サーバ側の設定

Windows Server 2008 R2の例

Windows Server 2008 R2サーバ上でRADIUSをセットアップするための説明は、本書に記載されていますが、ご使用のネットワーク環境に対して正しいものであることを保証するものではありません。システム管理者に相談してシステムセットアップを進めてください。

Windows Server 2008 R2上のRADIUSサービスの設定は、以下のタスクで構成されます。

  1. ネットワークポリシーとアクセスサービスのインストール

    [ネットワークポリシーとアクセスサービス]をインストールする際の詳細および説明については、マイクロソフト社のウェブサイトを参照してください。

  2. CHAPの有効化

    CHAP認証を使用する場合、パスワードが「可逆暗号化形式」で格納されている必要があります(初期状態は「非可逆暗号化形式」です)。

    Caution

    • パスワードが可逆暗号化形式で格納できるように設定を変更しても、現在のパスワードが非可逆暗号化形式で格納されている場合、自動的に変更されることはありません。ユーザーのパスワードを再設定するか、または次回各ユーザーがログインしたときにユーザーのパスワードが変更されるように設定する必要があります。

  3. ユーザーのコンフィグレーション

    ネットワークポリシーサーバ(NPS)はマイクロソフト社が実装するRADIUSサーバ、およびプロキシです。NPSではユーザーログイン証明書を確認するために、ユーザーの一覧ではなく、ユーザーグループの一覧を使用します。例えば、ユーザー「root」、「Admin」、「user」を作成したあと、ユーザーグループを作成し、メンバーとして「root」、「Admin」、「user」を登録します。

    • ユーザーとユーザーグループの作成

      1. [スタート] → [管理ツール] → [コンピュータの管理]を選択します。

      2. [システムツール] → [ローカルユーザーとグループ] → [ユーザー]を選択します。

        [ユーザー]を右クリックし、[新しいユーザー]を選択します。[新しいユーザー]にETERNUS DXにログインするためのユーザーを作成します。

      3. [システムツール] → [ローカルユーザーとグループ] → [グループ]を選択します。[グループ]を右クリックし、[新しいグループ]を選択します。[新しいグループ]にETERNUS DX用のグループを作成し、bで作成したユーザーを追加します。

      4. ネットワークポリシーとアクセスサービスの設定

        以下の3つを設定する必要があります。

        • ETERNUS DXをRADIUSクライアントとして登録

          1. [スタート] → [管理ツール] → [サーバマネージャー]を選択します。

          2. [役割] → [ネットワークポリシーとアクセスサービス] → [NPS(ローカル)] → [RADIUSクライアントとサーバ] → [RADIUSクライアント]を選択します。[RADIUSクライアント]を右クリックして[新規]を選択し、各項目を設定します。

            • [アドレス] はクライアントとなるETERNUS DXのIPアドレスを設定します。

            • [ベンダー名] は「RADIUS Standard」を設定します。

            • [共通シークレット] はクライアントとなるETERNUS DXに登録した共通鍵を設定します。

        • 認証可能なユーザーグループと認証方式の設定

          1. [スタート] → [管理ツール] → [サーバマネージャー]を選択します。

          2. [役割] → [ネットワークポリシーとアクセスサービス] → [NPS(ローカル)] → [ポリシー] → [ネットワークポリシー]を選択します。[ネットワークポリシー]を右クリックして[新規]を選択し、ナビゲーションに従って各項目を設定します。

            • [条件指定]の[追加]で[Windowsグループ]を追加します。[Windowsグループ]にETERNUS DX用に作成したグループを追加します。

            • [認証方法の構成]は、「暗号化認証(CHAP(C))」または「(PAP,SPAP)(S)」をチェックします。ETERNUS DXで設定したものと同じものを選択します。

        • Vendor Specific Attribute(VSA)によるロールの設定

          1. [スタート] → [管理ツール] → [サーバマネージャー]を選択します。

          2. [役割] → [ネットワークポリシーとアクセスサービス] → [NPS(ローカル)] → [ポリシー] → [ネットワークポリシー]を選択します。先ほど追加したポリシーを選択し、ダブルクリックします。

          3. [設定]タブの[ベンダー固有]の [追加]ボタンより以下の項目を設定します。

            • [属性]に「Vendor-Specific / RADIUS Standard」を追加します。

            • [ベンダーコード]に「211」を設定します。

            • [RADIUS RFC]に「準拠する」を設定します。

            • [ベンダーが割り当てた属性の番号]に「1」を設定します。

            • [属性の形式]に「文字列」を設定します。

            • [属性値]には先ほど追加した[グループ]に属するユーザーのロール名を入力します。ロール名は事前にETERNUS DXに登録されていなければなりません。

              【例】RoleName0