッセージが含まれることがあります。
- 5.3.2
[R444453]
VST-APL VST-VRT
レプリカ使用時に認証ポリシーデータが多く負荷が高くなった等の際に、以下のログが「イベント管理」/「アプリケーションログ」画面に出力されることがありますが、ログの出力のみでレプリカの認証ポリシーデータの同期には影響がありません。
'ERROR web ses-webd Unexpected exception was caught, Can't send data when our state is ERROR'
5.4. アカウント管理
- 5.4.1
[R373199]
VST-APL VST-VRT「アカウント管理」画面で、追加アカウントの「認証データベースの編集を許可する。」の設定無効化はできません。
5.5. RADIUS管理
- 5.5.1
[R391998]
VST-APL VST-VRT「RADIUS管理」画面で設定が成功した際にメッセージが表示されないことがありますが、設定は正しく行われます。
5.6. システム管理
- 5.6.1
[R370051]
VST-APL VST-VRTAT-RADgateからメール送信時、SMTPサーバーが応答しない場合にタイムアウトに4分ほど掛かることがあり、その間はAT-RADgateの操作はできません。なお、タイムアウト後は正常に操作できるようになります。
6. サポートリミット一覧
VST-APL VST-VRTポリシー管理 最大 ユーザー ※1 200,000 端末 ※1 200,000 NAS 3,000 NASプロファイル 4 サプリカントプロファイル 64 全般 / デフォルトの隔離VLAN 1 サプリカントプロファイル / フィルターID 16 サプリカントプロファイル / フィルタールール 16 タグ ※2 2 RADIUS管理 / プロキシ設定 最大 プロキシルール 4 転送先サーバー 2 アカウント管理 最大 アカウント(デフォルトのmanagerを含む) 3 アカウントに登録するメールアドレス 1 システム管理 最大 Syslog サーバー 3 CA管理 最大 証明書 18,000 レプリカ 最大 レプリカ数 1 ※3 - ※1
- ユーザーと端末の登録の合計が200,000。同時接続数は合計で5,000
- ※2
- 1つのタグへの登録可能数(ユーザーのタグにtest-1 test-2、端末のタグにtest-3 test-4の設定は可)
- ※3
- 冗長構成はプライマリ 1台とレプリカ 1台
7. 最新マニュアルについて
VST-APL VST-VRT本バージョンに準拠の「AT-RADgate(AT-VST-APL/AT-VST-VRT版)リファレンスマニュアル (613-003358 Rev.E)」は、弊社ホームページに掲載されています。
本リリースノートは、上記の最新ドキュメントに対応した内容になっていますので、お手持ちのドキュメントが上記のものでない場合は、弊社ホームページで最新の情報をご覧ください。
https://www.allied-telesis.co.jp/
- 3.3.1