ネットワーク アクセス サーバー (NAS) は、さらに規模の大きいネットワークへのなんらかのレベルのアクセスを提供するデバイスです。RADIUS インフラストラクチャを使用した NAS は、認証、承認、およびアカウンティングのために、接続要求とアカウンティング メッセージを RADIUS サーバーに送信する RADIUS クライアントでもあります。
重要 | |
ワイヤレス ポータブル コンピューターや、クライアント オペレーティング システムを実行しているその他のコンピューターは、RADIUS クライアントではありません。RADIUS クライアントは、RADIUS サーバー (ネットワーク ポリシー サーバー (NPS) など) との通信に RADIUS プロトコルを使用するため、ネットワーク アクセス サーバー (ワイヤレス アクセス ポイント、802.1X 対応スイッチ、仮想プライベート ネットワーク (VPN) サーバー、およびダイアルアップ サーバーなど) です。 |
NPS を RADIUS サーバー、RADIUS プロキシ、またはネットワーク アクセス保護 (NAP) ポリシー サーバーとして展開するには、NPS に RADIUS クライアントを構成する必要があります。
RADIUS クライアントの例
ネットワーク アクセス サーバーの例には、次のものがあります。
-
組織のネットワークやインターネットにリモート アクセス接続を提供する、ネットワーク アクセス サーバー。この例には、Windows Server® 2008 オペレーティング システムおよびルーティングとリモート アクセス サービスを実行していて、組織のイントラネットへの従来のダイヤルアップまたは仮想プライベート ネットワーク (VPN) リモート アクセス サービスを提供しているコンピューターがあります。
-
ワイヤレス ベースの送受信テクノロジを使用して組織のネットワークへの物理層のアクセスを提供するワイヤレス アクセス ポイント。
-
イーサネットなどの従来の LAN 技術を使用して、組織のネットワークへの物理層アクセスを提供するスイッチ。
-
RADIUS プロシキに構成されているリモート RADIUS サーバー グループのメンバーである RADIUS サーバーに接続要求を転送する RADIUS プロキシ。
RADIUS アクセス要求メッセージ
RADIUS クライアントは、RADIUS アクセス要求メッセージを作成してこれを RADIUS プロキシまたは RADIUS サーバーに転送するか、別の RADIUS クライアントから受信したもので自身では作成していないアクセス要求メッセージを RADIUS サーバーに転送します。
RADIUS クライアントは、認証、承認、およびアカウンティングを実行して、アクセス要求メッセージを処理しません。これらの機能を実行するのは、RADIUS サーバーのみです。
ただし、一部のアクセス要求メッセージについては処理し、他のメッセージは転送するように、NPS を同時に RADIUS プロキシおよび RADIUS サーバーとして構成することができます。
RADIUS クライアントとして機能する NPS
NPS は、他の RADIUS サーバーで処理されるようアクセス要求メッセージを転送する RADIUS プロキシとして構成された場合、RADIUS クライアントとして機能します。NPS を RADIUS プロキシを使用する場合、次の一般的な構成手順を実行する必要があります。
-
ワイヤレス アクセス ポイントや VPN サーバーなどのネットワーク アクセス サーバーに、指定された RADIUS サーバーまたは認証サーバーとなる NPS プロキシの IP アドレスを構成します。これにより、ネットワーク アクセス サーバーが、アクセス クライアントから受信した情報を基にアクセス要求メッセージを作成して、メッセージを NPS プロキシに転送できるようにします。
-
RADIUS クライアントとなる各ネットワーク アクセス サーバーを追加して、NPS プロキシを構成します。この構成の手順により、NPS プロキシがネットワーク アクセス サーバーからメッセージを受信し、認証処理中にこれらのサーバーと通信できるようにします。また、NPS プロキシに接続要求ポリシーを構成して、1 つ以上の RADIUS サーバーに転送するアクセス要求メッセージを指定します。このポリシーは、リモート RADIUS サーバー グループにも構成します。このサーバー グループは、ネットワーク アクセス サーバーから受信したメッセージの送信先を NPS に指示します。
-
NPS または NPS プロキシに構成されているリモート RADIUS サーバー グループのメンバーである他のサーバーを構成して、NPS プロキシからのメッセージを受信できるようにします。このためには、NPS プロキシを RADIUS クライアントとして構成します。
RADIUS クライアントのプロパティ
NPS スナップインまたは NPS の netsh コマンドを使用して NPS 構成に RADIUS クライアントを追加すると、NPS がネットワーク アクセス サーバーまたは RADIUS プロキシから RADIUS アクセス要求メッセージを受信できるように構成されます。
RADIUS クライアントを NPS に構成するときは、次のプロパティを指定できます。
-
クライアント名
RADIUS クライアントのフレンドリ名。NPS スナップインまたは NPS の netsh コマンドを使用するときにクライアントを特定しやすくなります。
-
IP アドレス
RADIUS クライアントのインターネット プロトコル バージョン 4 (IPv4) アドレスまたはドメイン ネーム システム (DNS) 名。
-
クライアント ベンダー
RADIUS クライアントのベンダー。または、クライアント ベンダーの RADIUS 標準値を使用することもできます。
-
共有シークレット
RADIUS クライアント、RADIUS サーバー、および RADIUS プロキシ間で使用されるパスワードとなるテキスト文字列。この共有シークレットは、メッセージ認証属性を使用するときは、RADIUS メッセージの暗号化キーとしても使用されます。この文字列は、RADIUS クライアントと NPS スナップインに構成する必要があります。
-
メッセージ認証属性
RFC 2869 の "RADIUS 拡張機能" で規定されている RADIUS メッセージ全体のメッセージ ダイジェスト 5 (MD5) ハッシュ。RADIUS メッセージ認証属性が指定されている場合、これが確認されます。確認が失敗した場合、RADIUS メッセージは破棄されます。クライアントの設定でメッセージ認証属性が必要とされていて、認証属性が指定されていない場合も、RADIUS メッセージは破棄されます。メッセージ認証属性は使用することが推奨されます。
注 EAP 認証を使用する場合、メッセージ認証属性は必須で、既定で有効にされます。
-
クライアントが NAP に対応している
RADIUS クライアントがネットワーク アクセス保護 (NAP) に対応していて、NPS が Access-Accept メッセージに NAP 属性を含めて RADIUS クライアントに送信することを指定します。