

- ユーザ数とクライアント数の違いは何ですか。
- 「ユーザ数」は、端末の数、「クライアント数」は、認証装置(Authenticator)の数を示しております。
フレッツ・オフィス/フレッツ・オフィスワイドサービスの認証サーバとして利用する場合、「ユーザ数」は、PPPoEクライアント(ルータ)の数、「クライアント数」は、フレッツ網のBASの数になります。
802.1x認証を行う場合、「ユーザ」は、PC(Supplicant)に登録するユーザ数、「クライアント」は、無線アクセスポイントや認証スイッチなどの数となります。
- どのような認証方式に対応していますか。
- PAP、CHAP認証の他、802.1X認証で使用されるEAP-MD5、EAP-TLS、EAP-PEAP、EAP-TTLS認証に対応しております。
- プライベートCA(認証局)としての機能はありますか。
- プライベートCA(認証局)としての機能があります。
サーバ/クライアントで使用する証明書の発行、管理をを行う事ができます。
- 発行可能な証明書の数はいくつですか。
- 各機器で発行可能な証明書の数は以下のとおりです。
・RA-1400:10,000
・RA-1300:10,000
・RA-830:2,500(親子連携無効時、Ver1.20.0~)
2,000(親子連携無効時、~Ver1.18.0)
2,000(親子連携有効時)
・RA-1200:10,000
・RA-730:2,000
なお、発行可能な証明書の総数には失効した証明書および期限が切れた証明書も含まれます。
- 認証ユーザとして登録可能なユーザ数はいくつですか。
- 各機器内部に以下ユーザ数まで登録する事ができます。
・RA-1400:100,000ユーザ
・RA-1300:100,000ユーザ
・RA-830:2,500(親子連携無効時、Ver1.20.0~)
2,000(親子連携無効時、~Ver1.18.0)
2,000(親子連携有効時)
・RA-1200:50,000ユーザ (Ver1.10.1まで)
100,000ユーザ (Ver1.10.2以降)
・RA-730:2,000ユーザ
・RA-1100:50,000ユーザ
・RA-630:2,000ユーザ
- 認証・アカウンティングポートを指定できますか。
- 認証・アカウンティングポートは、以下ものが選択できる他個別に指定する事も可能です。
・1645/1646
・1812/1813
- RADIUSクライアントとして最大登録可能なクライアント数はいくつですか。
- 各機器内部に以下クライアント数まで登録する事ができます。
・RA-1400:1000 クライアント
・RA-1300:1000 クライアント
・RA-830:500クライアント(親子連携無効時、Ver1.20.0~)
250クライアント(親子連携無効時、~Ver1.18.0)
250クライアント(親子連携有効時)
・RA-1200:1000 クライアント
・RA-730:250 クライアント
・RA-1100:1000 クライアント
・RA-630:250 クライアント
- ログのファシリティを指定する事はできますか。
- システムログ、認証ログ、アカウンティングログ毎にファシリティを設定できます。
- ログをシスログサーバへ転送する事はできますか。
- ファシリティ毎にシステムログ、認証ログ、アカウンティングログをシスログサーバへ転送する事ができます。
- 同一ユーザIDに対する同時接続を制限する事は可能ですか。
- 同一ユーザIDに対して最大9ユーザまで同時接続を制限する事ができます。
「ユーザ基本情報」プロファイルの"同時接続数"に最大接続数(1~9)を指定ください。
空白の場合は、無制限となります。
但しこの設定が有効になるのは、RADIUSクライアントがアカウンティング処理に対応している場合に限ります。
- RADIUSユーザを一括で登録する事はできますか。
- 「RADIUS」-「ユーザ」の"ファイル読み込み"で、別途作成済みのユーザ登録ファイルを読み込む事により一括登録する事が可能です。
ユーザ登録ファイルの作成方法については、ユーザーズガイドまたは設定事例集をご参考ください。
- 冗長構成(二重化)に対応していますか。
- RADIUSサーバとしての冗長構成に対応しております。
冗長構成(二重化)により、認証、アカウンティングログ及びログイン情報の同期が行われます。
- フレッツナンバーアシストサービスを利用して認証する事はできますか。
- 可能です。
認証プロファイルを作成後、アトリビュートとして"Calling-Station-Id"に、フレッツナンバーアシストサービスで通知されるお客様ID(回線ID)を設定ください。
またプロファイルに依存しない形でユーザ毎に認証アトリビュートを設定する事もできます。
その場合は、[ユーザ 設定 (詳細)]の認証項目で以下のように設定してください。
・アトリビュート:Calling-Station-Id
・値 :回線ID
・動作モード :上書き
- 外部の証明機関が発行した証明書をインストールすることはできますか。
- 現時点、外部の証明書をインストールして利用することはできません。
- EAP-TTLS方式による認証ができません。原因として何が考えられますか。
- サプリカントの設定による場合もありますが、下記点についてご確認ください。
(1)サプリカンで入力したユーザ名とパスワードがRAに登録されているか。
(2)EAP-TTLS認証方式を使用する場合、内部認証に使用するプロトコルも認証方式
(RADIUS/基本情報)で選択する必要があります。
例えば、PAPを使用する場合はPAP/CHAPも選択ください。
(3)RAで発行したCA証明書がサプリカント側に登録されているか確認ください。
CA証明書は、CA証明書の取得(CA/証明書)より取得できます。
- プロファイルとは何ですか。
- 同じ属性の設定内容をグループ化したものです。
例えば、複数のユーザで共通な項目をプロファイルで設定し、それを各ユーザに適用するといった事が可能となります。
- 機器が故障した場合、事前に保存しておいた設定情報を復帰すれば、証明書も復帰されますか。
- 設定情報を保存した時点の状態に証明書なども含め復帰することが可能です。
- ファームウェアのバージョンは、どこで確認できますか。
- 「運用機能」-「システム情報」-「システム情報」にて稼動中のファームウェアのバージョンを確認する事ができます。
- 登録ユーザのパスワードに、有効期限を設定できますか。
- パスワードの有効期限を設定する事はできません。
- ユーザ証明書を利用した認証方式(EAP-TLS)で運用を行っていますが、急に認証ができなくなってしまいました。認証ログのReason項目には、"CRL has expired"または"TLS verification error (CRL has expired) [EAP-TLS]"と表示されています。どのような理由が考えられますか。
- 失効リスト(CRL)の更新期限が、過ぎてしまったため認証できなくなったと考えられます。
失効リストは、決められた更新期間内に更新してRADIUSサーバへ反映させる必要があります。
「CA」-「CA/CRL」の「CA証明書」欄で"失効リスト"を選択後に「表示」ボタンを押下し、失効リスト(CRL)の更新期間の"Next Update:"の日時を確認してください。
この日時が過去の日時(JST=GMT+9)となっている場合は、以下手順に沿って更新してください。
(1)「失効リストの更新」欄にある「更新」ボタンを押下して失効リスト(CRL)を更新します。
(2)更新した失効リスト(CRL)を有効にするために、RADIUSサービスの再起動(「RADIUS」-「サーバ」-「起動・停止」)を行います。
なおファームウェアバージョンにより認証ログの内容が異なります。
- 通信インタフェースは、1000BASE-Tに対応していますか。
- RA-1400、RA-1300、RA-1200、RA-1100、RA-830、RA-730のいずれのポートも1000BASE-Tに対応しています。
- リモートより機器の操作を行いたいのですが、その場合、セキュアな通信を行う事ができますか。
- RAシリーズは、 HTTP(TCP/80)以外に、HTTPS(TCP/443)を利用してGUI操作を行う事が可能です。初期値は、どちらも有効となっています。
- GUI操作以外にCLIによる操作は可能ですか。
- CLIによる操作には対応しておりません。
- 保存可能なログの容量を教えてください。
- 各機器内部に最大以下のシステムログ、認証ログ、アカウンティングログを保存できます。
システムログ(件)/認証ログ(件)/アカウンティングログ(件)
・RA-1400 : 10,000 / 100,000 / 100,000
・RA-1300 : 10,000 / 100,000 / 100,000
・RA-830 : 10,000 / 40,000 / 40,000
・RA-1200 : 10,000 / 100,000 / 100,000
・RA-730 : 10,000 / 40,000 / 40,000
・RA-1100 : 10,000 / 100,000 / 100,000
・RA-630 : 10,000 / 40,000 / 40,000
- DHCPサーバ機能はありますか。
- DHCPサーバ機能は、下記ファームウェアバージョンで対応しています。
・RA-1400:全バージョン
・RA-1300:全バージョン
・RA-830:全バージョン
・RA-1200:Ver1.10.0以降
・RA-730:Ver1.10.0以降
- RADIUS Proxy機能はありますか。
- RADIUS Proxy機能は、下記ファームウェアバージョンで対応しています。
・RA-1400:全バージョン
・RA-1300:全バージョン
・RA-830:全バージョン
・RA-1200:Ver1.9.1以降
・RA-730:Ver1.9.0 以降
これによりeduroam(エデュローム)環境でもご利用いただけます。
- 設定項目の「二重化」と「設定情報の同期」の違いについて教えてください。
- 「二重化」は、プライマリ、セカンダリ機器間で、ログ、ログイン情報の同期を行うために設定します。
「設定情報の同期」は、マスタ、スレーブ機器間でユーザ情報などの同期を行うために設定します。
なお「設定情報の同期」で同期可能な項目については、ユーザーズガイドの[設定情報の同期]をご参照ください。
- システムログには、どのような内容が記録されますか。
- RADIUSサービス、NTPサービス、SNMPサービス、DHCPサービスに関する内容が記録されます。
<ログ表示例>
System,2013-01-01,23:59:59,RADIUS,RADIUS start
System,2013-01-01,23:59:59,RADIUS,RADIUS stop
System,2013-01-01,23:59:59,RADIUS,RADIUS restart
System,2013-01-01,23:59:59,NTP,NTP start
System,2013-01-01,23:59:59,NTP,NTP stop
System,2013-01-01,23:59:59,NTP,NTP restart
System,2013-01-01,23:59:59,SNMP,SNMP start
System,2013-01-01,23:59:59,SNMP,SNMP stop
System,2013-01-01,23:59:59,SNMP,SNMP restart
System,2015-01-01,23:59:59,DHCP,DHCP restart
System,2015-01-01,23:59:59,DHCP,DHCP start
System,2015-01-01,23:59:59,DHCP,DHCP stop
その他のログ、詳細については、ユーザーズガイドの[システムログ一覧]をご参照ください。
- レルム(realm)とは、どういう意味ですか。
- RAシリーズでは、ユーザ名の@より後ろをレルム(realm)として扱います。
例えば、ユーザ名が「user@example.co.jp」の場合、「example.co.jp」がレルムとなります。
- 現在、ActiveDirectoryを利用してユーザを一括管理しています。
RA本体にユーザを登録せず、ActiveDirectoryに登録しているユーザを参照する事はできますか。
- AD連携機能によりActiveDirectoryに登録されているユーザを参照することができます。
(「RADIUS」-「サーバ」-「ActiveDirectory」設定画面より)
また、所属しているグループ情報を含めて認証する事もできます。
なお対応OSについては、下記より最新のユーザーズガイドを確認ください。
RA-1300:
https://www.centurysys.co.jp/downloads/securityserver/ra1300/index.html#init_tab2
RA-830:
https://www.centurysys.co.jp/downloads/securityserver/ra830/index.html#init_tab2
RA-1200:
https://www.centurysys.co.jp/downloads/securityserver/ra1200/index.html#init_tab2
RA-730:
https://www.centurysys.co.jp/downloads/securityserver/ra730/index.html#init_tab2
- AD連携で使用可能な認証方式は何になりますか。
- EAP-PEAP方式となります。(内部認証方式には、MS-CHAPv2を指定ください)
- AD連携を利用しています。新たにRA本体にもユーザを登録して両方を参照する事はできますか。
- AD連携が設定されていて、認証方式がEAP-PEAPの場合、その要求は全てActiveDirectoryを参照するようになります。
同時にRA本体に登録されたユーザを参照する事はできません。
- 機器を操作するためのユーザ権限を設定できますか。
- 下記3つの権限を設定する事ができます。
・[本装置管理者]:装置全体の設定/変更
・[ユーザ管理者]:ユーザの追加/変更/削除
・[ユーザ] :ユーザ自身のパスワード変更/証明書のダウンロード
- システムログに"Ignoring request from unknown client aaa.bbb.ccc.ddd"または"Unknown client aaa.bbb.ccc.ddd:xxxxxが記録されています。これはどのような意味ですか。
- RADIUSクライアントとして登録していないAuthenticatorから認証要求を受信した場合、このログが記録されます。
該当のIPアドレス(aaa.bbb.ccc.ddd)のRADIUSクライアントが正しく登録されているか確認ください。
なおファームウェアバージョンにより認証ログの内容が異なります。
- 認証ログのReason項目に"No matching authentication type in the database for request"が記録されています。これはどのような意味ですか。
- ユーザで設定されている認証方式と異なる認証要求が送られてきた場合、このログが記録されます。
ユーザ基本情報プロファイルで認証方式が正しく設定されているか確認ください。
- 認証ログのReason項目に"No matching entry in the database for request"が記録されています。これはどのような意味ですか。
- ユーザのパスワードや認証プロファイルで指定された値が、認証要求と異なる場合にこのログが記録されます。シークレットが RADIUS クライアントに設定された値と異なる場合にもこのログが記録されることがあります。再度設定した値に誤りがないか確認ください。
- 失効リスト(CRL)の更新間隔を変更できますか。
- 失効リストの更新時、更新間隔を0-4000日の間で変更できます。
"0"(ゼロ)を指定すると、次の更新(Next Update) は、CA証明書の有効期間の終了日時になります。
・RA-1400:全バージョン
・RA-1300:全バージョン
・RA-830:全バージョン
・RA-1200:Ver1.10.0以降
・RA-730:Ver1.10.0以降
- 冗長化(二重化)はどのような方式ですか。
- Active-Active方式となります。
プライマリ、セカンダリいずれでも認証要求などに対して応答を返すことができます。
プライマリ、セカンダリどちらで認証要求などを受信するかはRADIUSクライアントの設定に依存いたします。
- システム/認証/アカウンティングログをシスログサーバへ転送する場合、どこで設定しますか。
- 「管理機能」-「システム」-「ログ」のログ転送先にシスログサーバのIPアドレスを指定してください。
- 認証ログに"Multiple login: max x"または"Too many sessions (x)"が記録されて認証する事ができません。どのような対処が必要ですか。
- このログは、「同時接続数」設定で設定した上限値を超えた場合に記録されます。
現在、この上限を超えるような接続がされていない場合は、「運用機能」-「ユーザ情報」-「ログイン情報」画面で、不要なログイン情報を"強制ログアウト"処理で削除してください。
なおファームウェアバージョンにより認証ログの内容が異なります。
- 証明書は、1ユーザに1証明書しか発行できませんか。
- 1ユーザに対して複数の証明書を発行する事が可能で、証明書の有効期間満了前に入れ替えることができます。
- ActiveDirectory連携で、利用可能なユーザを確認する事ができますか。
- はい、できます。 「運用機能」-「ユーザ情報」-「ADユーザ情報」にて利用可能なユーザが表示されます。
- 失効リスト(CRL)の更新間隔を無期限に設定することはできますか。
- CA設定時、失効リストの更新間隔を無期限にすることができます。
無期限にする場合は、失効リスト更新間隔に"0"(ゼロ)を入力します。
・RA-1400:全バージョン
・RA-1300:全バージョン
・RA-830:全バージョン
・RA-1200:Ver1.9.2以降
・RA-730:Ver1.9.2以降
- ログをシスログサーバに転送する場合、転送先サーバのポート番号を変更することはできますか。
- 転送先サーバのポート番号を変更することは可能です。
・RA-1400:全バージョン
・RA-1300:全バージョン
・RA-830:全バージョン
・RA-1200:Ver1.15.0以降
・RA-730:Ver1.15.0以降
- UPSからのシャットダウン信号により機器を停止させることはできますか。
- UPSの信号により機器を停止させることはできません。
- 認証先として、LDAPサーバに登録しているユーザを参照して認証可否を行う事ができますか。
- はい、「RADIUS」-「サーバ」-「LDAP」で、LDAP機能をご利用頂く事により可能です。
- 複数のLDAPサーバを検索して認証する事ができますか。
- はい、「RADIUS」-「サーバ」-「LDAP」で、LDAPサーバを登録した順に検索する事ができます。
- 設定情報の同期設定をしている環境でマスタ側の「ファイル読み込み」機能を使用してユーザを追加した場合でもスレーブ側にユーザが追加されますか。
- はい、スレーブ側にも「ファイル読み込み」で指定した情報が同期されます。
- 「ファイル読み込み」機能でユーザを一括登録する時に、ファイルを読込むと、「入力行が長過ぎる」と表示されます。これは、どういう意味ですか。
- このメッセージは、ファイルの最終行が改行されていない場合表示されます。
改行後、再度読み込みを行ってください。
- ユーザ証明書の作成(追加作成)手順を教えてください。
- 下記手順にて証明書を作成ください。
1.証明書を発行する際の共通項目をあらかじめ証明書プロファイルで作成します。
作成後は、ユーザプロファイルで作成した証明書プロファイルを指定ください。
2.ユーザの作成において、1.で作成したユーザプロファイルを指定します。
3.ユーザの一覧で表示される証明書欄の「発行」ボタンを押下後、必要項目を入力して証明書を作成します。
(Common Nameには、ユーザ名が表示されます)
4.該当ユーザの証明書を追加発行する場合は、ユーザの一覧で表示される証明書欄の「表示」ボタンを押下後、次画面に表示される「追加発行」ボタンを押下し、必要項目を入力して追加証明書を作成します。
- 「設定情報の同期」にある"一括同期"、"強制同期"、"設定の取得"はどのような場合に使用するのですか。
- ・"一括同期"は、「設定情報の同期」設定で処理タイミングを"一括処理"を選択している場合に使用します。
・"強制同期"は、マスターの設定情報をスレーブに同期したい場合に使用します。
・"設定の取得"は、スレーブの設定情報をマスタに同期したい場合に使用します。
- 同期設定済みのマスター機器で以前の設定情報を復帰した場合、その内容はスレーブ側に同期されますか。
- いいえ、自動では同期されません。その場合は、「設定情報の同期」で"強制同期"機能をご利用ください。
マスター側の内容がスレーブ側に同期されます。
- ユーザの「ファイル読み込み」処理で追加以外に変更、削除することはできますか。
- 「ファイル読み込み」処理では、追加以外の変更および削除することはできません。
- 「運用機能」-「ユーザ情報」にあるログイン情報は、どのような場合に表示されますか。
- RADIUSクライアントより、認証ユーザに該当するアカウンティング要求(Start)が送信される場合にログイン情報が登録されます。またアカウンティング要求(Stop)によりログイン情報が削除されます。
- 機器のシリアル番号を確認する方法は、ありますか。
- 「運用機能」-「システム情報」-「システム情報」で機器のシリアル番号を確認することができます。
また、設定情報ファイルにもシリアル番号が表示されます。
・RA-1400:全バージョン
・RA-1300:全バージョン
・RA-830:全バージョン
・RA-1200:全バージョン
・RA-730:Ver1.8.8以降
・RA-1100:Ver1.8.8以降
・RA-630:Ver1.8.8以降
- 認証スイッチのMACアドレス認証に利用できますか。
- MACアドレス認証に利用可能です。認証スイッチより送信されるMACアドレス、パスワードをそれぞれユーザID、パスワードに設定してください。
- 計画停電がある場合、どのような対処が必要ですか。
- 停電前に、[管理機能]-[システム]-[停止]画面で「停止」ボタンを押下して機器を停止してください。(但し、RA-630を除く)
- 認証、アカウンティングポートを複数指定できますか。
- デフォルトでは、認証、アカウンティングポートに1645/1646と1812/1813が設定されています。
それ以外は、複数のポートを指定することはできません。
- Active Directory連携機能を設定し、RADIUSサービスの再起動を行いましたが、「起動に失敗しました。」のメッセージが表示されサービスの起動ができません。何が考えられますか。
- 指定したActive Directoryサーバと正常に通信ができない場合、RADIUSサービスを(再)起動することができません。
Active Directoryサーバの設定が正しく指定されているか、Active Directoryサーバを管理しているDNSサーバが指定されているか、ドメイン名の先頭パートと「ドメイン名(Windows 2000 より 前)」が異なっている場合は、"ドメイン名(Windows2000より前) "に設定されているかを確認ください。
- 親子連携機能と二重化(設定情報の同期)機能の違いは何ですか。
- 親子連携機能は、1台の親機(マスター)と複数台の子機(スレーブ)間でコンフィグ及びログを同期する機能になります。
また二重化(設定情報の同期)機能は、1台のマスター機と1台のスレーブ機間でコンフィグ及びログを同期する機能です。
- 認証されたユーザ毎にVLAN IDを認証スイッチに渡すことはできますか。
- 「RADIUS」-「プロファイル」-「応答アトリビュート」で下記アトリビュートを指定頂く事により認証スイッチに情報を渡す事ができます。
・Tunnel-Type:13
・Tunnel-Medium-Type:6
・Tunnel-Private-Group-ID:"指定したいVLAN ID"
- RADIUSクライアントより送信されるアトリビュート情報を含めてユーザ認証する事ができますか。
- 「RADIUS」-「プロファイル」-「認証アトリビュート」で、RADIUSクライアントより送信されるアトリビュート及びアトリビュート値を指定頂く事により認証する事が可能です。
- 設定情報の同期設定をしているマスター機器でDHCPサーバ機能を設定するとスレーブ機器へも反映されますか。
- DHCPサーバ機能は、設定情報の同期設定を行っていても同期されません。そのため同一ネットワーク内にあるマスターとスレーブ機器で個々にDHCPサーバ設定を行うことができますが、その場合はそれぞれの機器で払い出されるIPアドレスのリース範囲が異なるように設定する必要があります。
- CAを設定していますが、失効リスト(CRL)を配布する機能はありますか。
- RAシリーズでは、失効リスト(CRL)の配布機能としてCRL Distribution Pointsに対応しています。
なお失効リスト(CRL)を取得する場合は、「http://(本装置のホスト名)/crl/crl.crl」を入力ください。
- フレッツVPNゲートサービスの認証サーバとして利用することはできますか。
- フレッツVPNゲートサービスの認証サーバとしてご利用可能です。
- ベンダー固有のアトリビュート(VSA)を用いて、認証を行ったり、RADIUSクライアントへそのアトリビュートを送信したりすることはできますか。
- ベンダー固有のアトリビュートを利用することができます。
最初にベンダー固有のアトリビュートを[RADIUS]-[サーバ]-[アトリビュート]画面で登録してください。
次に、認証アトリビュートプロファイルや応答アトリビュートプロファイルで登録したアトリビュートを指定することでベンダー固有のアトリビュートを利用した処理を行うことができるようになります。
- CAで取得できるユーザ証明書の形式は、どのようなものがありますか。
- ユーザ証明書は、[CA]-[証明書]の各証明書画面よりPEM、DER、PKCS#12形式から選択して取得することができます。
- RADIUSサービスの再起動を行うと、端末(PCなど)の通信は切断されますか。
- RADIUSサービスの再起動を行っても認証済みの端末(PCなど)の通信が切断されるようなことはありません。
- CSV形式のファイルからユーザを登録できますか。
- ファイル読み込み機能でCSV形式のファイルを指定する事によりユーザを登録することができます。
・RA-1400:全バージョン
・RA-1300:全バージョン
・RA-830:全バージョン
・RA-1200:Ver1.15.0以降
・RA-730:Ver1.15.0以降
CSVファイルの作成については、下記設定例の[ファイル読み込み(CSV形式)]をご参照ください。
https://www.centurysys.co.jp/futurenet-tech-wiki/s_category/futurenet_ra
- ユーザ証明書を一括でダウンロードすることができますか。
- ユーザ証明書を一括でダウンロードすることはできません。
- RADIUSクライアントを一括で登録することはできますか。
- RADIUSクライアントを一括で登録することはできません。
- MACアドレス認証に利用している場合、新規でネットワークに追加された端末(PCなど)のMACアドレスを知る方法はありますか。
- 認証ログでMACアドレスを確認する方法があります。
MACアドレスが登録されていない状態で、認証要求が行われると認証ログに以下のようにユーザが存在しない内容のログが記録されます。
<表示例>
Auth,00:80:6D:xx:xx:xx,,Access-Reject,User not found,192.168.0.1,,,,,2015-02-01 16:32:33
or
Auth,00:80:6D:xx:xx:xx,,Access-Reject,User not found [PAP],192.168.0.1,,,,,2015-10-09 16:32:33
※「00:80:6D:xx:xx:xx」が端末のMACアドレスになります。
ファームウェアバージョンにより認証ログの内容が異なります。
但し、RADIUSサーバにこのMACアドレスを登録する際は、該当端末のものかどうか確認の上設定ください。
- RADIUS Proxyサーバとしてeduroam(エデュローム)環境で利用できますか。
- RADIUS Proxyに対応していますので、eduroam(エデュローム)環境で利用できます。
・RA-1400:全バージョン
・RA-1300:全バージョン
・RA-830:全バージョン
・RA-1200:Ver1.9.1以降
・RA-730:Ver1.9.0以降
RADIUS Proxyサーバの設定に関しては、下記設定例の[RADIUS Proxy]をご参照ください。
https://www.centurysys.co.jp/futurenet-tech-wiki/s_category/futurenet_ra
- ActiveDirectoryサーバが冗長化されている時に、AD連携ではどのような設定が必要になりますか。
- 基本的には、ActiveDirectoryサーバが冗長化されている場合でもActiveDirectoryのドメイン名とその情報を持ったDNSサーバを指定します。
但し、DNSサーバには冗長化されたActiveDirectoryサーバを台数分登録しておく必要があります。
Active Directory サーバの冗長化には、以下バージョンで対応しています。
・RA-1400:全バージョン
・RA-1300:全バージョン
・RA-830:全バージョン
・RA-1200:Ver1.10.0以降
・RA-730:Ver1.10.0以降
AD連携の設定に関しては、下記設定例の[連携機能]をご参照ください。
https://www.centurysys.co.jp/futurenet-tech-wiki/s_category/futurenet_ra
- パスワードの不一致により認証が失敗した時、認証ログにそのパスワードを表示させることはできますか。
- 認証ログにパスワード不一致時の内容を表示させることができます。(PAPまたはEAP-TTLS/PAP認証のみ)
・RA-1400:全バージョン
・RA-1300:全バージョン
・RA-830:全バージョン
・RA-1200:Ver1.11.0以降
・RA-730:Ver1.11.0以降
パスワードを表示するためには下記操作を行います。
(1)「RADIUS」-「サーバ」-「ログ」の"認証ログで"不正パスワード 「記録する」を選択します。
(2)RADIUSサービスの再起動を行います。
「RADIUS」-「サーバ」-「起動・停止」で再起動ボタンを押下します。
<ログ表示例>
Auth,user01,,Access-Reject,Incorrect password (xxxxx) [PAP],192.168.0.1,,,,,2015-12-09 12:14:44
※「xxxxx」がパスワードになります。
- CAの有効期間(終了日時)は、最大いつまで入力できますか。
- 2035年12月31日まで指定可能です。
- 冗長化される2台のRADIUSサーバがそれぞれ異なるネットワークセグメントにある場合でも二重化・設定情報の同期を行うことができますか。
- 2台のRADIUSサーバが異なるネットワークセグメントにある場合でも二重化・設定情報の同期を行うことが可能です。
その場合二重化・設定情報の同期では、TCP/802~809ポートを使用しますので途中経路で破棄されないことを確認ください。その他、RADIUSサーバが使用するポートについては、ユーザーズガイドのフィルタをご参照ください。
- 強制ログアウトと切断要求の違いは何ですか。
- 強制ログアウトは、Accounting-Request (Start)により登録されたログイン情報を削除します。
切断要求は、Accounting-Request (Start)要求に含まれるNAS-IP-Address宛てに回線切断要求を送信します。
この場合、RADIUSクライアントのIPアドレスとしてNAS-IP-Addressが登録されている必要があります。
またログイン情報は、Accounting-Request (Stop)を受信することにより削除を行います。
- シークレットが不一致でも CHAP 認証で Access-Accept が記録されます。正しい動作ですか。
また、その際にRADIUSクライアントは認証失敗と判断しているようです。なぜですか。
- RFC 2865 に従った正しい動作です。
PAP認証の場合は、RADIUS サーバの認証処理にシークレットが使われます。
RADIUSサーバとRADIUSクライアントのシークレットが不一致の場合、RADIUSサーバは Access-Reject を応答します。
これに対して CHAP認証では、RADIUS サーバの認証処理で基本的にシークレットは使用しません。
シークレットの検証は RADIUS クライアントが行います。
シークレットが不一致でも、パスワードが正しければRADIUS サーバは Access-Accept を応答します。
RADIUS クライアントが適切に実装されていれば、RADIUS クライアントはその Access-Accept を無視します。
このため Access-Accept が記録されていても実際には認証に成功していない状態になります。
RADIUS クライアントが送信する認証要求にMessage-Authenticator アトリビュートを設定することで、RADIUS サーバでもシークレットの検証を行うことができるようになります。
Message-Authenticator アトリビュートが認証要求に含まれる場合、シークレットが不一致であればRADIUS サーバはその認証要求を無視します。応答は行いません。
- システムログ、認証ログ、アカウンティング、アクセスログ、オペレーションログは、機器を再起動しても保存されていますか。
- 機器の再起動を行うとシステムログ、認証ログ、アカウンティング、アクセスログ、オペレーションログは、消去されます。
各種ログは、シスログサーバへ転送する事も可能ですのでログ転送機能をご利用ください。
ログ転送は、[管理機能]-[システム]-[ログ]画面で設定できます。
- DHCPサーバ機能でRADIUSサーバと異なるネットワークセグメントへIPアドレスを払い出すことはできますか。
- DHCPリレーエージェントからの要求に対して、IPアドレスを払い出すことが可能です。
- RA-630からRA-730またはRA-830へ設定情報を移行することはできますか。
- RA-630から取得した設定情報をRA-730またはRA-830に復帰することにより移行が可能です。
なおセキュリティ向上のためRA-730(Ver1.14.0)以降およびRA-830では、鍵長、Signature Algorithmにおいてそれぞれ"1024"、"SHA-1"が選択できないように変更されています。
前述の値が選択された証明書については、有効期間内であれば今まで通り利用可能です。
- RA-730からRA-830へ設定情報を移行することはできますか。
- RA-730から取得した設定情報をRA-830に復帰することにより移行が可能です。
なおセキュリティ向上のためRA-730(Ver1.14.0)以降およびRA-830では、鍵長、Signature Algorithmにおいてそれぞれ"1024"、"SHA-1"が選択できないように変更されています。
前述の値が選択された証明書については、有効期間内であれば今まで通り利用可能です。
- RA-1200からRA-1300へ設定情報を移行することができますか。
- RA-1200から取得した設定情報をRA-1300に復帰することにより移行が可能です。
なおセキュリティ向上のためRA-1200(Ver1.14.0)以降では、、鍵長、Signature Algorithmにおいてそれぞれ"1024"、"SHA-1"が選択できないように変更されています。
前述の値が選択された証明書については、有効期間内であれば今まで通り利用可能です。
- Active DirectoryサーバのバージョンがWindows Server 2019でもAD連携ができますか。
- Windows Server 2019を利用したAD連携は、下記ファームウェアバージョンで対応しています。
・RA-1400:全バージョン
・RA-1300:Ver1.21.0以降
・RA-830:Ver1.21.0以降
・RA-1200:Ver1.21.0以降
・RA-730:Ver1.21.0以降
- MACアドレス認証時、認証アトリビュート「Calling-Statiion-Id」、「Callied-Station-Id」に指定するMACアドレスの区切り文字(":" or "-")や大文字小文字の違いがあっても同一情報として扱われますか。
- 「Calling-Statiion-Id」、「Called-Station-Id」共に、大文字小文字は区別され、またMACアドレスで利用される区切り文字 ":" または "-"も区別されます。
そのためRADIUSクライアントより送信されるアトリビュートの内容に従って設定ください。
- 設定情報の同期では、どのような項目が同期されますか。
- サーバ(一部を除く)、プロファイル、ユーザ情報(一部を除く)などがあります。
同期項目の詳細については、下記最新のユーザーズガイド(設定情報の同期)をご参照ください。
RA-1300:
https://www.centurysys.co.jp/downloads/securityserver/ra1300/index.html#init_tab2
RA-830:
https://www.centurysys.co.jp/downloads/securityserver/ra830/index.html#init_tab2
- フィルタ設定でデフォルトの動作を"drop"にする場合、設定情報の同期、二重化環境では、どのようなフィルタが必要ですか。
- 設定情報の同期、二重化の動作については、下記設定が必要となります。
<マスター(プライマリ)側>
----------------------------------------------------------------------
プロトコル 送信元IPアドレス 送信元ポート 送信先IPアドレス 送信先ポート 動作
tcp [スレーブのIPアドレス] 802-809 [マスターのIPアドレス] accept
tcp [スレーブのIPアドレス] [マスターのIPアドレス] 802-809 accept
----------------------------------------------------------------------
<スレーブ(セカンダリ)側>
----------------------------------------------------------------------
プロトコル 送信元IPアドレス 送信元ポート 送信先IPアドレス 送信先ポート 動作
tcp [マスターのIPアドレス] 802-809 [スレーブのIPアドレス] accept
tcp [マスターのIPアドレス] [スレーブのIPアドレス] 802-809 accept
----------------------------------------------------------------------
※デフォルトの動作を"drop"にする場合、事前にブラウザー(80/443 port)アクセスのための許可(accept)フィルタが設定されている必要があります。
- 同一ユーザでRADIUS認証の要求元(RADIUSクライアント)が複数ある場合に
ユーザ個別設定の認証アトリビュートに「NAS-Identifier」、「NAS-IP-Address」を複数設定できますか。
- 「NAS-Identifier」、「NAS-IP-Address」を複数指定することはできません。
- NTPサーバとの同期状態を確認することはできますか。
- NTPサーバとの同期状態は、「運用機能」-「システム情報」-「システム情報」画面のNTPの箇所で確認できます。
同期状態の詳細については、下記最新のユーザーズガイド(システム情報)をご参照ください。
RA-1300:
https://www.centurysys.co.jp/downloads/securityserver/ra1300/index.html#init_tab2
RA-830:
https://www.centurysys.co.jp/downloads/securityserver/ra830/index.html#init_tab2
- RADIUSクライアント設定で指定する「シークレット」とはどういう用途のものですか。
- RADIUSクライアントとの認証や暗号処理に用いる文字列で、RADIUSクライアント側にも同じ値が設定されている必要があります。
- オペレーションログに、本装置管理者 、ユーザ管理者のパスワードを変更した場合も記録されますか。
- オペレーションログは、RADIUSユーザのパスワードを変更した場合のみ記録されます。
- マスター/スレーブ、プライマリ/セカンダリとはどういう意味ですか。
- マスター/スレーブは、設定情報の同期対象を表しています。
・マスター:設定の同期元となる機器
・スレーブ:設定の同期先機器
「管理機能」-「システム」-「設定情報の同期」画面の"装置種別"でマスターかスレーブを確認できます。
プライマリ/セカンダリは、二重化対象を表しています。
・プライマリ:例)RADIUSクライアントで指定するプライマリRADIUS機器
・セカンダリ:例)RADIUSクライアントで指定するセカンダリRADIUS機器
「RADIUS」-「サーバ」-「二重化」画面の"二重化"でプライマリかセカンダリを確認できます。
- RADIUS認証時、例えば、"USER01"、"user01"のような大文字、小文字のユーザIDは区別されますか。
- 大文字、小文字の区別はされません。同一ユーザIDとして扱われます。
- ユーザID登録時に使用する文字列に、大文字、小文字の区別はありますか。
- ユーザID:大文字、小文字の区別はありません。
パスワード:大文字、小文字の区別はあります。
- PAP/CHAP認証で認証サーバを利用していますが、新たにEAP-PEAPやEAP-TLS認証を追加し認証方式が混在する環境でも利用可能でしょうか。
- 認証方式が混在する環境でも、引き続き認証サーバとしてご利用できます。
- Active DirectoryサーバのバージョンがWindows Server 2022でもAD連携ができますか。
- Windows Server 2022を利用したAD連携は、下記機種のファームウェアバージョンで対応しています。
・RA-1400:全バージョン
・RA-1300:Ver1.21.3以降
・RA-830:Ver1.21.3以降
※RA-1200およびRA-730は、対応していません。
- ビルの停電が発生し復電後、RADIUSサービスが起動しませんでした。
どのようなことが考えられますか。
- AD連携が設定されている場合、復電後AD(Active Directory)サーバより先にRADIUSサーバが起動した事が考えられます。
この場合、「RADIUS」-「サーバ」-「起動・停止」画面で 起動ボタンを押下してRADIUSサービスを起動してください。
- Android 11のサプリカントでは、ドメイン設定が必要ですが、何を指定するのでしょうか。
- RADIUSサーバ(CA)で発行したRADIUSサーバ証明書の CN(Common Name) を指定します。
CNは、「CA」-「証明書」画面の"Subject"欄で確認できます。
-

- 製品の設定例を集めています
-

- さわってみようMAシリーズ
さわってみようSAシリーズ
