RADIUSサーバを利用した認証(3)

今回はRADIUSサーバの解説の仕上げとして、着信を受け付ける側のVPNゲートウェイで行う設定変更について解説する。といっても、単純にチェックボックスをひとつオンにすれば良いというものではないので、意外と複雑だ。

ともあれ、ここまでの作業を行うことで、LAN内部に設置したドメインコントローラとの間でRADIUSによる安全なリンクを確保して、Active Directoryのユーザー情報を使った認証を行えるようになる。

RRASの認証方法変更

「リモートアクセスポリシーの作成による着信許可設定」と「NPS(Network Policy Server)へのRADIUSクライアント(VPNゲートウェイのこと)登録」を行ったら、最後にVPNゲートウェイの設定を変更し、認証手段をローカルアカウントからRADIUSサーバに切り替える。

まず、すでにVPNゲートウェイが稼働している状態で、後からRADIUSを導入する場合の手順から解説する。この場合、すでに稼働しているRRASに対して認証手段を変更する設定を行わなければならない。

そこで使用するのが、[ネットワークポリシーとアクセスサービス]管理ツールRRASサーバのプロパティ画面にある[セキュリティ]タブだ。ここで、[認証プロバイダ]と[アカウンティングプロバイダ]の設定を順番に変更する。その際、片方を変更したらRRASを再起動、残りを変更したらRRASを再起動、という手順を踏む(コンピュータの再起動までは必要ない)。具体的な操作手順は、以下のようになる。

(1) [ネットワークポリシーとアクセスサービス]管理ツールを起動して、左側のツリー画面でサーバ名を選択してから、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。

(2)続いて表示するダイアログで[セキュリティ]タブに移動して、[認証プロパイダ]を[RADIUS認証]に変更する。

(4)[認証プロバイダ]一覧の横にある[構成]をクリックする。続いて表示するダイアログで、[追加]をクリックする。

(5)続いて表示するダイアログで、前回に解説したNPSサーバの設定を行った際に指定したものと同じ共有シークレットを入力する。

(6)元の[RADIUS認証]ダイアログに戻ると、RADIUSサーバの一覧を表示する。問題がなければそのまま[OK]をクリックする。余談だが、ここで[追加]をクリックして、RADIUSサーバを一覧に追加することもできる。

(7)順番に[OK]をクリックしてダイアログを閉じる。

(8)メッセージにしたがってRRASを再起動させる。ここまでの作業で、認証プロパイダの設定を反映できているはずだ。

(9)次に、アカウンティングプロバイダについても同様の設定を行う。[ネットワークポリシーとアクセスサービス]管理ツールを起動して、左側のツリー画面でサーバ名を選択してから、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。

(10)続いて表示するダイアログで[セキュリティ]タブに移動して、[アカウンティングプロバイダ]を[RADIUSアカウンティング]に変更する。

(11)次に、[RADIUSアカウンティング]一覧の横にある[構成]をクリックする。続いて表示するダイアログで、さらに[追加]をクリックする。

(12)続いて表示するダイアログで、[サーバー名]にNPSサーバのホスト名、あるいはIPアドレスを入力する。

(13)Windows Server 2008の場合、共有シークレットは先に入力したものがすでに設定されているはずなので、このまま[OK]をクリックしてダイアログを閉じればよい。

(14)順番に[OK]をクリックしてダイアログを閉じる。続いて、メッセージにしたがってRRASを再起動する。

(15)設定変更後にRRASが正常に起動すれば、RADIUSサーバを使った認証が可能になっているはずだ。RRASの再起動に失敗した場合には、RADIUSサーバのホスト名やIPアドレス、共有シークレットが間違っている可能性があるので、再確認する。

先にRADIUSを導入していた場合

先にRADIUSを導入してNPSサーバを立ち上げた状態で、後からVPNゲートウェイをセットアップする場合、RRASをウィザードでVPNゲートウェイとしてセットアップするウィザードの途中で、RADIUSサーバを使用するように設定できるので手間がかからない。

RADIUSサーバを使用するように指定した場合、ウィザードの次の画面で、RADIUSサーバのFQDNと共有シークレットを指定する。このとき、RADIUSサーバはプライマリと代替の、合計2台まで指定できる。