接続要求ポリシーは一連の条件と設定で構成されます。ネットワーク管理者は、このポリシーを使用して、ネットワーク ポリシー サーバー (NPS) を実行するサーバーがリモート認証ダイヤルイン ユーザー サービス (RADIUS) クライアントから受け取る接続要求の認証と承認を、どの RADIUS サーバーで実行するのかを指定できます。接続要求ポリシーを構成して、RADIUS アカウンティングにどの RADIUS サーバーを使用するかを指定できます。
重要 | |
仮想プライベート ネットワーク (VPN) または 802.1X の強制方法と、Protected Extensible Authentication Protocol (PEAP) 認証を使用してネットワーク アクセス保護 (NAP) を展開するときには、接続要求がローカルで処理される場合でも、接続要求ポリシーに PEAP 認証を構成する必要があります。 |
RADIUS クライアントから送信された一部の RADIUS 要求メッセージをローカルで処理し (NPS を RADIUS サーバーとして使用)、その他の種類のメッセージを別の RADIUS サーバーに転送 (NPS を RADIUS プロキシとして使用) するように、接続要求ポリシーを作成できます。
接続要求ポリシーを使用すると、次のような要因に基づいて NPS を RADIUS サーバーまたは RADIUS プロキシとして使用できます。
-
時刻および曜日
-
接続要求の領域名
-
要求された接続の種類
-
RADIUS クライアントの IP アドレス
RADIUS Access-Request メッセージが NPS によって処理および転送されるのは、着信メッセージの設定が NPS サーバーで構成された接続要求ポリシーの少なくとも 1 つと一致する場合のみです。ポリシー設定が一致し、そのポリシーが NPS サーバーによるメッセージの処理を要求している場合、NPS は RADIUS サーバーとして機能し、接続要求を認証および承認します。ポリシー設定が一致し、そのポリシーが NPS サーバーによるメッセージの転送を要求している場合、NPS は RADIUS プロキシとして機能し、接続要求をリモート RADIUS サーバーに転送します。
着信 RADIUS Access-Request メッセージの設定が接続要求ポリシーのいずれにも一致しない場合は、Access-Reject メッセージが RADIUS クライアントに送信され、ネットワークへの接続を試みたユーザーまたはコンピューターはアクセスを拒否されます。
構成例
次の構成例は、接続要求ポリシーの使用方法を示しています。
-
RADIUS サーバーとして機能する NPS
既定の接続要求ポリシーのみが構成されています。この例では、NPS が RADIUS サーバーとして構成され、すべての接続要求がローカルの NPS サーバーで処理されます。NPS サーバーは、アカウントが NPS サーバー ドメインのドメインおよび信頼される側のドメインにあるユーザーを認証および承認できます。
-
RADIUS プロキシとして機能する NPS
既定の接続要求ポリシーは削除され、2 つの異なるドメインに要求を転送する 2 つの新しい接続要求ポリシーが作成されます。この例では、NPS が RADIUS プロキシとして構成されています。NPS は、ローカル サーバー上で接続要求を処理しません。その代わりに、NPS、またはリモート RADIUS サーバー グループのメンバーとして構成されている他の RADIUS サーバーに、接続要求を転送します。
-
RADIUS サーバーと RADIUS プロキシの両方として機能する NPS
既定の接続要求ポリシーに加え、NPS や信頼されていないドメインの他の RADIUS サーバーに接続要求を転送する新しい接続要求ポリシーが作成されます。この例では、プロキシ ポリシーがポリシー一覧の先頭に表示されます。接続要求がプロキシ ポリシーに一致する場合、接続要求はリモート RADIUS サーバー グループの RADIUS サーバーに転送されます。接続要求がプロキシ ポリシーに一致しないものの、既定の接続要求ポリシーに一致する場合、NPS はローカル サーバー上で接続要求を処理します。接続要求がどちらのポリシーにも一致しない場合、その接続要求は破棄されます。
-
RADIUS サーバーとして機能する NPS とリモート アカウンティング サーバー
この例では、ローカル NPS サーバーはアカウンティングを実行するようには構成されていません。既定の接続要求ポリシーが変更されて、NPS、またはリモート RADIUS サーバー グループに属する他の RADIUS サーバーに RADIUS アカウンティング メッセージが転送されるようになります。ただし、アカウンティング メッセージは転送されますが、認証と承認のメッセージは転送されません。ローカルの NPS サーバーが、ローカル ドメインとすべての信頼されるドメインのためにこれらの機能を実行します。
-
[Windows ユーザー マッピングへのリモート RADIUS] 属性による NPS
この例では、個々の接続要求に対して NPS が RADIUS サーバーと RADIUS プロキシの両方として機能します。NPS は、認証要求をリモート RADIUS サーバーに転送する一方で、承認にはローカルの Windows ユーザー アカウントを使用します。この構成は、接続要求ポリシーの条件として、[Windows ユーザー マッピングへのリモート RADIUS] 属性を構成することによって実装されます。また、リモート RADIUS サーバーが認証を行う対象となるリモートユーザー アカウントと同じ名前を持つユーザー アカウントを、ローカルで作成する必要があります。
条件
接続要求ポリシーの条件は、着信 RADIUS Access-Request メッセージの属性と比較される 1 つ以上の RADIUS 属性です。複数の条件がある場合、NPS がポリシーを適用するには、接続要求メッセージの条件と接続要求ポリシーの条件がすべて一致する必要があります。
接続要求ポリシーで構成できる条件属性の一覧を次に示します。
[Connection-Properties] 属性グループには次の属性が含まれます。
-
[Framed-Protocol]。着信パケットのフレーミングの種類を指定するために使用します。たとえば、Point-to-Point プロトコル (PPP)、シリアル回線インターネット プロトコル (SLIP)、フレーム リレー、X.25 などがあります。
-
[Service-Type]。要求されているサービスの種類を指定するために使用します。たとえば、フレーム化 (PPP 接続など) およびログイン (Telnet 接続など) があります。RADIUS サービスの種類の詳細については、RFC 2865 の「Remote Authentication Dial-in User Service (RADIUS)」を参照してください。
-
[Tunnel-Type]。要求する側のクライアントによって作成されるトンネルの種類を指定するために使用します。トンネルの種類には、Point-to-Point トンネリング プロトコル (PPTP) とレイヤー 2 トンネリング プロトコル (L2TP) があります。
[Day-and-Time-Restrictions] 属性グループには、[Day-and-Time-Restrictions] 属性が含まれます。この属性で、接続試行の曜日と時刻を指定できます。曜日と時刻は、NPS サーバーの曜日と時刻の設定に依存します。
[Gateway] 属性グループには次の属性が含まれます。
-
[Called-Station-ID]。ネットワーク アクセス サーバーの電話番号を指定するために使用します。この属性は文字列です。パターン マッチング構文を使用して市外局番を指定できます。
-
[NAS-Identifier]。ネットワーク アクセス サーバーの名前を指定するために使用します。この属性は文字列です。パターン マッチング構文を使用して、NAS の ID を指定できます。
-
[NAS-IPv4-Address]。ネットワーク アクセス サーバー (RADIUS クライアント) のインターネット プロトコル バージョン 4 (IPv4) アドレスを指定するために使用します。この属性は文字列です。パターン マッチング構文を使用して IP ネットワークを指定できます。
-
[NAS-IPv6-Address]。ネットワーク アクセス サーバー (RADIUS クライアント) のインターネット プロトコル バージョン 6 (IPv6) アドレスを指定するために使用します。この属性は文字列です。パターン マッチング構文を使用して IP ネットワークを指定できます。
-
[NAS-Port-Type]。アクセス クライアントが使用するメディアの種類を指定するために使用します。たとえば、アナログ電話回線 (非同期)、統合デジタル サービス通信網 (ISDN)、トンネルまたは仮想プライベート ネットワーク (VPN)、IEEE 802.11 ワイヤレス、イーサネット スイッチなどがあります。
[Machine Identity] 属性グループには、[Machine Identity] 属性が含まれます。この属性を使用すると、ポリシーでクライアントを識別する方法を指定できます。
[RADIUS-Client-Properties] 属性グループには次の属性が含まれます。
-
[Calling-Station-ID]。呼び出し側 (アクセス クライアント) の電話番号を指定するために使用します。この属性は文字列です。パターン マッチング構文を使用して市外局番を指定できます。
-
[Client-Friendly-Name]。認証を要求している RADIUS クライアント コンピューターの名前を指定するために使用します。この属性は文字列です。パターン マッチング構文を使用して、クライアント名を指定できます。
-
[Client-IPv4-Address]。ネットワーク アクセス サーバー (RADIUS クライアント) の IPv4 アドレスを指定するために使用します。この属性は文字列です。パターン マッチング構文を使用して IP ネットワークを指定できます。
-
[Client-IPv6-Address]。ネットワーク アクセス サーバー (RADIUS クライアント) の IPv6 アドレスを指定するために使用します。この属性は文字列です。パターン マッチング構文を使用して IP ネットワークを指定できます。
-
[Client-Vendor]。認証を要求しているネットワーク アクセス サーバーのベンダーを指定するために使用します。ルーティングとリモート アクセス サービスを実行しているコンピューターは、Microsoft NAS の製造元です。この属性を使用して、NAS の製造元によって異なるポリシーを構成できます。この属性は文字列です。パターン マッチング構文を使用できます。
[User-Name] 属性グループには [User-Name] 属性が含まれます。この属性を使用すると、アクセス クライアントから RADIUS メッセージで提供されるユーザー名と一致する必要がある、ユーザー名またはユーザー名の一部を指定できます。この属性は、通常、領域名とユーザー アカウント名を含む文字列です。パターン マッチング構文を使用して、ユーザー名を指定できます。
設定
接続要求ポリシーの設定は、着信 RADIUS メッセージに適用されるプロパティのセットです。設定は、次のプロパティのグループによって構成されています。
-
認証
-
アカウンティング
-
属性の操作
-
詳細設定
認証
この設定を使用すると、すべてのネットワーク ポリシー内に構成されている認証設定を上書きし、ネットワークへの接続に必要な認証の方法と種類を指定できます。
重要 | |
ネットワーク ポリシーで構成した認証方法よりもセキュリティ レベルの低い認証方法を接続要求で構成した場合、ネットワーク ポリシーで構成したセキュリティ レベルの高い認証方法が上書きされます。たとえば、安全なワイヤレス通信のためのパスワード ベースの認証方法である、Protected Extensible Authentication Protocol - Microsoft チャレンジ ハンドシェイク認証プロトコル Version 2 (PEAP-MS-CHAP v2) を使用するように構成されたネットワーク ポリシーがあり、認証されていないアクセスを許可するように接続要求ポリシーを構成すると、どのクライアントも PEAP-MS-CHAP v2 による認証は要求されません。この例では、ネットワークに接続するすべてのクライアントに対して認証されていないアクセスが許可されます。 |
アカウンティング
この設定を使用すると、アカウンティング情報を NPS またはリモート RADIUS サーバー グループの他の RADIUS サーバーに転送するように接続要求ポリシーを構成し、RADIUS サーバー グループでアカウンティングを実行できます。
注 | |
複数の RADIUS サーバーが配置されており、すべてのサーバーのアカウンティング情報を 1 つの中心的な RADIUS アカウンティング データベースに保存する場合は、各 RADIUS サーバーのポリシーで接続要求ポリシーのアカウンティング設定を使用し、すべてのサーバーのアカウンティング情報を 1 つの NPS またはアカウンティング サーバーとして指定されている他の RADIUS サーバーに転送できます。 |
接続要求ポリシーのアカウンティング設定機能は、ローカルの NPS サーバーのアカウンティング構成には依存しません。つまり、RADIUS アカウンティング情報をローカル ファイルまたは Microsoft® SQL Server™ データベースに記録するようにローカルの NPS サーバーを構成すると、アカウンティング メッセージをリモート RADIUS サーバー グループに転送するように接続要求ポリシーを構成しているかどうかに関係なく、NPS サーバーは RADIUS アカウンティング情報をローカル ファイルまたは Microsoft® SQL Server™ データベースに記録します。
アカウンティング情報をローカルではなくリモートで記録する場合は、アカウンティング データをリモート RADIUS サーバー グループに転送するように接続要求ポリシーのアカウンティングを構成すると同時に、ローカルの NPS サーバーでアカウンティングを実行しないように構成する必要があります。
属性の操作
次の属性の 1 つのテキスト文字列を操作する検索および置換規則のセットを構成できます。
-
User-Name
-
Called-Station-ID
-
Calling-Station-ID
検索および置換の規則の処理は、RADIUS メッセージが認証およびアカウンティング設定で処理される前に上記の属性の 1 つに対して実行されます。属性の操作規則は、1 つの属性にのみ適用されます。属性ごとに属性の操作規則を構成することはできません。また、操作に使用できる属性の一覧は静的であり、追加することはできません。
注 | |
MS-CHAP v2 認証プロトコルを使用する場合、接続要求ポリシーが RADIUS メッセージの転送に使用されるときは [User-Name] 属性は操作できません。例外となるのは、円記号 (\) が使用されていて操作がその左側の情報にのみ実行される場合だけです。円記号は通常、ドメイン名 (円記号の左側の情報) と、ドメイン内のユーザー アカウント名 (円記号の右側の情報) を指定するために使用します。この場合、ドメイン名を変更または置き換える属性の操作規則のみが許可されます。 |
要求を転送する
次の転送要求オプションを設定して RADIUS Access-Request メッセージに使用できます。
[このサーバーで要求を認証する]。この設定を使用すると、NPS は Windows NT 4.0 ドメイン、Active Directory、またはローカルのセキュリティ アカウント マネージャー (SAM) のユーザー アカウント データベースを使用して、接続要求を認証します。またこの設定は、NPS が接続要求を認証するために、NPS で構成されている一致ネットワーク ポリシーとユーザー アカウントのダイヤルイン プロパティを使用するように指定します。この場合、NPS サーバーは RADIUS サーバーとして機能するように構成されます。
[次のリモート RADIUS サーバー グループに要求を転送して認証する]。この設定を使用すると、NPS は接続要求を指定のリモート RADIUS サーバー グループに転送します。NPS サーバーが Access-Request メッセージに対応する有効な Access-Accept メッセージを受信すると、接続の試行は認証および承認されたものと見なされます。この場合、NPS サーバーは RADIUS プロキシとして機能します。
[資格情報を確認せずにユーザーを受け入れる]。この設定を使用すると、NPS はネットワークへの接続を試みているユーザーの ID を確認せず、ユーザーまたはコンピューターがネットワークにアクセスする権限を持っているかどうかの確認も試みません。認証されないアクセスを許可するように構成された NPS が接続要求を受信すると、NPS から RADIUS クライアントへ直ちに Access-Accept メッセージが送信され、ユーザーまたはコンピューターにネットワークへのアクセスが許可されます。この設定は、ユーザーの資格情報が認証される前にアクセス クライアントがトンネルされる一部の強制トンネリングに使用されます。
注 | |
この認証オプションは、アクセス クライアントの認証プロトコルが、相互認証を提供する MS-CHAP v2 または拡張認証プロトコル - トランスポート層セキュリティ (EAP-TLS) の場合は使用できません。相互認証では、アクセス クライアントは自身が有効なアクセス クライアントであることを認証サーバー (NPS サーバー) に証明し、認証サーバーは自身が有効な認証サーバーであることをアクセス クライアントに証明します。この認証オプションが使用される場合は、Access-Accept メッセージが返されます。ただし、認証サーバーは、アクセス クライアントに検証を提供せず、相互認証は失敗します。 |
詳細設定
詳細なプロパティを設定して、次のような一連の RADIUS 属性を指定できます。
-
NPS サーバーが RADIUS 認証またはアカウンティング サーバーとして使用される場合に RADIUS 応答メッセージに追加される属性。
ネットワーク ポリシーと接続要求ポリシーの両方に指定された属性がある場合、RADIUS 応答メッセージで送信される属性は 2 つの属性のセットの組み合わせです。
-
NPS サーバーが RADIUS 認証またはアカウンティング プロキシとして使用される場合に RADIUS メッセージに追加される属性。転送されるメッセージに属性が既に存在する場合、接続要求ポリシーで指定された属性の値で置換されます。
さらに、接続要求ポリシーの [設定] タブの [詳細設定] で使用できる属性の一部では、特殊な機能が提供されます。たとえば、2 つのユーザー アカウント データベース間の接続要求の認証および承認を分割する場合は、[Windows ユーザー マッピングへのリモート RADIUS] 属性を構成できます。
[Windows ユーザー マッピングへのリモート RADIUS] 属性は、リモート RADIUS サーバーによって認証されるユーザーに対して Windows 承認を行うように指定します。つまり、リモート RADIUS サーバーは、リモートのユーザー アカウント データベース内のユーザー アカウントに対して認証を実行しますが、ローカルの NPS サーバーは、ローカルのユーザー アカウント データベース内のユーザー アカウントに対して接続要求を承認します。これは、ゲスト ユーザーにネットワークへのアクセスを許可する場合に便利です。
たとえば、パートナー組織からのゲスト ユーザーは、パートナー組織独自の RADIUS サーバーで認証されてから、接続先の組織の Windows ユーザー アカウントを使用してネットワーク上のゲストのローカル エリア ネットワーク (LAN) にアクセスできます。
特殊な機能を提供する属性はその他に次のようなものがあります。
-
[MS-Quarantine-IPFilter] および [MS-Quarantine-Session-Timeout]。これらの属性は、ルーティングとリモート アクセス VPN の展開と共にネットワーク アクセス検疫制御 (NAQC) を展開する場合に使用されます。
-
[Passport-User-Mapping-UPN-Suffix]。この属性を使用すると、Windows Live™ ID ユーザー アカウントの資格情報で接続要求を認証できます。
-
[Tunnel-Tag]。この属性は、仮想ローカル エリア ネットワーク (VLAN) を展開する場合に NAS によって接続が割り当てられる VLAN ID 番号を指定します。
既定の接続要求ポリシー
NPS をインストールすると、既定の接続要求ポリシーが作成されます。このポリシーは次のように構成された状態となります。
-
[認証] は構成されません。
-
[アカウンティング] はアカウンティング情報をリモート RADIUS サーバー グループに転送するように構成されません。
-
[属性] には、接続要求をリモート RADIUS サーバー グループに転送する属性の操作規則は構成されません。
-
[要求を転送しています] は接続要求がローカルの NPS サーバーで認証および承認されるように構成されます。
-
[詳細設定] 属性は構成されません。
既定の接続要求ポリシーは NPS を RADIUS サーバーとして使用します。NPS サーバーが RADIUS プロキシとして機能するように構成するには、リモート RADIUS サーバー グループも構成する必要があります。新しい接続要求ポリシー ウィザードを使用して新しい接続要求ポリシーを作成するときに、新しいリモート RADIUS サーバー グループを作成できます。既定の接続要求ポリシーを削除することも、既定の接続要求ポリシーが最後に処理されるポリシーであることを確認することもできます。
注 | |
NPS およびルーティングとリモート アクセス サービスが同じコンピューターにインストールされていて、ルーティングとリモート アクセス サービスが Windows 認証およびアカウンティング用に構成されている場合、ルーティングとリモート アクセスの認証およびアカウンティング要求を RADIUS サーバーに転送できます。これは、ルーティングとリモート アクセスの認証およびアカウンティング要求が、それらをリモート RADIUS サーバー グループに転送するように構成された接続要求ポリシーに一致する場合に行われます。 |