前回はRADIUS(Remote Authentication Dial In User Service)の概要と、ドメインコントローラにRADIUSの機能(NPS : Network Policy Server)を組み込んで動作可能にする手順を紹介した。今回はその続きで、リモートアクセスポリシーの作成とRADIUSクライアントの登録について解説する。後者は、RADIUSを使ってActive Directoryの情報にアクセスするVPN(Virtual Private Network)ゲートウェイの登録作業という意味だ。

リモートアクセスポリシーの作成

RRAS(Routing and Remote Access Service)を使用してVPNゲートウェイを設置する場合、個々のVPNゲートウェイで[ネットワークポリシーとアクセスサービス]管理ツールを用いてリモートアクセスポリシーを設定する。

しかし、NPSを用いる場合は、VPNゲートウェイごとにリモートアクセスポリシーを設定するのではなく、NPSサーバで一括設定する。ユーザー情報の集約だけでなく、そういう意味での効率化という効能もあるわけだ。

Windows Server 2008の場合、[ネットワークポリシーとアクセスサービス]管理ツール左側のツリー画面で[ルーティングとリモートアクセス]-[リモートアクセスのログとポリシー]を選択して、[操作]-[NPSの起動]、あるいは右クリックして[NPSの起動]を選択する。

[NPS]管理ツールが起動したら、左側のツリー画面で[ネットワークポリシー]を選択して、[操作]-[新規]、あるいは右クリックして[新規]を選択する。

この操作により、新しいリモートアクセスポリシーを作成する。ポリシーの作成手順や設定内容については、本連載の第72回で取り上げた「ネットワークポリシーの作成」と同じ考え方で行える。

作成したポリシーの一覧でダブルクリック、あるいは右クリックして[プロパティ]を選択すると、そのポリシーの内容を変更できる。もちろん、削除も可能だ。

Windows Server 2008のNPSでは、RADIUSの設定に[NPS]管理ツールを使用する

[NPS]管理ツールで、ネットワークポリシーの新規作成を指示する。作成の要領はRRASで個別設定する場合と同様

RADIUSクライアントの登録

次に、NPSを使用して認証を行うVPNゲートウェイをNPSに登録する作業を行う。このVPNゲートウェイを、NAS(Network Access Server)が動作するRADIUSのクライアントという意味で「NASクライアント」と呼ぶ。

  1. [ネットワークポリシーとアクセスサービス]管理ツールを起動して、左側のツリー画面で、[NPS(ローカル)]-[RADIUSクライアントとサーバー]-[RADIUS クライアント]を選択する。続いて、[操作]-[新規RADIUSクライアント]、あるいは右クリックして[新規RADIUSクライアント]を選択する。

まず、新規RADIUSクライアントの追加を指示する

  1. 続いて表示するダイアログで、[フレンドリ名]にNASクライアント(VPNゲートウェイ)のコンピュータ名を、[アドレス(IPまたはDNS)]にNASクライアントのホスト名をFQDN、またはIPアドレスで指定する。

  2. ホスト名をFQDNで指定した場合には、[確認]をクリックして、正しく名前解決できるかどうか確認する。名前解決が行えないと、登録しても通信が成立しないので、意味がなくなってしまう。

  3. さらに、[共有シークレット]と[共有シークレットの確認入力]も入力する。これは、IAS/NPSサーバとNASクライアントが相互認証するときに使用するパスワードのことだ。ここで指定した共有シークレットと同じものを、後でNASクライアント(VPNゲートウェイ)側でも指定する。

  4. [ベンダ名]は、既定値の[RADIUS Standard]のままでよい。最後に[OK]をクリックしてダイアログを閉じる。

NASクライアント(VPNゲートウェイのこと)のフレンドリ名とFQDN(またはIPアドレス)を指定する。さらに共有シークレットも指定する。[ベンダ名]は、既定値の[RADIUS Standard]のまま

こうして登録を行うと、登録したRADIUSクライアントの情報が画面右側に現れるようになっている。登録したRADIUSクライアントが不要になったときには、[操作]-[削除]、あるいは右クリックして[削除]を選択すると削除できる。また、一時的に不要になったときのための無効化や、プロパティの変更も可能だ。

RADIUSクライアントは不要になったら削除できる。プロパティの変更や無効化も可能