- FutureNet製品活用ガイド
- FutureNet RAシリーズ
- RADIUS Proxy
FutureNet
RAシリーズ
RADIUS Proxy
2. 特定のレルムユーザをローカルで認証
1-2. 特定のレルムユーザをローカルで認証
ここでは認証方式はEAP-PEAP を使用し、特定のレルムに属するユーザの認証、アカウンティング要求はRADIUS サーバ(転送元)で行い、それ以外はRADIUS サーバ(転送先)へ転送する例を紹介します。
【構成図】
【設定】
RADIUS サーバ(転送元)では、特定レルムユーザ用にEAP-PEAP 設定とRADIUS Proxy設定を行います。
またRADIUS サーバ(転送先)では特定レルムユーザ以外用にEAP-PEAP 設定を行います。
※無線アクセスポイントでは、RADIUS サーバ(転送元)のIP アドレスとRADIUS サーバ(転送元)のクライアント設定で
設定する共通のシークレットを指定します。
またサプリカントでは、ユーザID/パスワードの設定の他、RADIUS サーバ(転送元)またはRADIUS サーバ(転送先)で
発行したCA 証明書の登録を行います。どちらのCA証明書を登録するかはユーザ名(レルム)に依存します。
EAP-PEAP認証を利用して無線アクセスポイント接続の認証で特定のレルムのみを
RADIUSサーバ(転送元)で認証を行うには、RADIUSサーバ(転送元)とRADIUSサーバ(転送先)に対して
以下の設定を行います。
1.RADIUSサーバ(転送元)
・CAの設定(特定のレルムに属するユーザ用)
・RADIUSサーバ用のサーバ証明書の発行(転送元用)
・認証方式や使用ポートなどの基本設定
・RADIUSクライアント(無線アクセスポイント)の登録
・ユーザの登録(特定のレルムに属するユーザ)
2.RADIUSサーバ(転送先)
・CAの設定(特定のレルムに属するユーザ以外用)
・RADIUSサーバ用のサーバ証明書の発行(転送先用)
・認証方式や使用ポートなどの基本設定
・RADIUSクライアント(RADIUSサーバ(転送元))の登録
・ユーザの登録(特定のレルムに属するユーザ以外)
※無線アクセスポイントでは、RADIUSサーバ(転送元)のIPアドレスとRADIUSサーバ(転送元)に設定する
共通のシークレットを指定します。
またサプリカントでは、ユーザID/パスワードの設定の他、特定のレルムに属するユーザは、
RADIUSサーバ(転送元)で発行したCA証明書、特定のレルムに属するユーザ以外は、
RADIUSサーバ(転送先)で発行したCA証明書の登録を行います。
<RADIUSサーバ(転送元)設定>
ここでは、下記内容で設定します。
| RADIUSサーバ(転送元)のIPアドレス | 192.168.0.251 (Ether0) | |
| デフォルトゲートウェイ | 192.168.0.254 | |
| 無線アクセスポイントのIPアドレス | 192.168.0.250 | |
| 無線アクセスポイントのシークレット | secret0 | |
| 認証方式 | EAP-PEAP | |
| 認証/アカウンティングポート | 1812/1813 | |
| RADIUSサーバ証明書 | 使用する | |
| 転送先サーバ | IPアドレス | 192.168.1.251 |
| 認証ポート | 1812 | |
| アカウンティングポート | 1813 | |
| シークレット | secret12 | |
| ユーザID | csuser01 | |
| パスワード | pass01 | |
| グループID | csexample.co.jp | |
ネットワーク設定(管理機能/ネットワーク/基本情報)
Ether0 のIPアドレスを 192.168.0.251/24、デフォルトゲートウェイのIPアドレスを 192.168.0.254
に設定します。MTU及び通信モードはお使いの環境に合わせて設定してください。
CA設定(CA/CA/CRL)
EAP-PEAP認証を使用する場合はCAの設定が必要になります。
CAの作成や証明書の発行を行う際は証明書の有効期限を正しく認識させる為、内蔵時計が正しく設定されているかご確認ください。
CAの作成では Common Name、有効期間、パスフレーズ、失効リスト更新間隔 の入力が必須です。
ここでは以下の設定でCAを作成します。
| 鍵長 | 2048 |
| Signature Algorithm | SHA-256 |
| Common Name | cs_ca |
| Country | JP |
| 有効期間(終了日時) | 2035/12/31 |
| パスフレーズ | passsample |
| 失効リスト更新間隔 | 365 |
CA作成後は、CA証明書画面より 取り出し ボタンを押下してCA証明書を取得し、サプリカントへインストールします。
RADIUSサーバ証明書発行(CA/証明書)
RADIUSサーバで使用するサーバ証明書の発行を行います。
証明書画面から 新規追加 ボタンを押下します。
バージョン3 のサーバ証明書を作成する場合には、通常最低限以下のKey Usage/Extended KeyUsage を指定するようにします。
但し、実際にどのKey Usage/Extended Key Usage を必要とするかは通信相手のソフトウェアに依存します。
・Key Usage:digitalSignature およびkeyEncipherment
・Extended Key Usage:serverAuth
認証方式設定、サーバ証明書登録(RADIUS/サーバ/基本情報)
認証方式にEAP-TLS 、 EAP-PEAP 、RADIUSサーバ証明書に 本装置の証明書を使用する を選択します。
EAP-PEAPを使用するにはEAP-TLSも選択する必要があります。
シリアルナンバには先ほど発行したサーバ証明書のシリアルナンバを入力します。
シリアルナンバはCAの証明書一覧で確認することができます。
なおポート番号は、RADIUSクライアント(無線アクセスポイント)の設定と同一になるよう指定します。
以上を設定して 設定 ボタンを押下します。
RADIUSクライアント設定(RADIUS/サーバ/クライアント)
RADIUSクライアントに無線アクセスポイントの情報を設定します。
設定条件に従い、無線アクセスポイントのIPアドレス 192.168.0.250、
シークレットは無線アクセスポイントに設定したものと同じもの secret0を設定します。
クライアント名は、AP-01とします。以上を設定して 設定 ボタンを押下します。
レルム(転送先)設定(RADIUS/サーバ/レルム)
最初に、レルム「csexample.co.jp」ユーザが、本RADIUSサーバ(転送元)で認証を行うための設定を行います。
種別に 指定文字列、優先度に100、指定文字列に csexample.co.jp、一致条件に 完全一致、動作に localを設定します。
レルム名は csexample とします。
以上を設定して 設定 ボタンを押下します。
☆[指定文字列] と [一致条件]の指定例
| No | レルム |
| (1) | example.co.jp |
| (2) | sub1.example.co.jp |
| (3) | sub2.example.co.jp |
| (4) | sub3.example.co.jp |
| 指定文字列値 | 一致条件 | 対象となるレルム | |
| example.co.jp | 完全一致 | → | (1)のみ |
| sub1.example.co.jp | 完全一致 | → | (2)のみ |
| .example.co.jp | 後方一致 | → | (2)~(4) |
☆[優先度]
優先度が小さいレルム設定から順番に一致判定が行われます。
次にレルム付ユーザのデフォルトの転送先を設定します。
これによりレルム「example.co.jp」ユーザの要求が、RADIUSサーバ(転送先)で認証されるようになります。
種別に デフォルト、動作に forward、設定条件に従い転送先サーバ1にIPアドレス、
認証ポート、アカウンティングポート、シークレットを設定します。
レルム名は default とします。
以上を設定して 設定 ボタンを押下します。
最後にレルムなしユーザのデフォルトの転送先を設定します。
種別に レルムなし、動作に forward、設定条件に従い転送先サーバ1にIPアドレス、認証ポート、
アカウンティングポート、シークレットを設定します。レルム名は norealm とします。
以上を設定して 設定 ボタンを押下します。
上記設定を行うと以下のように3つの設定が表示されます。
ユーザ基本情報プロファイル設定(RADIUS/プロファイル/ユーザ基本情報)
設定条件に従い認証方式に EAP-PEAP を設定します。プロファイル名は base_user とします。
以上を設定して 設定 ボタンを押下します。
グループID設定(RADIUS/プロファイル/グループID)
グループIDとして レルム csexample.co.jp を設定します。プロファイル名は group とします。
以上を設定して 設定 ボタンを押下します。
ユーザプロファイル設定(RADIUS/プロファイル/ユーザプロファイル)
作成したユーザ基本プロファイル base_user 、グループプロファイル groupを指定してユーザプロファイル名 user を作成します。
以上を設定して 設定 ボタンを押下します。
ユーザ設定(RADIUS/ユーザ/ユーザ)
設定条件に従いユーザIDに csuser01、パスワードに pass01 を入力します。
プロファイルは先ほど作成したユーザプロファイルを指定します。
以上を設定して 設定 ボタンを押下します。
RADIUS サービス起動設定(RADIUS/サーバ/起動・停止)
起動 ボタンを押下して、RADIUSサービスを起動します。
RADIUSサービスの起動後は、動作中 の表示になります。
以上でRADIUSサーバ(転送元)の設定は終了です。
<RADIUSサーバ(転送先)設定>
ここでは、レルム「example.co.jp」ユーザの認証に関する設定を行います。
設定条件:
| RADIUSサーバ(転送先)のIPアドレス | 192.168.1.251 |
| デフォルトゲートウェイ | 192.168.1.254 |
| RADIUSサーバ(転送元)のIPアドレス | 192.168.0.251 |
| RADIUSサーバ(転送元)のシークレット | secret12 |
| 認証方式 | EAP-PEAP |
| 認証/アカウンティングポート | 1812/1813 |
| RADIUSサーバ証明書 | 使用する |
| ユーザID | exuser01 |
| パスワード | pass01 |
| グループID | example.co.jp |
CA設定 (CA/CA/CRL)
EAP-PEAP認証を使用する場合はCAの設定が必要になります。
CAの作成や証明書の発行を行う際は証明書の有効期限を正しく認識させる為、内蔵時計が正しく設定されているかご確認ください。
CAの作成では Common Name、有効期間、パスフレーズ、失効リスト更新間隔 の入力が必須です。
ここでは以下の設定でCAを作成します。
| 鍵長 | 2048 |
| Signature Algorithm | SHA-256 |
| Common Name | ex_ca |
| Country | JP |
| 有効期間(終了日時) | 2035 / 12 / 31 |
| パスフレーズ | passsample |
| 失効リスト更新間隔 | 365 |
CA作成後は、CA証明書画面より 取り出し ボタンを押下してCA証明書を取得し、サプリカントへインストールします。
RADIUS サーバ証明書発行 (CA/証明書)
RADIUSサーバで使用するサーバ証明書の発行を行います。
証明書画面から 新規追加 ボタンを押下します。
バージョン3 のサーバ証明書を作成する場合には、通常最低限以下のKey Usage/Extended KeyUsage を指定するようにします。
但し、実際にどのKey Usage/Extended Key Usage を必要とするかは通信相手のソフトウェアに依存します。
・Key Usage:digitalSignature およびkeyEncipherment
・Extended Key Usage:serverAuth
認証方式設定、サーバ証明書登録 (RADIUS/サーバ/基本情報)
認証方式にEAP-TLS 、 EAP-PEAP 、RADIUSサーバ証明書に 本装置の証明書を使用する を選択します。
EAP-PEAPを使用するにはEAP-TLSも選択する必要があります。
シリアルナンバには先ほど発行したサーバ証明書のシリアルナンバを入力します。
シリアルナンバはCAの証明書一覧で確認することができます。
また、設定ウィザードを使った場合は自動的に入力されます。
なおポート番号は、RADIUSクライアントの設定と同一になるよう指定します。
RADIUS クライアント設定 (RADIUS/サーバ/クライアント)
RADIUSクライアントとしてRADIUSサーバ(転送元)の情報を設定します。
IPアドレスはRADIUSサーバ(転送元)のIPアドレス、
シークレットはRADIUSサーバ(転送元)のレルム設定で設定したものと同じものを設定します。
以上を設定して 設定 ボタンを押下します。
ユーザ基本情報プロファイル設定 (RADIUS/プロファイル/ユーザ基本情報)
設定条件に従い認証方式に EAP-PEAP を設定します。プロファイル名は base_user とします。
以上を設定して 設定 ボタンを押下します。
グループID設定 (RADIUS/プロファイル/グループID)
グループIDとして example.co.jp を設定します。プロファイル名は group とします。
以上を設定して 設定 ボタンを押下します。
ユーザプロファイル設定 (RADIUS/プロファイル/ユーザプロファイル)
作成したユーザ基本プロファイル base_user 、グループプロファイル groupを指定して
ユーザプロファイル user を作成します。
以上を設定して 設定 ボタンを押下します。
ユーザ設定 (RADIUS/ユーザ/ユーザ)
設定条件に従いユーザIDに exuser01、パスワードに pass01 を入力します。
プロファイルは先ほど作成したユーザプロファイルを指定します。
以上を設定して 設定 ボタンを押下します。
RADIUS サービス起動設定(RADIUS/サーバ/起動・停止)
最後に 起動 ボタンを押下してRADIUSサーバを起動します。
以上でRADIUSサーバ(転送先)の設定は終了です。
更新情報
→ 一覧へカテゴリ
タグ
- CRG
- DDNS
- DHCP
- DNAT
- DNSインターセプト
- Ethernet
- IIJモバイル
- IKE Modeconfig
- IKEv2 Configuration Payload
- IPinIP
- IPoE
- IPv6
- KDDI
- L2TPv3
- MAP-E
- NGN
- NTTドコモ
- PBR
- Policy Based IPsec
- PPP
- PPPoE
- QoS
- RADIUS連携
- RAシリーズ
- Route Based IPsec
- SMS
- SNAT
- SoftBank
- UPnP
- URL転送
- VLAN
- VRRP
- Web認証
- WiMAX
- コンフィグロールバック
- ネットイベント
- フィルタ
- ブリッジ
- モニタログ
- ワイモバイル
- 仮想スイッチ
- 冗長化
- 無線LAN