【連載】

にわか管理者のためのWindowsサーバ入門

【第75回】RADIUSサーバを利用した認証(3)

[2012/02/13 10:25]井上孝司 ブックマーク ブックマーク

  • サーバ/ストレージ
  • ● 関連キーワード
  • サーバ

サーバ/ストレージ

今回はRADIUSサーバの解説の仕上げとして、着信を受け付ける側のVPNゲートウェイで行う設定変更について解説する。といっても、単純にチェックボックスをひとつオンにすれば良いというものではないので、意外と複雑だ。

ともあれ、ここまでの作業を行うことで、LAN内部に設置したドメインコントローラとの間でRADIUSによる安全なリンクを確保して、Active Directoryのユーザー情報を使った認証を行えるようになる。

RRASの認証方法変更

「リモートアクセスポリシーの作成による着信許可設定」と「NPS(Network Policy Server)へのRADIUSクライアント(VPNゲートウェイのこと)登録」を行ったら、最後にVPNゲートウェイの設定を変更し、認証手段をローカルアカウントからRADIUSサーバに切り替える。

まず、すでにVPNゲートウェイが稼働している状態で、後からRADIUSを導入する場合の手順から解説する。この場合、すでに稼働しているRRASに対して認証手段を変更する設定を行わなければならない。

そこで使用するのが、[ネットワークポリシーとアクセスサービス]管理ツールRRASサーバのプロパティ画面にある[セキュリティ]タブだ。ここで、[認証プロバイダ]と[アカウンティングプロバイダ]の設定を順番に変更する。その際、片方を変更したらRRASを再起動、残りを変更したらRRASを再起動、という手順を踏む(コンピュータの再起動までは必要ない)。具体的な操作手順は、以下のようになる。

(1) [ネットワークポリシーとアクセスサービス]管理ツールを起動して、左側のツリー画面でサーバ名を選択してから、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。

(2)続いて表示するダイアログで[セキュリティ]タブに移動して、[認証プロパイダ]を[RADIUS認証]に変更する。

[セキュリティ]タブで[認証プロバイダ]を[RADIUS認証]に変更する

(4)[認証プロバイダ]一覧の横にある[構成]をクリックする。続いて表示するダイアログで、[追加]をクリックする。

続いて表示するダイアログで[追加]をクリックして

(5)続いて表示するダイアログで、前回に解説したNPSサーバの設定を行った際に指定したものと同じ共有シークレットを入力する。

まず、共有シークレットを指定する

(6)元の[RADIUS認証]ダイアログに戻ると、RADIUSサーバの一覧を表示する。問題がなければそのまま[OK]をクリックする。余談だが、ここで[追加]をクリックして、RADIUSサーバを一覧に追加することもできる。

利用可能なRADIUSサーバの一覧を確認する。ここでさらに追加することもできる

(7)順番に[OK]をクリックしてダイアログを閉じる。

(8)メッセージにしたがってRRASを再起動させる。ここまでの作業で、認証プロパイダの設定を反映できているはずだ。

ダイアログをすべて閉じた後で、RRASを再起動する

(9)次に、アカウンティングプロバイダについても同様の設定を行う。[ネットワークポリシーとアクセスサービス]管理ツールを起動して、左側のツリー画面でサーバ名を選択してから、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。

(10)続いて表示するダイアログで[セキュリティ]タブに移動して、[アカウンティングプロバイダ]を[RADIUSアカウンティング]に変更する。

今度は、[セキュリティ]タブで[アカウンティングプロバイダ]を[RADIUS アカウンティング]に変更する

(11)次に、[RADIUSアカウンティング]一覧の横にある[構成]をクリックする。続いて表示するダイアログで、さらに[追加]をクリックする。

(12)続いて表示するダイアログで、[サーバー名]にNPSサーバのホスト名、あるいはIPアドレスを入力する。

[RADIUSサーバーの追加]ダイアログの[サーバー名]に、IAS/NPSサーバを指定する

(13)Windows Server 2008の場合、共有シークレットは先に入力したものがすでに設定されているはずなので、このまま[OK]をクリックしてダイアログを閉じればよい。

(14)順番に[OK]をクリックしてダイアログを閉じる。続いて、メッセージにしたがってRRASを再起動する。

(15)設定変更後にRRASが正常に起動すれば、RADIUSサーバを使った認証が可能になっているはずだ。RRASの再起動に失敗した場合には、RADIUSサーバのホスト名やIPアドレス、共有シークレットが間違っている可能性があるので、再確認する。

先にRADIUSを導入していた場合

先にRADIUSを導入してNPSサーバを立ち上げた状態で、後からVPNゲートウェイをセットアップする場合、RRASをウィザードでVPNゲートウェイとしてセットアップするウィザードの途中で、RADIUSサーバを使用するように設定できるので手間がかからない。

RADIUSサーバを使用するように指定した場合、ウィザードの次の画面で、RADIUSサーバのFQDNと共有シークレットを指定する。このとき、RADIUSサーバはプライマリと代替の、合計2台まで指定できる。

RADIUSサーバを使用するように指定した場合、次の画面で、RADIUSサーバのFQDNと共有シークレットを指定する

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
910
2
【連載】にわか管理者のためのWindowsサーバ入門 [75] RADIUSサーバを利用した認証(3)
今回はRADIUSサーバの解説の仕上げとして、着信を受け付ける側のVPNゲートウェイで行う設定変更について解説する。といっても、単純にチェックボックスをひとつオンにすれば良いというものではないので、意外と複雑だ。
https://news.mynavi.jp/itsearch/2015/10/15/windows_server/075_index.jpg
今回はRADIUSサーバの解説の仕上げとして、着信を受け付ける側のVPNゲートウェイで行う設定変更について解説する。といっても、単純にチェックボックスをひとつオンにすれば良いというものではないので、意外と複雑だ。

会員登録(無料)

セキュリティ・キャンプ2017 - 精彩を放つ若き人材の『今』に迫る
ぼくらのディープラーニング戦争
ドローンのポテンシャル、メーカーやキャリア、ユーザー企業はこう見る
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
人事・経理・総務で役立つ! バックオフィス系ソリューション&解説/事例記事まとめ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る