[index] AT-Vista Manager EX（AT-VST-VRT版） ベースリファレンスマニュアル 3.17.0

各種操作 / ユーザーアカウント / RADIUSによる外部認証

Note

RADIUS認証を設定するためには、AVM EXのローカル管理者ユーザーアカウントが最低1つ必要です。このため、すべてのアカウントをRADIUSサーバーに一元化することはできません。

RADIUS認証の設定

Note

本操作は管理者アカウントでのみ行えます。

1. 管理者アカウントでログインします。
   
2. メインメニューから「ユーザー管理」を選択します。
   
3. コンテンツ欄右上の「設定」ボタンをクリックします。
   「ユーザー管理設定」サイドパネルが表示されます。
   
   
4. RADIUS認証トグルスイッチをクリックして、有効にします。
   
5. RADSECを使用して認証情報を暗号化する場合は、「RADSECを有効にする」トグルスイッチをクリックして、有効にします。
   RADSECを有効にすると、クライアント証明書、クライアントキー、CA証明書欄が追加表示されます。また、ポートのデフォルト値が2083に変更されます。
   
   
6. RADSECを有効にした場合は、クライアント証明書、クライアントキーおよびRADIUSサーバーで使用されるものと同じCA証明書を選択します。
   RADSECを無効にした場合は、次の手順に進んでください。
   
7. RADIUSサーバーのIPv4アドレス、または、ホスト名を入力します。IPv6アドレスは未サポートとなります。
   
8. 「ポート」にRADIUSサーバーの待ち受けポート番号を入力します。
   デフォルトは、RADSECを使用しない場合は1812、RADSECを使用する場合は2083です。
   
9. 「共有パスワード」に、RADIUSサーバーに登録した際に設定した共有パスワードを入力します。
   
10. デフォルトグループ権限を決定します。
    RADIUSユーザーがAVM EXにログインする際は、AVM EX上にRADIUSユーザー用の一般ユーザーアカウントが作成されます。
    このユーザーアカウントのデフォルトグループ権限を、読み取り/書き込み、読み取り専用、なしのいずれかから選択します。デフォルトは読み取り専用です。
    
11. 「保存」をクリックして、RADIUS認証設定を保存します。
    設定に基づいてRADIUSサーバーとの通信が試行され、共有パスワードと、RADSECを有効にした場合は証明書による認証が正しく行われると、設定が保存されます。
    認証に失敗した場合はここでの設定は破棄されます。
    

RADIUSアカウントによるログイン

1. AVM EXのログイン画面にて、RADIUSアカウントのユーザー名、パスワードを入力し、ログインをクリックします。
   ログインに成功すると、マイアカウント画面が表示されます。
   

   Note

   AVM EXのローカルユーザーアカウントで使用されているユーザーIDと重複するRADIUSアカウントではログインできません。

   
   
2. マイアカウント画面にて、ログインしたRADIUSユーザーアカウントのためのユーザー名、メールアドレスを設定します。
   

   表 1：アカウント設定 1

   項目名	説明
   ユーザーID	ログインに使用したRADIUSユーザー名がユーザーIDに指定されます。変更はできません。 Note RADIUSユーザーアカウントを削除したのち再び同じRADIUSユーザー名でログインした場合を除き、一度登録したことのあるユーザーIDは、その後該当アカウントを削除しても、別のAVM EXローカルアカウントとして再度使用することはできません。 アカウントの作成前に、作成ポリシーなどを慎重にご検討ください。 Note 2つ以上連続した半角スペースを入力した場合、実際には2つ以上の半角スペースを識別しているにもかかわらず、画面上は1つの半角スペースのみが表示されることがあります。混乱を避けるためにも2つ以上連続した半角スペースを入力することは推奨しません。
   ユーザー名	フルネームなど、ユーザーの表示名を指定します。1～25文字の、いずれも半角および全角の英字・数字・かな・漢字・記号（スペースを含む）で入力します。 Note 2つ以上連続した半角スペースを入力した場合、実際には2つ以上の半角スペースを識別しているにもかかわらず、画面上は1つの半角スペースのみが表示されることがあります。混乱を避けるためにも2つ以上連続した半角スペースを入力することは推奨しません。
   メール	ログイン情報を忘れた場合の復旧やライセンス有効期限の通知に使用する、有効なメールアドレスを指定します。 Note RADIUSユーザーアカウントを削除したのち再び同じRADIUSユーザー名でログインした場合を除き、アカウントを削除した際に登録されていたメールアドレスは、別の新しいアカウントのメールアドレスとして再度登録することはできません。同じメールアドレスで新しいアカウントを作成することが見込まれる場合は、アカウントを削除する前に、アカウントに登録したメールアドレスを、実在しないものに変更しておくことをお勧めします。

   パスワードの管理はRADIUSサーバーで行うため、AVM EXのユーザー管理画面、マイアカウント画面では設定できません。
   
   ほか、デフォルトでは、いくつかの設定項目は次の通り固定されます。
   
   • アカウントタイプは「一般ユーザー」に設定されます。
     
   • CLI権限は無効に設定されます（表示されません）。
     
   • AWCプラグインを登録している場合、AWC管理グループ/機能制御権限はすべてチェックなしになります。
     
   • 機能別権限、サイトとグループの権限は、すべて、RADIUS認証設定の「デフォルトグループ権限」で設定された権限レベルが設定されます。
     
   これらは、RADIUSユーザーアカウントの登録時点は変更できません。のちほど、必要に応じて管理者ユーザーが権限を詳細に設定できます。
   
   なお、アカウントタイプや機能別権限、サイトとグループの権限については、事前にRADIUSサーバー上でFilter-Id属性を利用して、設定しておくことも可能です。
   

   表 2：RADIUS Filter-Id属性によるユーザー権限の事前設定

   Filter-Id属性	アカウントタイプ	機能別権限、サイトとグループの権限
   vista-admin	管理者	すべて読み取り/書き込み可能（非表示）
   vista-readwrite	一般ユーザー	すべて読み取り/書き込み可能
   vista-readonly	一般ユーザー	すべて読み取り専用
   なし	一般ユーザー	上記のデフォルト設定に従う

   このRADIUS属性はRADIUSグループに対して設定します。例えば、RADIUSグループadminsを作成し、Filter-Id属性vista-adminを適用したのち、対象とするRADIUSユーザーをadminsグループに所属させることで、AVM EXに該当のRADIUSユーザーがアクセスし、RADIUSユーザーアカウントを作成する際、自動的に管理者アカウントとして登録されるようになります。
   
3. AWCプラグインを使用する場合は、各種ステータスの更新間隔、無線APの設定で初期設定として用いる国コードを設定します。
   

   表 3：アカウント設定 2

   項目名	説明
   更新間隔	AWCプラグインが登録されている場合、AWCプラグインの以下の管理項目にて画面の更新を自動で行う間隔（単位：秒）を指定します。 管理下AP（デフォルト：60（秒）） フロアマップ(無線ステータス)（デフォルト：60（秒）） フロアマップ(無線クライアント)（デフォルト：5（秒）） フロアマップ(スマートコネクト)（デフォルト：5（秒））
   国コード	AWCプラグインが登録されている場合、AWCプラグインでAP共通設定を作成する際に選択される国コード（無線周波数帯の規制区域）の初期設定を指定します。デフォルトは「なし」です。

4. Web管理画面の言語とセッションタイムアウトを設定します。
   

   表 4：アカウント設定 3

   項目名	説明
   言語	Web管理画面の表示言語を設定します。 自動検出（デフォルト）、英語、日本語から選択できます。「自動検出」に設定すると、Webブラウザーの表示言語設定に従って自動的に決定されます。
   タイムアウト	セッションタイムアウトを指定します。 無操作状態でタイムアウトに設定した時間が経過した場合に、自動的にログインセッションを終了し、ログイン画面に戻ります。 タイムアウトは5分、10分、20分、30分、1時間、制限なしから選択でき、制限なしに設定した場合は無操作状態が続いても自動的にログアウトしません。 デフォルトは5分です。 Note ユーザーがログイン中のアカウントのタイムアウト設定を変更した際は、次回のログインセッションから適用されます。 Note アカウントタイプが「一般ユーザー」のアカウントには「制限なし」以外のタイムアウト設定を適用することを推奨します。

5. イベントルールのメール受信設定と、必要に応じて、このユーザーに割り当てるデフォルトのネットワークトポロジーレイアウトを選択します。
   

   表 5：アカウント設定 4

   項目名	説明
   イベント/syslogルール メール通知を受信	イベントルール、syslogルールにてメール通知を行うよう設定されている際、該当のアカウントにメール受信を行うか否かをトグルスイッチで設定します。
   ネットワークトポロジーレイアウト	初回ログイン時にネットワークマップに適用する、または設定を変更した後の次回ログイン時に適用を許可するレイアウトを1つ選択します。 2回目以降のログイン時に選択されるレイアウトは、直前のセッションで選択していたレイアウトが維持されます。 また、アカウントタイプが「一般ユーザー」の場合、管理者アカウントによって指定されたレイアウトを適用したり、指定されたレイアウトをテンプレートにして新たなレイアウトとして保存したりできます。 レイアウトは「ネットワークマップ」画面にて作成できます。項目名の下の青字のリンクをクリックすると、「ネットワークマップ」画面に遷移できます。

6. 「保存」ボタンをクリックします。
   

RADIUSユーザー用AVM EXアカウントの注意点

• ユーザーIDは大文字小文字を区別します。例えば、既にRADIUSユーザー用AVM EXとしてユーザーID「vista」が登録されている状態で、新たにRADIUSユーザー名「VISTA」のアカウントがログインに使用された場合は、別途RADIUSユーザー用AVM EXとしてユーザーID「VISTA」が登録されます。
  
• パスワードの管理はRADIUSサーバーで行うため、AVM EXのユーザー管理画面、マイアカウント画面では設定できません。
  また、このため、管理用パスワードのリセット画面にてRADIUSユーザーアカウントに関連付けられたメールアドレスを入力しても、パスワード再設定メールは送付されません。ただし、セキュリティー上の理由で、実在のユーザーに使用されていないメールアドレスを指定した場合と同様、パスワード再設定メールを送信した旨のメッセージが表示されます。
  
• 通常、AVM EXのローカルアカウントを削除後は同じユーザーID、メールアドレスは登録できませんが、RADIUSユーザーアカウントを削除後、再び同じRADIUSユーザーアカウントでログインしようとした場合は、再度RADIUSユーザーアカウントが作成されます。
  ただし、RADIUSユーザーアカウントを削除後、ローカルアカウントとして同じユーザーID、メールアドレスを登録することはできません。
  
• RADIUS Filter-Id属性は、RADIUSユーザーがログインするたびに参照されるため、RADIUSサーバー上でユーザーのFilter-Idが変更されている場合は、すでに作成済みのRADIUSユーザーアカウントであっても、次回ログイン時にアカウントタイプおよび権限が再設定されます。