802.1X ワイヤレス接続またはワイヤード接続用の RADIUS サーバー

802.1X ワイヤレス アクセスを展開するには、ワイヤレス アクセス ポイントをインストールし、構成する必要があります。802.1X ワイヤード アクセスを展開するには、802.1X 認証スイッチをインストールし、構成する必要があります。

	重要
	ワイヤレス ポータブル コンピューターや、クライアント オペレーティング システムを実行しているその他のコンピューターは、RADIUS クライアントではありません。RADIUS クライアントは、RADIUS サーバー (ネットワーク ポリシー サーバー (NPS) など) との通信に RADIUS プロトコルを使用するため、ネットワーク アクセス サーバー (ワイヤレス アクセス ポイント、802.1X 対応スイッチ、仮想プライベート ネットワーク (VPN) サーバー、およびダイアルアップ サーバーなど) です。

どちらの場合も、ネットワーク アクセス サーバーが次の要件を満たしている必要があります。

• IEEE (Institute of Electrical and Electronics Engineers) 標準の 802.1X 認証のサポート
  
  
• RADIUS 認証および RADIUS アカウンティングのサポート
  
  

セッションの関連付けが必要な請求書作成アプリケーションまたは会計処理アプリケーションを使用している場合は、次が必要です。

• インターネット技術標準化委員会 (IETF) の RFC 2865「Remote Authentication Dial-in User Service (RADIUS)」で定義されている Class 属性のサポート。これにより、RADIUS 認証とアカウンティング レコードのセッション関連付けが可能になります。セッションの関連付けを可能にするには、NPS サーバーまたはプロキシで RADIUS アカウンティングを構成するときに、すべてのアカウンティング データをログに記録して、請求書作成アプリケーションなどのアプリケーションがデータベースに対してクエリを実行し、関連するフィールドの関連付けを行い、クエリ結果に各セッションのビューを結合して返すことができるようにする必要があります。セッションの関連付けを可能にするためにログに最低限必要とされる NPS アカウンティング データは、NAS-IP-Address、NAS-Identifier (アクセス サーバーは NAS-IP-Address と NAS-Identifier のいずれかの属性を送信できるので、これらの両方が必要です)、Class、Acct-Session-Id、Acct-Multi-Session-Id、Packet-Type、Acct-Status-Type、Acct-Interim-Interval、NAS-Port、および Event-Timestamp です。
  
  
• アカウンティング中間要求のサポート。この要求は、ユーザー セッション中に一部のネットワーク アクセス サーバー (NAS) から定期的に送信されるもので、ログに記録することができます。この種の要求は、RADIUS の Acct-Interim-Interval 属性が NPS サーバー上のリモート アクセス プロファイルで定期的な要求をサポートするように構成されているときに使用できます。アカウンティング中間要求が NPS サーバー上でログに記録されるようにする場合は、NAS がアカウンティング中間要求の使用をサポートしている必要があります。
  
  

仮想ローカル エリア ネットワーク (VLAN) を使用する場合は、NAS が VLAN をサポートしている必要があります。

ワイド エリア ネットワーク (WAN) 環境の場合は、ネットワーク アクセス サーバーに次の機能が必要です。

• 動的な再転送タイムアウト (RTO) 概算または指数関数バックオフのサポート。WAN 環境での混雑状態や遅延を処理するために必要です。
  
  

また、ネットワークのセキュリティを強化するために、ネットワーク アクセス サーバーがサポートする必要があるフィルター処理機能もあります。こうしたフィルター処理機能には以下があります。

• DHCP フィルター処理。NAS は、クライアントが DHCP サーバーである場合に動的ホスト構成プロトコル (DHCP) ブロードキャスト メッセージの送信を防止するために、IP ポートをフィルターする必要があります。ネットワーク アクセス サーバーは、クライアントがポート 68 からネットワークに IP パケットを送信することをブロックする必要があります。
  
  
• DNS フィルター処理。NAS は、クライアントが DNS サーバーとして動作することを防止するために、IP ポートをフィルターする必要があります。NAS は、クライアントがポート 53 からネットワークに IP パケットを送信することをブロックする必要があります。
  
  

ワイヤレス アクセス ポイントを展開している場合は、Wi-Fi Protected Access (WPA) のサポートが推奨されます。WPA は、Windows Vista® および Windows XP の Service Pack 2 でサポートされています。WPA を展開するには、WPA をサポートするワイヤレス ネットワーク アダプターも使用します。

802.1X ワイヤレスおよびワイヤードの場合は、次の認証方法を使用できます。

• トランスポート層セキュリティ (TLS) を使用する拡張認証プロトコル (EAP)。EAP-TLS とも呼ばれます。
  
  
• Microsoft チャレンジ ハンドシェイク認証プロトコル Version 2 (MS-CHAP v2) を使用する保護された EAP (PEAP)。PEAP-MS-CHAP v2 とも呼ばれます。
  
  
• PEAP と EAP-TLS との組み合わせ。PEAP-TLS とも呼ばれます。
  
  

EAP-TLS と PEAP-TLS の場合は、Active Directory® 証明書サービス (AD CS) をインストールおよび構成して公開キー基盤 (PKI) を展開し、ドメイン メンバーのクライアント コンピューターおよび NPS サーバーに証明書を発行する必要があります。これらの証明書は、認証プロセス中に、クライアントと NPS サーバーの両方によって身元証明として使用されます。クライアント コンピューターの証明書を使用せずに、スマート カードを展開することもできます。その場合は、スマート カードとスマート カード リーダーを組織の従業員に発行する必要があります。

PEAP-MS-CHAP v2 の場合は、AD CS を使用して独自の証明機関 (CA) を展開し証明書を NPS サーバーに発行することも、クライアントが信頼する公的な信頼されたルート証明機関 (VeriSign など) からサーバー証明書を購入することもできます。

詳細については、「EAP の概要」および「PEAP の概要」を参照してください。

NPS を RADIUS サーバーとして構成するときには、RADIUS クライアント、ネットワーク ポリシー、および RADIUS アカウンティングを構成する必要があります。