【連載】

にわか管理者のためのWindowsサーバ入門

【第73回】RADIUSサーバを利用した認証(1)

[2012/01/23 08:00]井上孝司 ブックマーク ブックマーク

  • サーバ/ストレージ
  • ● 関連キーワード
  • サーバ

サーバ/ストレージ

PPTPを用いるVPNは導入・運用が比較的容易で、対応するクライアントの種類が多い利点もあるが、ユーザーIDとパスワードで認証する点が問題になる。なぜなら、LAN内部でActive Directoryを使用している場合、安全性を考慮してVPNゲートウェイをスタンドアロンサーバにすると、Active Directoryのユーザーアカウントを使った認証を行えないからだ。

そこで、この問題を解決する切り札であるRADIUSについて、3回に分けて解説していくことにしよう。

RADIUSとは?

RADIUSとは、ユーザー認証を行うコンピュータとユーザー情報を管理しているコンピュータの間で情報を仲介するためのプロトコルだ。これを利用すると、スタンドアロンサーバになっているVPNゲートウェイからLAN内部のドメインコントローラに対して安全なアクセスを実現し、ドメインコントローラが持つActive Directoryのユーザー情報を使った認証を可能にする。

リモートアクセスの着信を受け付ける際のユーザー認証は通常、着信を受け付けるVPNゲートウェイ(アクセスサーバ)が担当する。それがスタンドアロンサーバになっていると、ユーザー認証に使用するアカウントもVPNゲートウェイ自身が持っていなければならない。さらに、VPNゲートウェイの台数が増えた場合、個別にローカルアカウントを保守しなければならないという問題もある。

VPNゲートウェイをActive DirectoryのドメインコントローラにすればActive Directoryのユーザー情報にアクセスできるため、こうした問題を解決できる。しかし、VPNゲートウェイはインターネットに直結しているから、セキュリティ上のリスク要因になる。

この問題を解決するには、VPNゲートウェイからユーザー情報を分離する必要がある。そこで登場するのがRADIUSで、VPNゲートウェイとActive Directoryのドメインコントローラに代表されるようなユーザー情報管理用のサーバを別々にしつつ、ユーザーIDやパスワードの情報を安全にやり取りできる仕組みを提供する。

その他の用途として、IEEE802.1Xを使った端末認証、IEEE802.11iなどの無線LANセキュリティが挙げられるが、これらについては今回は割愛する。

RADIUSサーバの機能を、Windows Server 2003ではインターネット認証サービス(IAS : Internet Authentication Service)、Windows Server 2008ではNPS(Network Policy Server)と呼んでいる。位置付けの違いが原因で名称が異なるが、基本的な機能は同じだ。本稿では後者のNPSを使用する方法を紹介しよう。

このNPSを導入して、RADIUSを利用して認証できるようにするには、以下の作業を必要とする。

  1. ドメインコントローラにIAS/NPSを組み込む。
  2. IAS/NPSをActive Directoryに登録する。
  3. IAS/NPSに、着信を受け付けるVPNゲートウェイ(アクセスサーバ、あるいはNASクライアントともいう)を登録する。
  4. IAS/NPSでリモートアクセスポリシーの設定を行う。
  5. VPNゲートウェイで、認証に使用するサーバとしてIAS/NPSサーバを指定する。
  6. ローカルアカウントで認証する場合と同様に、認証に使用するユーザー アカウントに対して着信を許可する。個別のアカウントごとに着信を許可する方法と、ポリシーを使って一括許可する方法があるが、これらは前回に取り上げた。

本連載ではVPNにおける認証手段としてのRADIUSを解説するため、ここまで「VPNゲートウェイ」という言葉を使っているが、Windowsサーバの用語としては「アクセスサーバ」「NASクライアント」が用いられている。いずれも意味は同じである。一方、「NPSサーバ」とはNPSが動作するサーバのことで、一般的に言うところのRADIUSサーバと同義だ。つまりは、NPSを組み込んだドメインコントローラのことである。

ドメインコントローラにNPSを組み込む

Windows Server 2008で、Active DirectoryのドメインコントローラにNPSを組み込むには、[サーバーマネージャ]で役割の追加を行う。使用するのは、役割[ネットワークポリシーとアクセスサービス]以下の役割サービスである[ネットワークポリシーサーバー]だ。

サーバーマネージャで役割の追加を指示して、役割[ネットワークポリシーとアクセスサービス]の追加を指示する

次の役割サービス一覧で[ネットワークポリシーサーバー]の追加を指示する

NPSの組み込みを行ったら、次にNPSをActive Directoryに登録する作業を行う。NPSがActive Directoryの情報にアクセスして、Active Directoryのユーザー情報を使って認証できるようにするために、この作業が必要になる。

[ネットワークポリシーとアクセスサービス]管理ツールを起動して、左側のツリー画面で[NPS(ローカル)]を選択する。続いて、[操作]-[Active Directoryにサーバーを登録]、あるいは右クリックして[Active Directoryにサーバーを登録]を選択すると、登録作業が行える。

[ネットワークポリシーとアクセスサービス]管理ツールで、[NPS(ローカル)]を選択して、Active Directoryへの登録を指示する

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
905
2
【連載】にわか管理者のためのWindowsサーバ入門 [73] RADIUSサーバを利用した認証(1)
PPTPを用いるVPNは導入・運用が比較的容易で、対応するクライアントの種類が多い利点もあるが、ユーザーIDとパスワードで認証する点が問題になる。そこで、この問題を解決する切り札である「RADIUS」について、3回に分けて解説していこう。
https://news.mynavi.jp/itsearch/2015/10/15/windows_server/073_index.jpg
PPTPを用いるVPNは導入・運用が比較的容易で、対応するクライアントの種類が多い利点もあるが、ユーザーIDとパスワードで認証する点が問題になる。そこで、この問題を解決する切り札である「RADIUS」について、3回に分けて解説していこう。

会員登録(無料)

セキュリティ・キャンプ2017 - 精彩を放つ若き人材の『今』に迫る
ぼくらのディープラーニング戦争
クラウドアンケート
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
人事・経理・総務で役立つ! バックオフィス系ソリューション&解説/事例記事まとめ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る