SwimRadius: リリースノート

リリースノート

本リリースノートには、CentreNET SwimRadius（以下、SwimRadius）を使用する上でご注意いただきたい事柄や各種情報が記載されています。ご使用になる前に必ずご一読ください。

1 変更点

1.1 Ver.1.1 pl 1 から Ver.1.1 pl 2

1.1.1 仕様変更

Java のバージョンがJRE 1.6.0_05からJRE 1.6.0_12に変更されました。
SwimRadiusへの自動ログイン機能が追加されました。
MACアドレスベース認証のユーザ情報登録簡易化機能が追加されました。
検疫実行時の確認内容の設定に一部正規表現を使用できるようにしました。

1.2 Ver.1.1 pl 1（オンラインマニュアルのみ更新）

インストールガイド「動作環境」を更新しました。

1.3 Ver.1.1 pl 0 から Ver.1.1 pl 1

1.3.1 仕様変更

JavaのバージョンがJRE 1.4.2からJRE 1.6.0_05に変更されました。
認証結果（RADIUS-Accept）にService-Type属性を付与できるようになりました。

1.3.2 動作環境の追加

以下のOSに新たに対応しました。

SwimRadiusサーバー
- Windows XP Professional x64 Edition
- Windows Server 2003 x64 Edition
- Windows Vista（Home Basic / Home Premiumは未サポート）
- Windows Vista 64ビット版
SwimRadiusクライアント
- Windows Vista（Home Basic / Home Premiumは未サポート）

1.3.3 ドキュメント情報の更新

確認済みウィルスチェックアプリケーションを更新しました。
プログラム本体のインストーラーから、ドキュメントを分離しました。（ドキュメントインストーラーを別ファイルで提供します。）

1.4 Ver.1.1 pl 0（リリースノートの更新のみ）

「サポート機種とファームウェアバージョン」、および「機種ごとのサポート機能」の掲載内容を、リリースノートから弊社Webページに移動しました。

1.5 Ver.1.0 pl 0 から Ver.1.1 pl 0

1.5.1 仕様変更

EAP-TLS、MS-PEAPに対応しました。
プライベート認証局（CA）による証明書の発行機能を追加しました。
証明書の一括発行/一括失効機能を追加しました。
認証情報に『Windows自動Update有効チェック』を追加し、Windows自動Update機能が有効になっているかどうかを認証条件に加えることができるようになりました。
認証情報に『ウィルス定義ファイルチェック』の『バージョン番号』チェックを追加し、ウィルス定義ファイルのバージョン番号を認証条件に加えることができるようになりました。

1.5.2 サポート機種の追加

以下の各機種に対応しました。

CentreCOM WR540APS
CentreCOM 9408LC/SP
CentreCOM 9924SP
CentreCOM SSL VPN-Plus
Extreme Summit（X450シリーズ）

2 サポート機種とファームウェアバージョン

SwimRadiusサーバーでの対応機種およびバージョンに関しては、弊社Webページ（マニュアル）に最新情報を掲載していますのでご参照ください。

http://www.allied-telesis.co.jp/

3 機種ごとのサポート機能

SwimRadiusは、IEEE 802.1X認証に対応しており、同規格に適合した機器との接続が可能です。また、ウィルスソフトのチェックを行う検疫もサポートしています。

これらの機能と弊社機器との接続については、弊社Webページ（マニュアル）に最新情報を掲載していますのでご参照ください。

http://www.allied-telesis.co.jp/

4 セキュリティソフトチェック機能

4.1 ウィルスチェックアプリケーション

SwimRadiusクライアントは Microsoft Windows の提供するセキュリティセンターに登録可能なアプリケーション（『有効』の状態で利用可能）であり、Windows Management Instrumentation（WMI）による情報提供インターフェースを提供していれば、監視対象となります。セキュリティセンターに登録可能かどうか、およびWMI対応かどうかは、製品提供元にご確認ください。

事前に評価版などでSwimRadiusサーバー、SwimRadiusクライアントとの連係が可能であることをご確認いただくことをおすすめします。

以下に、確認済みのアプリケーションを示します。

製品名
Norton AntiVirus 2005、2006、2008、2009（シマンテック社）
Norton Symantec AntiVirus Corporate Edition（シマンテック社）V9.0.3.1000以降
ウイルスバスター2005、2006、2008、2009（*1）（トレンドマイクロ社）
eTrust EZ AntiVirus 2006（コンピュータ・アソシエイツ社）
McAfee Managed VirusScan バージョン 3.0 （マカフィー社）
McAfee VirusScan V11.2、V13.3（マカフィー社）
NOD32アンチウイルス V2.7（キヤノンシステムソリューションズ株式会社）
Kaspersky Anti-Virus 7.0、2009（Kaspersky Lab）（*1）

*1: 詳細チェック内の「ウイルス定義ファイルチェック－バージョン番号」を使用したセキュリティチェックを行うことはできません。

4.2 セキュリティセンター

セキュリティソフトチェック機能をご利用いただくためには、ご使用になっているMicrosoft Windowsがセキュリティセンターをサポートする必要があります。

セキュリティセンターは、現在以下のOSでサポートされています。

サポートOS	Windows XP SP2以降、Windows Vista

5 セキュリティチェックソフト確認に関するネットワーク設定について

SwimRadius では、RADIUS による認証結果だけでなく、利用者端末に SwimRadiusクライアントをインストールすることで、利用者端末に設定されているセキュリティ情報を取得し、ユーザーのネットワークへの接続制限を強化することが可能です。

しかし、SwimRadiusクライアントを使用する際には、ご使用になるセキュリティチェックの方法に応じて、 RADIUS クライアント(スイッチ)および SwimRadius クライアントがインストールされている利用者端末（PC）に対して以下の設定が必要となります。

ご使用いただく前に、以下の設定がされているかどうかご確認ください。

5.1 セキュリティソフトチェックを行う際に『検疫VLAN』を使用する場合

5.1.1 RADIUS クライアントに対する設定

SwimRadiusクライアントは、SwimRadiusサーバーに対して自身に設定されているセキュリティ情報を通知します。

また、定期的な RADIUS 再認証を行うために利用者端末と SwimRadiusサーバーが通信できる環境にある必要があります。

このため、

検疫VLAN
最終的にアサインされるVLAN

が SwimRadiusサーバーと通信できるように RADIUS クライアントの設定を行ってください。

5.1.2 利用者端末の設定

『検疫VLAN』を使用する場合、利用者端末はセキュリティソフトチェックを実行するために RADIUS 認証後一旦検疫VLANに設定されているVLANに属されます。

そしてセキュリティソフトチェックが正常に完了し、結果が OK になった場合、利用者端末は最終的にアサインされる VLAN に属されます。この場合、各VLANにてそれぞれIPアドレスが割り当てられることになりますので、検疫VLAN を使用する場合には利用者端末の IP アドレスの設定は『自動取得（DHCP）』でIPアドレスを取得する設定にしてください。

Note
固定IPアドレスでは、検疫VLAN を使用したセキュリティソフトチェックは行えません。

5.2 セキュリティソフトチェックを行う際に『検疫VLAN』を使用しない場合

5.2.1 RADIUS クライアントに対する設定

SwimRadiusクライアントは、SwimRadiusサーバーに対して自身に設定されているセキュリティ情報を通知します。

また、定期的な RADIUS 再認証を行うために利用者端末と SwimRadiusサーバーが通信できる環境にある必要があります。

このため、

最終的にアサインされるVLAN

が SwimRadiusサーバーと通信できるように RADIUS クライアントの設定を行ってください。

5.2.2 利用者端末の設定

5.2.2.1 『隔離VLAN』を使用する設定の場合

SwimRadiusで『隔離VLAN』を使用する設定になっている場合、セキュリティソフトチェックで NG となった利用者端末は、 RADIUS 認証終了後『隔離VLAN』に設定されている VLAN にアサインされます。

この際、隔離VLAN に設定されている VLAN の設定によっては、利用者端末のIPアドレスが固定で設定されていると、隔離VLAN 内でネットワークに接続できない可能性があります。

このことから、『隔離VLAN』を使用する場合には、利用者端末のIPアドレスの設定を『自動取得（DHCP）』にすることをおすすめします。

5.2.2.2 『隔離VLAN』を使用しない際の設定

『隔離VLAN』を使用しない設定になっている場合、セキュリティソフトチェックで NG となった利用者端末は、 RADIUS 認証終了後ネットワークへの接続が切断されます。

この際、利用者端末のIPアドレスの設定は『自動取得（DHCP）』および『固定』のどちらでも特に問題はありません。

ネットワーク構成	検疫VLANを使用する
ネットワーク構成	隔離VLANを使用する	隔離VLANを使用しない ※
RADIUS クライアント	SwimRadiusサーバーと利用者端末が通信できる必要があります。
利用者端末	自動取得(必須)

ネットワーク構成	検疫VLANを使用しない ※
ネットワーク構成	隔離VLANを使用する	隔離VLANを使用しない
RADIUS クライアント	SwimRadiusサーバーと利用者端末が通信できる必要があります。
利用者端末	自動取得(推奨)	自動取得/固定IPアドレス

※ この構成の場合には、802.1X認証が終わってから、セキュリティチェック認証が終わるまでの間に、数秒ですがセキュリティ未チェック状態でネットワークに接続される状態があります。この状態を回避するためには、「検疫VLAN」をご使用になることをおすすめします。

6 サプリカント

SwimRadiusでは、独自のサプリカントは提供しておりません。Microsoft Windowsシステムに標準で提供されている認証機能をご使用ください。802.1X認証を行う場合には、 EAP-MD5、EAP-TLSまたは、MS-PEAPを選択する必要があります。

SwimRadiusサーバーは、サプリカントとして以下のOSをサポートしています。

サポートOS	Windows 2000、Windows XP（SP2 以降）、Windows Server 2003（SP1 以降）、Windows Vista *Note* Windows Vista Home Basic / Home Premiumは未サポートです。各OSは日本語版のみのサポートです。64ビット版Windowsは未サポートです。 *Note* Windows 2000 の場合には、セキュリティソフトチェック機能はご利用になれません。

サポートOS

Windows 2000、Windows XP（SP2 以降）、Windows Server 2003（SP1 以降）、Windows Vista

Note
Windows Vista Home Basic / Home Premiumは未サポートです。各OSは日本語版のみのサポートです。64ビット版Windowsは未サポートです。

Note
Windows 2000 の場合には、セキュリティソフトチェック機能はご利用になれません。

7 注意事項

SwimRadiusサーバーは JRE 1.6.0_12 で動作します。他のバージョンのJREまたはJDKに置き換えないようにしてください。
SwimRadiusサーバーには、SwimLogReporter と連係する機能がありますが、連係可能な SwimLogReporterのバージョンは、Version 1.1 pl 0 以上となりますのでご注意ください。

また、SwimLogReporterとSwimAdminCentralを同一PCでご使用になる場合には、それぞれ SwimLogReporter Version 1.1 pl 0 以降、SwimAdminCentral Version 1.1 pl 1 以降の組み合わせのみ可能です。
SwimLogReporter、SwimAdminCentralとの連係を行うためには、SwimRadiusサーバーと同じPCにインストールする必要があります。また、インストールディレクトリーも同じディレクトリーである必要があります。

下記の例では、C:\Program Files\Allied Telesis\ の下にすべてインストールしています。
```
    例：C:\Program Files\Allied Telesis\SwimRadius
        C:\Program Files\Allied Telesis\SwimLogReporter
        C:\Program Files\Allied Telesis\SwimAdminCentral
```
SwimLogReporter、SwimAdminCentralの個々のインストール時の注意事項については各製品のドキュメントをご参照ください。
Windows XP Service Pack 2およびWindows Vistaでファイアウォール機能（Windows ファイアウォール）を有効にしている場合、SwimRadiusサーバーログイン時に『Windows セキュリティの重要な警告』ダイアログが表示されることがあります。この場合は、『ブロックを解除する』ボタンをクリックしてください。
SwimRadiusクライアントに関する注意事項などは、SwimRadiusクライアントのドキュメントをご参照ください。
SwimRadiusサーバーとSwimRadiusクライアントを同じPCにインストールしないでください。
SwimSuite Sパックに同梱されているSwimAdminCentralおよびSwimLogReporterは、SwimRadiusと同じPCにインストールしてご使用ください。また、SwimAdminCentral をご利用の場合には、SwimLogReporterを先にインストールし、後で SwimAdminCentralをインストールしてください。

いずれかの製品をアンインストールする場合には、3製品すべてを終了させた後、アンインストールしてください。
『認証情報登録』の『ウィルス定義ファイルチェック』により、ウィルス定義ファイルが最新のファイルかどうかチェックが行われますが、ウィルスチェックアプリケーションが古いファイルから最新のファイルに更新したことをリアルタイムにセキュリティセンターに反映するとは限りません。そのため、SwimRadiusクライアントでもリアルタイムに更新を検出できないことがあります。
Windowsシステムにおけるコンピュータ認証（ユーザーアカウントによるログイン前の認証）とサービス認証（サービス起動時の認証）には対応しておりません。
802.1Xの再認証タイマーにより再認証が行われる場合には、802.1Xの認証のみ行い、セキュリティソフトチェックは再実行されません。したがって、認証後にセキュリティ情報を変更されても検出することはできません。

8 制限事項

Extreme 製品を使用する場合、割り当てる VLAN 名に VLAN IDを使用することはできません。

割り当てる VLAN 名には VLAN 名を入力してください。
SwimRadiusクライアントを使用する場合、お使いのセキュリティソフトウェアにファイアウォール機能が装備されている場合には、SwimRadiusクライアントが通信できるように設定を変更してください。SwimRadiusクライアントで使用するポートはデフォルトで8024番ですので、8024番ポートで通信できるように設定を変更してください。
ポリシー設定において、以下の機種についてはポートの指定はできません。

　　　　8948XL, 8624PS, 8624EL, Extreme Summitシリーズ
SwimAdminCentralをSwimRadiusサーバーから起動した場合には、SwimRadiusサーバーを終了するときにSwimAdminCentralも終了させてください。
WR540APS、SSL VPN-PlusをRADIUSクライアントに指定し、SwimRadiusクライアントから認証要求を受信した場合には、認証要求されたユーザIDが「セキュリティソフトチェック」を行う設定になっていると、認証結果がNGになります。これは、WR540APS、SSL VPN-Plusがセキュリティソフトチェック機能に対応していないためです。回避するために、「セキュリティソフトチェック」を行わない設定にしてください。