Windowsサーバ入門(73) RADIUSサーバを利用した認証(1)

PPTPを用いるVPNは導入・運用が比較的容易で、対応するクライアントの種類が多い利点もあるが、ユーザーIDとパスワードで認証する点が問題になる。なぜなら、LAN内部でActive Directoryを使用している場合、安全性を考慮してVPNゲートウェイをスタンドアロンサーバにすると、Active Directoryのユーザーアカウントを使った認証を行えないからだ。

そこで、この問題を解決する切り札であるRADIUSについて、3回に分けて解説していくことにしよう。

RADIUSとは?

RADIUSとは、ユーザー認証を行うコンピュータとユーザー情報を管理しているコンピュータの間で情報を仲介するためのプロトコルだ。これを利用すると、スタンドアロンサーバになっているVPNゲートウェイからLAN内部のドメインコントローラに対して安全なアクセスを実現し、ドメインコントローラが持つActive Directoryのユーザー情報を使った認証を可能にする。

リモートアクセスの着信を受け付ける際のユーザー認証は通常、着信を受け付けるVPNゲートウェイ(アクセスサーバ)が担当する。それがスタンドアロンサーバになっていると、ユーザー認証に使用するアカウントもVPNゲートウェイ自身が持っていなければならない。さらに、VPNゲートウェイの台数が増えた場合、個別にローカルアカウントを保守しなければならないという問題もある。

VPNゲートウェイをActive DirectoryのドメインコントローラにすればActive Directoryのユーザー情報にアクセスできるため、こうした問題を解決できる。しかし、VPNゲートウェイはインターネットに直結しているから、セキュリティ上のリスク要因になる。

この問題を解決するには、VPNゲートウェイからユーザー情報を分離する必要がある。そこで登場するのがRADIUSで、VPNゲートウェイとActive Directoryのドメインコントローラに代表されるようなユーザー情報管理用のサーバを別々にしつつ、ユーザーIDやパスワードの情報を安全にやり取りできる仕組みを提供する。

その他の用途として、IEEE802.1Xを使った端末認証、IEEE802.11iなどの無線LANセキュリティが挙げられるが、これらについては今回は割愛する。

RADIUSサーバの機能を、Windows Server 2003ではインターネット認証サービス(IAS : Internet Authentication Service)、Windows Server 2008ではNPS(Network Policy Server)と呼んでいる。位置付けの違いが原因で名称が異なるが、基本的な機能は同じだ。本稿では後者のNPSを使用する方法を紹介しよう。

このNPSを導入して、RADIUSを利用して認証できるようにするには、以下の作業を必要とする。

ドメインコントローラにIAS/NPSを組み込む。
IAS/NPSをActive Directoryに登録する。
IAS/NPSに、着信を受け付けるVPNゲートウェイ(アクセスサーバ、あるいはNASクライアントともいう)を登録する。
IAS/NPSでリモートアクセスポリシーの設定を行う。
VPNゲートウェイで、認証に使用するサーバとしてIAS/NPSサーバを指定する。
ローカルアカウントで認証する場合と同様に、認証に使用するユーザーアカウントに対して着信を許可する。個別のアカウントごとに着信を許可する方法と、ポリシーを使って一括許可する方法があるが、これらは前回に取り上げた。

本連載ではVPNにおける認証手段としてのRADIUSを解説するため、ここまで「VPNゲートウェイ」という言葉を使っているが、Windowsサーバの用語としては「アクセスサーバ」「NASクライアント」が用いられている。いずれも意味は同じである。一方、「NPSサーバ」とはNPSが動作するサーバのことで、一般的に言うところのRADIUSサーバと同義だ。つまりは、NPSを組み込んだドメインコントローラのことである。