[index] AT-Vista Manager EX(Windows版) ベースリファレンスマニュアル 3.12.2

画面リファレンス / ネットワークサービス / RADIUS

ローカルRADIUSサーバー
認証共有パスワード
ユーザー
ユーザーを追加
グループ
グループを追加
グループを編集
NAS
RADIUSクライアント(NAS)を追加

AVM EXメニューから「RADIUS」を選択すると、次の画面が表示されます。

ローカルRADIUSサーバー

ネットワーク上のAlliedWare Plusデバイスに設定されたローカルRADIUSサーバーを管理します。
ここでは、RADIUS認証を受けるユーザーのアカウントや所属するグループ、および、RADIUS認証を使用する機器であるRADIUSクライアント(NAS)の作成や編集ができます。
Note
アカウントタイプが「一般ユーザー」のアカウントでは、ユーザーが読み取り権限を持つデバイスに登録された情報のみが表示の対象となります。


■ 表示1
AVM EXにて作成されたデバイスグループ名、および、ネットワーク上のAlliedWare Plusデバイスのうち、いずれのデバイスグループにも属さず、かつ、ローカルRADIUSサーバー機能が有効に設定されたデバイス名が表示されます。
デバイスグループには、名前の右側に「Group」というバッジが表示されます。
グループ名またはデバイス名をクリックすると、画面右側に情報が反映されます。
AlliedWare PlusデバイスのローカルRADIUSサーバー機能を有効にするには、ネットワークマップにて該当のデバイスを右クリックして表示されるコンテキストメニューから「RADIUSサーバーを有効化」を選択します。

■ 表示2
左側のローカルRADIUSサーバー一覧で選択したデバイスまたはデバイスグループの設定を表示します。
設定の内容は、ユーザー、グループ(RADIUSグループ)、NAS(RADIUSクライアント)の3つのタブで分かれています。
個別のデバイスを選択している場合は、画面右上の「証明書を出力」ボタンをクリックすると、該当のローカルRADIUSサーバーのローカルCA(認証局)の証明書(*.pem形式)がダウンロードできます。
デバイスグループを選択した際、グループ内のデバイスにローカルRADIUSサーバー機能が有効に設定されていないデバイスがある場合、警告が表示されます。

認証共有パスワード

「資産管理」の「エンドポイント」タブにおいて、IES(インテリジェント・エッジ・セキュリティー)機能のクライアントにエンドポイントの再認証を要求するうえで必要な、共有パスワードを設定します。

表 1:ユーザー一覧 ヘッダー
項目名 説明
共有パスワード IES機能で使用するRADIUSクライアントに対してRADIUS Dynamic Authorizationメッセージ(DisconnectとChange-of-Authorization(CoA))の通信に使う共有パスワードの通信に使う共有パスワードを指定します。
RADIUSクライアント側の「radius dynamic-authorization client」コマンドと共通の文字列を指定します。
キャンセル 共有パスワードの編集を中止します。
編集 共有パスワードを編集します。
保存 共有パスワードの編集を保存します。

ユーザー

RADIUSクライアント(NAS)を使用するユーザーの情報を表示します。


■ 表示1
表 2:ユーザー一覧 ヘッダー
項目名 説明
グループフィルター 特定のRADIUSグループに所属するユーザーのみをユーザー一覧に表示します。
検索フィールド 部分一致検索したい文字列を入力します。
入力した文字列をユーザー名またはRADIUSグループ名に含むユーザーがある場合、ユーザー一覧に該当のユーザーのみが表示されます。
CSV出力 現在登録されているユーザーをCSVファイルに出力します。
Note
ユーザーをCSVファイルに出力した場合、パスワードは「-」として出力されます。
出力したCSVファイルをインポートしてユーザーの登録を行う場合、インポートの前にテキストエディターなどを使用してパスワードを編集する必要があります。
CSVからインポート CSVファイルをアップロードして、ユーザーを登録します。

次の3つのフィールドをそれぞれ二重引用符(")で囲み、フィールドをカンマで区切ったCSVファイルを別途作成して、一括して登録できます。
  • ユーザー名:
    最大116文字の、いずれも半角の英字・数字・記号(! # $ % ' ( ) * + , - . / : ; < > [ \ ] ^ _ ` { | } ~)が使用可能です(大文字小文字を区別します)。
  • グループ:
    登録済みのグループ名を指定します。
  • パスワード:
    最大31文字の半角英数字(大文字小文字を区別)とハイフン(-)、アンダースコア(_)が使用可能です。
ユーザーを追加 「ユーザーを追加」サイドパネルを表示します。
ユーザーをグループに割り当て チェックボックスにチェックを入れたユーザーを一括してRADIUSグループに割り当てます。
ダイアログにてRADIUSグループをドロップダウンメニューから選択し、選択したユーザーすべてを同じRADIUSグループに割り当てます。
Note
グループ割り当て後は、所属グループをなしにすることはできません。
選択したユーザーを削除 チェックボックスにチェックを入れたユーザーを一括して削除します。

■ 表示2
選択されたデバイスまたはデバイスグループに登録されたRADIUSユーザーを一覧表示します。
デバイスグループを選択した場合、該当のデバイスグループに属するデバイスの中で設定が異なるユーザーが存在する場合は、ユーザー一覧に選択不可状態でそれぞれの設定内容を表示します。
表 3:ユーザー一覧
項目名 説明
チェックボックス グループに一括して割り当てる、または一括して削除するユーザーのチェックボックスにチェックをつけます。
ユーザー RADIUSクライアント(NAS)の利用者を識別するためのユーザー名です。
Note
AVM EXのユーザーアカウントとは異なります。
Note
デバイスグループ内のデバイス間で設定に不整合のあるユーザーは選択できません。
グループ ユーザーが所属するグループ名です。
ユーザーに付与されるVLANやその他の属性は、グループに準じて決定されます。
不整合 デバイスグループに所属するデバイス間でユーザーの所属グループなどの設定が異なる場合、メッセージが表示されます。メッセージにマウスポインターを合わせると、メッセージの全文が表示されます。
不整合のあるユーザーは選択できません。この場合、本画面では編集できませんので、各デバイスのCLIまたはWeb GUI画面にて適宜設定を統一してください。
アクション ユーザーの削除やグループの割り当て、ユーザーキー(pk12形式)の出力を行います。

  • 編集:
    ユーザーをグループに割り当てます。
    ダイアログにてグループをドロップダウンメニューから選択し、ユーザーを割り当てます。
    Note
    グループ割り当て後は、所属グループをなしにすることはできません。
  • 削除:
    ユーザーを削除します。
    複数のユーザーのチェックボックスにチェックをつけている場合、チェックのあるすべてのユーザーを削除します。
  • キーを出力:
    登録済みユーザーのユーザー証明書と秘密鍵をPKCS#12形式のファイル(*.pk12)としてエクスポートします。
    この項目は、デバイス一覧にてデバイスグループではなく、個別のデバイスを選択している場合のみ表示されます。
    • パスフレーズ:
      PKCS#12形式ファイルを暗号化して書き出すためのエクスポート用パスフレーズを入力してください。エクスポートしたユーザー証明書/秘密鍵を別のプログラムやシステムにインポートするときは、ここで指定したパスフレーズが必要となります。
    • 保存:
      ユーザー証明書と秘密鍵を暗号化したPKCS#12形式のファイルとしてダウンロードします。

ユーザーを追加

ローカルRADIUSサーバーにユーザーを登録します。

表 4:ユーザーを追加ダイアログ
項目名 説明
ユーザー名 最大116文字の、いずれも半角の英字・数字・記号(! # $ % ' ( ) * + , - . / : ; < > [ \ ] ^ _ ` { | } ~)が使用可能です(大文字小文字を区別します)。
パスワード 最大31文字の、いずれも半角の英字・数字・ハイフン(-)・アンダースコア(_)が使用可能です(大文字小文字を区別します)。
Note
AVM EXからパスワードを変更することはできません。パスワードを変更する必要がある場合は、ユーザーをいったん削除して登録しなおすか、デバイス自体のWeb設定画面またはCLIで変更してください。
グループ 登録済みのグループ名を指定します。後で設定することもできます。
Note
グループ割り当て後は、所属グループをなしにすることはできません。
キャンセル 入力した内容を破棄し、ユーザーの新規追加を中止します。
保存 入力した内容でユーザーを新規に追加します。

グループ

RADIUSユーザーが所属するRADIUSグループの情報を表示します。
VLANやRADIUS属性をグループに設定しておくことで、ユーザーが認証に成功した際にこれらのVLANや属性を付与します。


■ 表示1
表 5:グループ一覧 ヘッダー
項目名 説明
検索フィールド 部分一致検索したい文字列を入力します。
入力した文字列をグループ名またはVLANに含むグループがある場合、グループ一覧に該当のグループのみが表示されます。
グループをインポート 「AMF Plus / スマートACL」で使用するネットワーク(VLANサブネット)からエンドツーエンドネットワークの情報を収集して、RADIUSグループを作成します。
インポートできるネットワークは、スマートACL内に存在するエンドツーエンドネットワークのみです。エンドツーエンドネットワークではないネットワークはインポートすることはできません。
また、インポートする際、特定のネットワークを選択してインポートすることはできません。スマートACL内のネットワークに存在するエンドツーエンドネットワークがすべてインポートされます。
インポートされたネットワークのVLAN IDに準じて、「VISTA_NETWORK_VLANxxx」(xxxはVLAN ID)というRADIUSグループがグループ一覧に登録されます。
Note
この機能を使用するには、AMF Plusライセンスが必要です。
Note
これらのエンドツーエンドネットワークは、AMF Plusスイッチから自動的に収集されます。AT-ARルーター上のネットワークは収集されません。
グループを追加 「グループを追加」サイドパネルを表示します。

■ 表示2
表 6:グループ一覧
項目名 説明
グループ ローカルRADIUSサーバーに登録されたRADIUSグループ名です。
ユーザーに付与されるVLANやその他の属性は、グループに準じて決定されます。
グループ名をクリックすると、「ユーザー」タブにて、該当RADIUSグループをグループフィルターの条件としてユーザーが絞り込み表示されます。
不整合 デバイスグループに所属するデバイス間でRADIUSグループのVLAN、属性などの設定が異なる場合、メッセージが表示されます。メッセージにマウスポインターを合わせると、メッセージの全文が表示されます。
不整合のあるRADIUSグループは選択できません。この場合、本画面では編集できませんので、各デバイスのCLIまたはWeb GUI画面にて適宜設定を統一してください。
ネットワークを関連付け 「グループをインポート」によりデバイス上のVLANに準じてRADIUSグループを作成した場合に、VLANに関連付けられたAVM EX上のネットワーク名を表示します。
ユーザー数 RADIUSグループに所属するユーザーの数を表示します。
VLAN RADIUSグループに割り当てるVLANが表示されます。
属性 RADIUSグループに割り当てるRADIUS属性が表示されます。
アクション RADIUSグループの編集や削除を行います。

  • 編集:
    「グループを編集」ダイアログを表示します。
    所属ユーザーに割り当てるVLANおよび属性を編集できます。
  • 削除:
    グループを削除します。

グループを追加

ローカルRADIUSサーバーにグループを登録します。

表 7:グループを追加ダイアログ
項目名 説明
名前 グループ名を入力します。最大64文字の、いずれも半角の英字・数字・ハイフン(-)・ピリオド(.)・アンダースコア(_)が使用可能です(大文字小文字を区別します)。
VLAN 対象グループに割り当てるVLANを、VLAN IDまたはVLAN名で設定します。
最大64文字の、いずれも半角の英字・数字・記号(! # $ % ' ( ) * + , - . / : ; < = > [ \ ] ^ _ ` { | } ~)が使用可能です(大文字小文字を区別します)。
属性 対象グループに割り当てるRADIUS属性を指定します。
属性名、属性値のペアを入力して+ボタンをクリックすると、属性名、属性値欄の下に「属性名:属性値」の書式で表示されます(例:Session-Timeout:3600)。
追加された属性を削除する場合は、属性絵の右側の×ボタンをクリックします。
キャンセル 入力した内容を破棄し、グループの新規追加を中止します。
保存 入力した内容でグループを新規に追加します。

グループを編集

ローカルRADIUSサーバーに登録されたグループに付与するVLAN、属性を編集します。

表 8:グループを編集ダイアログ
項目名 説明
名前 グループ名を表示します。
Note
グループ名は変更できません。変更したい場合は、当該のグループを削除し、新しくグループを作成しなおす必要があります。
VLAN 対象グループに割り当てるVLANを、VLAN IDまたはVLAN名で設定します。
最大64文字の、いずれも半角の英字・数字・記号(! # $ % ' ( ) * + , - . / : ; < = > [ \ ] ^ _ ` { | } ~)が使用可能です(大文字小文字を区別します)。
属性 対象グループに割り当てるRADIUS属性を指定します。
属性名、属性値のペアを入力して+ボタンをクリックすると、属性名、属性値欄の下に「属性名:属性値」の書式で表示されます(例:Session-Timeout:3600)。
追加された属性を削除する場合は、属性絵の右側の×ボタンをクリックします。
キャンセル 入力した内容を破棄し、グループの編集を中止します。
保存 入力した内容でグループを更新します。

NAS

RADIUSクライアント(NAS:Network Access Server)を設定します。
RADIUSクライアントには、RADIUSサーバーを利用してユーザーの認証を行うネットワークストレージや無線APなどが含まれます。
AlliedWare PlusデバイスのローカルRADIUSサーバーは、登録されたRADIUSクライアントからのみアクセスが許可されます。


■ 表示1
表 9:RADIUSクライアント(NAS)一覧 ヘッダー
項目名 説明
検索フィールド 部分一致検索したい文字列を入力します。
入力した文字列をRADIUSクライアント(NAS)IPアドレスまたは共有パスワードに含むグループがある場合、RADIUSクライアント(NAS)一覧に該当のRADIUSクライアントのみが表示されます。
RADIUSクライアント(NAS)を追加 「RADIUSクライアント(NAS)を追加」サイドパネルを表示します。

■ 表示2
表 10:RADIUSクライアント(NAS)一覧
項目名 説明
RADIUSクライアント(NAS)IPアドレス RADIUSクライアント(NAS)のIPアドレスです。
共有パスワード RADIUSクライアント(NAS)とローカルRADIUSサーバーとの認証に使用する共有パスワードを表示します。
不整合 デバイスグループに所属するデバイス間でRADIUSクライアント(NAS)の共有パスワードなどの設定が異なる場合、メッセージが表示されます。メッセージにマウスポインターを合わせると、メッセージの全文が表示されます。
不整合のあるRADIUSクライアント(NAS)は選択できません。この場合、本画面では編集できませんので、各デバイスのCLIまたはWeb GUI画面にて適宜設定を統一してください。
アクション RADIUSクライアント(NAS)の削除を行います。

  • 削除:
    RADIUSクライアント(NAS)を削除します。

RADIUSクライアント(NAS)を追加

ローカルRADIUSサーバーにRADIUSクライアント(NAS)を登録します。

表 11:RADIUSクライアント(NAS)を追加ダイアログ
項目名 説明
IPアドレス RADIUSクライアント(NAS)のIPアドレスを入力します。
共有パスワード RADIUSクライアント(NAS)とローカルRADIUSサーバーとの認証に使用する共有パスワードを入力します。最大31文字の、いずれも半角の英字・数字・記号(! # $ % ' ( ) * + , - . / : ; < = > @ [ \ ] ^ _ ` { | } ~)が使用可能です(大文字小文字を区別します)。
キャンセル 入力した内容を破棄し、RADIUSクライアント(NAS)の新規追加を中止します。
保存 入力した内容でRADIUSクライアント(NAS)を新規に追加します。

(C) 2017-2024 アライドテレシスホールディングス株式会社

PN: 613-002905 Rev.V