(1)IASのインストール |
RADIUSサーバーとして運用するマシンには,インターネット認証サービスを組み込まなければならない。[コントロールパネル]の中にある[アプリケーションの追加と削除]を開き,[Windowsコンポーネントの追加と削除]をクリックする。
現れたコンポーネントの一覧から[ネットワークサービス]の下にある[インターネット認証サービス]を選択して[OK]をクリックし,[次へ]をクリックする。
必要なファイルがコピーされ,インストールが完了する。
top
|
(2)Active Directoryの場合はサービスを登録 |
次に,インターネット認証サービスの基本設定を行う。スタート・メニューの[管理ツール]−[インターネット認証サービス]を実行すると管理ツールが起動する。
Active Directory環境の場合には最初にちょっとした設定が必要になる。ドメイン・ユーザーのプロパティ中の[ダイヤルイン]の設定情報を参照できるよう,Active
Directoryにサービスを登録するのである。
インターネット認証サービス用管理ツールの左ペインの[インターネット認証サービス(ローカル)]を右クリックし,[Active Directoryにサービスを登録]を実行する(図2)。
NTドメインのメンバー・サーバーとしてWindows 2000のRADIUSサーバーを運用する際はこの操作を行う必要はない。
図2● Active Directoryの場合はサービスを登録する
Active Directoryドメインのユーザーのダイヤルイン・プロパティに
アクセスするためにはサービスを登録する。
NTドメインのメンバー・サーバーとして運用する場合、この操作は必要ない。 |
|
(3)RADIUSクライアントを登録する |
次にRADIUS認証要求を受け付けるためにRASサーバーなどであるRADIUSクライアントの登録を行う。管理ツールの左ペインの[クライアント]を右クリックして出るメニューで[新しいクライアント]を実行する。[クライアントの追加]でフレンドリ名としてRADIUSクライアントに付ける名前を指定し,[次へ]をクリックする。
フレンドリ名は,「RADIUSクライアント(RASサーバーなど)を容易に区別できるもの」が適切だ。そういう意味では,コンピュータ名をそのままフレンドリ名としてよい。今回は,一例として地名をフレンドリ名にした。
続いて出る[RADIUSクライアントの追加]では,登録するRADIUSクライアントのIPアドレスまたはDNS名を入力し,[クライアント製造元]を指定する。RADIUSクライアントがWindows
2000の場合は,[Microsoft]か[RADIUS Standard]を製造元にすればよい。セキュリティを強化する場合は[署名属性の送信]チェック・ボックスを選択する。
最後に[共有シークレット]として適当な文字列を指定する。これはRADIUSクライアントと同サーバー間の通信の際に利用するパスワードである。RADIUSクライアントの設定時にもここで設定したものと同じ共有シークレットを入力しなければならない(図3)。
図3● RADIUSクライアントを登録する
複数台のRADIUSクライアントを登録する場合は、台数分登録操作を繰り返す。
これでこのRADIUSサーバーで認証とログを集中管理できるようになる。 |
共有シークレットは,厳密にいえば,RADIUSクライアントごとに別々のものを設定する方がセキュリティ・レベルが上がる。しかし,それだけパスワード管理の煩雑さも増すのは確かだ。
共有シークレットはエンドユーザーが使うものでもない。こうしたことを考えると自社でRADIUSクライアントを管理する場合は,すべて同じ共有シークレットでよいだろう。RADIUSクライアントをアウトソーシングする場合でも,アウトソーシング先ごとに共有シークレットを分けることで十分と思われる。 |
(4)リモート・アクセス・ログの設定 |
だれが何時間リモート・アクセスで接続したかなどのアカウンティング情報をログとして記録する場合は,[リモートアクセスログ]を選択して,[ローカルファイル]のプロパティを開く。
[設定]でログ記録の有無を選択し,[ローカル ファイル]でログ・ファイルの形式,ログ期間と最大サイズ,ログ・ファイルの記録位置を設定できる。RADIUSサーバーでアクセス・ログを収集することで複数台のRADIUSクライアントのアクセス・ログを集中管理できる。 |
(5)リモート・アクセス・ポリシーの設定 |
Windows 2000のRRASでは,リモート・アクセス・ポリシーと呼ぶ設定でリモート・アクセスの許可条件を詳細に設定できる(図4)。
図4● リモート・アクセス・ポリシーの作成
ダイヤルイン・アクセスの許可条件を詳細に設定できる。
RADIUSを利用する場合、リモート・アクセス・ポリシーはRADIUSサーバー上で集中管理され、
個々のRASサーバーのリモート・アクセス・ポリシーは無効になる。 |
この機能はActive Directoryドメインのネイティブ・モードで利用するのが一般的だが,混在モードやNTドメイン環境でもポリシー単位のアクセス許可を設定できる。
ネイティブ・モードのドメインではドメイン・ユーザーのプロパティの[ダイヤルイン]タブの[リモート・アクセス許可]というエリアの中にある[リモートアクセスポリシーでアクセスを制御]という項目から指定する。
混在モード・ドメインとNTドメインではこの設定を選択できないので,やや面倒になる。
具体的には,すべてのユーザー・アカウントのリモート・アクセスの許可を[アクセスを許可]に設定し,既定のリモート・アクセス・ポリシーを削除し,個別のリモート・アクセス・ポリシーを作成して,許可される接続の種類を定義する。
接続の試行がポリシーの条件を満たしていて,プロファイルとユーザー・アカウントのダイヤルインの設定に従っていれば,その接続は許可される。
ポリシー単位のアクセス管理モデルでは,以下の3つの動作を制御できる。
■明示許可: |
接続の試行はポリシーの条件を満たし,プロファイルとユーザー・アカウントのダイヤルイン・プロパティの設定に従う。 |
■明示拒否: |
接続の試行はポリシーの条件を満たすが,プロファイルの設定には従わない。
ダイヤルインの制限の[次の番号へのみダイヤルインを制限する]を有効にし,RASサーバーが使っているいずれのダイヤルイン番号とも異なる番号を入力することによって,この管理モデルで明示的な拒否を行うことができる。 |
■暗黙拒否: |
接続時に,リモート・アクセス・ポリシーのすべての条件に一致しない。
|
|
具体的な設定の手順は次の通り。
(a)既存のリモート・アクセス・ポリシーを削除 |
左ペインの[リモートアクセスポリシー]を選択し,既存のポリシー([すべてのリモートアクセスを拒否])を削除する。
|
(b)新しいポリシーを作成し,条件を設定 |
必要な条件を指定したリモート・アクセス・ポリシーを作成する。
条件には発信元の電話番号,曜日時間帯,ユーザーが所属するグループなどを指定できる。さらにダイヤルインの制限やマルチリンクの有無などの設定も可能だ。 |
|
ここで注意しなければならないのは,RADIUSを利用する際はリモート・アクセス・ポリシーがRADIUSサーバー上で集中管理される点だ。個々のRADIUSクライアント上で設定されているリモート・アクセス・ポリシーがあっても,それは無効になってしまう。
また,一般に可用性を高めるために複数台のRADIUSサーバーを同じ設定で運用するほうがよい。RADIUSクライアントは認証サーバーとして複数のRADIUSサーバーを登録できる。 |